CISO Press

2015.04.21号日本CISO協会 事務局

日本CISO協会主催の4月の交流会を2015/4/7(火)夕方に開催致しました。今回のテーマは2つです。

今回の話題提供者とテーマは、㈱アイ・エス・レーティング 三好眞社長による格付け制度と、交流会の会場でもあるNANAROQ㈱の阪田麻紀マネジャーのご担当のGRCツールです。格付けもGRCもご参加の皆様には日常的な関連性は薄い様ですが、皆様の活発なQ&Aが、講師にも参加者にも有効な情報交換の場となりました。

*交流会の状況を、写真付きで掲載致します。

【交流会概要】
日時:2015年4月7日(水)18:30 ~ 20:30(情報提供及びQ&A)
◎話題①
「情報セキュリティ格付け制度の最新動向 ~
マイナンバー対応で求められる第三者による評価~」


講師: 株式会社アイ・エス・レーティング 代表取締役社長 三好眞様
関連URL:http://www.israting.com
◎話題②
CISOのマネジメント実践講座 ①GRC入門
「リスクを可視化するGRCツール活用のメリットと課題」


講師: NANAROQ株式会社 マネジャー 阪田麻紀様
関連URL:http://www.nanaroq.com/

●ご紹介した参考文献
「企業を成長に導くリスク管理経営 ─ グローバルビジネス成功のための処方箋」 (日経BPムック)(2014.9)

*今後、CISO養成に必要なプログラム作成を目標に、CISOのマネジメント実践講座という名称で、コンテンツのパッケージ化を進める予定です。

今回は第1回として後半のお時間を頂戴し、模擬的に実施してみました。

参加者:講師を含めて8名、事務局(およびNANAROQ㈱)2名
交流会に初参加の方は3名でした


阪田さんが、G・R・Cを説明しているところです。

* 講師による報告(骨子)と意見交換の一部を以下にご紹介します。

◎話題① 「情報セキュリティ格付け制度の最新動向」

■ 株式会社アイ・エス・レーティングと情報セキュリティ格付け制度
  • 弊社は、経済産業省の産業構造審議会情報セキュリティ基本問題委員会での検討等を受け、民間の格付機関とし2008年に設立された。賛同する多種業界の25社による出資をうけた、中立性の高い機関。
  • 格付けは、マネジメントの成熟度とセキュリティ対策の強度の2つで行われ、悪意のある内部者に対する管理策まで整備されていれば高格付のAAisになる。最高格付のAAAisではモニタリングによる脅威へ迅速な対応が求められる。AAAisの取得例としては、NRIセキュアのクリプト便のサービス、富士通のデータセンター、凸版印刷のギフトカードASPサービス、大日本印刷の蕨工場等。
■ 取り巻く環境と動向
  • 個人情報保護法案が3月10日に閣議決定された。マイナンバー制度の導入に際しては、企業などでは、刑事罰等が課される法改正案への取組みとして、自社の情報セキュリティ対策を総点検し、説明責任を果たすために第三者評価の活用が求められよう。
  • 特に、内部不正への対策強化や委託先業務の点検については、かなり重要視されている。
■ 事例
  • 重要情報を扱うデータセンター、委託業務、ASPサービスなどは、ISMS認証取得だけでは内部不正への対策を“見える化”できないので、格付けを取得して業務品質をお客様に説明し、充実したセキュリティ対策を講じていることを納得してもらっている。
  • 入札の条件に格付けなど、第三者による評価が求められてきた。例えば、クマヒラグループ(金庫室をはじめトータルセキュリティに事業展開中)等は、弊社の第三者証明書が入札条件に適合し、新規受注に結び付いたケースがある。また、第三者証明書は、セールスツールとして上手く活用されており、セキュリティショー等で利用され営業員がお客様から信頼を勝ち取る一つのきっかけとなっている。
■ 参加者からのご質問・その他
  • 同様な格付け機関(サービス)はまだないが、米国や韓国等に弊社の格付けに興味を持つ企業や政府機関が複数ある。
  • 格付結果の公表はお客様の判断による。これまで評価したが公表していない企業は少なくはない。高い格付けを取得した企業が中立な評価として自社事業を格付けを用いてアピールし、結果的に企業価値の向上に繋がるようメディアへへの露出度を高めている。例えば、弊社のHPに掲載したり、日経BP社のメルマガで約60万読者に関連コンテンツ等を配信しており、大きな反響がある。

◎話題② CISOのマネジメント実践講座 ①GRC入門

■ GRCの背景
  • GRC(ガバナンス・リスク・コンプライアンス)は、2009年ごろのJ-SOX等の内部統制の法制化などを背景に概念が浸透してきた。
  • リスクの範囲は、ITリスクには限定せず、コーポレートレベルや業務レベルのリスクも含まれERM(Enterprise Risk Management)の中で捉える事ができるが、GRCツールは、ITリスクとの親和性が高い。
  • GRCツールとしては複数ある。初期には、SAP社がERPと連携した利用イメージで提供していた。
■ GRCツールの機能毎の適用イメージ(適用概要、メリット、課題他)
  • 統合的なものだけでなく、リスク、インシデント、ポリシー、コンプライアンス、資産、委託先等の機能単位で適用する事も多い。
  • リスク管理を例にとる。対象システムが増加する事で、リスク評価シートをExcelのみで管理する限界もあり、ツールを使用しリスク管理を一元化するというケースを想定してみる。
    ⇒ 事務局の負担は軽減されるが、現業部門ではデータ入力等が必ずしもシンプルにもならず、導入効果に対する理解をえられない。
    ⇒費用対効果を明確に示せない場合は、導入が難しい。
■ 参加者からのご意見・その他
  • SaaS型等で、Salesforceのデータベース上で提供するツールの場合は、情報の機密性が懸念されるのではないか?例えば構成情報等。⇒ その通り。
  • GRCツールは、利用者の職務分掌に対応したアクセスコントロールがされているか?⇒ Yes
  • 多言語および各国の法令に準拠しているか? ⇒ Yes
  • 非ITのリスクも対応できるか? ⇒ (前述)もともとERMのコンセプトなので、当然対応する。
【最後に】
*今回は1週間前に参加申し込みを終了しましたが、直前で3名のキャンセルがありました。今後も、より多くの方々にご参加頂ける様、企画を進めて参ります。
*Neusoft Japanの鈴木様は、今回5回目のご出席となり、今年で最初(No.1)のBssic CISO Certificationの保有者となりました。鈴木様には、是非、ベストスコアにもチャレンジして下さい。
*交流会を含め関連イベントは継続運営する予定ですので、他の参加者の方も、Basic CISO Certificationを目指して下さい。
以上