2010年度情報セキュリティ監査シンポジウム in Tokyoが開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 2010年度情報セキュリティ監査シンポジウム in Tokyoが開催
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
2010年度情報セキュリティ監査シンポジウム in Tokyoが開催

 経済産業省と特定非営利活動法人日本セキュリティ監査協会(JASA)は2010年10月6日、東京都千代田区の日本教育会館一ツ橋ホールにて、「2010年情報セキュリティ監査シンポジウム in Tokyo」を開催した。
 今年のテーマは「クラウド時代の情報セキュリティ監査の活用」。クラウド社会への流れと今後の情報セキュリティ監査について講演が行われた。

経済産業省 商務情報政策局 情報セキュリティ政策室
の佐藤明男氏。政府のクラウドに対する施策を示す
経済産業省 商務情報政策局 情報セキュリティ政策室 の佐藤明男氏。政府のクラウドに対する施策を示す
 経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 佐藤明男氏はクラウド時代における情報セキュリティ政策の方向性について講演した。

 佐藤氏は、政府が推進していくクラウド環境下における情報セキュリティの課題について説明。例えば、ユーザ側には「セキュリティ情報は理解が容易ではないと認識しつつ、安全であるという確証を得たい」という立場がある。その反面、ベンダー側には「新しい技術を低コストで迅速に使ってもらいたいため、できるだけ詳細な情報を提供したくない」といったジレンマがあるという。

 こうしたジレンマを解消し、クラウドの利用者と事業者双方が安心して利用するためにも、クラウド環境下で客観的に監査を行うことで安全性を確保することを意識した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の作成が急務となっている。
 同省では、2011年から2012年までを情報セキュリティに関するガイドラインの作成やクラウド技術の進展に関するデータセンターの利用指針の作成などにあてる計画だ。

 このガイドラインの具体的な内容としては、クラウド利用における情報セキュリティガバナンスやマネジメントについて、クラウドサービスの有効利用に向けて、クラウドサービス固有のリスクについて、などによって構成される予定だ。

 ガイドラインの基準通りにクラウド利用者と事業者の双方が実施しているかの判断は、情報セキュリティ監査制度に則って情報セキュリティ監査人が担うことになる。

 佐藤氏は「国際的に整合性のあるクラウドセキュリティ基準が示されているガイドラインはまだ存在していない。そのため、ガイドラインは諸外国に先駆けて提供されることになる」と話す。経済産業省ではこのことを念頭に置き、諸外国のクラウド事業者が海外でサービスを提供する際や、国内のクラウド事業者が海外でサービスを展開するときの共通の概念としてガイドラインが利用されることを想定して進めていく方針だ。
JASA事務局長の永宮直史氏はこれまでの
情報セキュリティ監査とクラウド時代に向けての
対応について講演
JASA事務局長の永宮直史氏はこれまでの
情報セキュリティ監査とクラウド時代に向けての
対応について講演
 JASA事務局長で公認情報セキュリティ主席監査人の永宮直史氏は、「クラウド時代を迎えて~情報セキュリティ監査のこれまでとこれから~」と題し講演した。

 永宮氏は、今後は情報セキュリティ監査も新たなクラウドの時代に対応することになると言及。ITの“所有”から“利用”になるという変化が起きれば、システムの管理についてもこれまでと考え方を変える必要があるという。

 例えば、クラウド事業者は、運用管理やバックアップといったシステム管理や、アクセス管理、情報管理まで全て行う。運用中も適切な情報をチェックし、クラウド利用者にインシデントが発生したら対応しなければならない。そこでクラウド事業者における情報セキュリティ管理やITガバナンスなどを監査する必要性が生じてくる。
 一方、クラウドは利用者が“必要なもの”を“必要なだけ”使うサービスだ。クラウド利用者にも責任が生じる。運用中は双方で適切な情報を発信・受信しなければならない。

 永宮氏はこうした状況において「お互いに役割分担をしているかどうかを誰かに見てもらう必要がある」と指摘。双方のやりとりのひとつひとつに監査が絡んでいないと「やった、やらない、言った、言わない」の責任を押し付けることになる。そうならないために第三者による監査の役割が情報セキュリティ監査人に求められる。

 このほかシンポジウム同日、同協会は記者発表会を開催し、韓国の知識情報セキュリティ産業協会*1特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)*2 とJASAの三者間で、日韓両国の情報セキュリティ事業を拡大するための相互協力に合意したことを発表した。
 これは、今後は企業の国際化が一層進展し、重要情報の海外への持ち出しが増えるため、海外における情報セキュリティの確保が必須となるという背景を踏まえたものだ。
会見に臨むKISIAの李得春氏(写真左)、
JASAの土井範久氏(同中央)、JNSAの大和敏彦氏(同右)
会見に臨むKISIAの李得春氏(写真左)、
JASAの土井範久氏(同中央)、JNSAの大和敏彦氏(同右)
 今回の合意ではJASA、KISIA、JNSAはお互いの人材や知識などを供出することを目的としており、
  1. 定期的また随時に情報交換を行い、交流ミー
      ティングを実施
  2. 各団体が主催するセミナー、シンポジウムの
      行事に参加
  3. 中国をはじめ、アジア諸国の情報セキュリティ
      関連団体との交流を促進
 以上の3つを進めていくこととした。発表では、これまで欧米主導だった情報セキュリティ対策を、今後はアジア主導で発展させていくことを強調した。

 提携会見で、KISIA会長 李得春(イ・トクチュン)氏は「これからは韓国国内のみならず、日本をはじめ海外の団体と緊密な協力体制をとりながら、グローバルな環境に対応していきたい。今回の覚書の締結で、我々に足りない部分をJASA、JNSAからご指導いただき、我々が協力できるところは惜しむことなく提供させていただく」とし、韓国と日本の情報セキュリティ産業の発展に貢献していく決意を述べた。

 今後の展開としては、2011年の1月20日に韓国ソウル市で第1回日韓セキュリティシンポジウムを行う。これは日韓情報セキュリティ産業の未来と両国協力の方策について話し合うものだ。3団体は、同シンポジウムについて200名の参加を目標としている。

 同シンポジウムではこれまでの情報セキュリティ監査をふりかえるだけでなく、クラウド社会における政府の取り組みや、クラウド環境下での情報セキュリティ監査について言及されており、非常に聴きごたえがあった。またJASAとKISIAとの提携も非常に興味深い。これからのJASAの動向にますます目が離せないと感じた。


※この講演とセキュリティプラットフォームは一切関係ありません。




注釈

*1:韓国知識情報セキュリティ産業協会(KISIA)
韓国の情報セキュリティ関連法制度に関する改善意見を関係機関に対して提案したり、韓国政府及び関係機関との共同課題研究などを行う。前身の団体は1997年、協会としては2009年に設立。

*2:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
ネットワーク社会の情報セキュリティレベルの維持・向上などを目的として2000年に設立された団体。ベンダーに対しては技術向上、利用者に対しては安全なインターネットや情報セキュリティの知識向上に関する情報提供などのサポートを行っている。




お問い合わせ

  コラムトップページへ▲