情報セキュリティ報告書作成について

(1)

NISC 情報セキュリティ報告書専門委員会

情報セキュリティ報告書作成について

事例：富士ゼロックス株式会社

2009年5月22日

藤本正代

(2)

報告書作成メンバー間の共通理解～情報セキュリティガバナンスの考え方

情報セキュリティガバナンスの定義

(経済産業省資料より）

社会に対する責任にも配慮したうえで、コーポレート・ガバナンスとそれを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること。

社内で、情報セキュリティにどのような考えに基づいて取り組むか決めて実践すること

情報セキュリティの取組みのためのフレームワークを確立し、実践へと展開する

IT 社会を構成する一員としての企業の責務

(3)

報告書作成メンバー間の共通理解～目指す情報セキュリティ

情報セキュリティの視点

情報セキュリティガバナンスは、事業ビジョンと密接に結びついた戦略のもとに構築され実践されるものである。

オープン・オフィス・

フロンティア(OOF)

富士ゼロックスの事業ビジョン

事業ビジョンと情報セキュリティの関係

情報セキュリティが確保された安全なビジネス環境

例）組織の枠を超えて、コラボレーションしながらも、情報セキュリティ上の安全性が確保されている。

例）情報セキュリティが確保された新しい快適なワークスタイルが安心して選択できる。

目指す情報セキュリティ

情報セキュリティが確保された仕事（協業）の仕方

「オープンオフィスフロンティア」を推進する企業として、社会的責任を果たすために、

実施しなければならない情報セキュリティを自ら考え、実践するのが、

富士ゼロックスが目指す情報セキュリティ

•より自由に、よりフレキシブルに働ける場の実現

•より良いワークスタイルを支える発想と環境の創出

(4)

情報セキュリティガバナンスフレームワーク(戦略アプローチ)と主要注力テーマ

「富士ゼロックスが目指す情報セキュリティ」を実現するために

「富士ゼロックスが目指す情報セキュリティ」を実現するために｢｢ 44つの戦略アプローチつの戦略アプローチ｣｣とと｢｢主要注力テーマ主要注力テーマ｣｣を策定を策定

実現のための、フレームワークを構成する要素。

４つの戦略アプローチ

①全社の情報セキュリティ

②部門の情報セキュリティ

③提供商品の情報セキュリティ

④情報セキュリティ機能・商品の提供

重点的に取り組むべきテーマを設定したもの。

1996年4月～2006年3月

①情報セキュリティ文化の醸成と定着

②事業継続管理

2006年4月～200７年3月

①「内部の悪意」に対抗しうる情報セキュリティマネジメントの強化

②海外子会社における情報セキュリティマネジメントの強化

③基幹情報システムとデータセンターの対災害能力の強化

(5)

情報セキュリティのガバナンス体制[①と②]

全社課題と組織毎の個別リスクへの対応とを両立させるため、全社と部門のセキュリティの2層構造の体制。

研究・開発・生産国内営業海外営業関連会社本社

例

・お客様預かり情報

・分室等小規模拠点

・モバイル

・実践のショウケース化例

・事業所セキュリティ

・市場導入前製品情報

・生産に関連する情報

・研究開発情報

例

・国ごとの脅威への対応

例

・基幹業務システム

・事業継続管理

・委託先管理

z 基本戦略・方針・ルールの立案・策定

z 全社の重要な情報資産に対する統制活動 z 共通管理策の実施

z 監視・監査活動 z 事故管理

z 教育・啓発活動

全社共通の情報セキュリティ部門の情報セキュリティ

・各会社の事業特徴に応じたセキュリティ

(6)

商品・サービスの情報セキュリティ[③]

開発プロセスの各フェーズにおける主要活動項目を網羅した「セキュア開発プロセスガイドライン」を策定。

企画～設計／開発、生産準備に至る一連の商品開発プロセスの一部として、セキュアな開発プロセスを位置付けている。

商品企画・製品企画設計・開発生産

営業準備

生産営業

要求仕様検討

開発計画検討

基本仕様検討

機能仕様検討

詳細設計・コーディング保守対応

開発プロセスセキュア開発プロセス

セキュリティ

要件検討脅威

分析

対応方針検討脆弱性評

価(攻撃)

セキュリティ設

計レビューセキュリティコードレビュー

テスト

脆弱性分析

マニュアル等レビュー

脆弱性情報収集

セキュリティメンテナンス対応方針検討

市場導入開始商品開発開始

(7)

情報セキュリティ機能・商品の提供[④]

富士ゼロックスが推進する「オープンオフィスフロンティア」を支える情報セキュリティ

＋＋

(8)

報告書の目次

① 基礎情報

② 経営者の情報セキュリティに関する考え方

③ 情報セキュリティガバナンス

④ 情報セキュリティ対策の計画、目標

⑤ 情報セキュリティ対策の実績、評価

⑥ 情報セキュリティに係わる主要注力テーマ

⑦ 第三者評価・認証経産省モデル

経産省モデル

① 基本情報

② 経営者の情報セキュリティに関する考え方

③ 情報セキュリティガバナンス

④ 全社の情報セキュリティ

⑤ 部門の情報セキュリティ

⑥ 提供商品の情報セキュリティ

⑦ 情報セキュリティ機能・商品の提供

⑧ 情報セキュリティ事故の管理

⑨ 第三者評価・認証富士ゼロックス版

富士ゼロックス版

（経産省モデルにほぼ準拠+富士ゼロックスユニーク）

●これまで（前年度）実施したこと

計画・目標⇒実績・評価

●これから実施すること計画・目標

•体制

•会議体

•重要なリスク

•戦略(フレームワークの説明)

•主要注力テーマ

•事故の報告

•事故からの学習

(9)

情報セキュリティガバナンス構築～報告書公開の流れ

情報セキュリティガバナンス構築プロセス

準備：

経営層の意向確認/ メンバー間の共通理解

準備：

経営層の意向確認/ メンバー間の共通理解

現状理解：

現場の取組み状況調査現状理解：

現場の取組み状況調査

ﾌﾚｰﾑﾜｰｸ構築：

基本方針とｱﾌﾟﾛｰﾁ策定ﾌﾚｰﾑﾜｰｸ構築：

基本方針とｱﾌﾟﾛｰﾁ策定

体制構築：

所管部門の設置体制構築：

所管部門の設置

実装計画策定と実行：

アクション項目・

計画・目標の設定実装計画策定と実行：

アクション項目・

計画・目標の設定

報告書作成・

公開報告書作成・

公開ステークホルダー

への情報開示

現場の取組みについてのヒアリング

↓

手間と時間がかかった (上手くできていないと思っているので話したがらないが、よく聞いてみると結構工夫している）。

現状からかけ離れた取組みを設定しないために必須。

会議体

⇒リスク＆エシックス会議

⇒下部機関：全社情報セキュリティ連絡会マネジメント体制

⇒情報セキュリティ部新設（構築時点）

所管部署の“位置”は結構難しい問題。

数値目標：

初年度は、それまで数値目標を意識して設定していなかったので、

記載しにくい取組みがあった。

継続的に取り組むことで進化*。

*次のスライドで説明

どこまで書くか？：

公開することによって、

(脆弱性が見えるなどして）リスクが増大するような記述は避けよう。

取り組んでいる事実をわかりやすく伝える。

特に、メンバー間で議論したこと

（苦労した点

）

(10)

目標・評価

実施すると決めたことが、きちんと実施されているかを把握できているか(ガバナビリティ度）

権限委譲と報告

全社の情報セキュリティ教育の受講率の報告

全社的な施策は、各部門へ展開の指示を出す。それを着実に実行していることを示す議事録などのエビデンスを出してもらうようにしている（組織単位で追いかけるものもある）。

部門の情報セキュリティ

各部門の活動については、連絡会において、期初に決めた内容について発表してもらい、期末にレビューしてもらう。

全社共通の施策

（エビデンス付きで徹底度を把握）

情報セキュリティ部

各部門の責任者

従業者

各部門の施策

（連絡会で発表）

(11)

目標・評価

対策が効果を上げているか（情報セキュリティ向上度）

インシデントの発生件数と内容を基軸

事故の発生件数を測定

事故件数の総件数、事故の種類、事故原因、当事者組織、再発防止策等を把握

ルールで決めていた予防策を取っておらず、かつ重要な情報資産が入っていたケースを分析し、重点的に減らす施策に力を入れている。

成熟度

IPAのベンチマーク等を参考に、オリジナルの自己評価指標を作り、 3年間全社一律でチェックしてきた。

悪さ加減のばらつきが見えていた時期から徐々に平準化してきた。

4年目にあたる昨年は、組織ごとの違いを見ることにした。

IPAホームページ

http://www.ipa.go.jp/security/benchmark/

benchmark-gaiyou.htmlより

(12)

情報セキュリティ報告書作成について

NISC 情報セキュリティ報告書専門委員会