Embed Size (px)
Citation preview
WOODLAND GROUP
企業の経営リスクとしての情報セキュリティ
2006年9月28日
ウッドランド株式会社
安 延 申
Copyright by WOODLAND & Shin YASUNOBE 1
情報は、ビジネスの「武器」であり、「リスク」である
1. Amazon .com のサイトA) クリック履歴やWebアンケートの結果をもとに、個人の嗜好を踏まえてカスタマイズされたネット
ショップを構築。
B) 同様の手法は、今や殆どのネットショップや旅行サイトで利用されている。
2. ASKULを先駆とする(ネット)通販・配送ビジネス
A) CTI(Computer Telephony Integration)を活用してユーザー利便を向上
B) 顧客情報/顧客履歴の把握・活用がビジネスの鍵
C) これも、今やギフト業者、通販業者などでは常識。ある宅配酒販店に電話すると「○○様ですね?そろそろミネラルウォーターが切れる頃では?」と言われる・・。
3. 企業の基幹システムA) 上場企業の年度決算は、どんどん早期化。今や03月決算であれば、連休前後。
B) これは、「IT」なくしては、語れない。
1. 我々は、どれだけ「CRMが鍵」、「ダイレクトマーケティングで勝ち抜く」、「基幹ソリューションで勝ち抜く。」といったキャッチフレーズを聞いてきたか・・・・。
2. 他方、昨年から施行された個人情報保護法、08年度からも施行されると言われているJ-SOXは、こうした「一方通行の情報利用」の方向を変えようとしている・・。
Copyright by WOODLAND & Shin YASUNOBE 2
何が「流れ」を変えているのか?
1. 政府の政策A) 「情報セキュリティ対策」、「重要インフラ保護」は、IT政策の重
要な柱に
B) 住基ネット騒動、プライバシー法案 vs メディア規制論や相次ぐコンプライアンス問題によって想起された意識の高まり
C) 「不正アクセス防止法」→「個人情報保護法」・J-SOX法に至る一連の法制
2. 相次ぐ「インシデント」とITの連関A) 増加するウィルス被害
B) 相次ぐ情報流出事故/事件
C) 不正アクセスその他不正行為による被害の増加
D) 企業コンプライアンスが疑われるような事件の続発
Copyright by WOODLAND & Shin YASUNOBE 3
情報セキュリティ政策:制度のフレームワーク
刑法改正(電磁的記録毀棄罪等)(1988年)
不正アクセス防止法(1999年成立、2000年4月1日施行)
電子署名・認証法(2000年成立、2001年4月1日施行)
プロバイダー責任制限法(2001年成立、2002年5月27日施行)
住基ネット二次稼働開始(2002年8月)
個人情報保護法及び関連法案成立(2003年5月)
公的個人認証基盤稼働開始(2004年)
内閣に情報セキュリティ担当補佐官 (2004年6月)
e-文書法(2004年11月成立、2005年4月施行)
個人情報保護法及び関連法施行(2005年4月)
内閣に情報 セキュリティセンター(2005年4月)&情報セキュリティ政策会議(2005年5月)
金融庁「財務報告に係る内部統制の評価及び
監査の基準のあり方について」(2005年12月)
新会社法成立・一部施行(2006年5月)
金融商品取引法成立・一部施行(2006年6月)
J-SOXFramework
Copyright by WOODLAND & Shin YASUNOBE 4
重要インフラ関係省庁・金融庁 ・国土交通省・総務省 ・経済産業省
重要インフラ情報セキュリティ対策
情報セキュリティ関係省庁・警察庁 ・防衛庁
・総務省 ・経済産業省
政府機関の総合対策促進政府機関の事案対処支援
政府機関(各省庁)
情報セキュリティ政策:現在の組織と体制
情報セキュリティ政策に関する基本戦略の立案
内閣内閣IT戦略本部
情報セキュリティ政策会議委員長:官房長メンバー:関係閣僚
情報セキュリティセンター
センター長:官房副長官補(&官民専門家)
Copyright by WOODLAND & Shin YASUNOBE 5
原因があって結果がある-1(不正アクセス・サイバー攻撃)
2005年 3月 コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員が執行猶予3年(求刑・懲役8カ月)の判決を受けた。
世界13箇所(日本含む)に設置されたインターネットの基幹システムに同時攻撃。一部で一時的に機能が停止。
2002年10月
米国鉄道の信号システムにコンピュータウィルスが送り込まれ、ワシントン周辺3路線で列車停止/ダイヤ混乱が発生
2003年 8月
2005年 5月 カカクコム社が不正アクセスを受け、60台以上のサーバで構成する同社システムの一週間のサービス停止を余儀なくされ、システムをまるごと入れ替えた。
米国 Card Systems Solutions 社への不正アクセスにより、同社から、VISA,MASTERをはじめとする主要クレジット各社の情報が流出。(可能性としては4000万件)日本でも1億円を超える被害が発生。
2005年 6月
平成18年上半期、警察庁で観測したホームページに対するDoS攻撃の検知件数は約44,700 件となり、前期に比べ約32%増加した。
2006年 8月
Copyright by WOODLAND & Shin YASUNOBE 6
原因があって結果がある-2(個人情報流出)
YAHOO!BB 顧客情報 約 470万人分が外部に持ち出され、企業脅迫の材料に使われる。2005年にも再度発生
2004年2月
2005年3月
2004年 3月 通販大手「ジャパネットたかた」から150人の個人情報流出
千葉県のゴルフ場のセイフティボックスから情報搾取。銀行カードを偽造して金銭搾取。約150件、3億円。
2005年 1月
オリエンタルランドの顧客情報12万人流出。振り込め詐欺が発生。2005年 3月
米国 Card Systems Solutions 社の情報流出。(前掲)2005年 6月
8月初時点で、楽天に出店するオンラインショップの買い物客の情報が累計で3万6239件流出。うち、1万件超がクレジット情報を含む。
2006年 7月
富士ゼロックスシステムサービスのシステム開発外注先の元従業員が戸籍情報を持ち出し、同社を脅迫して逮捕。
2006年 9月
KDDI顧客情報を持ち出した派遣社員がこれを売渡そうとして逮捕。2006年 4月
Copyright by WOODLAND & Shin YASUNOBE 7
原因があって結果がある-3(内部統制問題)
2001年10月 エンロン不正経理事件発覚、その後ワールドコム、ゼロックスなどでも不正な経理が判明。
2002年 7月 SOX法制定 (Sarbanes-Oxley Act of 2002)
西武鉄道、アソシエントテクノロジー社の粉飾決算発覚2004年10月
メディアリンクスの粉飾決算発覚2004年11月
カネボウの粉飾決算発覚2005年 4月
ライブドアの粉飾決算発覚2006年 1月
カネボウの粉飾決算に関し、中央青山監査法人に2ケ月間の業務停止。中央青山は、9月から「みすず」、「あらた」に分裂して再出発
2006年 7月
Copyright by WOODLAND & Shin YASUNOBE 8
インシデントの影響額は?「インシデント」として把握される件数の急増(NPO日本ネットワークセキュリティ協会 : 2006年7月31日)
A) 新聞やインターネットニュースに公開された個人情報漏洩事件/事故の情報を整理し、被害額を推計
B) 事業者数2002 622003 572004 3662005 1032
C) 被害者数2002 41万8716人2003 155万4592人2004 1043万5061人2005 881万4735人
D) 損害賠償額推計/一件当たり賠償額(被害実現額ではない)2002 189億円 ・一件当たり 3.4億円2003 281億円 ・一件当たり 5.5億円2004 4667億円 ・一件当たり 13.9億円2005 7002億円 ・一件当たり 7.1億円
資料:JNSAセキュリティ被害調査WG (http://www.jnsa.org/result/2005/20060803_pol01/index.html )
純粋に「被害が増加」している部分も、もちろんあるが、情報セキュリティ・インシデントに対する「意識」が高まり、それが把握され、報道されるケースが増加したという面も大きい。
Copyright by WOODLAND & Shin YASUNOBE 9
インシデント → 対応と結果-1
1. 1999年、宇治市の住民基本台帳データ漏洩(アルバイト大学院生による犯行。22万人弱)。一人当たり1万5000円の損害賠償が認められる(ただし、実際に申し出たのは3名)。更に、宇治市は、全庁の情報システムをICカードとVPNを中核に構成するセキュリティの高いシステムへ・・。
2. SOFTBANK BB は、2004年の450万人超の個人情報漏洩に対し、500円/人の金券を配布。受領しない利用者への還付分に関しては、公益目的のために寄付すると発表(=20億円超。更に、ソフトバンクは、外注依存を改めるため、昨年度、4500人の新規採用を発表。ちなみに従来の社員は1500名程度)
3. 2004年の個人情報流出の件の後、ジャパネットたかたは、顧客情報流出の後、数ヶ月間TV、ラジオの通販事業を自粛
4. 2005年の千葉県のゴルフ場のセイフティボックスから情報搾取事件では、銀行カードを偽造して金銭搾取が発生。約150件、3億円。
5. 2005年のオリエンタルランドの顧客情報12万人流出事件では、300人に不振なDMが送付され、因果関係は不明であるが、2名が振り込め詐欺の被害に。
6. 2005年のカカクコムの不正アクセス&情報流出事件では、1週間のサービス停止、楽天は、各店舗のクレジットカード決済を「R-Card-Plus]に集約(コスト増大による出店の頭打ちが危惧される)
Copyright by WOODLAND & Shin YASUNOBE 10
インシデント → 対応と結果-2
1. 不正利用が判明した被害は「保護」せざるを得ない。
2. 情報流出の疑いのあるカードは「再発行」
3. 経済産業省の指導(2005年6月28日)
A) 早急に利用者に連絡を取り、カードの差し替えを実施すべし
B) ホームページ等による十分な情報提供
C) 徹底した情報セキュリティ対策の実行
セキュリティ監査の実施
情報セキュリティベンチマークを利用した自己監査の実施
ISMS取得の推奨
情報セキュリティ報告書の作成
セキュリティ認証済みIT製品の購入
など
2005年 Card System Solutions 社の情報流出ケース
これに、一体、どのくらいのコストがかかるのか???
Copyright by WOODLAND & Shin YASUNOBE 11
インシデント(?) → 対応と結果-3
1. 西武鉄道 → 銀行主導下で再建中
2. アソシエントテクノロジー→ 上場廃止、ウッドランド
子会社に
3. メディア・リンクス → 上場廃止
4. カネボウ → 上場廃止、産業再生機構下で
再生。各事業は、それぞれ
入札形式で売却
5. ライブドア → 上場廃止
YUSENの支援受けるも・・・
6. 中央青山監査法人 → 2006年7月から2ケ月業務停止。
結局、分裂。再出発。
Copyright by WOODLAND & Shin YASUNOBE 12
インシデント(?)ー対応と結果-4
金融庁 「財務報告に係る内部統制の評価及び監査の基準のあり方」
→結局、監査法人監査の「基準」となる。 :適用は2008年以降
「会社法」の改正→「新会社法」へ・・ :2006年5月成立
→経営者・取締役の責任が明確に
「金融商品取引法」(証券取引法の改正) :内部統制に関しては、
(2006年6月成立) 2008年以降
→基本は上場会社への規制
→開示情報の虚偽記載への罰則強化
→開示内容を詳細化(内部統制報告書の提出の義務化)
→四半期開示の義務づけ
いわゆる「J-SOX」フレームワークの整備
Copyright by WOODLAND & Shin YASUNOBE 13
「情報セキュリティや内部統制」が何故大変なのか?
上場企業にとって「大変」なのは、言うまでもない→多くの先行事例が「致命傷に至るケースもある」ことを示している→法律に基づく「内部統制評価報告書」の作成や外部監査人による監査
では、非上場企業は関係ないのか?→上場企業の「子会社」、「関連会社」の場合は、内部統制評価の対象となってしまう。
→個人情報保護法の時に「何が起きたか・・・・?」
個人情報保護法の時は・・・・?→多くの会社は、自分達は「個人情報取扱事業者」ではない・・・と考えていた。(実際、法律的には「個人情報取扱事業者」ではない)→ところが・・・
・親会社の方針・取引先である官公庁や金融機関、大手事業者からの要請・「世の中」の目
→結局、「個人情報取扱事業者並み」の措置を取る必要が・・・。
Copyright by WOODLAND & Shin YASUNOBE 14
経営リスクとしての情報セキュリティ-1
1. 個人情報保護法、大規模情報流出事件の発生などによる社会的awareness の高まり
A) 増加スパイラルの可能性
(何故、最近、「飲酒運転事故報道」がやたらと多いのか?)
→インシデントとメディアの相互増幅
B) しかし、「経営者」にとっては、「なるほど・・」で済まされる話ではない
2. 「自分の対策」だけで済まされない
A) 米国クレジットカード情報流出事件→日本のクレジット会社には対策を採ることは出来なかった。しかし、「コストは発生」。
B) Security Incident は「確率的に発生する」と考えた方がよい。
C) コストは、「経営リスクへの対応」として考えるべき(火災予防のようなもの)。
D) 問題は「火災」と違って、リスクの確率的費用化ができていないところ。
3. IT/セキュリティ・ベンダーも「狼少年」は止めるべき。
A) 経営者の「セキュリティ疲れ」
B) 内部統制でも似たような現象が・・・・
Copyright by WOODLAND & Shin YASUNOBE 15
経営リスクとしての情報セキュリティ-2
1. 個人情報保護も内部統制も、目的は、「当たり前と言えば当たり前」である
2. しかし、最近では、「どう、情報保護や内部統制を実現しているか?」が求められる(結果というよりもフレームワークとプロセスが問われる)ことになる。
A) 適切なルールの策定
B) ルールを実行・実現していくためのフレームワーク(体制)
C) 経営者による監督と把握
3. 経営層が「知らない」ことが責任逃れにならないためのスキーム
4. 企業としては、下手をすれば、膨大なペーパーワークと人件費が嵩むだけになりかねない。
A) 米国では「株式上場のコストが著しく上がった」との説あり。
B) 「欠陥の存在」そのものが一義的にいけない・・・というよりも、「欠陥が是正されず、放置される統制メカニズム」の方が、より悪い。
Copyright by WOODLAND & Shin YASUNOBE 16
個人情報保護法 内部統制監査強化
コンサル/教育市場が急拡大その後価格暴落
類似のコンサル・教育市場が形成されつつある(?)
P-マーク、ISMS 今のところ無(事後の監査報告)
ストレージ、データ・センター活用などによる情報管理
暗号技術などのセキュリティ製品・サービス
ログ保存、モニタリングなどの運用監視・運用支援
ERPをはじめとした、一定の「GovernanceRule」を内包した業務システム
ワークフローを活用した稟議(文書管理)や経費精算などの業務支援システム
アクセス制限やログ保存、データの保存など、システム面でのManagement 補強
記録性・網羅性・実在性
などが重視されるため情報
システムの重要性が増大
ルール策定等
お墨付き
実効性担保のための手段・システム
個人情報保護法と内部統制法制
Copyright by WOODLAND & Shin YASUNOBE 17
新たなCSRの時代:企業経営に何が求められるのか?
1. 先ず「知る」こと
A) どういう情報が、どこにあるのか?
B) 稟議・決済のシステムはどうなっているのか?
C) 自分の会社の業務システムやネットワークは、誰が責任を持ち、誰が運用しているのか?
J-SOXの体系下では「知りませんでした」は通用しない。
2. できるだけ、リスクを「定量化」することA) 損失の定量化(次第に、データは集積しており、
定量化が可能な状態になりつつある。)
B) 定量化されたリスクに対し、投資を決定する。(それ以上は「経営」の責任と言うしかない。
本当は「保険」ができれば、一番良いが、まだそこまでは来ていない。しかし、だからと言って放置するのは経営の怠慢
3. 「外出し」も一つのリスク管理何でもかんでも「抱え込む」ことが責任をとることではない。
4. IT/セキュリティ・ベンダーは「狼少年」をやめること
逆に言えば「言いなりにならない」こと?
Copyright by WOODLAND & Shin YASUNOBE 18
御静聴有り難うございました
ウッドランド・グループは、来年1月1日に、フューチャーシステムコンサルティング株式会社と合併し、より一層、お客様のニーズに即応しつつ、新たな成長と高みを目指します!!
