特定非営利活動法人日本システム監査人協会「支部・部会」（九州支部）

　九州支部　例会の内容 [２０１４年７月度月例会］（第２７６回）
■＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝■
　　特定非営利活動法人 日本システム監査人協会（SAAJ）九州支部
　　平成２６年度　７月度（第２７６回）議事録
■＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝■
■　開催概要
　 　日時：2014年 7月26日(土)13:00-17:00　　
　 　場所：西市民センター 視聴覚室
　　 参加：
　　　　小野 哲夫　下司 正雄　関 大吉　田坂 和彦*　田中 彰*
　　　　鶴岡 通　　平山 克己　舩津 宏　堀 正和　　 前田 弘幸
　　　　中溝 統明　（１１名）　
        *:ＩＳＡＣＡ福岡支部

　　 共催：システム監査学会九州地区研究会、ＩＳＡＣＡ福岡支部　
■＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝■
　　月例会アジェンダ
■＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝■

　■　ビデオ視聴（13:00-15:00)
　　・第１９２回月例研究会（2014年7月3日開催）
　　　「クラウドサービス利用のための
     　　 情報セキュリティマネジメントガイドライン
　　　　　　　　　　　　　　　　　の概要及び改訂について」
　■　報告（15:00～15:40)
　　・出席者近状報告

　■　討議（15:40～17:00)
　　・「ベネッセコーポレーション」から顧客情報が大量に流出　　　

　■　次回開催予定
　　・８月度月例会（第２７７回） :
　　　 2014/9/6(土)  13:00-17:00 西市民センター

■＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝■

■＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝■
  　月例会内容詳細
■＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝■    　

　■－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　■　ビデオ視聴
　■－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　第１９２回月例研究会（2014年7月3日開催）
　　演　題：「クラウドサービス利用のための
　　　　　　　情報セキュリティマネジメントガイドラインの概要及び
　　　　　　　　　　　　　　　　　　　　　　　　　　改訂について」
　　講　師：上坪　健治　氏
　　　　　　　　　経済産業省 商務情報政策局 
　　　　　　　　　情報セキュリティ政策室　室長補佐　
　　　　　　永宮　直史 氏
　　　　　　　　　特定非営利活動法人 
　　　　　　　　　日本セキュリティ監査協会（ＪＡＳＡ）事務局長　

　　要　旨（講演骨子）：
　　　　　　本年３月、経済産業省では「クラウドサービス利用のための
　　　　　　情報セキュリティマネジメントガイドライン」を改訂しました。
　　　　　　本ガイドラインは、JIS Q 27002:2006（ISO/IEC 27002)における
　　　　　　実施の手引をベースに、クラウドサービス利用における
　　　　　　情報セキュリティ管理の確立、導入、運用、監視、見直し、
　　　　　　維持及び改善のために必要な情報を提供するものです。
　　　　　　本講演では、本ガイドラインの趣旨と概要について中心に
　　　　　　解説するとともに、改訂によって生じた主要な変更点について
　　　　　　も紹介します。

  ■－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
  ■　討議
  ■－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（１）「ベネッセコーポレーション」から顧客情報が大量に流出

　　　皆さんから沢山意見が出ました。残念ながら時間内にまとめる
　　ことができませんでした。次回の討議も積極的にご発言ください。

　 - 「委託された外部の会社で派遣社員（ＳＥ）がＤＢから顧客
　　　 情報をダウンロードした」
　　　・何故システムとして防げないのか？
　　　・アクセス権限を持つ人は、本来はＤＢの運用保守を業務とす
　　　　るから、ＤＢへのアクセスは可能です。ですから不正を暴く
　　　　ためにシステムは証跡や牽制の目的でログを採取している。
　　　・また、ＵＳＢを利用しています。ＵＳＢはメモリもあります
　　　　が、キーボードやマウスもあります。バックアップなどの
　　　　作業でＵＳＢメモリを利用するから、ＤＢの運用保守で
　　　　ＵＳＢメモリを利用することは通常にあります。ただし、
　　　　ＵＳＢの接続を制限してる場合が多いです。
　　　・重要なデータにアクセスする場合はダブルチェックをしてる
　　　　ケースが多いが、今回はなかったと思えます。
　　　・利用したＵＳＢはスマホでＵＳＢメモリ接続を禁止制限する
　　　　機能が働かなかったようです。システムとして問題はあります。
　　　　しかし、システムが最新技術に対処するにはコストと時差が
　　　　生じます。セキュリティ対策をシステムだけに頼ることは
　　　　問題があります。
　 - 「システムのセキュリティーは、悪意のある人間が連動すれば、
　　　開けられる」
　　　・問題発覚直前まで複数回にわたって顧客情報をコピーできた
　　　　のは、通常業務として行えたと思えます。作業中の監視が
　　　　十分でなかったようだ。私物の持込み、アクセスログの分析
　　　　など金融機関では当然施行されているセキュリティ対策が
　　　　なされていない。
　　　・下請け業者の派遣社員ですから、システム運用会社にＳＥの
　　　　監督・管理責任があるけど果たせてなかったと思えます。
　　　　最近のＩＣＴ事件は下請け業者が起こしているので、セキュ
　　　　リティ対策を見直さなければなりません。
　 - 「名簿業者に自分から買い取りを持ちかけ、数百万円で売った」
　　　・顧客情報のコピーと転売を繰り返したらしいが、250万円ほど
　　　　で、名簿業者は重複するデータは買い取らないから、悪行は
　　　　儲からない。
　　　・ＤＢ作業者は年収700万円以上など条件を設けて、金銭的
　　　　問題からのセキュリティ犯罪を防止する方法も考えられます。
　　　・名簿業者は情報の出所を深く詮索しないようです。だから、
　　　　データから情報の出所が判れば、安易に転売できなくなるの
　　　　ではないか？暗号化も必要だが、データからオーナが判別で
　　　　きるようにすべきです。
　　　・不正競争防止法違反（営業秘密の複製・開示）の疑いだが、
　　　　名簿業者から買い取る企業は「収集制限の原則　(Collection 
        Limitation Principle)」を認識されてないことが腑に
　　　　落ちない
　　　・企業が名簿業者から入手したデータ全てを削除すると発表
　　　　したが、削除したことを確認できるのだろうか。事前の
　　　　データと重複したと言えば削除の対象外となるのだろうか
　 - 「センシティブ情報が漏れたわけではないから金券を配布する
　　　ことは検討していない」
　　　・クレジットカードや銀行口座の番号、病歴などのセンシテ
　　　　ィブ情報が流出してない場合、金券配布はいらないのでは
　　　　ないか。
　　　・配布した前例があるあら、風説など事故を鎮静化するため
　　　　には金銭的な補償など形にしなければならないでしょう。
　　　・５００～１千円とする例が多いようです。金融機関には
　　　　１万円ほどの例もあります。
　　　・金券配布はやめて、再発防止の研究基金として拠出される
　　　　ことが有意義で教育企業らしいいと思います。

　　以　上