実践的なセキュリティと監査の役割

■研究会報告

第214回月例研究会:講演録
【 実践的なセキュリティと監査の役割 】

会員番号 148 木村 裕一

【講師】内閣サイバーセキュリティセンター
基本戦略グループ(分析担当) 企画官 結城 則尚 氏

【日時・場所】2016年6月21日(火)18:30~20:30

【テーマ】 実践的なセキュリティと監査の役割

【要旨】
【講師自己紹介】
現在、内閣サイバーセキュリティセンター基本戦略グループ(分析担当企画官)。
地方公務員としてスタートののち、トラブルシューティング、審査機関の認定委員、原子力関連の検査などセキュリティに関して30年の経験を重ねてきた。

最初の監査は米国で経験し3年間苦労してプロセスアプローチを身に着けた。
プロセスアプローチのほうが要素型より効率が良いと考える。
セキュリティに問題がある職場は環境も良くないが、信頼性を高めることで良くなる。
不安全な職場は何か人間環境がおかしい。健全な職場に安全が宿ると認識している。

【講演概要】
 はじめに セキュリティ対策への取り組みについて
 結城氏は、セキュリティに関する上原哲太郎氏(立命館大学教授)の次のツイッターメッセージにうなずいたことから、話を始めた。

『セキュリティって全分野ひとりで出来るスーパーマンなんていないんだからどうやったってチーム戦。
いい選手集めるのは重要だけどそれ以上にいいコーチや監督がいないと勝てない。
他部門には常に疎まれる立場なのでオーナーがその価値を認めて支えてあげないと簡単にチーム全体の士気が下がる。

 セキュリティは組織全体で取り組む組織力が必要であり、組織を指揮して管理するマネジメントシステムが重要です。
 その組織に最適化されたマネジメントシステムを構築・維持し、適切なセルフアセスメント、内部監査、マネジメントレビューを実施し、改善に結び付けるサイクルを継続的に行っていくことが求められています。

 こうしたサイクルにおいて、客観的に組織内の課題を指摘する外部監査の活用は、とりわけ重要です。
 
 一方、システム認証をとることに専念して、マネジメントシステムが形骸化している例も多く見受けられます。
 
 監査は組織のパフォーマンスを向上させる重要なものと位置づけ、現場で見られる課題と方策を説明します。

続きを読む ⇒実践的なセキュリティと監査の役割

シェアする

  • このエントリーをはてなブックマークに追加

フォローする