システム監査 29 巻, 1 号

【研究論文】 大規模個人情報漏えい事故の特性を考慮した事業継続対策

筆者らはNPO日本ネットワークセキュリティ協会(以下JNSA)と情報セキュリティ大学院大学(以下IISEC)が協力して2011年から2014年まで実施したインシデント調査に参加し、個人情報漏えい事故の規模と頻度がべき乗則に従う事を発表した^{[1] [2]}。べき乗則に従う代表例には、地震の規模と頻度がある^[3]。地震では事象が起きたことを想定した対策が取られている。一方、情報漏えい事故の場合、情報漏えいの発生を防ぐための対策を充実させ漏えいリスクを受容できるレベルまで下げるという考え方が主流である。しかし、べき乗則で発生する情報漏えい事故に対しては事前対策のみでなく、事後対策を踏まえたBCP(Business Continuity Plan: 事業継続計画)の策定を行うべきである。

本稿では大規模個人情報漏えい事故の発生傾向を把握し、事業に与える影響分析の考え方、対策の必要性について分析を行い、BCPの策定とその作成ポイント、有効性評価に対する考察を実施した。

【研究ノート】 改訂情報セキュリティ規格の中小組織への有効活用

情報セキュリティ規格が改訂された機会を捉え、主要な改訂内容を確認し、改訂の背景と狙いを明らかにした。その結果、次の５つのポイントが重要であることが浮き彫りとなった。(1)組織の状況を把握し、課題を明確にする。(2)課題に対する目標をトップダウンで決定する。(3)目標に対するリスクと機会を決定する。(4)実業務のプロセスに管理策を組み込む。(5)管理策の有効性を評価し確認する。これらのポイントに着目した活用の方法を提案し、中小組織でも効果的なセキュリティ対策を講じることができることを示した。