2009年度 情報セキュリティ 目標達成状況

2009年度は、7月にISO27001の維持審査を受審しました。審査の結果、マネジメントシステムの継続的改善・規格への適合性が認められました。観察事項については、改善の機会としてとらえ、取り組んでいます。

2009年度は、7月にJIS Q15001の更新審査を受審しました。審査の結果、マネジメントシステムの継続的改善・規格への適合性が認められました。指摘事項としては、事務局側で対応すべきものが主でした。事務局で検討し、対応を行ないました。

運用点検と委託先の監督の仕組みを記述した手順書を作り、運用するよう指摘がありました。

既存メールサーバーのスペック不足と老朽化による故障リスク回避のため、リプレイスを実施しました。作業は予定通り行なわれ、リプレイス後も正常に稼働しています。

既存公開用デモサーバーのスペック不足と老朽化による故障リスク回避のため、リプレイスを実施しました。作業は予定通り行なわれ、リプレイス後も正常に稼働しています。

OSのセキュリティホールを潰すべく、サーバーの定期アップデートを実施しています。セキュリティ維持のため、OSのアップデートは今後も継続して行なっていきます。

当社において、安全領域とは特定スタッフのみが入室を許可されたエリアのことを指します。本来であれば、その特性により安全領域の扉は閉じられているべきなのですが、効率とセキュリティのコンフリクトから、十分な施錠措置が行なわれているとは言い難い状況です。今後の策として、安全領域扉を物理的に開放したままにはできないようにするなどの対応を検討しています。

メール添付できない大容量のファイルを社外から安全に送受信できる環境を作るため、当社内でファイル交換のためのツールを開発しました。既に全社導入され、必要なときに利用できる体制が作られています。

内部統制で求められるシステム運用要件を満たすため、当社システム管理マニュアルの大幅な見直しを行ないました。主な修正要件は下記の3点です。

当社では2010年度からISO9001（品質）とISO27001（情報セキュリティ）を統合して運用していきます。品質を向上させるために規定された業務手順と、その業務手順の中に内在するセキュリティリスクを併せてとらえることで、両マネジメントシステムをスタッフによりシンプルに理解してもらうことを目的としています。

現在は、その手始めとしてマニュアルの統合を進めています。しかしながらマニュアルの数が多く、まだ完了していません。2010年度も引き続き対応を進めていきます。

基幹サーバーの管理マニュアルを作成することで、サーバー担当者不在時に代理の者でも対応可能な体制を作るために策定された目標です。当社では基幹サーバーに対して行なった変更は全て詳細な記録を残す運用になっているため、その記録を確認すれば大抵の事態に対応することができます。しかし、目標とした管理マニュアルの作成についてはほとんど手がつけられていません。2010年度は後述の「障害発生想定訓練」と「基幹サーバー復旧試験」の実施と併せてマニュアルの整備を行ないます。

ネットワークトラブルの発生を想定した訓練を実施する予定でしたが、2009年度は未実施に終わりました。

しかし、実際のネットワークトラブルが2009年度に発生したため、そのときの反省点を踏まえ、ネットワークトラブル発生時の対応フローの見直しが行なわれました。

2009年度は全基幹サーバーの障害発生想定訓練を行なう目標を立案しましたが、現場部門への影響を鑑みて、一部サーバーでのみ実施するに留まりました。2010年度は現場部門に影響を及ぼすことがなく、且つ実効性の高い復旧試験を基幹サーバー全台で実施することを目標としています。

全ての基幹サーバーでバックアップ又は冗長化の仕組みが実装されました。

当社では全スタッフを対象とした情報セキュリティ教育を毎年行なっています。2009年度は座学による講義と、理解度を確認するためのテストによる教育を行ないました。

2009年度は8通の啓蒙メールを送信しました。2010年度はよりシンプルで理解しやすい啓蒙メールであることを念頭におきつつ、送信数を増やしていきたいと思います。

当社では月次で社内全てのPCのインベントリ情報（ウイルス定義、OSアップデート、インストール済みアプリケーション）をレポートにまとめ、情報セキュリティ委員会で情報共有しています。2009年度はPC操作ログからデータマイニングした情報を当該レポートに新たに乗せ込む予定でしたが、膨大なログデータを解析する作業に時間がかかっており、かたちにはなってきましたが、まだ完成には時間を要するというステータスになっています。

個人情報の委託先評価の取り組みを、2009年度より新しく整備をしたマニュアルで運用開始しました。

2009年度の評価件数は22件です。個人情報を預けるに相応しい委託先の評価結果は、社内イントラへ反映し、社内公開をすることができました。

今後の課題としては、個人情報の委託判定結果により、現場が委託先を選定する条件と結びつけるなど更なる仕組みの見直しをしていきたいと考えています。

2009年度は管理体制の堅持と社内へのルール啓蒙に努めました。

最も注力をしたのが、審査でも指摘のあった運用面において個人のスキルに依存しない点検体制を強化したことです。新しく点検マニュアルを作成し、四半期ごとに網羅しつつ点検を確実に実施できたことが2009年度の成果だと感じています。今後は運用監査チェックシートを精査してより強固な点検を実施していきたいと考えています。

2009年度は11月に座学形式とテスト形式で実施しましたので、目標を達成できました。

昨年度までは、テストのみでの教育でしたが、今年度は座学も合わせて実施したため、スタッフからはより理解できたと好評でした。

社内啓蒙の具体策として、個人情報管理体制の浸透を図るようメールマガジンの配信を再開しました。2008年10月より配信を開始して、2009年度は5回読み切りで、取り扱う個人情報ルールのポイントが主な内容となりました。しかし、一時中断をしてしまい、目標を達成することができませんでしたが、現在も継続しています。

5カ月間で一巡したあと、再送することにより社内のスタッフがルールを反復学習することで社内のルール浸透を図っています。

2009年度当初には、社内啓蒙の一環として部門別研修を2010年2月に計画していましたが、実施できず未達成となりました。2010年度は個人情報を取り扱う部署に対し、実施スケジュールを組み込みます。