IPAガイドラインの紹介
ふて寝するほど話したい。この番組は、システム開発25年の株式会社プラムザが、赤坂より開発現場の今と本音をざっくばらんに話していこうという番組になります。
進行は私、鴨志田と、代表の島田と、賑やかし役の辰巳です。よろしくお願いします。
今回のタイトルですが、IPAセキュリティガイドラインから学ぶ実行すべき7項目ということで、前回ですね、IPAのガイドラインのセキュリティの内容等をやったのですが、
その時に鴨志田をダウンロードしまして、一応読んでみたのですが、なかなかページ数もあって大変だなというのが、個人的には思っているところだったので、
今回それを読み合わせて進めていくというところなんですが、これ結構全部読んでいくとなると時間がかかるのではというふうに思っているのですが、島田さんいかがでしょうか。
これ、要約とかしていただけると大変助かるのですが。
そうですね。読んでいこうかなと思ったんですけど、これ多分第8回ぐらいまでいっちゃうと思うんですよね、これ読んでいくと。
なのでもうちょっと掻い摘んで説明して、しかも非常に関係ない人には関係ない話なので、この1回で掻い摘んで説明しようと思います。
ありがとうございます。実行すべき7項目というところもあって、分かりやすくもあるのかなと思いますので、島田さんにまとめていただけると大変助かりますというところで、ではお願いしてもよろしいでしょうか。
はい、そしたらですね、このIPAのですね、IPAってビールじゃないって前回も言ったんですけど、IPAセキュリティガイドラインとかで検索していただくとですね、URLはこれに書いてあるんですね、多分ね、Podcastのところにですね。
はい、そのはずです。
そちらからですね、ダウンロードしていただければですね、同じ資料が手元にあるのが入手できると思いますので、そちら見ていただくとですね、駐車企業の情報セキュリティ対策ガイドライン、第3.1版というのがあると思います。
でそちらですね、はじめの方は目次があってですね、はじめに言っても総論がですね、続いていくんですよね。
で基本的にですね、前回も言った通りですね、すべてのですね、事業者っていうのは個人情報とか使うんであればですね、それを適切に管理するっていうね、義務がありますよってことが書いています。
で、いろんな法律がですね、規定してますので、うちは関係ないとかっていうことなくですね、個人情報って例えば、従業員の情報も個人情報なんですよね。
お客さんの名刺の情報も個人情報ですし、だから多分ですね、この世の中にですね、個人情報を扱ってないっていう会社がないと思うんですよ。
なので管理する以上はですね、持ってる以上は何らかちゃんとセキュリティを考えなきゃいけませんよっていうお話が書いていますね。
で、4ページ目の方に行きますとですね、活用法っていうのが書いてまして、このガイドラインの素晴らしいところはですね、全部ですね、しっかり計画立ってやっていかないとダメだよっていうもんじゃなくてですね、各会社でできることだけとりあえず始めてみましょうみたいなそういうスタンスなんですよね。
情報セキュリティ対策の重要性
だから非常に敷居が低いですよね。前回の話ですね、いろんなソーシャルハッキングに遭っちゃったみたいな会社ありましたけども、ああいうことが起きる度にですね、ちょっとうちの会社見直したほうがいいんじゃないみたいな、そういうこと考えたらそこだけやっていくっていうのでもいいんですが、
それをやるときにこのガイドラインを見ながらどうやってやっていけばいいのかみたいなことをちょっと参考にしてみるとか、そういう使い方でいいと思うんですよね。
辞書的な使い方。
辞書的な、そうそうそう。
ここはあれですよね、具体的な内容というよりかは進め方的な問題。
そうそうそうなんですよ。これは先ほどですね、なんか問題があったときにですね、やっていこうっていうよりも、うちの会社もですね、そうそう本格的にやらなきゃいけないんじゃないかっていうことを考えた経営者の方が、そもそもどうやってやればいいんだろうみたいなことを考えたときにこれを見る、そういうようなイメージのことですね。
まずはできるところから始めていくんですけども、ステップ2ではですね、自分の会社ってどんな状況なのかなっていうのを分析してみるっていうことですよね。
ほら、ダイエットでも自分の体重まず測るじゃないですか、体脂肪率とか、それを測らずに運動を始めてもですね、うまくいってんのかどうかもわからないみたいになってしまいますんで、
まずしっかり分析して、どこに問題があるのか確認して、対策考えるみたいな、そういう手順を踏みましょうってことですね。
ステップ2は自社の分析をして、改善をしていくと。
これは非常に簡単な自己診断チェックシートみたいなのがあったりするのと、あとその前に情報セキュリティー5箇条みたいなのがあって、これも非常に簡単な話なんですよね。
こういうところからですね、少しずつ始めていくといいかなと。
いよいよちゃんとやろうというときはステップ3の方に入っていくような形ですけども、本格的に取り組むって話は今日はそこまで話できないかなと思っていまして、
ステップ2の部分の辺までのお話になると思いますね。
ではですね、先へ行きまして、6ページ目にですね、情報セキュリティ対策を怠ることで企業が公務員不利益っていうのがありまして、
いい加減な管理をしていてですね、個人情報とか漏れてしまってですね、いろいろと損害賠償を受けたりですね、
顧客からの信頼がなくなったりして、売上が減ったり、あるいは監督官庁からですね、業務停止命令を受けたりですね、
そういうこともあったり、従業員が離れて行ってしまったりとか、そういうことはありますから真面目にやりましょうねという話ですね。
その辺がいろいろと書かれていると。
そういう話がですね、7ページ目まで続いていますね。
8ページ目ですね、経営者が負う責任と、いろいろ事故が起きてですね、ある程度ちゃんと注意義務払ってやってればですね、問題ないんですけども、
これは明らかに完全に怠慢でしょうみたいなことになるとですね、いろんなですね、損害賠償もちろんとして、
あれもですね、罰金刑なんかもありますんで、そういうの怖いですよってことが、8ページ目、9ページ目に書いていると。
10ページ目まで続いてますね。
あと、経営者との話じゃないですけども、ステークホルダーと言いますか、利害関係者ですね、に対する責任もありますよ、取引先とかもですね、困るよって、
結構、うちの会社なんかもそうですけど、お客さんのデータとか預かってるとですね、うちのデータじゃないんですけど、漏えいしてしまうとですね、
お客さんの方がその先のお客さんからの信頼を失ってしまうということがあったりするので、えらい大事になりますよみたいなことですね。
いろんなところに飛び火していきますからね。
10ページ目ぐらいまではですね、そういった形で危ないですよっていうことをずっと言っているという構成になってますね。
経営者の役割
こちらのほうですね、非常にボリューム大きいので、興味があればですね、読んでいただければいいんですけども、そういうリスクがあるのはよく知ってるよっていうことでですね、
セキュリティの話を早く進めていきたいのであれば、この辺は飛ばしていただいて構わなくて。
12ページ目ですね、ここから経営者は何をやらなければいけないのかっていうのが始まってますが、認識するべき3原則っていうのが入ってますね。
1個目は原則1は情報セキュリティの対策は経営者のリーダーシップで進めるということですね。
これ島田さんも実際にやってますもんね、プラムザで毎年。
そうですね、もううちの会社もPマークやってるんで、それを誰がやっていくかというと、やっぱりトップがやっていかないとセキュリティってどうしてもつまんない話なんで、何の生産性もないですしね。
誰か一人に丸投げしてやらせてると、みんなついてこないってことになりますからね。
そうですね、僕もメールが届いてるんですけれども、開いてはいるものをまだ研修の動画見てないので、ちゃんとやらないといけないなっていうふうに思いました。
そうだよね、それがね、総務の人から届いてると、後回しにしようかと思うけども、社長が来てるとね、なかなか無視するわけにはいかないんで。
そうやって社長が自分の責任を全うしないで、一人の人に丸投げしてると、なかなか協力が得られなくて、その人だんだん孤立していって辞めてしまったりするんで、そういうことないようにですね、ちゃんと経営者主体でやっていきましょうってことですね。
鬼滅の刃の煉獄さんみたいな感じですね。俺は俺の責任。
いや、分からないですけど。
ちょっと見たけど、ピンとこかったけど。
委託先の情報セキュリティ
それとですね、原則2ですね、これは委託先の情報セキュリティ対策まで考慮するということで、会社ですね、一つの会社で完結したわけじゃなくて、業務の一部を外部に委託したりしてますよね。うちもいろんなパートナー使ってますよね。
最近、契約書をクライアントさんと締結するときも、その委託先の申請とかもしてくださいねみたいな、結構多い。
結構厳しくなってきましたよね。
やっぱりあれなんですね、Pマークの研修のときに、担当プログラマーさんがみたいな話になったんですね。
Pマークでは完全にですね、それはすべての委託先をピックアップして、どういう仕事を任せてるか、どういうリスクがあるのかみたいなことを全部ピックアップするんですよね。
それに対して対策を考えるみたいな、もちろん教育もやっていくみたいな、そういうことを求められてますんで、そういうことをこのIPAのガイドラインは言ってる形になりますね。
一生懸命、会社の方はですね、しっかり管理しても、委託先の方で、例えばですね、名刺の印刷業者とか、どんどんどんどんデータが漏れてたら、
信頼してたんですけど、その業者大丈夫だと思って信頼したら、その業者の方がですね、悪い会社ですね、リストを横流してるとかってことになると、漏れてっちゃうんで、
ちゃんと評価してですね、しっかりやってるのかどうか、ちゃんと資格とかね、その認証資格とか持ってるのかどうかとか、そういうチェックをしましょうねっていう、そういう話ですね。
なんかありましたね、ニュースで個人情報を闇市場に売っちゃって、大金を得たけれども捕まっちゃったみたいな。
ああ、そうですね。なんでまあ本当に今、いろんなリストが出回っちゃってて、リストの価格も下がってるらしいけども、それでも病人とかの情報とか、
介護の人の情報とか、そういうのは非常に価値が高いらしいんですよね。
治病分かればね、どの薬とか刺さりやすいとか分かりそうですもんね。
そうそうそう、色々困ってる人はね、非常にいいんですよね。
情報共有の重要性
そしては、ちょっと先行きますね。原則3ですね。関係者とは常に情報セキュリティに関するコミュニケーションを取ると。
これは当然のことですね。コミュニケーションよくやっていってですね、何か問題あったりしたらですね、すぐ連絡いただくとかですね、情報を共有してですね、
次の対策を取るとか、そういうことが大事ですよっていうようなことだと思います。
で、ここまで話してきましたけど、これちょっと7つの取り組みまでいかないですね。
時間が。
また次回に通行を伝えしていくって形になるんですかね。
そうですね。ちょっと時間配分がですね、難しい。これやっぱりちょっと無理がありますね。1日でやるっていうのは。
次回に回させていただきましょう。14ページからは。
我々ね、普段これまでほぼ台本なしでやってきてあって、今回は話す材料があるからこそ何か悩みと言いますかね。
そうですね。
今回は認識すべき3項目ということで、また次回、17項目のところをお伝えしていければという形になりますかね。
はい。
本日はいかがでしたでしょうか。楽しんでいただけましたらフォローや評価お願いします。
また、Xでも最新情報を随時発信していますのでよろしくお願いします。
システム開発に関するご相談がございましたら、公式ホームページからお気軽にお問い合わせください。
それではまた次回お会いしましょう。
ありがとうございました。