2023年度 第4回定例研究会

2024年01月22日開催

セミナーレポート

2023年度 第4回定例研究会は、工学院大学名誉教授 大木氏、NTTコミュニケーションズ間形氏、日本セキュリティ監査協会 永宮氏、株式会社ディアイティ 佐々木氏、日本マイクロソフト株式会社　久保田氏、PwC Japan有限責任監査法人 加藤（俊）氏の6名をお招きし「2024年度の情報セキュリティ監査の注力点～情報セキュリティ十大トレンドをもとに」をテーマに、パネルディスカッション形式でご講演を頂きました。

冒頭で大木氏より、講演会のベースであるJASAの情報セキュリティ10大トレンドの選考過程や、今回のレポートでは「生成AI」や「ランサムウェア」に関する項目が突出して関心が高いことについて説明をいただきました。
その後、パネルディスカッションのアジェンダとして、ビデオメッセージ、ディスカッション（Round1/Round2）の順に進めることが示されました。

ビデオメッセージ「サイバー攻撃、ランサムのトレンド」では、佐々木氏より、国家間の対立を背景とした戦略的・計画的な攻撃が増加している状況や、ランサムウェアが単純な身代金要求目的から分業化・ビジネス化し複雑化している状況と、監査においてはサイバーキルチェーンとインシデントレスポンスの視点が重要であることを解説いただきました。

Round1「2024年度の経営環境変化」では、はじめに間形氏より、「生成AI、重要インフラ」に関して、生成AIの悪用や誤用についての状況と、監査においては通常の脆弱性対策などに加え、学習データや学習したモデルについて利用範囲や関連法令に鑑み適切に利用していることを留意する必要があることを解説いただきました。また、重要インフラに関して、特定社会基盤事業者に求められるセキュリティ対策の内容と、監査においては供給者（委託先）との責任分界と、事業者自身のみならず供給者を含めたサプライチェーン全体に留意することが重要であることを解説いただきました。
次に加藤氏より、「人材流動化と営業秘密」に関して、人材の流動化や働き方の多様化によって、業種や役職に関わりなく内部不正による営業秘密等の持出が多数発生している状況と、監査においては技術的な対策に加え、人は弱いものという前提のもと人的な対策の実効性に留意することが重要であることを解説いただきました。
続いて永宮氏より、「ランサムウェア、人材育成」に関して、中小企業がランサムウェアのターゲットになりやすく、身代金要求から情報転売などにひろがる可能性がある状況と、各社において人材不足が実感されており、処遇や人材定義に課題がある可能性について解説いただきました。監査においてはITによる技術戦略、サイバーセキュリティリスク、社内体制に対する経営層の認識の十分性とサイバーセキュリティガバナンスの実態に留意することが重要であることを解説いただきました。
最後に久保田氏より、「クラウドのセキュリティ、脆弱性」に関して、クラウドの設定不備によるインシデントが多数発生しており、対応するための標準的なガイドラインやツールの提供が進む状況と、監査においてはそれらの標準的なリファレンスの活用状況に留意することが、多様な形態のクラウドのリスクを低減するために重要であることを解説いただきました。また、脆弱性管理体制に関して、監査においては機器類・ソフトウェアを一覧として管理し、最新の脆弱性情報を把握するとともに代替策を含めた対応が検討されている点に留意することが重要であることを解説いただきました。

Round2「2024年度監査の重点の考え方」では、特に強調したい監査ポイントとして、技術面、知財面、契約面などの関連知識、制約を踏まえた実効的なリスク対応の検討、経営層とのリスクコミュニケーションなどについて協議がなされました。また、監査人としてのスキルアップについての提言として、経営目線をもち経営層と対話すること、経営層と現場のリスク認識を理解し、それぞれが共有されていることに着目すること、新たな技術などを体験することなどについて協議がなされました。

当日の参加人数は159名です。
パネル終了後には受講者からのチャットによる質疑応答が活発に行われ、パネリストの方々よりすべての質問について丁寧にフォローいただきました。質疑応答の様子からも本テーマに関する受講者の皆様の関心の高さがうかがえるセミナーとなりました。

講演資料

講演資料は下記からダウンロードできます。（JASA会員／CAIS・QISEIA資格者のみ。ログインが必要です）