株式会社AStar総合研究所宮城郁美萩原功 2015年6月5日システム

企業が最先端のＩＴを有効に機能させるた
めのトータルポリシーの体系化
- ＩＴリスクをITガバナンスにより未然に防止しうる組織構
造と各種ポリシー及び制御の体系 –
株式会社AＳｔａｒ総合研究所
宮城郁美萩原功
2015年6月5日
システム監査学会第29回研究大会
Copyright 2015 AStar Institute
１．IT進化の変遷とITガバナンス
１．１コンピューターの進化
出典：コンピュタの進化ＩＰＳＪコンピュタ博物館 http://museum.ipsj.or.jp
Copyright 2015 AStar Institute
１
１．２経営とＩＴ進化
出典：小暮仁 http://www.kogures.com
Copyright 2015 AStar Institute
2
１．３経営からみたＩＴと進化
出典：小暮仁 http://www.kogures.com
Copyright 2015 AStar Institute
3
１．４現在の企業を取り巻くシステム
Copyright 2015 AStar Institute
4
１．５クラウド概念と階層
出典：WIKI
Copyright 2015 AStar Institute
5
１．６クラウド活用と基幹業務連携
バックオフィスシステム
フロント業務システム
連携
基幹アプ
リケーッ
ション群
ばっく
基幹DB群
連携
SaaS
セールスフォース CRM
オラクルクラウド
PaaS
ﾏｲｸﾛｿﾌﾄ AZURE
Google App Engine
Amazon S3、 DynamoDB
IaaS
AmazonEC2
自社のサーバー群
Copyright 2015 AStar Institute
6
２、現状のガバナンス
２．１個人情報保護方針
出典：個人情報保護方針 Asｔar総合研究所HP http://institute.astarnet.jp
Copyright 2015 AStar Institute
7
２．２情報セキュリティポリシー
出典：セキュリティポリシー ASｔar総合研究所HP http://institute.astarnet.jp
Copyright 2015 AStar Institute
８
３．現状の課題
個人情報保護方針
セキュリティポリシー
個人情報保護方針は個人情
報保護委員会
セキュリティ管理については、
セキュリティ管理委員会
ソーシャルメディアへの対応
問題
ソーシャルネットワークサー
ビスの利用に関しては企業
内では敬遠されがち
Copyright 2015 AStar Institute
9
３．１新たなコミュニケーションの出現
SNS / social networking service
• ソーシャルネットワーキング・サービス
• SNS / social networking service
個人と個人のつながりを基盤
人間関係のネットワーク（ソーシャルネットワーク）をオンライン
上に構築して可視化し、友人／親類／知人といった現実社会
の既存の人間関係、信頼関係をベースに人的ネットワークを構
築するというコンセプト
六次の隔たり１
six degrees of separation
個人による発言や挙動が無制限かつ急速に拡散の要素がある
ためである。
出典：情報マネジメント用語事典 > ソーシャルネットワーキング・サービス
http://www.atmarkit.co.jp/aig/04biz/sns.html
Copyright 2015 AStar Institute
10
３．２その問題点
• ソーシャルネットワーキング・サービス
• SNS / social networking service
•
SNSはプライベートでは人間関係の再構築、ビジネスにお
いては人脈の構築、企業活動としては、広告媒体やコミュニ
ケーションツールとしての価値が評価されている。
• 一方で企業に与えるリスクは、ソーシャルハラスメント、社員
による失言、会社への誹謗中傷、炎上、なりすまし、位置情
報開示によるリスク、スパムアプリ問題、通信が暗号化され
ていない、ブランド毀損、情報漏えい、プライバシー、著作権
等の問題も潜在的に内包するのである。
情報マネジメント用語事典 > ソーシャルネットワーキング・サービス
http://www.atmarkit.co.jp/aig/04biz/sns.html
Copyright 2015 AStar Institute
11
３．３対策としてのソーシャルメディアポリシー
出典：ASｔar総合研究所
Copyright 2015 AStar Institute
12
４．対応策として
４．１トータルポリシーの体系
出典：ASｔar総合研究所
Copyright 2015 AStar Institute
13
４．２トータルガバナンスとコントロール組織
コーポレートガバナンス
監査委員会（定款）
ＩＴガバナンス
リスク管理委員会
内部統制委員会
リスクモニタリング
ＩＴ統制委員会
ＳＮＳモニタリング
イブ
セキュリティモニタリング
個人情報モニタリング
リスク監査
業務監査
セキュリティ監査
ＳＮＳ監査
個人情報監査
Copyright 2015 AStar Institute
出典：ASｔar総合研究所
14
5．結論トータルガバナンスの体系
コーポレートガバナンス
プライバシーガバナンス
評価、方向付け、モニタリング
リスクガバナンス
ＩＴガバナンス
セキュリティ
ガバナンス
整合、計画、組織化
プロジェクトガバナンス
構築、導入
運用
提供、サービス、サポート
出典：ASｔar総合研究所
レピュ
テーショ
ンガバ
ナンス
Copyright 2015 AStar Institute
モニタリング
評価
アセスメント
15
出典
• 出典：コンピュタの進化ＩＰＳＪコンピュタ博物館
http://museum.ipsj.or.jp
• 出典：小暮仁 http://www.kogures.com
• 個人情報保護方針：AStar総合研究所
• セキュリティポリシー：AStar総合研究所
• ソーシャルメディアポリシー：Facebook規約
• 六次の隔たり：情報セキュリティマネジメント用語辞典
• ソーシャルネットワークサービス：情報セキュリティマネジメント用語辞典
• 情報セキュリティと使用ルール：あさ出版
• ISACA 2014年ＣＧＥＩＴレビューマニュアル日本語翻訳版
翻訳者宮城郁美他
Copyright 2015 AStar Institute
16

Download Report