本コラムの2回目となる本稿では,NetSecで開催されたセミナーの内容から,情報セキュリティの最新動向を探りたい。
セミナーが中心となるNetSecだけあって,今年は3日間で103のセミナーが開催された。セミナーは11のトラックに分けられている。講演者は,コンサルタントや大学教授,ベンダー,ユーザー企業の実務者など様々。
各講演とも,会場で配られるアンケートによって満足度が評価され,人気のないセミナーは翌年以降は姿を消すことになる。これにより,NetSecのセミナーは一定の水準が保たれるようになっている。筆者が受講したセミナーにも“はずれ”がいくつかあった。それらが来年も開催される見込みは薄いだろう。
昨年盛況のSOX法関連セミナーが激減
今年のセミナーの特徴としてまず挙げられるのは,2005年は多数用意されていたSOX法関連のセミナーが,今年は2セッションしか開催されなかったことだ。
SOX法とは,企業の内部統制を義務化した法律である。正式名称は,「Public Company Accounting Reform and Investor Protection Act of 2002:上場企業会計改革および投資家保護法」だが,法案を提出したポール・サーベンス(Paul Sarbanes)上院議員,マイケル・G・オクスリー(Michael G.Oxley)下院議員の名前にちなんで,「サーベンス・オクスリー法」略してSOX法と呼ばれる。
SOX法は,日本では「企業改革法」と呼ばれ,日本版SOX法(JSOX法)が2008年度から施行される予定だ。このため,国内ではJSOX法をテーマにしたセミナーは“満員御礼”が続いているようだ。
日本でも関心の高いテーマであることから,筆者は昨年に引き続き同テーマのセミナーに参加した。だが,内容は昨年のセミナーとほとんど同じ。セミナーで語られるSOX法対応のポイントは,「オーディター(監査人)とよく話し合うこと」。それがすべてだという。企業内でSOX法対応にあたった担当者がその経験から語るのは,異口同音に「とにかく監査人の指示に従え」というものだ。
「迷ったら監査人に聞け」「分からないことがあれば監査人に聞け」「監査人の意見を聞け」「監査人と親しくなれ」---というのが,共通したアドバイスであった。結局のところ,「何をどこまでやればよいのか分からない」というのが実情で,セミナーに参加しても答えが得られないのがSOX法対応のようである。昨年のセミナーでそういった実態が明らかになったために,今年はSOX法関連のセミナー数が減ったのではないかと考える。
日本国内でも,同様の事態は十分に起こりうる。今は大にぎわいのJSOX法関連セミナーだが,徐々に熱が冷めていくことは間違いない。慌てて先走った対応をするよりも,まずはじっくり様子を見ながら対処したほうがよいだろう。
カード・セキュリティのセミナーが大盛況
SOX法に代わって今年最も関心が高かったテーマは,おそらく「Payment Card Industry Data Security Compliance Program(PCI DSS)」だったろう。通常のセミナーでは,50名ほどを収容できる会場に参加者が20~30名程度といったところだが,同テーマに関するセミナーだけは席が足りずに立ち見が出ていた。
PCI DSSとは,VISAやMASTERといった国際的なクレジット・カード会社がカード情報を取り扱う企業に求めるセキュリティ基準のこと。日本国内でも年内の展開が計画されている基準である。
昨年,クレジット・カード情報を取り扱う米CardSystems Solutions(本社:アリゾナ州)が4000万件以上の情報を漏洩して大きな問題となった。同様の漏洩事件が頻発すればクレジット・カード会社は信用を失い,死活問題に発展しかねないとの危惧がある。
そこでカード会社としては,自らのブランドを守るためにクレジット・カード情報を処理するすべての企業に,セキュリティ上の要求事項を遵守することを求めるようになった。基準はあくまでも関係者の自己責任を基本とした自主規制でしかないが,深刻な違反があって漏洩事故を起こしたような場合,罰金として最高50万ドル(約6000万円)の支払いを要求されたり,カード情報の処理を拒否されたりする可能性がある。このため関係企業では,真剣に対応を検討し始めた。
セミナー会場内では,「対応が大変だ」とする参加者同士のささやき合いが,あちらこちらで聞かれた。現在は自主規制であっても,近いうちに法規制に移行するのではないかとの大方の予想があるためだ。
日本でも産業構造審議会で取り上げられており,米国が法制化に踏み切れば当然,日本でも法制化される可能性は高い。PCI DSSはセキュリティに関する実装面での要求が具体的であることから,仮に自主規制であったとしても,関係者としてはいつ法制化されても対応できる実装を,今から意識しておく必要があるだろう。
次回は,NetSecの基調講演とパネルディスカッションで語られた米国企業が抱える課題について説明したい。リスク管理やセキュリティ教育の難しさは,どこの国でも同じようだ。
