【リスク対策】勉強会の様子

おはようございます。とてつもなく寒くてコンビニで足用ホッカイロを買ってしまいました…

さて、先日の業務ハック勉強会vol3・リスク対策勉強会の様子を振り返っていきたいと思います。

勉強会の振り返りを一言で表すと、まずは「業務フロー図」を書けるようになるところから。
これに尽きると思いました。

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

参加者層について

今回はワークショップ形式を取りたかったこともあり、招待制で行いました。自法人含め4法人11名参加いただき実施しました。
寄付管理業務に携わっている方が3名、その他情シス的な役割を担っている人やSTOなど普段の役割もバラけたため学びの深い勉強会になったと思います。

業務フロー図を書く

業務フロー図を書くときに、寄付管理業務に携わっている人を中心にホワイトボードに記載してもらい、そこに他のメンバーがコメントするというようなワークを行いました。

業務フローは必ず繋がる

この気づきが最も大きかったのではないでしょうか？自分がわかっていない範囲はどこなのか？それを参加者から指摘されることでブラッシュアップされていく様子が各グループで見られました。

ここでの学びが深そうだったこと、ここを中途半端にして先に進むのは難しいので、予定より倍の時間をかけて丁寧に進めていきました。

リスクを想定する

そもそもリスクって何？という話を説明し、ホワイトボードに個人情報に関するリスクを赤ペンでマークしてもらうことでリスクの洗い出しを行っていきました。

ここでもシステムを普段触ってる方がグループ内いることでシステムエラーや、攻撃者の思考などの意見を出していたりとグループワークの相乗効果が見られました。

リスク値を計算する

ワークのミスだったのがここで混乱させてしまったことです。
当日はIPAの資料を使わなかったことによって、リスク値が自動計算されないため、そこの説明に混乱を生じさせてしまいました。

リスク値は脅威と、脆弱性を掛け合わせればいいだけなのですが思った以上に時間を取ってしまったことは要反省です。

対策を考える

このあたりは時間が取れなかったので、とても駆け足で進めました。
IPAのシートを見てもらう形でサクッと終わらせました。

懇親会

時間も遅く高円寺という立地もあったため懇親会の参加人数は多くはありませんでしたが、とても良いFBをたくさんいただきました。

・業務フロー図を書くことがまず大事。
・リスク対策全体を一通りやれたのが良かった。
・参加者層が分かれていたのが良かった。
・もっとこういった勉強会を開いてボトムアップさせていたきたい。
・牽引する人たちの学ぶ場はどこにあるのか？（残課題）

また引き続きこういった勉強会を開いていってほしいという要望も受けFacebookグループをようやく作りました。（正確にいうと作ってもらいましたｗ）

岩澤 樹

ぜひ興味がある方はご参加ください。

今回の参考情報・書籍等

▼中小企業の情報セキュリティ対策ガイドライン
今回使った資料などが置かれています。とても使いやすい資料などでぜひ活用ください。

中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人 情報処理推進機構

▼ひとり情シス「セキュリティ寺」へ駆け込む！
リスクを想定するには、リスクの流行とよく出る言葉を知っておく必要があります。この書籍にわかりやすく記載されているので一読をお勧めします。

ひとり情シス「セキュリティ寺」へ駆け込む！

▼今回の勉強会の内容

情報セキュリティリスク対策勉強会｜岩澤　樹/NPO業務Hack｜note

※今回の様子を見て、マガジンをもう少しわかりやすく補足していこうと思います。また、ワークショップの依頼などは個別にご連絡ください。

こういう機会を通して、みなさまの業務ハックが成功し、NPO全体、社会全体がよりよくなることを願っています。

それではまたの勉強会で！