« March 2006 | Main | May 2006 »

2006.04.30

総務省 「職場外のパソコンで仕事をする際のセキュリティガイドライン」の公表

 こんにちは、丸山満彦です。総務省から「職場外のパソコンで仕事をする際のセキュリティガイドライン」が公表されていますね。ルール、人、技術の三位一体のセキュリティ対策が重要ということのようです。

Continue reading "総務省 「職場外のパソコンで仕事をする際のセキュリティガイドライン」の公表"

| | Comments (4) | TrackBack (0)

2006.04.29

内閣官房 パブコメ 「セキュア・ジャパン2006」(案)

 こんにちは、丸山満彦です。2006.04.28に第5回情報セキュリティ政策会議が開催されました。そこで、2006.02.02に決定された第1次情報セキュリティ基本計画の目的を実現するための、2006年度におけるより具体的な施策のプログラムである「セキュア・ジャパン2006」の案についてパブリックコメントを実施することになったようですね。

Continue reading "内閣官房 パブコメ 「セキュア・ジャパン2006」(案)"

| | Comments (0) | TrackBack (0)

2006.04.28

統制環境に対する経営者の評価とその監査

 こんにちは、丸山満彦です。COSOの内部統制はCoCoの内部統制と違って、取締役会による経営者の監督という概念が統制環境を通じて内部統制に組み込まれています。内部統制部会の基準も同様ですね。そこで、気になるのが、経営者による経営者の評価、取締役会や監査役会による経営者の監督の評価をどのように経営者評価するのか、その経営者評価をどのように監査人は監査するのか・・・ということですね。

Continue reading "統制環境に対する経営者の評価とその監査"

| | Comments (0) | TrackBack (0)

2006.04.27

内部統制についての監査実施過程

 こんにちは、丸山満彦です。現在、導入が検討されている財務報告に係る内部統制の評価及び監査の制度においては、経営者が内部統制を評価し、それを監査人が監査することになっているわけですが、「財務報告に係る内部統制の評価及び監査の基準のあり方について(以下、「内部統制意見書」という)」においては、経営者の評価実施過程及び監査人の監査実施過程は次のように規定されています。

Continue reading "内部統制についての監査実施過程"

| | Comments (0) | TrackBack (0)

2006.04.26

カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

 こんにちは、丸山満彦です。このブログの
・2006.04.20 Management と Controlの違い
でCoCo No.1 Guidance on Control を紹介しましたが、そこによいことが書いているので、備忘録・・・

Continue reading "カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」"

| | Comments (3) | TrackBack (0)

RSA Conference Japan 2006 始まっています

 こんにちは、丸山満彦です。RSA Conference Japan 2006が本日から東京プリンスホテルパークタワーで始まっています。

Continue reading "RSA Conference Japan 2006 始まっています"

| | Comments (0) | TrackBack (0)

2006.04.25

米国 30年前のIT適用業務処理統制の項目

 こんにちは、丸山満彦です。今回は、1977年に発表された「The Auditor’s Study and Evaluation of Internal Control in EDP systems - The Computer Services Executive Committee - America Institute of Certified Public Accountants 1977」に書かれているIT適用業務処理統制の内容を紹介します。30年まですが、そのほとんどは現在でも非常に参考になると思います。
 日本語訳は、今回も
=====
コンピュータ環境下の内部統制監査 米国公認会計士協会 コンピュータ・サービス執行委員会
石原俊彦、林隆敏 訳
1994年 晃洋書房
=====
によっています。

Continue reading "米国 30年前のIT適用業務処理統制の項目"

| | Comments (0) | TrackBack (0)

2006.04.24

米国 30年前のIT全般統制の項目

 こんにちは、丸山満彦です。以前、米国では30年前からコンピュータ全般統制と業務処理統制という言葉が使われていたという話を載せたことがあります。今回は、1977年に発表された「The Auditor’s Study and Evaluation of Internal Control in EDP systems - The Computer Services Executive Committee - America Institute of Certified Public Accountants 1977」に書かれている全般統制の内容を紹介します。30年まですが、そのほとんどは現在でも非常に参考になると思います。
 日本語訳は、
=====
コンピュータ環境下の内部統制監査 米国公認会計士協会 コンピュータ・サービス執行委員会
石原俊彦、林隆敏 訳
1994年 晃洋書房
=====
によっています。石原先生は、私が会計士になった時に仕事を一緒にした先生です。現在は、行政評価の分野で活躍中ですが、当時は監査意見形成論の分野を中心に活躍されておられました。システム監査やCOSOについても石原先生からいろいろと教えていただきました・・・
  

Continue reading "米国 30年前のIT全般統制の項目"

| | Comments (0) | TrackBack (0)

2006.04.23

Winny におけるバッファオーバーフローの脆弱性

 こんにちは、丸山満彦です。これも少し古い話ですが・・・Winny におけるバッファオーバーフローの脆弱性があるそうです。

Continue reading "Winny におけるバッファオーバーフローの脆弱性"

| | Comments (0) | TrackBack (0)

警察も私物パソコン廃止

 こんにちは、丸山満彦です。少し古い話ですが、警察も私物PCを廃止するという話です。

Continue reading "警察も私物パソコン廃止"

| | Comments (2) | TrackBack (0)

2006.04.22

内部統制監査の監査意見 日米比較

 こんにちは、丸山満彦です。米国のSOXの内部統制監査は、会社の「内部統制の有効性」と会社の「内部統制の有効性評価プロセス」について意見を述べるのに対して、日本の内部統制監査は、会社の「内部統制の有効性評価プロセス」についてのみ意見を述べるという違いがありますね。

Continue reading "内部統制監査の監査意見 日米比較"

| | Comments (0) | TrackBack (0)

2006.04.21

ダイレクトレポーティング方式と言明方式で監査コストが異なるのか

 こんにちは、丸山満彦です。内部統制の監査について、日本ではダイレクトレポーティング方式を採用せず言明方式を採用するので監査コストが下がると説明されていますが・・・

Continue reading "ダイレクトレポーティング方式と言明方式で監査コストが異なるのか"

| | Comments (1) | TrackBack (0)

2006.04.20

Management と Controlの違い

 こんにちは、丸山満彦です。本日、managementとcontrolの違いについてちょっとだけ議論になったので、一つの考え方として、カナダの内部統制のガイダンスであるCoCo No.1 Guidance on Control での記載を紹介しておきます。というか、備忘録です。

Continue reading "Management と Controlの違い"

| | Comments (6) | TrackBack (0)

2006.04.19

住民基本台帳ネット 名古屋高裁の判決

 こんにちは、丸山満彦です。住民基本台帳ネットがプライバシー権を侵害しているかについての判決が名古屋高裁で出たようですね。

Continue reading "住民基本台帳ネット 名古屋高裁の判決"

| | Comments (0) | TrackBack (0)

米国が内部統制監査報告書においてダイレクトレポーティング方式を採用した理由

 こんにちは、丸山満彦です。所属している日本監査研究学会より、現代監査No.16が送付されてきたのですが、その中に興味深い論文がありました。「わが国における内部統制監査の課題 -井上善弘」です。財務報告に係る内部統制の監査において、日本における方法が「監査」の保証水準を達成できるのか・・・という点について検討をしています。

Continue reading "米国が内部統制監査報告書においてダイレクトレポーティング方式を採用した理由"

| | Comments (0) | TrackBack (1)

2006.04.18

政府Winny対策ソフト開発へ

 こんにちは、丸山満彦です。2006.04.17の日経新聞夕刊のトップに「機密情報 ウィニーから守れ 政府、対策ソフト開発へ 新種にも対応可能に 総合対策の柱に 産官学 来月チーム」という記事が出ていましたね。
=====
新しい対策ソフトを産官学で開発し2007年度から順次、全政府機関に配布する。個人用パソコンの業務使用制限など対策マニュアルの遵守状況を検査する制度を新設する。情報流出を未然に防ぐ体制の構築を急ぎ、民間企業にも取り組みを促していく。
=====

Continue reading "政府Winny対策ソフト開発へ"

| | Comments (7) | TrackBack (1)

2006.04.17

内閣官房NISC メールマガジン(NISC NEWS)登録受付開始

 こんにちは、丸山満彦です。内閣官房情報セキュリティセンターがメールマガジンを発行することになり、登録受付を開始していますね。

Continue reading "内閣官房NISC メールマガジン(NISC NEWS)登録受付開始"

| | Comments (4) | TrackBack (0)

2006.04.16

内閣官房IT担当室 電子政府推進管理室を新設

 こんにちは、丸山満彦です。内閣官房IT担当室に「電子政府推進管理室」が新設され、府省共通システムについて、最適化を推進していくことになりましたね。

Continue reading "内閣官房IT担当室 電子政府推進管理室を新設"

| | Comments (0) | TrackBack (0)

2006.04.15

日経アンケート ライブドア事件のような不祥事の再発を避けるには、誰が大きな役割を果たすべきだと考えますか

 こんにちは、丸山満彦です。日経ネットのマネー&マーケットで個人投資家にライブドアショックに関連したアンケートを実施したようです。
 いろいろと考えさせられます。

Continue reading "日経アンケート ライブドア事件のような不祥事の再発を避けるには、誰が大きな役割を果たすべきだと考えますか"

| | Comments (2) | TrackBack (0)

2006.04.14

防衛庁 防衛関連企業における情報セキュリティ確保について

 こんにちは、丸山満彦です。防衛庁より、「防衛関連企業における情報セキュリティ確保について」が公表されていました。

Continue reading "防衛庁 防衛関連企業における情報セキュリティ確保について"

| | Comments (0) | TrackBack (0)

書籍紹介 堀江正之著 IT保証の概念フレームワーク

 こんにちは、丸山満彦です。著者の堀江先生は、経済産業省の情報セキュリティ監査研究会の時の委員で、金融庁の企業会計審議会内部統制部会の臨時委員もされている方で、システム監査、セキュリティ監査について造詣が深いです。ということで、。システム監査人、情報セキュリティ監査人必読の書ですね・・・特に、(保証型)監査を考える上では・・・。

Continue reading "書籍紹介 堀江正之著 IT保証の概念フレームワーク"

| | Comments (4) | TrackBack (0)

2006.04.13

日本銀行 平成18年度の考査の実施方針等について

 こんにちは、丸山満彦です。日本銀行の考査(昨年度は160組織に考査)の実施方針が公表されていますね。

Continue reading "日本銀行 平成18年度の考査の実施方針等について"

| | Comments (0) | TrackBack (0)

バーゼル パブコメ 実効的な銀行監督のためのコアとなる諸原則」(バーゼル・コア・プリンシプル)

 こんにちは、丸山満彦です。バーゼル銀行監督委員会が「実効的な銀行監督のためのコアとなる諸原則」(バーゼル・コア・プリンシプル)及び「コア・プリンシプル・メソドロジー」の見直しに係る市中協議文書を公表していますね。パブコメを募集しています。締め切りは6月23日(ただし、英文)。

Continue reading "バーゼル パブコメ 実効的な銀行監督のためのコアとなる諸原則」(バーゼル・コア・プリンシプル)"

| | Comments (0) | TrackBack (0)

2006.04.12

防衛庁 秘密電子計算機情報流出等再発防止に係る抜本的対策の具体的措置について

 こんにちは、防衛庁が「秘密電子計算機情報流出等再発防止に係る抜本的対策の具体的措置について 」を発表していますね。

Continue reading "防衛庁 秘密電子計算機情報流出等再発防止に係る抜本的対策の具体的措置について"

| | Comments (0) | TrackBack (1)

東海道新幹線の新ATCにプログラムミス

 こんにちは、丸山満彦です。情報セキュリティというより、ソフトウェアの品質の問題だと思うのですが、気になったので・・・。というのも、東海道新幹線の利用が多いからです。3.18のダイア改正から新しいATC(列車自動制御装置)のプログラムで列車がより滑らかに運行できるようになったらしいのですが、新しいプログラムにミスがあったようですね。

Continue reading "東海道新幹線の新ATCにプログラムミス"

| | Comments (2) | TrackBack (0)

2006.04.11

JISQ15001とJISQ27001&27002の説明会

 こんにちは、丸山満彦です。財団法人日本規格協会で、JISQ15001とJISQ27001&27002の説明会が行われるようですね。ということは、それまでに、確定するということでしょうね。

Continue reading "JISQ15001とJISQ27001&27002の説明会"

| | Comments (2) | TrackBack (0)

2006.04.10

八田先生の本 これだけは知っておきたい内部統制の考え方と実務

 こんにちは、丸山満彦です。八田先生が「これだけは知っておきたい内部統制の考え方と実務」を読みました。わかりやすく書かれていますね。
 財務報告に係る内部統制の評価と監査の制度については、弁護士の方のブログなどで、監査役監査との関係がわかりづらいというコメントなどもあるようですね。八田先生の本では、この点について触れている部分があるので紹介します。

Continue reading "八田先生の本 これだけは知っておきたい内部統制の考え方と実務"

| | Comments (0) | TrackBack (0)

2006.04.09

デジタル製品のバグ頻発?

 こんにちは、丸山満彦です。2006.04.09の朝日新聞朝刊7面に「バグ頻発 デジタル製品」という記事がありました。デジタル家電などの内臓されている「組み込みソフト」にバグがあって、ソフトの修正などのコストかかるだけでなく、ブランドイメージにも打撃をあたえるので対応に追われているようですね。

Continue reading "デジタル製品のバグ頻発?"

| | Comments (6) | TrackBack (0)

日本新聞協会 個人情報保護法のヒアリングに対する意見書

 こんにちは、丸山満彦です。個人情報保護法の施行から約3年、全面施行約1年経過したわけですが、過剰反応に対する?いろいろな意見があるようですが、日本新聞協会が「個人情報保護法のヒアリングに対する意見書」を公表しましたね。

Continue reading "日本新聞協会 個人情報保護法のヒアリングに対する意見書"

| | Comments (0) | TrackBack (0)

あおぞら銀行 安全性でマックに端末を変更

 こんにちは、丸山満彦です。情報セキュリティを理由に端末をWindowsからマックに変更する銀行は始めて聞いたような気がします。今のところコンピュータウイルスの感染、ウィニーの利用による情報漏えいは少なくなるような気もしますが、マックにしただけで、どれほど安全になるかはよくわかりませんね・・・

Continue reading "あおぞら銀行 安全性でマックに端末を変更"

| | Comments (2) | TrackBack (0)

2006.04.08

地方はまだまだ情報セキュリティ意識が低い? 地方自治体の実情が調査

 こんにちは、丸山満彦です。摂南大学の島田教授が2005年6月30日から全国2440の都道府県、市町村を対象に、電子自治体の進展度を測るためのアンケート調査を行った結果、地方の自治体は都会の自治体に比べると情報セキュリティ対策が進んでいないという傾向があったようですね。

Continue reading "地方はまだまだ情報セキュリティ意識が低い? 地方自治体の実情が調査"

| | Comments (0) | TrackBack (0)

2006.04.07

財務報告に係る内部統制と情報セキュリティの関係はどうなるの

 こんにちは、丸山満彦です。今週は「情報セキュリティ関係が多くて、財務報告に係る内部統制の話が少ないですね・・・」といわれたりもしたのですが、気まぐれですから・・・ということですが、ちょっと気になる記事があったのでご紹介します。情報セキュリティ関係の人も財務報告に係る内部統制関係の人も必見?です。

Continue reading "財務報告に係る内部統制と情報セキュリティの関係はどうなるの"

| | Comments (0) | TrackBack (0)

公認会計士協会 「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」及び「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」を公表

 こんにちは、丸山満彦です。日本公認会計士協会から、「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」及び「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」が公表されたようですね。ながっ・・・

Continue reading "公認会計士協会 「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」及び「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」を公表"

| | Comments (0) | TrackBack (0)

金融商品取引法 テキスト

 こんにちは、丸山満彦です。「証券取引法等の一部を改正する法律案」と「証券取引法等の一部を改正する法律の施行に伴う関係法律の整備等に関する法律案」のテキストデータが衆議院のウェブページから入手できますね。UZENさん、情報ありがとうございます。

Continue reading "金融商品取引法 テキスト"

| | Comments (0) | TrackBack (0)

2006.04.06

総務省 電気通信事業における情報セキュリティマネジメント指針の公表

 こんにちは、丸山満彦です。下書きに残ったままでした・・・

 総務省が「電気通信事業における情報セキュリティマネジメント指針」を公表しましたね・・・。

Continue reading "総務省 電気通信事業における情報セキュリティマネジメント指針の公表"

| | Comments (4) | TrackBack (0)

総務省 「地方公共団体の情報セキュリティレベルの評価に係る制度の在り方に関する調査研究報告書」の公表

 こんにちは、丸山満彦です。総務省より「地方公共団体の情報セキュリティレベルの評価に係る制度の在り方に関する調査研究報告書」が公表されていますね。

Continue reading "総務省 「地方公共団体の情報セキュリティレベルの評価に係る制度の在り方に関する調査研究報告書」の公表"

| | Comments (0) | TrackBack (0)

2006.04.05

経済産業省 パブコメ 「情報システムの信頼性向上に関するガイドライン」

 こんにちは、丸山満彦です。経済産業省より、「情報システムの信頼性向上に関するガイドライン」(案)が公表され、パブリックコメントの募集が行われています。

Continue reading "経済産業省 パブコメ 「情報システムの信頼性向上に関するガイドライン」"

| | Comments (0) | TrackBack (0)

金融庁 金融機関のCSR事例集を公表

 こんにちは、丸山満彦です。金融庁が金融期間のCSR事例集を公表していますね。便利な使い方・・・というファイルも用意してくれていますが、各社の事例がのっているエクセル表があるのですが、ちょっと見づらいですね・・・

Continue reading "金融庁 金融機関のCSR事例集を公表"

| | Comments (0) | TrackBack (0)

2006.04.04

韓国 771万人の個人情報漏えい

 こんにちは、丸山満彦です。韓国の大手通信会社4社の顧客あわせて771万人分が昨年末にインターネットを経由して流出したようです。韓国の高速インターネットの利用者数全体の60%以上にあたるそうです。

Continue reading "韓国 771万人の個人情報漏えい"

| | Comments (0) | TrackBack (0)

2006.04.03

受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

 こんにちは、丸山満彦です。第10回コンピュータ犯罪に関する白浜シンポジウムの受付が開始されています。開催日は、平成18年5月25日(木)~27日(土)です。東京方面からの参加希望者は、予約とともに飛行機も押さえておいたほうがよいです。
 今年で10年目・・・。10回も続くというのは、すごいことだと思います。越後湯沢の弟版?も含めるとすごい回数。今年のテーマは、「これまでの10年、これからの10年」ですね。

Continue reading "受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム"

| | Comments (4) | TrackBack (0)

米国では、全般統制と業務処理統制は30年以上前から言われている

 こんにちは、丸山満彦です。昔の米国公認会計士協会の監査基準書(Statement on Auditing Standards。以下、SASと言います。)を読んでいます。1974年に発行されたSAS3号"Effects of EDP on Evaluation of Internal Control"にすでにGeneral controlsと、Application controlsの話があります。

Continue reading "米国では、全般統制と業務処理統制は30年以上前から言われている"

| | Comments (0) | TrackBack (0)

2006.04.02

JIPDEC プライバシーマークプライバシーマーク制度における欠格性の判断基準の設定と運用について

 こんにちは、丸山満彦です。JIPDECが運営しているプライバシーマーク制度。既に3500社以上が認定を受けています。情報漏えいをした企業は2年間認定できないというルールがあったのですが、情報漏えいの程度に応じて点数を計算し、場合によっては認定取り消しにならなかったり、認定審査もうけれるようになるようです。

Continue reading "JIPDEC プライバシーマークプライバシーマーク制度における欠格性の判断基準の設定と運用について"

| | Comments (0) | TrackBack (0)

2006.04.01

公認会計士協会 監査基準委員会等報告 新基準・基準改正・パブコメ

 こんにちは、丸山満彦です。毎年年度末は公認会計士協会の委員会報告の改正が多いのですが、今年度は
監査基準の改正もあり、その変更にあわせた改正が多いようです。
 パブコメもひとつあります。

Continue reading "公認会計士協会 監査基準委員会等報告 新基準・基準改正・パブコメ"

| | Comments (0) | TrackBack (0)

« March 2006 | Main | May 2006 »