August 2009
2009.08.30
2009.08.28
Security, time after time 北野さんのブログ・・・
こんにちは、丸山満彦です。オラクルの北野さんもブログを始めたようですね。。。マイクロソフトのセキュリティーチームブログ(小野寺さんが多いようですが。。。)、Sunの下道さんのブログなど、参考になるブログが増えるとよいですね。。。
データベース・セキュリティをはじめセキュリティ関係では有名な方ですので、今後の展開を期待しております。。。
情報セキュリティblogのリンクとまるちゃんのアンテナにも入れておきました。。。
■Security, time after time
2009.08.26
SANS 20 Critical Security Controls - Version 2.1
こんにちは、丸山満彦です。米国政府のセキュリティの基準にNISTのSP800-53がありますが、それを実現するための重要な20のコントロールを示したもののようですね。。。
これを自動化するためのツールも募集している?ようですね。。。
J-SOXでもそうですが、コントロールの自動化は重要なポイントです。人間によるコントロールのほうが柔軟性があり、効果的なコントロールとなる場合も多いですが、人間のコントロールは、ITによる自動化されたコントロールと比べると
・ばらつきが大きい
・同じ作業をする場合に効率が悪い
というデメリットがあります。
業務の標準化を行い、その中コントロールを標準化し、標準化したコントロールを自動化していく。最後に人間によるコントロールで押えを行う。というのが、効果的なコントロールの基本設計といえますね。。。
さて、セキュリティの基本的な対策は、
・権限のある人のみが必要最低限の権限を行使できる
状況を作り出すことです。
そのためには、情報へのアクセス制御が重要となります。この点からセキュリティ対策を考えていけば自然と必要なセキュリティ対策が見えてくると思います。。。
2009.08.25
帝国データバンク 上場企業の会計監査人異動動向調査( 異動の3社に1社が三大法人から中小・個人に)
こんにちは、丸山満彦です。帝国データバンクが興味深い統計データを提供していますね。。。
■帝国データバンク
・2009.08.20 上場企業の会計監査人異動動向調査 一時監査人選任35社、前年の2.3倍 ~ 異動の3社に1社が三大法人から中小・個人に ~
●報告書
=====
今年に入って7月末までに監査人異動を発表した上場企業は199社で、前年同期(194社)に比べて5社(2.6%)増加した。このうち三大監査法人から中小監査法人や個人公認会計士に異動したのは71社(前年同期78社)だった。月別の異動社数では3月決算発表が集中する5月が最も多く、2009年は95社が異動している。
=====
2009.08.22
経済産業省 情報セキュリティガバナンス実態調査2008
こんにちは、丸山満彦です。花田先生のブログにいつも先をこされていますが・・・経済産業省が、「情報セキュリティガバナンス実態調査2008」を公表していますね。。。報告書の日付は2009年3月どす。。。
2009.08.21
総務省 「政府情報システムの整備の在り方に関する研究会」中間取りまとめ
こんにちは、丸山満彦です。ブログの下書きに残ったままでアップが遅れました。。。。
総務省が、「政府情報システムの整備の在り方に関する研究会」中間取りまとめを公表していますね。。。
セキュリティについても言及されていますね。。。
=====
(2) 担保すべき情報セキュリティレベル
個人情報、機密情報等の情報保護、各府省の業務継続性確保の観点から、政府共通プラットフォームにおいて担保すべき適切な情報セキュリティレベル、可用性レベル等を検討することが必要である。
今後、以下の各事項について検討を進めていくこととする。
○ 政府共通プラットフォームが保障すべき情報セキュリティレベル、可用性レベル、サービスレベル
○ 個人情報や機密情報を含む情報の改ざん、漏えい、不正アクセス等防止のためのハイレベルな対策、高い事業継続性が求められるシステムへの対応
○ バックアップセンターの必要性
=====
基本的には、セキュリティに関する要件については、NISCの政府統一基準で対応できるのだろうと思いますが。。。
経済産業省 マネジメントシステム規格認証制度の信頼性向上のための「アクションプラン(行動計画)」の公表~信頼性の高いISOマネジメントシステム規格認証制度を目指して~
こんにちは、丸山満彦です。花田先生のブログで知りました。。。
=====
我が国の認定機関、認証機関等からなる「MS(マネジメントシステム)信頼性ガイドライン対応委員会」が、マネジメントシステム規格認証制度の信頼性向上のための具体的な取組を「アクションプラン(行動計画)」として取りまとめましたので、これを公表いたします。
=====
ということのようです。。。
「認証機関としてやるべきことを適切におこなっていない」という議論と、「認証制度がよくないのでなんとかしよう」という二つの議論があると思うのですが、前者は「やるべきことをちゃんとやっていない認証機関」をどうするのか?という議論でしょうね。。。
2009.08.13
監査報酬の分布は超ロングテール
こんにちは、丸山満彦です。企業からみたら監査費用ですが、監査法人から見れば監査報酬ですね。。。監査法人の報酬(2008年3月期まで)を分析してみました。。。
概ね66%の企業の監査報酬は30百万円以下、概ね75%の企業の監査報酬は40百万円以下、概ね90%の企業の監査報酬は60百万円以下。。。
でも、監査報酬の額でいえば、全体の66%に達するためには監査報酬270百万円以下の、全体の75%に達するためには監査報酬989百万円以下の企業の、全体の90%に達するためには3449百万円以下の企業の監査報酬を合計する必要があります。。。
監査法人の収入を増加させるためにはどうすればいいのかなぁ・・・
そういえば、ロングテールなる言葉は死語ですかね。。。
日経新聞 企業の監査費用急増 「内部統制」義務化で
こんにちは、丸山満彦です。2009.08.12の日経夕刊によると、2009年3月期に主要上場企業297社が支払った監査報酬が前期に比べて32%増加したそうです。理由は、内部統制報告制度と四半期決算制度が始まったことが要因にありそうということです。。。先行して内部統制ルールを適用していたUSGAAP採用会社31社を除くと53%増だったということのようです。。。
ソニーが44.5憶円、三菱UFJ銀行が43.6憶円、三井住友FGが40.1億円、三井物産が、36.2憶円。三井住友FGは昨年に比べると5.3倍となっているようですが、これはNY上場への準備も含まれているのでしょうね。。。
それでもまだ、米国に比べると日本の監査報酬は少ないようですけどね。。。米国が高すぎるという考え方もありますが。。。
帝国データバンク 2009年の上場廃止企業、110社で過去最高ペース「経営破綻」による上場廃止が2008年から急増
帝国データバンクが上場廃止理由や上場廃止後の倒産企業の調査・分析を実施した結果を公表していますね。。。
創業者は上場によって有名になったり、お金持ちになったりしてよろこんでばかりはいられないわけで、それに伴う責任というものもついてくることをわすれてはだめなんでしょうね。。。
上場によって周りでもうけることができる人も、安易にそそのかして上場させてはいけないのでしょうね。。。
■帝国データバンク
・2009.08.10 2009年の上場廃止企業、110社で過去最高ペース「経営破綻」による上場廃止が2008年から急増 ~ 上場廃止後倒産も急増、2009年は既に5社 ~
●詳細
2005年から2009年(7月まで)の上場廃止数と、2009年7月末の上場企業数を参考に載せてみました。。。
東証 三菱UFJ証券株式会社に対する処分について
東証が三菱UFJ証券株式会社に対する処分を公表していますね。。。取引参加者規程第34条第1項第8号の規定に基づき処分(戒告)だそうです。。。
また、取引参加者規程第19条の規定に基づき、業務改善報告書の提出も請求したようですね。。。
業務改善報告書には以下の内容を含まないといけないようです。。。
① 情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること
② 大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
③ 今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
④ 例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること
・部門別のけん制機能の確保
・外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保
・不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への監理・けん制の強化
・不正行為の隠蔽の防止
⑤ 不正行為の未然防止に向けて、人事管理等のあり方を見直し、適切に実施すること
⑥ 上記③乃至⑤への対応状況を含めた同社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる充実を図ること
⑦ 上記①乃至⑥への対応状況について、顧客等への周知を図る観点から、その概要を公表すること
⑧ 個人データの安全管理のための実効性のある措置を確保すること
⑨ 個人データの安全管理を図るための従業者に対する監督を徹底すること
2009.08.12
内部統制関連の書籍
こんにちは、丸山満彦です。内部統制関連の本はもう売れないといわれながらも続々と発行されていることがわかりますね。。。アマゾンを使って調べてみました。。。2008年以降8月上旬までで21冊ですね。。。選び方次第というのもありますが・・・
2009.08.09
新型インフルエンザ対応の中央省庁業務継続ガイドライン?
こんにちは、丸山満彦です。2009.08.07付の読売新聞のニュースによると「強毒性の新型インフルエンザ流行に備え、各省庁が業務を継続するための計画策定の指針となる「中央省庁業務継続ガイドライン」(BCP)を公表した。」ということなんですが、みつかりません。。。
2009.08.08
JIPDEC ISO/IEC27000ファミリー
こんにちは、丸山満彦です。花田先生のブログでしりました。JIPDECがISO/IEC27000ファミリーの動向について公表していますね。。。
ISO/IEC27000:2009などISO化されたものは、まもなく翻訳版がでると思います。。。
2009.08.06
JIPDEC ITSMS適合性評価制度の概要
こんにちは、丸山満彦です。JIPDECが「ITSMS適合性評価制度の概要」を公表していました。。。ITSMSの認証取得数は2009年7月31日現在で88。2006年10月に制度が開始されて約3年。。。浸透はいまいちですね。。。ちなみにISMSは同じ期間で1330です。15分の1のスピード感でしょうか。そういえば、ISMSも最近は新規認証取得数が減っているようです。
2009.08.02
NRIセキュア 「~66%の問題は設計段階までに起因、求められる上流工程からの対策~」
こんにちは、丸山満彦です。NRIセキュアテクノロジー社が「Webサイトのセキュリティ診断結果の傾向分析レポート2009年版」を公開を公表していますね。。。
参考になりますね。。。
Recent Comments