« November 2009 | Main | January 2010 »

2009.12.31

防衛省 「サイバー空間防衛隊」を2011年度設置? 

 こんにちは、丸山満彦です。人選が難航していた米国のサイバーセキュリティの責任者が最近きまったり、米国、韓国へのサイバー攻撃に日本のサーバーが利用されていた可能性があるという報道があったり、サイバー攻撃関係の話が相変わらずありますが。。。
 サイバー防衛省が「サイバー空間防衛隊」11年度設置するようですね。。。
 人数は60名程度、来年度の予算は約70億円ということのようです。
 こういうことは、組織的に対応できないとだめでしょうね。。。

Continue reading "防衛省 「サイバー空間防衛隊」を2011年度設置? "

| | Comments (1) | TrackBack (0)

2009.12.29

委託関係(クラウドを含む)が生じる場合の社会的問題解決法について。。。

 こんにちは、丸山満彦です。最近、国際財務報告基準(IFRS)の話がよく聞かれますよね。。。でも、今から書きたいことはIFRSの話ではありません。クラウドにも関係する委託関係の話です。。。特に、1対Nの委託関係。。。
でも、それがIFRSとも重なってくる話だと思っているんですよね。。。 

Continue reading "委託関係(クラウドを含む)が生じる場合の社会的問題解決法について。。。"

| | Comments (5) | TrackBack (0)

JNSA 2009セキュリティ十大ニュース発表

 こんにちは、丸山満彦です。JNSAが2009年のセキュリティ重大ニュースを発表していますね。。。ここでもクラウドが出てきていますね。。。
 後は、個人情報の漏えいなどなど。。。

Continue reading "JNSA 2009セキュリティ十大ニュース発表 "

| | Comments (0) | TrackBack (0)

2009.12.26

公認会計士協会 平成21年3月期の内部統制監査に関するアンケート調査結果

 こんにちは、丸山満彦です。公認会計士協会が平成21年3月期の内部統制監査に関するアンケート調査結果を公表していますね。。。
 読み込んで分析してからブログに書こうかと思っていましたが、どうも時間がとれそうもないので、とりあえず、備忘録的にのせておきます。。。

 この実態調査のよいところは監査人に対して質問をしているところですよ。。。監査を受ける側と同じ質問をしたならば、どのような結果がでるのか興味深いですね。。。きっと、監査人と監査を受けた側ではギャップがあるのではないかなぁ・・・と思うんですよ。。。
 普通の場合は、このギャップが苦情となりますよね。。。

Continue reading "公認会計士協会 平成21年3月期の内部統制監査に関するアンケート調査結果"

| | Comments (0) | TrackBack (0)

法務省 パブコメ 「債権管理回収業分野における個人情報保護に関するガイドライン」の改正案

 こんにちは、丸山満彦です。法務省が「債権管理回収業分野における個人情報保護に関するガイドライン」の改正案に対する意見募集を始めていますね。。。
 いわゆる経済産業省ベースの標準形式に焼き直しということですかね。。。

Continue reading "法務省 パブコメ 「債権管理回収業分野における個人情報保護に関するガイドライン」の改正案"

| | Comments (0) | TrackBack (0)

厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

 こんにちは、丸山満彦です。厚生労働省が「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」に対するコメントを募集していますね。。。

Continue reading "厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」"

| | Comments (0) | TrackBack (0)

2009.12.25

トーマツ 世界の情報・メディア・通信業界を対象としたグローバルセキュリティ調査結果

 こんにちは、丸山満彦です。トーマツが世界の情報・メディア・通信業界を対象としたグローバルセキュリティ調査結果を発表していますね。。。
 内部からの情報漏えいを気にしている企業というのは日本だけでなく、グローバルとしても気にしているようですね。。。最近は、ブログ、SNS、Twitterなどを使って情報発信が簡単にできるようになってきていますので、故意だけでなく、不注意(というか無意識?)に情報漏えいをしてしまっているケースも増えているのかもしれません。
 技術情報、個人情報、営業秘密など重要な情報が漏えいすると経営にも影響がでますので、注意しなければなりませんが、この手の課題に対する解決というのは、技術的な対策のみならず、人的な対策、物理的な対策、組織的な対策を総合的に実施するところに難しさがあります。
 それぞれの対策は100%の効果を発揮するわけではありませんから、さまざまな対策の重ね合わせ(多重防御)をして、効果的な対策とする必要がありますね。。。もちろん、費用対効果の問題もあります。
 丸山としては、基本的には「技術的な対策」や「物理的な対策」を通じて、できる限り不注意による漏えいによる被害を少なくするのがよいと思っています。ただし、技術的な対策では対応できないような例外処理のような部分については、人的な対策を実施する必要があります。そして、これらの対策が総合力を発揮できるようにするための組織的な対策も重要となります。

 さまざまな情報資産に対する統合的な情報セキュリティアーキテクチャーの設計が非常に重要となりますよね。。。

Continue reading "トーマツ 世界の情報・メディア・通信業界を対象としたグローバルセキュリティ調査結果"

| | Comments (3) | TrackBack (0)

有限責任監査法人トーマツの財務分析?

 こんにちは、丸山満彦です。新日本有限責任監査法人に引き続き、有限責任監査法人トーマツ(9月決算)も財務情報を公開していおりますね。連結ベースではないので、グループ全体のイメージとは異なるだろうなぁという気もします。
 どちらの開示がよりわかりやすいのか?とか、いろいろと比較することができますね。
 簡単な財務分析の比較などをしてみました。もちろん、状況が異なるので、単純に数字を比較しても意味はないのでしょうけど、ふつうは開示されている数字以外から比較しようがないので、開示されている数字だけで単純に比較形式で並べてみました。。。
 しかしPDFがコピーできないというのはユーザーフレンドリーではないですね。。。

■有限責任監査法人トーマツ
・2009.12.16 ステークホルダーの皆様へ
 ・・説明書類 (PDF 3,460 KB)
 ・・Tohmatsu Annual Review 2009 (PDF 835 KB)

■新日本有限責任監査法人
・2009.09.18 第10期 業務及び財産の状況に関する説明書類の公表に当たって
 ・・業務及び財産の状況に関する説明書類


【参考】このブログ
・2009.09.22 新日本有限責任監査法人の財務分析?

Continue reading "有限責任監査法人トーマツの財務分析?"

| | Comments (0) | TrackBack (0)

OMB Requesting Comments on Metrics for Annual FISMA Reporting by Federal Agencies

 こんにちは、丸山満彦です。2010年のFISMAレポートの評価・測定についてコメントを求めていますね。。。「順守」状況から「改善」状況にシフトしていくようですね。
 領域については
=====
System Inventory
Hardware Inventory
Software Inventory
Connections Inventory
Configuration Management
Integration of Security into SDLC
Remote Access Managment
Incident Management
Training
====
ですね。よくよんでおかないとね。。。

 

Continue reading "OMB Requesting Comments on Metrics for Annual FISMA Reporting by Federal Agencies"

| | Comments (0) | TrackBack (0)

経済産業省と総務省のクラウド関連の委員会

 こんにちは、丸山満彦です。目新しいことではないのですが、経済産業省と総務省でクラウド関係の委員会が開催されていますよね。。。
 ちょっとリンクしときますわ。。。

Continue reading "経済産業省と総務省のクラウド関連の委員会"

| | Comments (2) | TrackBack (0)

2009.12.24

Amazon Web Services(AWS)のセキュリティ関連情報(メモ)

 こんにちは、丸山満彦です。いわゆるクラウドコンピューティングサービスを提供しているアマゾンですが、そのセキュリティ関連情報のウェブページです。Amazon Web Services Overview of Security Processesという報告書もありますね。。。
 セキュリティに関する取り組みの概要を示しています。「ちゃんとしているかも?」というある程度の安心感を得ることができるのでしょうけど、では「具体的にどのようなセキュリティとなっているのか?」ということが分からないので、自社のポリシーに適合しているのかどうかを確認するのは難しいように思います。
 ただ、SAS70のType2の報告書を監査法人から受け取っているようですので、それを確認すれば、確認したい事項の一部がわかるのではないかと思います。
 問題は、契約する前に見せてもらえるかでしょうね。。。
 

Continue reading "Amazon Web Services(AWS)のセキュリティ関連情報(メモ)"

| | Comments (2) | TrackBack (0)

2009.12.20

Cloud Security Alliance Issues Version Two of Guidance Identifying Key Practices for Secure Adoption of Cloud Computing

 こんにちは、丸山満彦です。Cloud Security Alliance (CSA)がGuidance Identifying Key Practices for Secure Adoption of Cloud ComputingのVer2.1を公開していますね。。。
 4月にVer1.0を公表していますので、早いバージョンアップです。。。そういう領域なんでしょうかね。。。

Continue reading "Cloud Security Alliance Issues Version Two of Guidance Identifying Key Practices for Secure Adoption of Cloud Computing"

| | Comments (2) | TrackBack (0)

公認会計士協会 パブコメ 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」

 こんにちは、丸山満彦です。日本公認会計士協会が、「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」の公開草案について意見募集をしていますね。。。
 公開草案では以下の5つの質問が追加されたようです。
=====
Q27:仕訳テストを実施する際にCAATを利用したほうがよいのは、どのような場合でしょうか。
Q28:企業が、新規にパッケージ・ソフトウェアを導入した場合、監査人はその計算処理の妥当性等について検証する必要がありますか。
Q29:システムから出力された延滞債権リスト、滞留在庫リストを利用する場合に留意すべき事項について教えてください。
Q30:「自動化された業務処理統制等」について、前年度からの変更がないことを確認する監査手続について教えてください。
Q31:システム開発や運用を外部委託している場合、受託会社から独立監査人の報告書が入手できないときのリスク評価手続はどのようにしたらよいでしょうか。
=====

Continue reading "公認会計士協会 パブコメ 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」"

| | Comments (5) | TrackBack (0)

2009.12.19

Security Day 2009 国民ID時代の電子認証のあり方他

 こんにちは、丸山満彦です。2009.12.16にSecurity Day 2009が開催されたようですね。。。2009.12.14~15に開催されたデジタル・フォレンジック・コミュニティ2009にも出席できず、こちらにも出席できずなかなか情報のインプットができない状況です。。。
 さて、Security Day 2009のプログラム

1.「電子認証のあり方」これまでの10年と今後の方向性
2.セキュリティの可視化について
3.標準化の一里塚

だったようですね。。。

Continue reading "Security Day 2009 国民ID時代の電子認証のあり方他"

| | Comments (3) | TrackBack (0)

情報セキュリティ報告書

 こんにちは、丸山満彦です。情報セキュリティ報告書について今まであまり取り上げていなかったのでちょっとまとめてみようと思いました。。。
 公開している企業で見つけられたのは

■富士ゼロックス
情報セキュリティ報告書
 ・2009年報告書 (PDF)
 ・2007年報告書 (PDF)
 ・2005年報告書 (PDF)

■キヤノンマーケティング
企業倫理・コンプライアンス・情報セキュリティ
2009年報告書 (PDF)

■リコー
情報セキュリティ
2008年
 ・・2008年報告書 (PDF)
2007年
 ・・2007年報告書 (PDF)
2006年
 ・・2006年報告書 (PDF)

■富士通
情報セキュリティ
情報セキュリティ報告書2009 (PDF)

■NTTデータ
情報セキュリティ報告書
情報セキュリティ報告書 (PDF)

Continue reading "情報セキュリティ報告書"

| | Comments (0) | TrackBack (0)

2009.12.18

どの企業でも頭の痛いセキュリティ事故への対応ソフトの例

 こんにちは、丸山満彦です。いろいろな企業を回って、情報セキュリティの課題等を聞いているのですが、どの企業でも頭が痛いのが、ヒューマンエラーへの対応で、特に多いのが、
 ・ノートPC、書類等の紛失
 ・メールの誤送信
ですね。。。
 とある企業でも同じだそうで、そのための対策ソフトを作ってしまったようです。。。まさにニーズから生まれた製品ですね。。。

●「メールの誤送信防止ツール」
 http://www.ssl.fujitsu.com/release/2009/09/3.html
●「リモートからパソコン内のディスクを破壊するツール」
 http://pr.fujitsu.com/jp/news/2009/08/24.html

Continue reading "どの企業でも頭の痛いセキュリティ事故への対応ソフトの例"

| | Comments (4) | TrackBack (0)

2009.12.13

ロスアンゼルス市のクラウド利用要件?

 こんにちは,丸山満彦です。オラクル北野さんのブログでしりましたが,ロスアンゼルス市がGoogle Appsの利用をするにあたり,要件を決めたようですね。。。
・データの保存は米国内に限定され
・バックグランドチェックを受けた米国民のみがアクセスを限定
することが必要なようですね。。。

Continue reading "ロスアンゼルス市のクラウド利用要件?"

| | Comments (13) | TrackBack (0)

2009.12.07

手術で変えられた指紋はコンピュータではわからないが人間ならわかる?

 こんにちは,丸山満彦です。バタバタバタバタっとしていてブログの更新ができていませんでしたが,気まぐれということで・・・
 情報ネットワーク法学会にもいけず,本当にバタバタしております。。。
 さて,すでに早耳の夏井先生はブログに載せていますが,左右両手の指紋を入れ替える整形手術をして不法入国していた中国人女性が摘発されたというニュースが今日の夕刊にのっておりました。。。

Continue reading "手術で変えられた指紋はコンピュータではわからないが人間ならわかる?"

| | Comments (9) | TrackBack (0)

« November 2009 | Main | January 2010 »