こんにちは、丸山満彦です。人選が難航していた米国のサイバーセキュリティの責任者が最近きまったり、米国、韓国へのサイバー攻撃に日本のサーバーが利用されていた可能性があるという報道があったり、サイバー攻撃関係の話が相変わらずありますが。。。
サイバー防衛省が「サイバー空間防衛隊」11年度設置するようですね。。。
人数は60名程度、来年度の予算は約70億円ということのようです。
こういうことは、組織的に対応できないとだめでしょうね。。。
こんにちは、丸山満彦です。最近、国際財務報告基準(IFRS)の話がよく聞かれますよね。。。でも、今から書きたいことはIFRSの話ではありません。クラウドにも関係する委託関係の話です。。。特に、1対Nの委託関係。。。
でも、それがIFRSとも重なってくる話だと思っているんですよね。。。
こんにちは、丸山満彦です。JNSAが2009年のセキュリティ重大ニュースを発表していますね。。。ここでもクラウドが出てきていますね。。。
後は、個人情報の漏えいなどなど。。。
こんにちは、丸山満彦です。公認会計士協会が平成21年3月期の内部統制監査に関するアンケート調査結果を公表していますね。。。
読み込んで分析してからブログに書こうかと思っていましたが、どうも時間がとれそうもないので、とりあえず、備忘録的にのせておきます。。。
この実態調査のよいところは監査人に対して質問をしているところですよ。。。監査を受ける側と同じ質問をしたならば、どのような結果がでるのか興味深いですね。。。きっと、監査人と監査を受けた側ではギャップがあるのではないかなぁ・・・と思うんですよ。。。
普通の場合は、このギャップが苦情となりますよね。。。
こんにちは、丸山満彦です。法務省が「債権管理回収業分野における個人情報保護に関するガイドライン」の改正案に対する意見募集を始めていますね。。。
いわゆる経済産業省ベースの標準形式に焼き直しということですかね。。。
こんにちは、丸山満彦です。厚生労働省が「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」に対するコメントを募集していますね。。。
こんにちは、丸山満彦です。トーマツが世界の情報・メディア・通信業界を対象としたグローバルセキュリティ調査結果を発表していますね。。。
内部からの情報漏えいを気にしている企業というのは日本だけでなく、グローバルとしても気にしているようですね。。。最近は、ブログ、SNS、Twitterなどを使って情報発信が簡単にできるようになってきていますので、故意だけでなく、不注意(というか無意識?)に情報漏えいをしてしまっているケースも増えているのかもしれません。
技術情報、個人情報、営業秘密など重要な情報が漏えいすると経営にも影響がでますので、注意しなければなりませんが、この手の課題に対する解決というのは、技術的な対策のみならず、人的な対策、物理的な対策、組織的な対策を総合的に実施するところに難しさがあります。
それぞれの対策は100%の効果を発揮するわけではありませんから、さまざまな対策の重ね合わせ(多重防御)をして、効果的な対策とする必要がありますね。。。もちろん、費用対効果の問題もあります。
丸山としては、基本的には「技術的な対策」や「物理的な対策」を通じて、できる限り不注意による漏えいによる被害を少なくするのがよいと思っています。ただし、技術的な対策では対応できないような例外処理のような部分については、人的な対策を実施する必要があります。そして、これらの対策が総合力を発揮できるようにするための組織的な対策も重要となります。
さまざまな情報資産に対する統合的な情報セキュリティアーキテクチャーの設計が非常に重要となりますよね。。。
こんにちは、丸山満彦です。新日本有限責任監査法人に引き続き、有限責任監査法人トーマツ(9月決算)も財務情報を公開していおりますね。連結ベースではないので、グループ全体のイメージとは異なるだろうなぁという気もします。
どちらの開示がよりわかりやすいのか?とか、いろいろと比較することができますね。
簡単な財務分析の比較などをしてみました。もちろん、状況が異なるので、単純に数字を比較しても意味はないのでしょうけど、ふつうは開示されている数字以外から比較しようがないので、開示されている数字だけで単純に比較形式で並べてみました。。。
しかしPDFがコピーできないというのはユーザーフレンドリーではないですね。。。
■有限責任監査法人トーマツ
・2009.12.16 ステークホルダーの皆様へ ・・説明書類 (PDF 3,460 KB)
・・Tohmatsu Annual Review 2009 (PDF 835 KB)
■新日本有限責任監査法人
・2009.09.18 第10期 業務及び財産の状況に関する説明書類の公表に当たって ・・業務及び財産の状況に関する説明書類
【参考】このブログ
・2009.09.22 新日本有限責任監査法人の財務分析? ・
こんにちは、丸山満彦です。2010年のFISMAレポートの評価・測定についてコメントを求めていますね。。。「順守」状況から「改善」状況にシフトしていくようですね。
領域については
=====
System Inventory
Hardware Inventory
Software Inventory
Connections Inventory
Configuration Management
Integration of Security into SDLC
Remote Access Managment
Incident Management
Training
====
ですね。よくよんでおかないとね。。。
こんにちは、丸山満彦です。目新しいことではないのですが、経済産業省と総務省でクラウド関係の委員会が開催されていますよね。。。
ちょっとリンクしときますわ。。。
こんにちは、丸山満彦です。いわゆるクラウドコンピューティングサービスを提供しているアマゾンですが、そのセキュリティ関連情報のウェブページです。Amazon Web Services Overview of Security Processesという報告書もありますね。。。
セキュリティに関する取り組みの概要を示しています。「ちゃんとしているかも?」というある程度の安心感を得ることができるのでしょうけど、では「具体的にどのようなセキュリティとなっているのか?」ということが分からないので、自社のポリシーに適合しているのかどうかを確認するのは難しいように思います。
ただ、SAS70のType2の報告書を監査法人から受け取っているようですので、それを確認すれば、確認したい事項の一部がわかるのではないかと思います。
問題は、契約する前に見せてもらえるかでしょうね。。。
こんにちは、丸山満彦です。Cloud Security Alliance (CSA)がGuidance Identifying Key Practices for Secure Adoption of Cloud ComputingのVer2.1を公開していますね。。。
4月にVer1.0を公表していますので、早いバージョンアップです。。。そういう領域なんでしょうかね。。。
こんにちは、丸山満彦です。日本公認会計士協会が、「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」の公開草案について意見募集をしていますね。。。
公開草案では以下の5つの質問が追加されたようです。
=====
Q27:仕訳テストを実施する際にCAATを利用したほうがよいのは、どのような場合でしょうか。
Q28:企業が、新規にパッケージ・ソフトウェアを導入した場合、監査人はその計算処理の妥当性等について検証する必要がありますか。
Q29:システムから出力された延滞債権リスト、滞留在庫リストを利用する場合に留意すべき事項について教えてください。
Q30:「自動化された業務処理統制等」について、前年度からの変更がないことを確認する監査手続について教えてください。
Q31:システム開発や運用を外部委託している場合、受託会社から独立監査人の報告書が入手できないときのリスク評価手続はどのようにしたらよいでしょうか。
=====
こんにちは、丸山満彦です。2009.12.16にSecurity Day 2009が開催されたようですね。。。2009.12.14~15に開催されたデジタル・フォレンジック・コミュニティ2009にも出席できず、こちらにも出席できずなかなか情報のインプットができない状況です。。。
さて、Security Day 2009のプログラムは
1.「電子認証のあり方」これまでの10年と今後の方向性
2.セキュリティの可視化について
3.標準化の一里塚
だったようですね。。。
こんにちは、丸山満彦です。情報セキュリティ報告書について今まであまり取り上げていなかったのでちょっとまとめてみようと思いました。。。
公開している企業で見つけられたのは
■富士ゼロックス
●情報セキュリティ報告書
・2009年報告書 (PDF)
・2007年報告書 (PDF)
・2005年報告書 (PDF)
■キヤノンマーケティング
●企業倫理・コンプライアンス・情報セキュリティ
・2009年報告書 (PDF)
■リコー
●情報セキュリティ
・2008年
・・2008年報告書 (PDF)
・2007年
・・2007年報告書 (PDF)
・2006年
・・2006年報告書 (PDF)
■富士通
●情報セキュリティ
・情報セキュリティ報告書2009 (PDF)
■NTTデータ
●情報セキュリティ報告書
・情報セキュリティ報告書 (PDF)
こんにちは、丸山満彦です。いろいろな企業を回って、情報セキュリティの課題等を聞いているのですが、どの企業でも頭が痛いのが、ヒューマンエラーへの対応で、特に多いのが、
・ノートPC、書類等の紛失
・メールの誤送信
ですね。。。
とある企業でも同じだそうで、そのための対策ソフトを作ってしまったようです。。。まさにニーズから生まれた製品ですね。。。
●「メールの誤送信防止ツール」
http://www.ssl.fujitsu.com/release/2009/09/3.html
●「リモートからパソコン内のディスクを破壊するツール」
http://pr.fujitsu.com/jp/news/2009/08/24.html
こんにちは,丸山満彦です。オラクル北野さんのブログでしりましたが,ロスアンゼルス市がGoogle Appsの利用をするにあたり,要件を決めたようですね。。。
・データの保存は米国内に限定され
・バックグランドチェックを受けた米国民のみがアクセスを限定
することが必要なようですね。。。
こんにちは,丸山満彦です。バタバタバタバタっとしていてブログの更新ができていませんでしたが,気まぐれということで・・・
情報ネットワーク法学会にもいけず,本当にバタバタしております。。。
さて,すでに早耳の夏井先生はブログに載せていますが,左右両手の指紋を入れ替える整形手術をして不法入国していた中国人女性が摘発されたというニュースが今日の夕刊にのっておりました。。。
Recent Comments