官民連携による「情報セキュリティ啓発活動」
こんにちは、丸山満彦です。経済産業省が、シマンテック、トレンドマイクロ、マカフィー、IPAと連携し、情報セキュリティ対策の強化に向けた活動を実施するようです。コンピュータウイルスへの感染、不正アクセス等の被害を未然に防ぎ、安心してITを利用するための意識及び知識の向上を目的としているようです。。。
緊急セミナーが3月9日にあるようです。。。
February 2010
2010.02.27
経済産業省 クラウドサービスを利用した「経済産業省アイディアボックスWEBサイト」
こんにちは、丸山満彦です。「経済産業省アイディアボックスWEBサイト」が2月16日?に開設されていますね。。。SaaSを利用しているようですね。。。
ソフトウェアはSugerCRMのコミュニティ版
運用を受託したのは一般社団法人「オープンビジネスソフトウェア協会」
データセンターは株式会社ハートビーツ
だそうです。。。
契約関係についても経済産業省のウェブページから開示されていますね。。。
2010.02.26
復活 まるちゃんブログ
こんにちは、丸山満彦です。まるちゃんの情報セキュリティ気まぐれ日記がみれない状況が続いており、皆様には大変ご迷惑をおかけいたしました。
「大丈夫?」、「どうなったの?」というようなたメールを社内外の人から多くいただきました。なかには、ご無沙汰をしている方からもメールをいただきました。 また、直接電話や、訪問先でこの件にふれてくれる方もいました。
こんなにたくさんの方が見てくれているのだなぁ、、、と感激いたしました。ありがとうございます。
仕事の都合で更新が頻繁には行えませんが、これからもよろしくお願いします。。。
さて、更新できなかった間は、
「緊急避難版 まるちゃんの情報セキュリティきまぐれ日記」に記事を載せていました。今回は2件あります。
折をみて、こちらのブログにもコピーしますが、しばらくは、このリンク先で確認してください。
・2010.02.26 クラウドコンピュータ まるちゃん vs まるちゃん
・2010.02.25 ニフティのまるちゃんのブログにアクセスできないようです。。。
2010.02.20
総務省 パブコメ 「地方公共団体におけるASP・SaaS導入活用ガイドライン(案)」
こんにちは、丸山満彦です。総務省が「地方公共団体におけるASP・SaaS導入活用ガイドライン(案)」に対して意見募集をしていますね。。。
=====
II. 本書の位置づけ
本書では、ASP・SaaSに関してこれまで発表されてきた指針などと整合性をとりながら、地方公共団体がASP・SaaSの利用にあたって留意すべきことを整理したものである。ASP・SaaSの利用にあたって特に重要であり、また、従来のシステム構築では行われることが十分でなかったSLAやSLMについては、詳細に紹介している。なお、本書の作成にあたっては、次節に挙げる既存の報告書などを参考とし、それらとの整合性の確保に留意した。
=====
ということらしいです。
2010.02.17
経済産業省 パブコメ 「営業秘密管理指針の再改訂(案)」
こんにちは、丸山満彦です。経済産業省が、「営業秘密管理指針の再改訂(案)」に対する意見を募集していますね。。。
再改訂の視点は次の3つだそうどす。
=====
(1)平成21年改正不正競争防止法における処罰対象行為の明確化
不正競争防止法の平成21年改正においては、正当な目的による行為を明文上処罰対象外としつつも、競争関係の有無にかかわらず、営業秘密を開示して不当な利益を得る目的や、単に保有者に損害を加える目的等により、持出禁止の資料を無断で持ち出したり、コピー禁止の資料を無断でコピーする等、営業秘密を領得した時点において刑事罰を科すこととしている。そこで、万が一にも従業者等に萎縮効果が生じ、改正法の趣旨に悖ることのないようにするため、営業秘密管理指針(改訂版)において、処罰対象となる行為類型等を具体的に明らかにすることとする。
(2)企業の実態を踏まえた合理性のある秘密管理方法の提示
現行の営業秘密管理指針においては、ややもすれば高度な管理水準を一律的に要求しているかのような印象を与えかねない等の指摘がなされていたことから、①不正競争防止法上の営業秘密としての法的保護を享受し得る管理水準と、②情報漏洩のリスクを最小化するための高度な管理水準とに分けて、それぞれ具体的な管理方法を提示するとともに、特に前者については、企業規模や組織形態、情報の性質等に応じた合理性のある秘密管理手法が実施されていれば足りるということを明確化する。
(3)中小企業等における管理体制の導入手順例や参照ツールの提示
現行の営業秘密管理指針においては、対象となる企業の規模等を区別することなく、一般的な管理水準を提示しているが、大企業と中小企業とでは、従業者数や、各従業者の業務分担による組織性、情報管理に係る可処分投下資金の額といった点で、営業秘密を取り巻く環境に大きな差異があり、合理性の認められる秘密管理方法も異なりうるものと考えられることから、①主に営業秘密を管理する体制を整備していない中小企業等を対象として、適切な管理体制を構築するための導入手順例を紹介するとともに、②チェックシートや各種契約書の作成例等の参照となるツールを提示することとする。
=====
総務省 パブコメ 「スマート・クラウド研究会中間取りまとめ(案)-スマート・クラウド戦略-」
こんにちは、丸山満彦です。バタバタしているので遅れがちどす。。。総務省が「スマート・クラウド研究会中間取りまとめ(案)-スマート・クラウド戦略-」に対する意見の募集をしていますね。。。
クラウドサービス普及に向けた基本三原則があります。
=====
4.クラウドサービスの普及に向けた基本三原則
クラウドサービスの普及を図る際には、あくまでクラウドサービスの持つ多様性を確保しつつ、利用者の視点に立ち、以下の基本原則の下で推進していくことが適当である。
➢原則1:先ずは多様なクラウドサービスの利活用を促進する。
クラウドサービスに関する環境整備を前提条件とするのではなく、先ずは多様なクラウドサービスの利活用(普及)を促進し、クラウドサービスに対する利用者のリテラシー(正しい理解と使いこなす能力)の向上を図ることを政策目的の最優先順位に置くことが適当である。
これを達成するためには、多様なユーザ群(例えば、一般世帯、中小企業等、公的機関)ごとにクラウドサービスの普及に向けた施策展開を検討することが必要である。このため、クラウドサービスに関する利用者の意向・意識を定期的に把握し、客観的なデータに基づき、所要の環境整備を並行して進めることが望ましい。
➢原則2:クラウド関連技術の開発は、利用者ニーズを踏まえて展開すると同時に、イノベーションを生み出すための戦略的な取り組みを推進する。
クラウド関連技術の開発は、あくまで利用者に使い勝手の良いサービス提供を実現するという観点から、利用者ニーズを踏まえて優先順位の高いものから展開するSLAの多様性ことを基本とする必要がある。同時に、国としての将来の技術戦略を構築し、我が国が真に強みを有しているクラウド関連技術を見極め、資源を集中的に投入する等の取り組みが求められる。
➢原則3:クラウドサービスの普及に向け、政府は、「環境整備」、「公的支援」、「調達主体」の3つの観点から公的役割を果たす。クラウドサービスの普及に向けて、政府は以下の公的役割を果たすことが求められる。
(a)クラウドサービスの普及支援のための環境整備 : 政府は、クラウドサービスの普及促進の支援とこれを阻む制度的要因の除去、利用者が安心・安全にクラウドサービスを利用することを可能とする環境整備、国際的なコンセンサス作り等の公的役割を果たすことが求められる。
(b)民間部門の研究開発等に対する公的支援 : 政府は、民間部門だけでは十分な展開が行えない基礎的な研究開発の支援、標準化等の推進、中小企業等によるクラウドサービスの開発支援などの公的役割を果たすとともに、クラウドサービスを活用した社会システム全体の効率化等、個別企業では対応が困難な技術開発の支援を行うことが適当である。
(c)クラウドサービスの調達 : 政府は、クラウドサービスを調達する公的主体として、自らが率先してクラウド基盤を構築するとともに、積極的に外部のクラウドサービスを調達することにより、業務の効率化、住民サービスの向上、関連技術のボトムアップ等を実現することが求められる。
=====
だそうです。。。
2010.02.13
内部統制の形骸化
こんにちは、丸山満彦です。2005.01.25 ISMSの形骸化ということを書いていますが、ISMSだけではなく、内部統制でも同じです。
そもそも内部統制は道具ですから、形骸化しようがないですね。初めから形骸です。。。
2010.02.11
最近の不祥事発表 多いですね。。。 (ソニー銀行、小糸工業、ローソンエンターメディア、日本ビクター)
こんにちは、丸山満彦です。最近立て続けに企業の不正事例が公表されておりますね。。。内部統制というのも所詮は人間がすることなので限界があるわけで、こういう問題は将来にわたってなくなることはないでしょうね。。。自分の周りでは起こってほしくないといつも思います。。。
普通の人間としては、こういう不祥事があってもえらそうなことは言えないですよね。。。
2010.02.09
2010.02.08
2010.02.07
2010.02.04
パブコメ デジタル・フォレンジック研究会 「証拠保全ガイドライン」
こんにちは、丸山満彦です。NPOデジタル・フォレンジック研究会が「証拠保全ガイドライン」について意見募集をしていますね。。。こういうのが今まで日本語ではあまりなかったのでよいですね。。。
でも、文章が箇条書きすぎるかなぁ。。。
あと、作業手順なのか、留意事項なのかがもう少しわかりやすくなっているとよいですなぁ。。。
っというようなことも意見募集すればよいのですね。。。2月19日までです。。。
あっ!文章をコピーできないじゃないですか・・・
2010.02.03
パブコメ 内閣官房 「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(案)
こんにちは、丸山満彦です。内閣官房が「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(案)についての意見募集を行っていますね。。。
目的は。。。
=====
本ガイドラインは、電子政府システムに対するセキュリティ確保策として「認証方式」の導入を検討するにあたり活用可能な対策基準を提供することを目的としている。本ガイドラインの主な規定範囲は、下記の3点である。
(1) オンライン手続に関わる脅威と、脅威から生じる「リスクの影響度」を導出する手法
(2) 上記の手法により導出されるリスクの影響度を踏まえ、オンライン手続に求められる認証方式の「保証レベル」を導出する手法
(3) 上記の手法により導出される認証方式の各保証レベルにて求められる「対策基準」
以上を活用することによって、オンライン手続における脅威に対するリスクの影響度を踏まえた合理的な認証方式の検討を可能とすること
=====
リスク評価手法の策定にあたっては、
・米国の「連邦政府機関向け電子認証にかかわるガイダンス(OMB M-04-04)」(英語原文)(翻訳)
・経済産業省の「電子政府認証ガイドライン検討報告書」
・米国の「IT システムのためのリスクマネジメントガイド(NIST Special Publication 800-30)」(英語原文)(翻訳)
を参考としているとのことです。。。
2010.02.02
総務省「スマート・クラウド研究会(第4回)議事要旨」を読んで。。。
こんにちは、丸山満彦です。夏井先生のブログでしりましたが、確かに先生のご指摘の通り、事実をきっちりと踏まえていない話、とんでもない話、ありますね。。。もちろん、話の流れというのもあって、その流れの一部を切り取っているので、前後の文脈まで踏まえて考えないと本当はいけないのかもしれませんが、あいにく「議事要旨」なので。。。
また、代理出席も多いですよね。。。この研究会の目的は「クラウド技術の発達を踏まえた様々な課題について包括的に検討するとともに、次世代のクラウド技術の方向性を明らかにすることとする」わけですが、専門家というものの代理出席はないわけでして、組織の代表ということで出席し、代表の代理なんでしょうかね。。。
Recent Comments