資産分類（情報格付）とラベリングが課題！ ＜＝IPA 「情報セキュリティ対策ベンチマーク バージョン3.3」と「診断の基礎データの統計情報」を公開

　こんにちは、丸山満彦です。いろいろあってばたばたしております。。。IPAが「情報セキュリティ対策ベンチマーク バージョン3.3」と「診断の基礎データの統計情報」を公開していますね。。。
＝＝＝＝＝
資産分類（情報資産の分類やラベルづけ）は、取り組みにくい項目であるために、対策が進んでいないと考えられます。また、各年度を通じてスコアが最も低いのは、事業継続であり、資産分類や事業継続に課題があることがわかります。
＝＝＝＝＝
　というコメントがあります。

　実務感覚もその通りですね。。。資産分類（情報格付）とそのラベリングについては、
・技術的な対策で自動的にできない。（または、しにくい）
・ラベリングする人に手間に応じた動機付けをさせづらい
という問題があると思っています。。。

　改善のためには、ある程度の自動化が必要と感じています。著作権管理の仕組みなどを応用して格付情報の流通ができるようにできないものかと・・・考えてみたりはしていますが、開発が必要ですね。。。

Continue reading "資産分類（情報格付）とラベリングが課題！　＜＝IPA 「情報セキュリティ対策ベンチマーク バージョン3.3」と「診断の基礎データの統計情報」を公開"

RSAカンファレンス2010は9月9日と10日

　こんにちは、丸山満彦です。RSAカンファレンスの今年のテーマは、「クラウド時代のセキュリティ/テクノロジーとガバナンスを問う」。
　9月9日、10日＠グランドプリンスホテル赤坂。
今年のクラストラックは
＝＝＝＝＝
・セキュリティの政策と制度
・ネットワークセキュリティ/脅威と対策
・暗号技術の最新動向
・企業のガバナンスとリスクマネジメント
・開発者のための最新テクノロジー
・金融業界のセキュリティ対策
・クラウド・セキュリティ
・米国のベストセッション・トラック
＝＝＝＝＝
　金融業界のセキュリティ対策ということで、業界カットのトラックもある。三菱東京UFJ銀行、日本銀行、三井住友銀行、VISAの方の講演もあります。。。
　あとは、GRC関連のセッションもある。。。もちろん、定番の「暗号」、今年のテーマの「クラウド・セキュリティ」も。。。

Continue reading "RSAカンファレンス2010は9月9日と10日"

経済産業省 パブコメ クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)

　こんにちは、丸山満彦です。経済産業省が、「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)」に対する意見募集を行っていますね。。。

Continue reading "経済産業省 パブコメ クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)"

公認会計士の短答式試験の合格率は4.6%!!!

　こんにちは、丸山満彦です。公認会計士の短答式試験の合格率は4.6%だそうだ。。。

合格率の推移ってこうなるようです。

Continue reading "公認会計士の短答式試験の合格率は4.6%!!!"

JIPDEC ソフトウェア資産管理(SAM)に関する文書

　こんにちは、丸山満彦です。日本情報処理開発協会が「ソフトウェア資産管理(SAM)に関する文書」を公表していますね。。。

Continue reading "JIPDEC ソフトウェア資産管理(SAM)に関する文書"

内閣官房 IE6からのブラウザ移行に係る取組について

　こんにちは、丸山満彦です。内閣官房が、「IE6からのブラウザ移行に係る取組について」を公表していますね。。。
　IE6からIE8への移行を推進しているようですね。。。

Continue reading "内閣官房 IE6からのブラウザ移行に係る取組について"

内閣官房 パブコメ セキュア・ジャパン２０１０（仮称）

　こんにちは、丸山満彦です。内閣官房(NISC)が「セキュア・ジャパン２０１０（仮称）」についての意見募集をしていますね。。。

Continue reading "内閣官房 パブコメ セキュア・ジャパン２０１０（仮称）"

国民ID制度 ３年以内に導入？？？

　こんにちは、丸山満彦です。内閣府の高度情報通信ネットワーク社会推進戦略本部（IT戦略本部）の第3回企画委員会が昨日開催され、ICT戦略を実行に移すための行程表が決まったようですね。。。
　主要な政策（30項目）について担当省庁が達成すべき目標とスケジュールが決まったようです。。。クラウド等の新技術と規制撤廃等を行い、日本に70兆円の市場を創出し、経済成長につなげるようです。。。
　

Continue reading "国民ID制度 ３年以内に導入？？？"

JICPA ＩＴ委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」の一部改正

　こんにちは、丸山満彦です。日本公認会計士協会が、ＩＴ委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」の一部改正を公表していますね。

Continue reading "JICPA　ＩＴ委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」の一部改正"

権限者の不正には発見的統制が「超」重要（高槻市の事例：生活保護費1000万円不明）

　こんにちは、丸山満彦です。高槻市で生活保護費を管理する電算システムが不正に操作され、保護費1000万円が不正に受給されたようです。不正といっても、架空とみられる29世帯に対してシステム操作をして保護費を受給したようです。つまり、技術的に難しいことをしたというよりも、端末を操作して架空の世帯に保護費を受給したということだと思います。
　不正な端末操作をしたと思われる人は、生活福祉課の課長で、定年退職後に副主幹として再任用されたかtのようです。少なくとも2005年からシステム管理者だったようです。

で今回の話は２点

●権限者の不正に関しては発見的統制が重要
●性善説・性悪説の単純理論は無意味なので忘れることが重要（それよりも、不正のトライアングルが重要）

　いわゆるJ-SOX対応で特権ユーザーの管理を監査人に指摘されて閉口している人も多いと思いますが、特権ユーザーの管理は重要です。というか、管理権限のある人の不正な権限行使を監視することが重要なんです。
　特権ユーザーはその権限の範囲が非常に広範にわたり影響も大きいことからリスクが高いと判断され、監査人もいろいろというわけです。したがって、「特権ユーザーの管理だけをちゃんとしたらいいんですよね」、という単純な話ではありません。

Continue reading "権限者の不正には発見的統制が「超」重要（高槻市の事例：生活保護費1000万円不明）"

Deloitte 2010 Financial industory Global Security study

　こんにちは、丸山満彦です。Deloitteは毎年、インダストリー毎の情報セキュリティ調査を実施しておりますが、金融分野の調査結果が公表されていますね。。。　
　

Continue reading "Deloitte 2010 Financial industory Global Security study"

JIPDEC主催 ネットメディアの信頼性向上対策ワークショップ

　こんにちは、丸山満彦です。JIPDEC主催、経済産業省、IPA、JPCERT/CC、JNSA後援、という豪華な顔触れで、ネットメディアにおけるなりすまし問題についてのワークショップです。ネットワークメディアとしては、
・Webサイト
・ブログ
・Twitter
・メール
となっております。。。
　こういうのは、今まであまりなかったかなぁ。。。

Continue reading "JIPDEC主催 ネットメディアの信頼性向上対策ワークショップ"

クラウドセキュリティアライアンス(CSA)とIPAが相互協力協定

　こんにちは、丸山満彦です。IPAとクラウドセキュリティアライアンス(CSA)がクラウドコンピューティングのセキュリティに関する調査研究、普及啓発、教育、対策・指針策定等を目的とする相互協力協定を締結したようですね。。。
　

Continue reading "クラウドセキュリティアライアンス(CSA)とIPAが相互協力協定"

「保証を求めるお客様とはSLAを結んでいる。データ管理の仕組み上、安全性には自信がある」

　こんにちは、丸山満彦です。日経ストラテジー等が事務局を務める「オールジャパン競争力強化実行委員会」は、情報システムユーザー企業のCIOが、情報システム提供企業に対して抱く疑問を「CIO公開質問状」を実施し、８主要クラウドサービス事業者が回答している内容が、公表されてつつありますね。。。
　
質問事項は、
　・「クラウド」の定義
　・他社に比べた優位点
　・情報保護・保証の考え方
　・標準化・オープン性確保の考え方
　・ユーザー企業に伝えたいこと
です。
　その中で、「顧客企業のデータの保護・セキュリティーをどのように確保しているか。万が一の事故の場合の保証についてどう考えているか。 」という質問に対するセールスフォース・ドットコム（日本）の宇陀社長の回答が表題の内容となります。。。

回答している８主要クラウドサービス事業者？は
　・NEC
　・NTTデータ
　・グーグル
　・セールスフォース・ドットコム
　・日本IBM
　・日立製作所
　・富士通
　・マイクロソフト
です。。。

Continue reading "「保証を求めるお客様とはSLAを結んでいる。データ管理の仕組み上、安全性には自信がある」"

第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

　こんにちは、丸山満彦です。第14回サイバー犯罪に関する白浜シンポジウムはじまってます。。。 昨日は、吉川さんと森弁護士による有害サイト規制の話。
　今日は、ラックの西本さん、内閣官房の木本さん、マイクロソフトの楠さんの話。。。
　まあ昼は昼として楽しいのですが、夜が楽しいんですよ。

　そろそろ会場にいきますか。。。

Continue reading "第14回　サイバー犯罪に関する白浜シンポジウム　はじまってます。。。"

IPA 実例から分かる標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」

　こんにちは、丸山満彦です。IPAが
・実例から分かる標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」「脆弱性を狙った脅威の分析と対策について　Vol.3」を公開していますね。。。

Continue reading "IPA 実例から分かる標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」"

Deloitte 2010 TMT Global Security study

　こんにちは、丸山満彦です。Deloitteは毎年、インダストリー毎の情報セキュリティ調査を実施しておりますが、TMT（技術・メディア・通信）分野の調査結果が公表されていますね。。。　
　

Continue reading "Deloitte 2010 TMT Global Security study"

制御システムのセキュリティ関連文書（JPCERT/CC+IPA）

　こんにちは、丸山満彦です。IPAとJPCERT/CCから制御システムのセキュリティ関連文書が公表されていますね。。。
　IPAの報告書はおもに社会インフラの制御システムのセキュリティに関連するもので、前年度の調査報告書の課題を受けてのものとなります。
　JPCERT/CCのものは2007年2月に米国アイダホ国立研究所から公表されたものを翻訳したものです。

　昨日、ある会合で電機メーカーの方とお話をしたのですが、やはり家電のセキュリティと法的な責任の問題は大きな課題となりそうに思います。インターネットにつなげる機器が最低限満たさなければならないセキュリティ要件というものを検討する必要があるかもしれませんね。

Continue reading "制御システムのセキュリティ関連文書（JPCERT/CC+IPA）"

DPI関係。総務省としてはまだ結論をだしたわけではない by 原口大臣

　こんにちは、丸山満彦です。NHKのニュースによればDPIの件について、原口総務大臣が閣議の後の記者会見で
＝＝＝＝＝
・・・いかなる状況についても通信の秘密が侵害されてはならず、きわめて慎重で限定的でないといけない・・・
いかなる状況についても通信の秘密が侵害されてはならず、きわめて慎重で限定的でないといけない」と述べました。そのうえで、原口大臣は「総務省としてはまだ結論を出したわけではなく、政務３役で、きわめて慎重に、通信の秘密を守る観点から議論をしていきたい
＝＝＝＝＝
と述べたと報道していますね。。。

Continue reading "DPI関係。総務省としてはまだ結論をだしたわけではない　by 原口大臣"