ENISA Information security risks, opportunities and recommendations for users
こんにちは、丸山満彦です。会社の同僚に教えられていたENISAのスマートフォンのセキュリティ関係の資料、斜め読みのまま放置されていましたが、やっと読み終わりました。。。VIDEOも聴きました。。。
December 2010
2010.12.31
内部監査部門がない政府機関はマネジメントできているのか?
こんにちは、丸山満彦です。組織が目標達成するためには、目標とのずれを常にモニタリングし、目標達成を可能にするような修正を行っていく必要があります。いわゆる統制です。
このような統制においては、モニタリングが重要となってきます。モニタリングの方法はいろいろとあります。実行をする本人がモニタリングする方法もありますが、実行する本人とは独立した客観的な立場な専門家がモニタリングする方法もあります。それぞれのモニタリング方法には、長所短所がありますので、それを組み合わせて適切に使うのが一般的です。
何千人、何万人もいる組織ではこのようなモニタリングの仕組みが重要となります。長い情報伝達経路の中で情報が間違って伝えられたり、判断ミスが生じたりし、全体としての整合性が取れなくなるからです。大企業ではそのような内部統制は必要不可欠と考えてもよいでしょう。上場企業においては、財務報告に係る内部統制の評価を監査の制度が米国や日本では法定されているほどです。ところが、政府機関には、民間企業でいうところの独立性の高い内部監査部門がありません。
2010.12.30
内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一管理基準」(案)及び「政府機関の情報セキュリティ対策のための統一技術基準」(案)
こんにちは、丸山満彦です。内閣官房が「政府機関の情報セキュリティ対策のための統一管理基準」(案)及び「政府機関の情報セキュリティ対策のための統一技術基準」(案)について意見募集をおこなっていますね。。。
=====
●統一管理基準及び統一技術基準への改訂(案)のポイント
1.統一管理基準と統一技術基準への再編
2.クラウド技術への対応
3.ウェブ等の外部からの不正アクセスに係る対応
4.教育・人材育成の充実
=====
2010.12.28
経済産業省 サイバーセキュリティと経済 研究会
こんにちは、丸山満彦です。経済産業省が「サイバーセキュリティと経済 研究会」というのをはじめましたね。。。
=====
1. 目的
経済成長にはITが不可欠の基盤であり、ITの安全確保が経済成長の前提となるが、昨今のサイバー攻撃・情報漏えいでは、知的財産やライフラインを狙った事案や企業等の機密漏えいが多発している。ITの安全確保によって守るべき対象が経済活動や国民生活に直接かかわる分野へ質的に変化している。
このため、経済成長・経済安全保障の観点から、必要な情報セキュリティ政策について検討し、まとめる。
2. 検討内容
(1)標的型サイバー攻撃への対応について
(2)制御システムの安全性確保策について
(3)企業等の機密情報漏えい対策について
(4)サイバーセキュリティ産業の強化について
(5)(1)~(4)以外の論点について
=====
経済という割には、経済や経営者の目線が少ないようなメンバー構成ですが。。。
山口先生の意見が公表されていますが、「いい」です。。。
経済産業省 営業秘密保護のための刑事訴訟手続の在り方研究会 報告書
こんにちは、丸山満彦です。経済産業省が法務省と共同で「営業秘密保護のための刑事訴訟手続の在り方研究会 報告書」を公表していました。。。
NHKのニュースでも触れられていましたね。。。
会計検査院 都道府県及び政令指定都市における国庫補助事業に係る事務費等の不適正な経理処理等の事態、発生の背景及び再発防止策について
こんにちは、丸山満彦です。会計検査院から「都道府県及び政令指定都市における国庫補助事業に係る事務費等の不適正な経理処理等の事態、発生の背景及び再発防止策について」という報告書が出ていました。。。
不正の要因の分析をしていますが、
1.動機・プレッシャー
2.環境
3・姿勢・正当化
にわけて分析をしてみてもよいかもですね。。。
2010.12.27
金融庁 パブコメ 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について
こんにちは、丸山満彦です。金融庁が「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について」の改訂についての意見募集を行っていますね。。。
主な変更点については次のとおりです。。。
=====
(1)企業の創意工夫を活かした監査人の対応の確保
○ 経営者が創意工夫した内部統制の評価方法・手続等について、監査人の理解・尊重
○ 中堅・中小上場企業に対する監査人の適切な「指導的機能」の発揮
○ 内部統制監査と財務諸表監査の一層の一体的実施を通じた効率化
(2)内部統制報告制度の効率的な運用手法を確立するための見直し
○ 企業において可能となる評価方法・手続等の簡素化・明確化
(例)毎年、各業務プロセスごとに行われている評価手続のローテーション化
○ 「重要な欠陥」の判断基準等の明確化
○ 中堅・中小上場企業に対する評価方法・手続等の簡素化・明確化
(例)必ずしも、組織内における各階層で内部統制の評価を行わないことができること等を明確化
(3)「重要な欠陥」の用語の見直し
○ 「重要な欠陥」の用語は、企業自体に「欠陥」があるとの誤解を招くおそれがあるとの指摘があり、「開示すべき重要な不備」と見直し
=====
会計基準と監査基準は国際的に統一される方向ですが、内部統制の有効性に関する評価については、独自路線をいくわけですね。。。
Cloud Controls Matrix V1.1 (Clound Security Alliance)
こんにちは、丸山満彦です。Cloud Security AllianceがCloud Controls Matrix V1.1を公表していますね。。。
ISO27002、COBIT、NIST、PCD/DSSとの関係のマッピングです。。。
2010.12.24
クラウドの普及が進めば、消費者視点への転換が必要???
こんにちは、2010.12.22にジャパン・クラウド・コンソーシアムの設立総会がありましたね。
ところで、今朝の経団連の「経団連情報通信政策担当」のツイッターに以下のような発言ありましたが、どうでしょうか。。。
・2010.12.24 10時ちょっと前
=====
クラウドの普及が進めば進むほど顧客視点、企業視点から消費者視点への転換が必要。日本のモノ造りノウハウをクラウドに活かすことが重要。究極は日本の御用聞き文化。
=====
2010.12.23
総務省 「今後のICT分野における国民の権利保障等の在り方を考えるフォーラム」報告書
こんにちは、丸山満彦です。総務省から、「今後のICT分野における国民の権利保障等の在り方を考えるフォーラム」報告書が公表されていますね。。。
=====
1 経緯
総務省は、民主主義の基礎となるインフラであるICT(情報通信技術)分野において、「言論の自由を守る砦」をはじめとする国民の権利保障等の在り方について検討することを目的として、平成21年12月から「今後のICT分野における国民の権利保障等の在り方を考えるフォーラム」を開催してきました。約1年間、計11回の議論を経て、このたび、同フォーラムにおいて報告書が取りまとめられましたので、公表します。
=====
スマートフォン利用者の約5割がデータの盗難・漏えいに不安を実感 <= IPA 「2010年度 情報セキュリティの脅威に対する意識調査」報告書
こんにちは、丸山満彦です。IPAが「2010年度 情報セキュリティの脅威に対する意識調査」報告書を公表していました。。。
=====
スマートフォンの利用率は9.3%、利用者の8割以上が何らかの不安を感じ、セキュリティ対策が必要と考えています。
=====
とのことです。。。
実際に情報セキュリティ上の問題があるのかどうかということよりも、情報があまりないので、「不安」という感じかもしれませんね。。。
組織にとって何故内部統制が必要か?
こんにちは、丸山満彦です。10月30日に京都大学経営管理大学院で内部統制についての講義をしました。提出してもらうレポートのお題は、
「組織にとって何故内部統制が必要か?」
2010.12.15
ITGI COBIT and Application Controls 日本語版
こんにちは、丸山満彦です。ITGIからCOBIT and Application Controlsが公表されていますね。。。ITGC、つまりIT業務処理統制についての読み物です。
読みやすい日本語となるようにがんばってみたつもりですが、なかなか難しい面もあります。。。
2010.12.13
セミナー 第三回 共通番号制度と国民ID時代に向けたプライバシー・個人情報保護法制のあり方<課題と提言>
こんにちは、丸山満彦です。堀部政男情報研究会の第2回のシンポジウムが12月19日日曜日国立情報学研究所(神保町・竹橋)に開催されますね。
第1回のシンポジウムは08月21日に、
第2回のシンポジウムは10月09日に
開催され、盛況でございました。。。
豪華な研究会です。。。今回は、厚生労働省の中安さん、OpenID Fundationの崎村さん、産総研の高木さんも登壇いたします。。。
2010.12.12
総務省 自治体クラウド推進本部 有識者懇談会(第3回)
こんにちは、丸山満彦です。総務省の自治体クラウド推進本部有識者懇談会(第3回)の議事資料が公開されております。。。
基本的に、ITを推進するのはよいのですが、IT投資以上の人件費等のコスト削減をしてもらわないと大変なことになると思いますよ。。。
さらに、、、私は市場主義原理主義者ではないですが、一般論として補助金をつけなければ普及しないようなサービスというのは、経済合理性がないということで普及させるべきではないような気がしますね。(もちろん、市場の失敗等が原因で普及していないケースというのもあるのでしょうが。。。)
さらにさらに、クラウドを利用する際の問題のポイントは外部委託の問題でもあるのですけど、セキュリティというよりも、サービスの停止や企業の倒産によって、データやサービスを引き継ぐことができるのか?というのが大きな課題だよね、、、という話が昨日の情報ネットワーク法学会の大会では議論されましたね。。。
2010.12.11
AがXと本人確認をした情報をBが利用したが、実はXがYであったことによりBが損害をこうむった場合。。。
こんにちは、丸山満彦です。AがXと本人確認をした情報をBが利用したが、実はXがYであったことによりBが損害をこうむった場合、(つまりなりすまし被害ですよね)、Aに過失があったのであれば、当然AはBに対して責任を負いますよね。。。
クルデンシャルを利用するような形態のビジネスがこれからでてくるでしょうが、登録時にどの程度本人確認をするのか(つまりどの程度、なりすましがおこるのか)についての基準を確認しておかないと、思わぬ被害が生じることになるでしょうね。。。
2010.12.06
NRIセキュア 企業における情報セキュリティ実態調査2010
こんにちは、丸山満彦です、NRIセキュアテクノロジーズ株式会社が「企業における情報セキュリティ実態調査2010」を公表していますね。
登録をすれば、詳細のレポートが見れます。デロイトもグローバルのセキュリティ調査をしています。調査項目が重なる部分については、同じような傾向が見て取れますね。。。
例えば、
・セキュリティ投資は今後増加する
・内部者による不正対策を強化していく
・海外子会社等へのセキュリティ対策に対するガバナンスや浸透などを課題に感じている
などなど、、、
2010.12.05
個人
こんにちは、丸山満彦です。
何が本人ということなのか???
・指紋を取り替えられても、その前と後で同一人物といえるか?
・腕を取り替えられても、その前と後で同一人物といえるか?
どうも腕を取り替えられた程度では、その前と後で同一人物といえるように思える。
では、次の場合はどうだろう。
・Aさんは事故にあい、脳以外のほとんどの部分は移植または人工物により取り替えられてしまい外見上は以前のAさんかどうかはわからない。
・Aさんは脳死になったが、その体は問題がなかったので、Bさんの脳をAさんの体に移植したらうまくいった。
本人かどうかを決めるのは、脳?
Recent Comments