こんにちは、丸山満彦です。毎週土曜日21:50-からNHKで追跡AtoZが放送されていますが、2011.02.26は「”情報流出”の闇を追え」でございました。。。
デジタル探偵によるデジタル鑑定。。。一般の人にわかりやすい用語とすればそうなるのでしょうね。
UBICさんとSECOMさんがでていましたね。。。
技術情報や個人情報の漏洩が続いている状況が報道されていました。。。なかなか生々しい取材もありましたね。。。(やっているほうは当たり前なのですが、、、当たり前をうまく伝えられないのです。。。)
こんにちは、丸山満彦です。JNSAが2010年 情報セキュリティインシデントに関する調査報告書 【上半期 速報版】を公表していますね。。。
こんにちは、丸山満彦です。最近、Continuous AuditとかContinuous Monitoring、データ監査、データ分析が話題となっておりますが、NISTがCAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architectureのドラフトを公表していますね。。。
こんにちは、丸山満彦です。NISTのクラウド関係の報告書(ドラフト)関係です。。。
SP800-145, Draft Difinition of Cloud Computing
SP800-144, Draft Guidelines on Security and Privacy in Public Cloud Computing
です。。。
SP800-145は定義を変更するという話です。。。ちょっとだけ変わっているようです。。。
コメント期間は2月28日までです。。。
こんにちは、丸山満彦です。「スマートフォンセキュリティフォーラム (仮称)」準備会が発足するのですが、紹介するのを忘れていました(すみません。。。)
呼びかけ人はKDDI、ラック、JNSAですね。。。(1月20日の話です。。。)
こんにちは、丸山満彦です。日本の会計検査院は、会計に関する検査しかできないのだろうか???
■会計検査院
●会計検査院の地位
=====
日本国憲法 第90条
国の収入支出の決算は、すべて毎年会計検査院がこれを検査し、内閣は、次の年度に、その検査報告とともに、これを国会に提出しなければならない。
会計検査院の組織及び権限は、法律でこれを定める。
会計検査院法 第1条
会計検査院は、内閣に対し独立の地位を有する。
会計検査院法 第20条
会計検査院は、日本国憲法第90条の規定により国の収入支出の決算の検査を行う外、法律に定める会計の検査を行う。
会計検査院は、常時会計検査を行い、会計経理を監督し、その適正を期し、且つ、是正を図る。
会計検査院は、正確性、合規性、経済性、効率性及び有効性の観点その他会計検査上必要な観点から検査を行うものとする。
=====
こんにちは、丸山満彦です。2011.02.24-25に「IPA情報セキュリティ月間記念シンポジウム2011」がベルサール飯田橋で開催されますね。。。
■IPA
・2011.02.09 IPA情報セキュリティ月間記念シンポジウム2011を開催~情報家電・自動車・中小企業におけるクラウド・重要インフラのセキュリティ最前線~
=====
(A) IPA情報家電セキュリティシンポジウム2011
(B) IPA自動車のセキュリティシンポジウム2011
(C) IPA中小企業クラウドセキュリティシンポジウム2011
(D) IPA重要インフラとスマートグリッドのセキュリティシンポジウム2011
日時: 2011年2月24日(木) (A)10:00~12:30 (B)13:30~16:30
2011年2月25日(金) (C)10:00~12:30 (D)13:30~16:30
場所: ベルサール飯田橋 1階ホール
=====
家電セキュリティでは、松本勉先生と岡村先生も登壇されますね。。。
こんにちは、丸山満彦です。証券市場の国際競争が激しくなっていく中、東京証券取引所がいわゆるガラパゴスにならないか心配しておりますが、ガラパゴスはガラパゴスとして生きていく道もあるか。。。
こんにちは、丸山満彦です。ISACAのSocial MediaのSecurity等に関するWhite Paperなどのリスト。。。備忘録。。。
こんにちは、丸山満彦です。内閣官房が「情報システムに係る政府機関におけるセキュリティ要件策定マニュアル」(案)に関する意見の募集を行っていますね。。。
こんにちは、丸山満彦です。厚生労働省から「レセプト情報・特定健診等情報の提供に関するガイドライン(案)」についての意見募集が行われていますね。。。
こんにちは、丸山満彦です。AICPAのSSAE16の紹介をしたのですが、あわせてService Organization Control Reportsも紹介したほうがよいですね。(ビーコン・スクエアさん、ありがとうございます。)
SSAE16は、SAS70に変わるものです。従来は監査基準にふくまれていたものが、保証基準に移されていますが、内容は同じで、財務報告に係る内部統制の評価に使われるものです。。。SOC1となります。財務報告以外でSAS70のような報告書を作成する業務は、SOC2となります。保証基準はまだ未完成です。。。
SysTrustやWebTrustといったTrustサービスはSOC3となりますね。。。
こんにちは、丸山満彦です。ISOから「SC27 Platinum Book -Twenty Years of ISO/IEC JTC 1/SC27- Information Security Standardisation」が公表されていますね。。。
苗村先生、日本HPの佐藤さんの名前もありますね。。。
こんにちは、丸山満彦です。KPMGFASと有限責任あざさ監査法人が「日本企業の不正に関する実態調査(2010年)」を発表していますね。。。
参考になりますね。。。
5つのポイント。。。
=====
・3社に1社以上の割合で不正が発生
・最も多い不正は「横領」
・不正は「内部通報」により発覚するケースが最も多い
・不正発生の背景として「属人的な業務運営」を挙げた企業が最も多い
・海外関連の不正損失額は多額になる傾向に
=====
こんにちは、丸山満彦です。「社会保障・税に関わる番号制度」の議論が進んでいるようですが、システム導入に伴う人件費削減を含むコスト削減効果と事業継続の観点も追加すべきでないでしょうかね。。。
民間企業の場合は、システム導入をする場合の投資効果というのは(事前にどの程度できているかは別としても結果が損益となって現れるので)、厳しく考える傾向がありますよね。。。
ところが、公共機関の場合は発生主義損益計算書という考えがないし、事前にどの程度の投資効果分析をしているかというのも怪しい(事後の検証ができないということも含めて考えると。。。)ので、人件費の削減はなく、システム開発費と運用コストだけがオンされているのではないかと考えてしまうわけです。。。
もちろん、現場での残業時間が減るとか、サービスの品質が向上するとか、今までできなかったサービスに人をまわせるとかいろいろと定性的にいうことはできるのでしょうが、数値で表して欲しいと思うことが多いですね。
民間企業では、具体的に人件費を削減するために人減らしをしたり、場合によっては倒産によって強制退職?するわけですよね。。。
事業継続という観点の議論はこれから、情報連携基盤技術ワーキンググループで検討されるのかもしれませんが、情報漏えいの問題だけでなく、完全性の保持、業務の継続性の観点からの議論も深まらなければなりません。もちろん、こういう観点も含めてシステム開発コストや運用コストは計算されているのでしょうが、そのコストに見合う効果が出せるのか・・・それは数値で具体的に示して欲しいと思います。
でないと、システム開発と運用コストの増加で将来の借金がさらに増えてしまう。。。というような話にもなりかねませんので。。。
それと、今までの政府機関というのは会計検査院による監査を軽視しているように見える(米国との比較ですが。。。)のですが、政府機関の内部監査機能の強化と会計検査院による監査の強化というのは、第三者委員会を実質的に機能させるためには不可欠なのではないかと考えています。。。
実質的に機能できない第三者委員会というのをお飾りでつくるのは非常に簡単なんですよね。。。
こんにちは、丸山満彦です。NECのクラウドサービス事業で使う川崎データーセンターで、3月からISAE3402 とSSAE16の報告書を提供するようですね。。。
ISAE3402もSSAE16もJISQ27001(クライテリア)と違って、監査基準(監査人の行為規範)ですから、これを読んでも、データセンター側が何をすればよいのかはわかりません。。。
一般的には4部構成になっていて、監査報告書、受託会社のアサーションや記述書、その監査結果、その他の情報という感じで作成されます。。。
第1部 監査報告書(監査人が作成)
こんにちは、丸山満彦です。毎年2月は情報セキュリティ月間なんです。。。内閣官房長官も名刺に情報セキュリティ月間のシールを貼ってくれるそうです。。。
ちなみに情報セキュリティ三か条は
=====
1.個人情報など重要な情報の取り扱いは慎重に
2.不審なサイトやメールにアクセスしない
3.パソコンを最新のセキュリティ状態に
=====
です。。。
Recent Comments