こんにちは、丸山満彦です。内閣官房(NISC)が「情報セキュリティ普及・啓発プログラム」(案)に関する意見の募集をしていますね。。。
=====
情報セキュリティに関する普及・啓発施策は、我が国における適切な情報セキュリティの水準を全体として確保・向上させるという観点、また国際社会での役割と責任の観点から、情報セキュリティ政策における重要な政策課題となってきており、国民・利用者がITリスクを認識し、自ら情報セキュリティ対策を実施することを促すため、戦略及び年度計画に基づく情報セキュリティに係る普及・啓発の中長期的なプログラムである「情報セキュリティ普及・啓発プログラム」(案)を取りまとめました。・・・
=====
こんにちは、丸山満彦です。2011.04.21に開催された情報セキュリティ政策会議第25回持ち回り会議できまっています。。。
こんにちは、丸山満彦です。ちょっと前どすけど、内閣官房(NISC)が「中央省庁における情報システム運用継続計画ガイドライン」を公表していますね。。。
ガイドラインの目的
=====
・・・本書は、中央省庁の情報システム担当者が、「情報システム運用継続計画」を策定し、計画を運用(計画の実施及び継続的維持改善)するための手引書である。・・・
=====
こんにちは、丸山満彦です。。。IPAが安心・快適に利用できるシステム構築に向けたユーザー企業の経営層向け読本を公開~身近な事例と対比させ、事業リスクと投資効果の観点から解説~を公表していますね。。。
こんにちは、丸山満彦です。IPAが「2010年度 自動車の情報セキュリティ動向に関する調査報告書」を公開していますね。。。
=====
本調査では、自動車の情報セキュリティ上の脅威を低減させるために4つのポイントをまとめました。
1.車載ソフトウェアの高機能化に伴い顕在化する、脆弱性への対策
2.スマートフォン等を介し、外部から自動車へのアクセスが可能となる場合の危険性の認識
3.自動車内部の車載システム間の相互通信時のセキュリティの確保
4.電気自動車について、エンジン車に比べて増加する脅威の検討
=====
とのこと。。。
こんにちは、丸山満彦です。IPAが「中小企業におけるクラウドサービスの安全利用に向けた文書の公開~「クラウドサービス安全利用の手引き」と「情報開示の参照ガイド」を作成・提供~」についてプレスリリースをしていますね。。。
あっ、SAS70って、SSAE16にすべきだったですね。。。
こんにちは、丸山満彦です。経済同友会が「わが国の電子政府推進政策の検証と今後の取り組むべき課題」を公表していました。。。(2011.04.21)
安延さんですね。。。
こんにちは、丸山満彦です。マカフィーが「サイバー攻撃にさらされる重要インフラ」を公表していますね。。。
=====
日本を含む世 界14 カ国の重要インフラ企業のIT セキュリティ担当責任者200 人を対象に調査を行ったところ、 調査対象の40%が業界のサイバー攻撃に対する脆弱性が高まっていると考えていることが明らか になりました。また、約30%は会社がサイバー攻撃に対して無防備だと考えおり、40%以上が今後 1 年以内に大規模なサイバー攻撃を受ける恐れがあると予想しています。
=====
ということなんですが、興味をもったのは、
=====
「スマートグリッドはそれほどスマートではないということが、現在、明らかになりつつあります。昨年確認されたStuxnet は、重要インフラのIT システムを妨害するために作成された最も洗練されたマルウェアのひとつといえるでしょう。
=====
セキュリティベンダーですから、ある程度は割り引かないといけないのかも知れませんが、だからといって、荒唐無稽な話でもないと思います。。。
こんにちは、丸山満彦です。個人情報保護・情報連携基盤合同WGの配布資料が開示されていますね。。。
なんども書いているようにも思いますが、、、この制度の肝のひとつが第三者機関であれば、第三者機関が必要な権限を行使しうる能力のある人を必要な人数そろえる必要がありますよね。。。
第三者機関をつくって権限を与えても、いくらでも骨抜きにする方法はあるし、そうなっていた委員会もあるのではないか???
米国のNISTがNational Strategy for Trusted Identities in Cyberspaceを公表していますね。。。
この文書は日本で議論が進んでいる、国民ID制度の話や、社会保障・税に関わる番号制度についても参考になるのではないでしょうか?
Identity Ecosystemという言葉がなかなか面白いですね。。。
=====
Guiding Principles
Identity Solutions will be Privacy-Enhancing and Voluntary
Identity Solutions will be Secure and Resilient
Identity Solutions will be Interoperable
Identity Solutions will be Cost-Effective and Easy To Use
=====
ネット上での本人認証については、登録段階での本人確認、利用段階での同一性の確認(例えば、パスワードやカードなど)の2つは区別して考える必要がありますね。
登録段階での本人確認が確実するための手法、利用段階での同一性の確認、それぞれがどの程度確実に行われるのか、ということは重要なポイントだと思います。
ネット上を考えると、
利用段階での同一性の確認というのは、
・(強力であるが)少数の情報を使って、本人をデジタルに認証しなければならないという点、
・一度認証されてしまうと、その認証が正当なものでるという前提で(連携されたシステムで)すべての取引が行われていくという点
に課題があるのではないかと思っています。
また、様々なシステムと自動的に連携されていくと、その影響範囲は大きくなっていきますよね。。。
Aさんという人が、ネット上では完全にBさんによって成りすまされている。。。というようなことが起こることはないのか、起こったときにはどのようにしてAさんは救済されるのか。。。
このような制度を本人の選択性にするとした場合でも、Aさんという人が、利用する前に、リスクを正しく認識して、正しく判断できるのか。。。
いろいろな問題がまだまだ残っているのではないかと思っていますが、
このあたりは、「国民ID制度の話や、社会保障・税に関わる番号制度」の中で議論されていくのでしょうね。。。
こんにちは、丸山満彦です。情報セキュリティ関連の情報源を一覧にしたもののようです。。。これから増えていきそうですね。。。
ただ、どこまでが情報セキュリティ関連か。。。と考え出すと夜も眠れなくなります。。。(笑)
こんにちは、丸山満彦です。今年も、南紀白浜にて、5月26日(木)~28日(土)に「サイバー犯罪に関する白浜シンポジウム」が開催されますね。今年で15回目となります。。。今年のテーマは、「クラウド時代のセキュリティ対策」です。。。
■今年の開催
・2011年 第15回 クラウド時代のセキュリティ対策
こんにちは、丸山満彦です。オラクル社の「《データベース・セキュリティの実装》シリーズ」はわかりやすいので、参考になりそうです。。。4回シリーズで
・1回目 アクセスコントロール
・2回目 ログ取得と監査機能
・3回目 暗号とその高速化技術
・4回目 Oracle Database Firewall
だそうです。。。
営業ツールだとしても、情報提供をしてくれると助かる人も多くいると思います。。。
こんにちは、丸山満彦です。
・社会保障・税に関わる番号制度に関する実務検討会(第7回)と
・情報連携基盤技術WG(第4回)
の配布資料が開示されていますね。。。
山口先生いいね。。。
・・情報連携基盤は誰のためのサービスを提供するのか(山口委員提出資料)
=====
1. 情報連携基盤は国民のためのサービスである
・・・また当然、情報連携基盤に対する監督・監査機能も無ければならない。単に国家公務員の守秘義務lを貸しただけでは、情報管理上不十分であることは、これまでの数多くの情報漏洩事案を考えれば明らか。したがって、情報連携基盤に対する明確な責任を法律によって明らかにすると共に、同時に、第三者機関による監査・監督機能も明記しなければならない。
2. 政府機関は悪いこともするし結託もすると、リスク検討では想定しろ
・・・今回の制度設計では、第三者機関以外の、この制度に関わるすべての政府機関(情報連携基盤、情報保有機関、マイポータル運営機関、番号生成機関等)は、悪いこと(不正に情報を取得する)もするし、その実施には組織間で結託もするということを仮説として採用し、それに対応したシステム設計、制度設計を行うべきである。同時に、この仮説に基づき、第三者機関には十分な権限を与え、同時に、第三者機関には罰則付きの厳しい責任を負わせるべきである。・・・
=====
・情報連携基盤技術に関する質問/情報連携基盤に関する個人情報保護に関する質問(山口委員提出資料)
こっちは、まだ途中までしか読んでいないけど。。。
=====
恐らく、骨格案は、霞ヶ関における各省協議を経て、中途半端な妥協、協議の結果、さらに意味不明な文書になることが予想される。そのような状況にならないためにも、現時点での骨子案が、明確かつ合理的に公正されることに資することを期待した質問書である。事務局における、真摯な対応をお願いしたい。
=====
こんにちは、丸山満彦です。内閣官房が「サイバー空間の安全性・信頼性向上のための課題等について」を公表していますね。。。
=====
1.概要
・・・検討にあたっては、情報セキュリティや個人情報保護の専門家を集め、従来の情報セキュリティ政策の枠組みにとらわれず幅広い観点から検討を行い、海外動向等も踏まえながら、主に制度的な観点から今後我が国において対応が求められる課題について論点整理を行いました。
2.主な結論
(1) マルウェアの作成や頒布の抑制について
情報漏えいやデータ消去を引き起こすような凶悪なマルウェアが国内において作成される ケースもある一方で、現時点では我が国においてマルウェアの作成や頒布を直接規制する法律が存在していないことから、マルウェアの 作成や頒布行為を規制するための法律の早期の制定が望まれる。
(2) 事故を前提とした対策実施を促す制度設計について
情報セキュリティに係る事故を完全にゼロにする対策は困難であり、事故が起こった際の 被害の発生・拡大を防止するための取組が重要であるところ、暗号化等の技術的手段を用いて情報漏えい時の二次被害の防止等を図るこ とを促すという観点から個人情報保護ガイドライン等が検討されていくことが望まれる。
(3) クラウドコンピューティングについて
国境をまたぐクラウドコンピューティングを利用した場合、海外にデータが移転する可能性 があることから、特に公的分野において、重要なデータを処理する部門がクラウドコンピューティング事業者の提供するサービスを利用する 際には、事業者が適切に情報セキュリティ対策を講じていることを委託元において確認するとともに、適切にリスクアセスメントを行って おくことも重要である。
(4) 情報通信技術の利用環境の変化に応じた対応
ネットワーク家電が今後も増加するものとみられることから、我が国において、ネットワーク 家電製品に対して適用される情報セキュリティに関するルールを早急に明確化することが必要である。
3.委員名簿(敬称略)
・岡村久道 弁護士・国立情報学研究所客員教授(座長)
・石井夏生利 筑波大学准教授 (IT本部電子行政タスクフォース構成員)
・ジョン・キム 慶応大学准教授(ハーバード大学客員研究員)
・鈴木正朝 新潟大学教授
・高木浩光 (独)産業技術総合研究所 主任研究員
=====
こんにちは、丸山満彦です。経済産業省から「国、地方公共団体等公共機関における民間ソーシャルメディアを活用した情報発信について」が公表されていました。。。
「がばったー」というのがあるのね。。。
こんにちは、丸山満彦です。法務省が「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」を公表してました。。。
4月1日に国会に提出されてました。。。
法律案要綱
=====
第一 刑法の一部改正
七 不正指令電磁的記録作成等
1 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、イ又はロに掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処するものとすること。(第百六十八条の二第一項関係)
イ 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
ロ イに掲げるもののほか、イの不正な指令を記述した電磁的記録その他の記録
2 正当な理由がないのに、1イに掲げる電磁的記録を人の電子計算機における実行の用に供した者も、1と同様とすること。(第百六十八条の二第二項関係)
3 2の未遂は、罰するものとすること。(第百六十八条の二第三項関係)
=====
などなど。。。
こんにちは、丸山満彦です。厚労省 パブコメ レセプト情報・特定健診等情報の提供に関するガイドライン(案)が確定していました。。。
こんにちは、丸山満彦です。2011.0.03.31に内閣官房から「情報システムに係る政府機関におけるセキュリティ要件策定マニュアル」の意見募集結果が公表されていました。。。
こんにちは、丸山満彦です。3月28日に化学工業会が「大震災による東日本の電力不足に関する緊急提言」を公表していましたね。。。根拠はともかく、仮説でもよいので数値で議論するというのは重要なことですね。。。
電力が不足するのは、夏の昼間ですから、その際に使う電力を減らすことがポイントとなりますね。産業活動の低下を最小限に抑えるためには昼から夜へのシフト、東から西へのシフト(西日本で電力不足にならない場合)が考えられますね。。。
電力の総量を低下させるのではなく、ピーク時の電力をどのように抑えるかが重要です。。。6月の中旬からはかなりピーク時の電力需要が逼迫してくるのがみていますので、組織的に早めに対応することが必要ですね。。。これがうまくいくかどうかは、国の力の指標となるかもしれませんね。。。
こんにちは、丸山満彦です。2011.04.01に開催された個人情報保護WG(第4回)の議事次第、資料等が公開されていますね。。。
議事は
=====
(1)情報連携基盤技術ワーキンググループの検討状況について
(2)社会保障・税番号要綱(仮称)に盛り込むべき番号制度に関する個人情報保護方策について
=====
以下で、議論が進んでいますね。。。
■Twitter
#kokuminid
こんにちは、丸山満彦です。経済産業省が「クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表~クラウドサービスの安全・安心な利用に向けて~」を公表しています。
ISOにしようということかと思います。
内容ですが、、、
うーん。。。
Recent Comments