内閣府 個人情報保護専門調査会報告書 ~個人情報保護法及びその運用に関する主な検討課題~
こんにちは、丸山満彦です。内閣府の第67回 消費者委員会で「個人情報保護専門調査会報告書 ~個人情報保護法及びその運用に関する主な検討課題~」が公表されていますね。。。
過剰反応、第三者機関、安全管理措置、国際的な整合性等について記載されていますね。。。
August 2011
2011.08.30
2011.08.29
Cloud Controls Matrix (CCM) V1.2 by CSA
こんにちは、丸山満彦です。Cloud Security Alliacne released Cloud Control Matrix Ver1.2.
■CSA
・2011.08.26 Cloud Security Alliance Releases Cloud Controls Matrix v1.2
2011.08.25
日本公認会計士協会 組織 (企業 )内会計士 に関するアンケート 最終報告書
こんにちは、丸山満彦です。企業内会計士に関するアンケート最終報告書。。。8月12日に公表されていましたが、まるちゃんブログで紹介するのが遅れました。。。
会計士試験の合格者人数が増えたが、就職浪人が増加する、社会人経験者が増えない等の問題があるようです。。。
2011.08.18
ISACA パブコメ COBIT 5 Exposure Draft
こんにちは、丸山満彦です。ISACAがCOBIT5のドラフトを公開して、コメントを募集していますね。。。CPEにもつけれるそうですよ。。。
2011.08.15
内閣府 パブコメ 原子力委員会原子力防護専門部会「核セキュリティの確保に対する基本的考え方(案)」
こんにちは、丸山満彦です。内閣府が原子力委員会原子力防護専門部会「核セキュリティの確保に対する基本的考え方(案)」に対する意見募集を行っていますね。。。
=====
・・・本報告書は、これらの核セキュリティを巡る状況の大きな変化に対応するため、IAEA核セキュリティ・シリーズ文書の最上位文書である核セキュリティ基本文書(案)を参考にして、我が国の核セキュリティの確保に対する基本的考え方を示したものです。
今後、国において、本報告書に示した基本的考え方に沿って、我が国の核セキュリティ対策が検討され着実に実施されることを期待します。また、核セキュリティ対策は、我が国全体の包括的な安全保障対策の一部となるものです。
本報告書が、我が国の安全保障対策に係る国及び国民各層の認識が深化することに寄与することを期待します。
=====
福島原発事故にも最後にふれられていますね。。。
=====
①【福島第一原子力発電所事故の教訓】
・・・
1)防護措置の強化
事故を踏まえ、施設・設備に対する防護措置の強化の必要性が明らかになっている。許可事業者は、規制行政機関及び関係行政機関と連携しつつ、施設・設備に係る防護措置を強化すべきである。また、関係行政機関は、
規制行政機関及び許可事業者と連携しつつ、施設・設備に係る防護措置を強化するため、必要な体制及び資機材の確保を行うべきである。
2)内部脅威対策の強化
事故当初の出入り管理の不備が明らかになっている。許可事業者は不審者侵入防止策の徹底をはじめとして、内部脅威対策を強化すべきである。
3)教育・訓練の強化
事態の深刻化を想定した緊急時対応訓練の重要性が明らかになっている。規制行政機関、関係行政機関及び許可事業者は、核物質等、関連施設及び関連活動を対象とした盗取、妨害破壊行為等の犯罪行為又は故意の違反行為に対する対応に係る教育・訓練について、より実践的な状況を想定した教育・訓練を行うべきである。
4)核セキュリティ体制の強化
緊急時の対応において明確な責任体制の下で迅速な対応を行うことの重要性が明らかになっている。国は、安全確保と同様に核セキュリティの確保についても、緊急時における、政府内の役割分担及び責任体制の明確化並びに放射線安全に係る考え方の整理等を行うべきである。
②【勧告文書への対応に係る検討】
IAEA核セキュリティ・シリーズ文書のうち、基本文書に次ぐ位置づけである勧告文書(「INFCIRC/225/Rev.5」等)についても、今後、我が国の核セキュリティへの反映方針を検討していくこととする。また、上述した東京電力(株)福島第一原子力発電所事故の教訓についても、より具体的な対応策の検討を速やかに進めていくこととする。
以上__
=====
2011.08.12
日本公認会計士協会 確定 監査・保証実務委員会報告第82号 財務報告に係る内部統制の監査に関する実務上の取扱い
こんにちは、丸山満彦です。日本公認会計士協会から、監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について、、、が公表されていますね。。。
=====
<主な改正内容>
・ 経営者が実施する内部統制の評価方法等を適切に理解・尊重した上で、内部統制監査を実施する必要があること
・ 経営者による内部統制の整備・運用状況及び評価の状況を十分理解し、監査上の重要性を勘案しつつ、内部統制監査と財務諸表監査を効果的かつ効率的に実施し、一層の一体的実施を図る必要があること
・ 中小規模企業(事業規模が小規模で、比較的簡素な構造を有している組織等)の内部統制監査上の留意点の追加
・ 内部統制監査報告書の記載区分が3区分から4区分に変更されたこと等に伴う内部統制監査報告書の記載内容や文例の見直し
=====
2011.08.06
経済産業省 「サイバーセキュリティと経済 研究会」中間とりまとめの公表~自律的で弾力的かつ頑強な情報セキュリティを実現する政策~
こんにちは、丸山満彦です。経済産業省が、「「サイバーセキュリティと経済 研究会」中間とりまとめの公表~自律的で弾力的かつ頑強な情報セキュリティを実現する政策~」を公開していますね。。。
(1)標的型サイバー攻撃への対応
・・・こうした攻撃に対しては、ユーザが情報等を保護するために維持すべき技術基準の策定が必要です。また、個々のユーザがサイバー攻撃を受けた際、同様の攻撃による被害の発生を防ぐため、ユーザやセキュリティ企業、公的機関における情報共有の枠組みとして、パートナーシップの構築が必要です。
(2)制御システムの安全性確保
① 未然防止対策
・・・制御システムのセキュリティ基準を作成し国際標準化を推進。
② 事後対策
・・・インシデント体制の構築の推進。
③ 共通対策
・・・ユーザ企業、特に経営者への普及啓発の推進。
(3)情報セキュリティ人材の育成
・・・ICT教育推進協議会(ICTEPC)と日本ネットワークセキュリティ協会(JNSA)が新たに構築する検討チームでの実践教育に関する詳細な内容の検討、若年層に対する情報セキュリティ実践教育の場の提供等が必要です。
=====
2011.08.03
日本全国の銀行ネットバンクで不正アクセスが相次いでいるらしい。。。
こんにちは、丸山満彦です。。。日経コンピュータの独自取材によると、「地方銀行など複数の銀行のインターネットバンキングシステムで不正アクセスの被害が発生している」らしいです。。。
2011.08.02
セキュリティ懸賞金制度とセキュリティ検査事業者
こんにちは、丸山満彦です。Google、Mozilaに続いてFacebookもセキュリティ懸賞金(又は報奨金)制度をはじめたようですね。。。
Facbookの懸賞金制度の対象は、 Facebookユーザーデータの完全性やプライバシーに関する、クロスサイトスクリプティング等のような事項のようですね。
=====
Report a bug that could compromise the integrity or privacy of Facebook user data, such as:
・Cross-Site Scripting (XSS)
・Cross-Site Request Forgery (CSRF/XSRF)
・Remote Code Injection
=====
懸賞金は500ドル~。。。
このような制度の普及が進めば、第三者にセキュリティ検査をしてもらうよりも効率よくバグが発見されるようになるのかもしれませんね。でも、別のリスクもでてくるのかもしれないので、そのバランスは考える必要があるのかもしれません。。。
IPA 「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」~「新しいタイプの攻撃」へ立ち向かうために~ ビデオ付
こんにちは、丸山満彦です。IPAが「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」~「新しいタイプの攻撃」へ立ち向かうために~を更改していますね。。。
「新しいタイプの攻撃」とは、「APT(Advanced Persistent Threats)」のことなのね。。。
=====
標的型攻撃に代表される、メールや外部メディア等で組織内部の従業員(組織の幹部を含む)の端末に入り込むような攻撃です。この攻撃は、そこから組織の内部へ更に入り込んでいき、最終的に組織にとって非常に重要な情報(知財情報や個人情報)が知らぬ間に盗み出されるような事態に陥るものです。
=====
(P5)ということのようです。。。
【追加】
・2011.08.05 (デモビデオ)『新しいタイプの攻撃』の実態と対策
Recent Comments