SEC サイバーセキュリティリスクとインシデントについての開示 (CF Disclosure Guidance: Topic No. 2 Cybersecurity)
こんにちは、丸山満彦です。夏井先生のブログではずいぶん前に紹介されていたので、まぁいいかと思っていたのですが、こちらのブログにも載せておきます。。。
■Cyberlaw
・2011 10.17 米国:FTCが,サイバーセキュリティ上のリスクに関する情報開示についてのガイドラインを公表
こんにちは、丸山満彦です。夏井先生のブログではずいぶん前に紹介されていたので、まぁいいかと思っていたのですが、こちらのブログにも載せておきます。。。
■Cyberlaw
・2011 10.17 米国:FTCが,サイバーセキュリティ上のリスクに関する情報開示についてのガイドラインを公表
こんにちは、丸山満彦です。IPAが「標的型サイバー攻撃の特別相談窓口」の設置をしていますね。。。サイバー攻撃の事例の共有とか、そういう話ですかね。。。
こんにちは、丸山満彦です。JPCERT/CCが「標的型メール攻撃に関する注意喚起」を公表していますね。。。
検知は、
=====
・内部/外部への不審な通信ログの確認
・実施予定のないサーバ再起動
・定期的なウイルススキャンの実施
=====
だそうで。。。
対策は、
=====
・OS やアプリケーションを最新の状態に保つ
- Microsoft Office 製品など
- Adobe Reader/Acrobat/Flash Player
- Oracle Java SE
・不審なメールや少しでも不審な点があるメールの添付ファイルを開かない、もしくはシステム管理担当者に相談する
・ウイルス対策ソフトの定義ファイルを最新の状態に保つ
=====
だそうです。
あわせて、予防接種!
こんにちは、丸山満彦です。日本公認会計士協会が監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」(案)を公表していますね。。。
18号報告書は平成24年(2012年)4月1日以降開始事業年度から廃止されますね。。。
こんにちは、Cloud Computer AllianceのTrusted Cloud InitiativeがTrusted Cloud Initiative Quick Guide to the Reference Architectureを公表していますね。。。
このガイダンスは
=====
purpose is to reach common solutions stemming from common needs by creating a common roadmap to meet the security needs of businesses operating in the cloud.
=====
ということのようですね。このアーキテクチャでは、
=====
a methodology and a set of tools that enable security architects, enterprise architects, and risk management professionals to leverage a common set of solutions.
=====
こんにちは、丸山満彦です。公認会計士協会から、IT委員会研究報告「ITに対応した監査手続事例~事例で学ぶよくわかるITに対応した監査~」が公表されていましたね。。。
7月にパブコメが寄せられていたものです。。。
こんにちは、丸山満彦です。総務省が「電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集の結果」を公表していますね。。。
今回の改正は位置情報の話ですね。。。
こんにちは、丸山満彦です。総務省で「スマートフォン・クラウドセキュリティ研究会」が開催されましたね。。。
もう、かれこれ一週間前ですが。。。
=====
・・・スマートフォンは、端末自身の高い処理性能と多様なアプリケーションの流通を背景に、従来の携帯電話とモバイルパソコン双方のメリットを兼ね備えた存在・・・。
その一方で、情報漏えい等を引き起こすおそれのあるスマートフォン向けマルウェアの存在が確認されるなど、スマートフォンには、従来の携帯電話とは異なる新たな脅威が指摘されていることから、その利用に当たっては、適切な情報セキュリティ対策を講ずることが求められています。
さらに、企業の情報資産等のクラウドサービスへの移行が進む中で、今後スマートフォンを通じたクラウドサービスの利用の普及などクラウドサービスの利用主体・形態や取り扱う情報の多様化が予想されることから、クラウドサービスの持つ情報セキュリティ上の新たな課題の抽出も合わせて行うことが有益です。
・・・スマートフォンやクラウドサービスの利用に当たっての情報セキュリティ上の課題や、その他最近の技術進歩に伴う情報セキュリティ上の課題等を抽出するとともに、安全・安心な利用環境の構築のために講ずべき対策について検討すること等を目的として、本研究会を開催します。
=====
「従来の携帯電話とは異なる新たな脅威」という出発点?
=====
(1)スマートフォン、クラウドサービス等の新たな情報セキュリティ上の課題
(2)サービス提供事業者や端末ベンダにおいて現在取られている対策及び今後導入が検討されるべき対策
(3)利用者の情報セキュリティ意識向上策及び取るべき対策
=====
というのが検討内容ということです。
岡村先生、塩崎さん、中尾さん、西本さん、三輪さん、山口先生、よい議論よろしくお願いしますね!
こんにちは、丸山満彦です。備忘録です。
●Computerworld UK
・2011.09.28 Cloud computing and EU data protection law Part one: Understanding the international issues
こんにちは、丸山満彦です。IPAが「『標的型攻撃メールの分析』に関するレポート ~だましのテクニックの事例4件の紹介と標的型攻撃メールの分析・対策~」を公表していますね。。。
=====
近年増加傾向にある、情報窃取を目的として特定の組織や個人に送られる「標的型攻撃メール」について、メール受信者をだますテクニックとIPAに届けられた標的型攻撃メールの分析結果を紹介するとともに、標的型攻撃の被害に遭わないための対策をまとめ、技術レポート(IPA テクニカルウォッチ 第4回)として公開しました。
=====
ということのようです。。。
4つの事例は、
(1) ウェブ等で公表されている情報を加工して、メール本文や添付ファイルを作成
(2) 組織内の業務連絡メールを加工して、メール本文や添付ファイルを作成
(3) 添付ファイルをつけずに、不正なサイトへのリンクをメール本文に記載
(4) 日常会話的なメールを数回繰り返して、メール受信者の警戒心を和らげた
こんにちは、丸山満彦です。NISTからInformation Security Continuous Monitoring のガイダンスが公表されていますね。。。
継続的にモニタリングできる仕組みがあれば、変化をかんじとって、迅速にリスクに対応できる可能性が高まりますよね。。。
Recent Comments