2009.11.07
こんにちは,丸山満彦です。日本オラクル社が2009.11.05に「三井住友銀行、投資銀行部門のEUC基盤におけるセキュリティ対策を強化」というプレスを行っています。北野さんのブログで知りました。
プレス内容には
=====
(略)投資銀行部門は、M&Aアドバイザリーの案件情報など、機密性が要求されるデータを取り扱うケースもあることから、三井住友銀行のIT企画セクションでは、IT部門のシステム保守要員であっても、閲覧してはいけない内容を見えないようにするための高度なセキュリティ対策が必要になると判断しました。
そこで、三井住友銀行は、2008年11月、通常の保守作業においてデータベースの保守担当者や外部の保守ベンダーが具体的な顧客名や顧客との折衝内容など機密性の高い情報を参照できないよう、「Oracle Database Vault」を利用して、データベース管理者から全業務データの参照権限を削除し、「Virtual Private Database」を利用して機密性の高い情報が格納される列に対する参照権限を削除しました。この2つの組み合わせにより、投資銀行部門のEUC基盤に対して、より高度なセキュリティ対策を行うことができました。
=====
という記述があります。でも,よく考えればこれって,きわめて当たり前の話ですね。。。
| Permalink
|
| TrackBack (0)
2009.10.31
こんにちは,丸山満彦です。あまり特定の会社の宣伝につながるようなことは書かないのですが,NRIセキュアが面白いフリーソフトを出したので思わず書いてしまいました。。。
「機密性の格付けを記載しなさい」とルールで決まっていても,面倒でついつい忘れてしまいます。。。このソフトはWord, Excel, PowerPointのファイルに機密性などのラベルをつけなければ保存できないようにするソフトだそうです。。。
こういうあるいみベタなソフトっていい感じです。。。商売にならないから今まであまり注目されていなかったのかもしれませんが,フリーソフトでこういうソフトをだす,NRIセキュアさんって素敵!ですね。ライバル企業をほめている余裕はないのかもしれませんが・・・(笑)
| Permalink
|
| TrackBack (0)
2009.10.30
こんにちは,丸山満彦です。IPAが中小企業における情報セキュリティ対策の実施状況等調査を公表していますね。。。
調査結果の概要として,,,
=====
(1) 対象企業の約7割が入門レベルの合格基準に達せず
(2) 概ね組織全体としての取り組みが弱い
(3) 専門家や情報不在の状況
(4) 低い情報セキュリティ投資意向
(5) IPAガイドライン等の有効性を確認
=====
とのことです。。。
| Permalink
|
| TrackBack (0)
2009.10.24
こんにちは,丸山満彦です。仕事がいっぱいでブログの更新ができていませんでしたが,気まぐれ日記ということで。。。
日本の企業は自動車や機械といった物理的な物についての生産性は高いのですが,情報処理の生産性は高くないように思うんですね。。。
| Permalink
|
| TrackBack (0)
2009.10.13
こんにちは,丸山満彦です。JIPDECが「クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)」を公開していますね。。。
クレジットカード番号の情報漏洩等が原因となった事件も起こっているようですので,クレジットカードの普及のためにも適切なクレジットカード番号の管理が重要となりますね。。。
ISMSとPCI DSSのコラボレーションですね。。。
| Permalink
|
| TrackBack (0)
2009.10.12
こんにちは,丸山満彦です。10日までネットワーク・セキュリティ ワークショップ イン 越後湯沢がありました。台風18号の影響で私もなかなか会場につけず,1時間遅らせた開催時刻にまにあうのかどうか,ドキドキしたのですが,なんとか間に合いました。でも,開催時間には間に合わなかった参加者の方も多く,ちょっと今年は大変でしたが,最後まで大きな事故もなく無事終わりました。関係者の皆様,ありがとうございました。
ボランティアでこういう会を支えている皆様には本当に感謝です!!!
さて,私はクラウドコンピューティングとリスクについて話をしました。。。
| Permalink
|
| TrackBack (0)
2009.10.09
こんにちは,丸山満彦です。経済産業省が「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正についての意見の募集結果を公表していますね。。。
やっと出ました。。。参考にしてください。。。
| Permalink
|
| TrackBack (0)
2009.10.07
こんにちは,丸山満彦です。いろいろと忙しくしております。。。明日から,ネットワーク・セキュリティ ワークショップ イン 越後湯沢が始まりますね。。。
| Permalink
|
| TrackBack (0)
2009.10.03
こんにちは,丸山満彦です。堺市が保証型の情報セキュリティ監査報告書を公開していますね。。。
■堺市
●情報セキュリティ対策を点検するために、外部監査を実施しました。
=====
監査は、本市が作成した情報セキュリティ管理手続きに関する言明書に基づき、情報セキュリティ対策が行われているかを第三者機関が現場調査するという方法で行いました。
監査の結果、本市の情報セキュリティ対策の安全性は「保証できるレベルにある」という評価を得ました。
=====
| Permalink
|
| TrackBack (0)
2009.09.28
こんにちは,丸山満彦です。システム監査学会が,「クラウド時代とシステム監査の役割-来るべきクラウドコンピューティングと専門的な診断の視点-」という題でシンポジウムを11月6日に開催するようですね。。。
マイクロソフトの楠さんもお話されるようです。。。
| Permalink
|
| TrackBack (0)
こんにちは,丸山満彦です。佐々木先生が,日立システムズが主催するセミナー「第38回 Prowise Business Forum ITリスクへの対応 - これからのセキュリティ脅威と企業対策」(9月17日開催)で「ITリスクの考え方 - 対立するリスクにどのように対応するか」と題した基調講演をしたようですね。。。
先生の研究室にお邪魔して説明を受けました。なかなか面白いアイデアです。。。
| Permalink
|
| TrackBack (0)
こんにちは,丸山満彦です。IPAが「情報セキュリティ技術動向調査(2009 年上期)」を公表していますね。。。
| Permalink
|
| TrackBack (0)
2009.09.14
こんにちは,丸山満彦です。CIO連絡会議の資料として府省共通業務・システム等の平成20年度最適化実施評価報告書等が公表されていますね。。。
資料が膨大なのでまだ読んでいませんが,うまくいっているようなうまくいっていないような。。。
| Permalink
|
| TrackBack (0)
2009.09.13
こんにちは,丸山満彦です。システム監査の黎明期について
鳥居先生による「システム監査研究の黎明期」が駿河台大学文化情報学部紀要 15(2), 3-25 ,200812に掲載されているようですね。花田先生ありがとうございます。。。
| Permalink
|
| TrackBack (0)
こんにちは,丸山満彦です。EDPAA(現ISACA)の1983年度版「Control Objectives」をEDPAA東京支部が翻訳したものが日経マグロウヒル社から「システム監査ガイドライン」として発行されていますが,そのコントロール項目を書き出してみました。
具体的な手続きは異なりますが,コントロール目標としては昔も今も同じですね。。。
| Permalink
|
| TrackBack (0)
2009.09.10
こんにちは、丸山満彦です。経済産業省が情報システムの信頼性向上に関する評価指標第1版(案)に対する意見公募結果を公表していますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。昨日は朝の7時から会社に来ていましたので、長~い1日となっております。。。さて、総務省が「電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集」を行っていました。。。
。
| Permalink
|
| TrackBack (0)
2009.08.30
こんにちは、丸山満彦です。ISACA名古屋の20周年記念講演会に参加してきました。
参加の目的はいろいろとあったのですが。。。
概ね目的は達成できました。。。
名古屋支部は、存亡の危機もありましたが(会長に連絡ができないとか・・・)、今は会員も100名を超えているようです。
| Permalink
|
| TrackBack (0)
2009.08.28
こんにちは、丸山満彦です。オラクルの北野さんもブログを始めたようですね。。。マイクロソフトのセキュリティーチームブログ(小野寺さんが多いようですが。。。)、Sunの下道さんのブログなど、参考になるブログが増えるとよいですね。。。
データベース・セキュリティをはじめセキュリティ関係では有名な方ですので、今後の展開を期待しております。。。
情報セキュリティblogのリンクとまるちゃんのアンテナにも入れておきました。。。
■Security, time after time
| Permalink
|
| TrackBack (0)
2009.08.26
こんにちは、丸山満彦です。米国政府のセキュリティの基準にNISTのSP800-53がありますが、それを実現するための重要な20のコントロールを示したもののようですね。。。
これを自動化するためのツールも募集している?ようですね。。。
J-SOXでもそうですが、コントロールの自動化は重要なポイントです。人間によるコントロールのほうが柔軟性があり、効果的なコントロールとなる場合も多いですが、人間のコントロールは、ITによる自動化されたコントロールと比べると
・ばらつきが大きい
・同じ作業をする場合に効率が悪い
というデメリットがあります。
業務の標準化を行い、その中コントロールを標準化し、標準化したコントロールを自動化していく。最後に人間によるコントロールで押えを行う。というのが、効果的なコントロールの基本設計といえますね。。。
さて、セキュリティの基本的な対策は、
・権限のある人のみが必要最低限の権限を行使できる
状況を作り出すことです。
そのためには、情報へのアクセス制御が重要となります。この点からセキュリティ対策を考えていけば自然と必要なセキュリティ対策が見えてくると思います。。。
| Permalink
|
| TrackBack (0)
2009.08.25
こんにちは、丸山満彦です。マイクロソフトのセキュリティのコラムで、Security Warsが公開されていますね。。。
| Permalink
|
| TrackBack (0)
2009.08.22
こんにちは、丸山満彦です。花田先生のブログにいつも先をこされていますが・・・経済産業省が、「情報セキュリティガバナンス実態調査2008」を公表していますね。。。報告書の日付は2009年3月どす。。。
| Permalink
|
| TrackBack (0)
2009.08.13
東証が三菱UFJ証券株式会社に対する処分を公表していますね。。。取引参加者規程第34条第1項第8号の規定に基づき処分(戒告)だそうです。。。
また、取引参加者規程第19条の規定に基づき、業務改善報告書の提出も請求したようですね。。。
業務改善報告書には以下の内容を含まないといけないようです。。。
① 情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること
② 大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
③ 今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
④ 例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること
・部門別のけん制機能の確保
・外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保
・不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への監理・けん制の強化
・不正行為の隠蔽の防止
⑤ 不正行為の未然防止に向けて、人事管理等のあり方を見直し、適切に実施すること
⑥ 上記③乃至⑤への対応状況を含めた同社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる充実を図ること
⑦ 上記①乃至⑥への対応状況について、顧客等への周知を図る観点から、その概要を公表すること
⑧ 個人データの安全管理のための実効性のある措置を確保すること
⑨ 個人データの安全管理を図るための従業者に対する監督を徹底すること
| Permalink
|
| TrackBack (0)
2009.08.08
こんにちは、丸山満彦です。花田先生のブログでしりました。JIPDECがISO/IEC27000ファミリーの動向について公表していますね。。。
ISO/IEC27000:2009などISO化されたものは、まもなく翻訳版がでると思います。。。
| Permalink
|
| TrackBack (0)
2009.08.06
こんにちは、丸山満彦です。JIPDECが「ITSMS適合性評価制度の概要」を公表していました。。。ITSMSの認証取得数は2009年7月31日現在で88。2006年10月に制度が開始されて約3年。。。浸透はいまいちですね。。。ちなみにISMSは同じ期間で1330です。15分の1のスピード感でしょうか。そういえば、ISMSも最近は新規認証取得数が減っているようです。
| Permalink
|
| TrackBack (0)
2009.08.02
こんにちは、丸山満彦です。NRIセキュアテクノロジー社が「Webサイトのセキュリティ診断結果の傾向分析レポート2009年版」を公開を公表していますね。。。
参考になりますね。。。
| Permalink
|
| TrackBack (0)
2009.07.25
内閣官房が、「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針(第3版)」(案)に対するコメントを求めていますね。。。
=====
※ 対策項目の重点項目として、従来の3項目に次の2項目を追加しています。
IT障害発生時の利用者の対応のための情報の提供等の対策
ITに係る環境変化に伴う脅威のための対策
=====
ということのようです。。。
| Permalink
|
| TrackBack (0)
2009.07.24
こんにちは、丸山満彦です。日本公認会計士協会からIT委員会報告「ITに係る保証業務等の実務指針(一般指針)」 (公開草案)が公表されていますね。また、「IT委員会報告第2号「Trustサービスに係る実務指針 (中間報告)」も用語の修正を中心に整理していますね。。。
| Permalink
|
| TrackBack (0)
2009.07.21
こんにちは、丸山満彦です。GAOが政府機関の情報セキュリティ対策の実施状況に対する報告書「Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses」を公表していますね。。。これから読んでいこうと思いますが、アクセスコントロールに課題が多いような感じですね。。。
日本の会計検査院もこういうのをやってみるとよいのかもしれませんね。。。
日本の場合はどうなのでしょうか・・・
| Permalink
|
| TrackBack (0)
2009.07.17
こんにちは、丸山満彦です。総務省が「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」を公表していますね。。。
総務省の報告書というのはいつもページ数が多いように思いますが、気のせいでしょうか?
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。
・情報セキュリティ監査手続ガイドライン
・情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引
が確定したようですね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。「電子政府ユーザビリティガイドライン(案)」が確定していましたね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。7月10日に金融庁から「金融分野における個人情報保護に関するガイドライン」に対する意見募集が行われていましたね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。いろいろ忙しくて。。。6月30日に環境省から「環境省所管分野における個人情報保護に関するガイドライン(案)」に対する意見募集が行われていましたね。。。
| Permalink
|
| TrackBack (0)
2009.07.12
こんにちは、丸山満彦です。経済産業省が「新世代情報セキュリティ研究開発事業(クラウドコンピューティングセキュリティ技術研究開発)」の委託先を公募していますね。。。
事業の目的で
=====
現状のクラウドコンピューティングは既存のテクノロジーの集大成というべきものであり、今後も発展が期待されるものの、クラウドコンピューティングが次世代の基盤テクノロジーとなるためには、解決しなくてはならない課題があり、その中で最も重大な課題領域がセキュリティの確保、データプライバシーの確保であると考えられます。そこで本事業においては、クラウドコンピューティングに必要なセキュリティ技術とはどのようなものであるのかの検討に加え、具体的な技術開発を行います。
=====
としていますが、クラウドコンピューティングという用語の定義が明確にする必要があるとは思いますが、もはや難しいでしょうかね。。。
セキュリティ監査の話もありますね。。。
| Permalink
|
| TrackBack (0)
2009.07.06
こんにちは、丸山満彦です。経済産業省が『「情報セキュリティガバナンス導入ガイダンス」等の公表について~経営者のリーダーシップによる情報セキュリティ対策の推進を目指して~を』を公表していますね。。。
「アウトソーシングに関する情報セキュリティ対策ガイダンス」なるものも公表されていますね。
また、「情報セキュリティ関連法令の要求事項集」というものがありまして、これが非常に興味深いので是非参考にしてくださいね。。。
| Permalink
|
| TrackBack (0)
2009.07.03
こんにちは、丸山満彦です。「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改定案に対する意見の募集が行われていますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。総務省が「スマート・クラウド研究会」を立ち上げたようですね。。。
=====
(1)クラウド技術の活用方策
・地球環境問題、自然災害、食料問題など地球的規模の課題解決のためのクラウド技術活用方策
・電子行政クラウドなど公共分野におけるクラウド技術活用方策 など
(2)クラウド技術の標準化、相互運用性を確保するためのプラットフォーム基盤やセキュリティ基準の在り方
(3)次世代クラウドネットワーク技術の在り方
(4)クラウド技術に係る国際的なルールの在り方
(5)その他
=====
NISCが政府のファイルサーバやウェブサーバの数を半減と言っていましたが、クラウド技術をつかって政府で効率的なサービスを提供できればよいかもしれませんね。。。
外注費の削減、各府省庁のリストラがなければ新たに導入するメリットは半減してしまいますので、もちろんこういうこともセットだと思いますが。。。
| Permalink
|
| TrackBack (0)
2009.07.02
こんにちは、丸山満彦です。JPCERT/CCがソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」を公開していますね。。。
=====
セキュリティ上の欠陥の根本原因に対する理解が深まるにつれ、実装とデプロイメントのフェーズだけでなく、ソフトウエア開発ライフサイクル全般を通して、セキュリティ対策の重要性に対する理解が深まってきています。
=====
そのとおりどす。。。
=====
ソフトウエアあるいはシステムが提供する機能のセキュリティ品質(非機能要件としてのセキュリティ)の向上を目的としたものです。機能に依存しない対策であるため、セキュアコーディングと同様にその適用範囲は開発される製品の種類(アプリケーションドメイン)を選ばず、かつ、開発言語への依存性も低いことから、幅広い開発プロジェクトにおける脆弱性対応関連コストの削減とリストの低減などに資する効果が期待できます。また、開発現場において、下流工程における対策であるセキュアコーディングと併用して適用することにより、より大きな効果が期待できます。
=====
なるほど。。。
| Permalink
|
| TrackBack (0)
2009.06.26
こんにちは、丸山満彦です。内閣官房(NISC)がセキュアジャパン2009を公表していますね。。。今回の副題は「すべての主体に事故前提の自覚を」です。。。そんなに何度も「事故前提」と書かなくてもふつう、事故前提で考えていますよね。。。と普通の会社で働いている人は思っているかもしれません。。。でも、そう書き続けることが必要なんでしょうね。。。
| Permalink
|
| TrackBack (0)
2009.06.22
こんにちは、丸山満彦です。ITGI JapanのウェブページにIT Assurance Guideの日本語訳「IT統制の保証ガイド」が公表されていますね。。。
システム監査やIT全般統制の評価をする際に役に立つと思います。。。
| Permalink
|
| TrackBack (0)
2009.06.12
こんにちは、丸山満彦です、IPAが「IC旅券用プロテクションプロファイル」に関する調査報告書を公表していました。。。
| Permalink
|
| TrackBack (0)
2009.06.05
こんにちは、丸山満彦です。第13回サイバー犯罪に関する白浜シンポジウムが始まっています。。。
テーマは
「ウイルスとマルウェアの脅威」
~あなたの生活が狙われている~
です。。。
昨年度 このブログ
・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。
講演内容は。。。
| Permalink
|
| TrackBack (0)
2009.06.03
こんにちは、丸山満彦です。総務省で2009.04.21に開催された「公的個人認証サービス普及拡大検討会 第1回会合 議事次第」が公表されていますね。。。
e-taxのおかげ?で113万枚まで発行が増えた公的個人認証サービスの電子証明書の普及をより図ろう・・・という話ですかね。。。
ICカードだけでなく、パソコンやUSBメモリーに電子証明書を入れるということも検討しているようですね。。。
| Permalink
|
| TrackBack (0)
2009.06.01
こんにちは、丸山満彦です。経済産業省が、「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書」を公表していますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。最近、めっきりブログが御留守になっております。。。これは、情報収集能力もおちているからですね。。。
ということで、夏井先生のCyberlawブログは、重要な海外の情報をよく拾っているので大変参考になります。これもその一つ。。。
| Permalink
|
| TrackBack (0)
2009.05.26
こんにちは、丸山満彦です。2009.05.22に内閣官房で第1回情報セキュリティ報告書専門委員会が開催されたようですね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。経済産業省が情報システムの信頼性向上に関する評価指標第1版(案)に対するパブコメを募集していますね。。。
| Permalink
|
| TrackBack (0)
2009.05.23
こんにちは、丸山満彦です。総務省が、「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」に対する意見を募集していますね。。。
=====
1.経緯
・・・従来、医療機関等や関係者に対しては法律や各種のガイドライン等により、格別の安全管理措置を講ずることが義務付けられ、医療情報については、医療機関等が自らの責任で管理し、情報システムの導入時にも自らが管理するシステム等により取り扱われてきました。一方で、情報システムの高度化・多様化に伴い、個人情報の保護やセキュリティに対する社会的な要請が高まる中、必ずしも情報処理に関わる専門家ではない医療機関等や医療関係者がこれらの要請に耐えうることが困難な場面も見受けられるようになってきました。このような状況のなか、昨今のASP・SaaSの普及に伴い、医療に関わる情報を処理するASP・SaaS事業者も見られ、これらの事業者に対し、安全性確保の方策について一定の基準を示す必要性が生じてきました。
そこで、総務省とASPIC※の合同で設立した「ASP・SaaS普及促進協議会」のなかに「医療・福祉情報サービス展開委員会」(別紙)を設置し、医療情報の重要性から見た高度な安全性確保の要求を踏まえ、医療情報がASP・SaaSによって適正かつ安全に取り扱われ、医療情報におけるASP・SaaSの利用の適切な促進を図るための検討を実施してきました。・・・。
=====
ということのようです。。。
| Permalink
|
| TrackBack (0)
2009.05.22
こんにちは、丸山満彦です。JASA(日本セキュリティ監査協会)が保証型監査促進プロジェクト報告等を公表していますね。。。なかなか面白いです。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。IPAが「2008年 国内における情報セキュリティ事象被害状況調査」を公表していますね。。。セキュリティ対策の導入状況も合わせてアンケートしていますので、参考になるかもですね。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。経済産業省が、「情報セキュリティ監査手続ガイドライン(案)」及び「情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引(案)」についての意見募集をしておりますね。。。
| Permalink
|
| TrackBack (0)
2009.05.21
こんにちは、丸山満彦です。経済産業省が「平成20年度情報セキュリティ市場調査報告書」を公表していますね。。。
報告書のP7には、アイデンティティ・アクセス管理製品がセキュリティ製品の中では二番目の市場規模になったと書いていますね。J-SOXの影響ですかね。。。
=====
【アイデンティティ・アクセス管理製品】
「アイデンティティ・アクセス管理製品」の2007 年度推定実績値は615 億円(同17.8%)で、「ネットワーク脅威対策製品」を抜いて「情報セキュリティツール」市場の中で二番目に大きな規模へと成長した。このカテゴリには、本人認証のための製品や、システム、サーバ、ネットワーク、データ等のコンピューティング資源の利用権をシステム全般にわたって管理するシステム、システムやネットワークへのログオンを管理する製品等が含まれる。この市場が拡大する背景には、個人情報保護や情報漏えい対策強化を中心に、ユーザの本人確認や、システムやデータへのアクセス権管理の必要性が、より強く意識されるようになってきたことが挙げられる。また、内部統制のためにIT ガバナンスの確立が急がれており、IT の利用を個人に紐付けて管理する管理体制や統制システムの整備が進んできたこともこのカテゴリの規模が急速に拡大している要因と言える。
=====
個人情報保護法のガイドラインにはアクセス管理の重要性、そのためのアイデンティティ管理の重要性に触れられているのですけどね。。。
| Permalink
|
| TrackBack (0)
2009.05.11
こんにちは、丸山満彦です。総務省が「クラウドコンピューティング時代のデータセンター活性化策に関する検討会」を開催するようですね。。。担当課長補佐は高村さんのようですね。。
=====
1 背景・目的
ブロードバンド化やIP化の進展に伴い、どこに保管されているデータであっても利用者が容易に利用することができるクラウドコンピューティング化が進んでいます。そのため、国内インターネットの総トラヒックは順調に増加しているものの、その内訳を見ると「海外データセンターからの流入トラヒック」の増加が顕著です。一方で、ネットワーク事業者の収入は国内から送信されるトラヒックに依存するため、世界への情報発信機能を強化し、電気通信事業を発展させるためには、総トラヒックに占める「国内データセンターからの送出トラヒック」の割合の増加を図ることが必要とされています。
これらの観点から、「国内データセンターからの送出トラヒック」を増加させ、日本をアジアの情報発信拠点とすることにより、電気通信事業の発展や新規サービスの創出を図り、利用者利便の向上、我が国経済全体の発展を実現する方策の検討を行うことを目的として、本検討会を開催します。
2 検討項目
(1) 国内データセンターの利用促進方策
(1) 立地に係る環境整備
(2) 業務運営の円滑化
(3) 利用者の選択が容易な環境の整備
(2) 国内向けサービスの活性化方策
(1) 利用者に安心感を与える環境の整備
(2) 新たなサービスが創生される環境の整備
=====
普及においてまずは、「(1) 利用者に安心感を与える環境の整備」が重要なんでしょうね。
「●●会社がやっているから安心」というのではなく、「■■というルールにしたがっているから安心」できるというようになれば、適切なルールを作れば広がるのかもしれませんね。。。
| Permalink
|
| TrackBack (0)
2009.05.09
こんにちは、丸山満彦です。FISCAMを表にしてみました。。。J-SOXのIT全般統制やIT業務処理統制を考える上でも参考になりますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。こんにちは、丸山満彦です。内閣官房情報セキュリティセンター(NISC)が「セキュア・ジャパン2009」(案)に関する意見の募集を行っていますね。。。
副題は、「~すべての主体に事故前提の自覚を~」のようです。。。
| Permalink
|
| TrackBack (0)
2009.05.08
こんにちは、丸山満彦です。経済産業省が、「素形材企業のための技術・ノウハウ保護ガイドブック」を公表していますね。。。
チェックリスト&事例付きで分かりやすくまとめられていますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。GAOのシステム監査マニュアル・・・2月に公表されていました。。。忘れないうちに・・・
=====
FISCAM control activities are consistent with NIST Special Publication 800-53 and all SP800-53 controls have been mapped to the FISCAM.
=====
ということですので、NIST Sp800-53とも対応がとれているということになっていますね。。。
| Permalink
|
| TrackBack (0)
2009.05.02
こんにちは、丸山満彦です。経済産業省が、「情報セキュリティガバナンス導入ガイダンス」(案)等に対して意見募集をしていますね。。。
| Permalink
|
| TrackBack (0)
2009.04.28
こんにちは,丸山満彦です。Cloud Security Allianceが「Security Guidance for Critical Areas of Focus in Cloud Computing」を公開していますね。。。
| Permalink
|
| TrackBack (0)
2009.04.15
こんにちは、丸山満彦です。IPAが重要インフラ情報システム信頼性研究会報告書を公表していますね。。。
=====
IPAでは、社会インフラとして広く国民生活に関係する情報システムの信頼性を確保していくことの重要性に鑑み、経済産業省の指導の下、「情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会(経済産業省)」における重要テーマを検討するため、JUAS(社団法人日本情報システム・ユーザー協会)と連携し、2者を共同事務局とする「重要インフラ情報システム信頼性研究会」(委員長:中尾 政之 東京大学大学院・工学研究科教授)を平成20年度に発足しました。
今回、本研究会の活動成果を、「重要インフラ情報システム信頼性研究会報告書」として公開しました。
=====
ということです。。。
で、目次の大項目は、
=====
1:重要インフラ情報システム信頼性研究会 ― 総論
2:システムプロファイリングの基本的な考え方
3:ITシステム障害事例の分析と対策指針
4:情報セキュリティ・インシデント事例分析と対策
5:信頼性向上に向けたシステム開発共通リファレンス
=====
今後は、
=====
SECを中心に、以下の項目について産業分野毎に具体化及び精緻化を進めるとともに、情報の共有体制を整備していきます。
・システムプロファイリング
・システム障害の類型化と障害対策指針
・セキュリティを重視した障害対策指針
・重要インフラ情報システム構築段階での信頼性実現に向けた開発作業指標(指針)
=====
ということのようです。。。
| Permalink
|
| TrackBack (0)
2009.04.09
こんにちは、丸山満彦です。最近すっかりJ-SOXで個人情報の話題が少なくなっていますが、漏洩事故は依然と続いていますね。。。さて、厚生労働省が「医療情報システムの安全管理に関するガイドライン 第4版」を公表しましたね。。。
| Permalink
|
| TrackBack (0)
2009.04.04
こんにちは、丸山満彦です。JIPDECからISMS関連の文書が3つ出ていることを花田先生のブログで知りました。。。
つい最近まで作業をやっていたと思ったら公開されていました。。。
| Permalink
|
| TrackBack (0)
2009.04.01
こんにちは、丸山満彦です。ちょっと世の中に遅れ気味ですわ。。。IPAが「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」を公表していますね。。。
| Permalink
|
| TrackBack (0)
2009.03.30
こんにちは、丸山満彦です。総務省が「地方公共団体ASP・SaaS活用推進会議 第一次中間報告」を公表していますね。
経緯
=====
ASP(Application Service Provider)・SaaS(Software as a Service)サービスとは、ネットワークを通じてアプリケーションを提供するサービスです。地方公共団体がASP・SaaSサービスを利用することにより、情報システムの開発コストの軽減、開発期間の短縮、運用に係る負担の軽減等のメリットが期待できます。
総務省では、電子自治体の普及促進のため、平成20年10月に地方公共団体ASP・SaaS活用推進会議を設置し、地方公共団体がASP・SaaSを活用する際の具体的課題や活用を推進するための実効性のある取組方策等について広く検討してきたところですが、今般、平成20年度における検討結果を第一次中間報告として取りまとめました。
=====
| Permalink
|
| TrackBack (0)
2009.03.29
こんにちは、丸山満彦です。日本銀行金融研究所が、人工物メトリックスに関する3つの報告書(ディスカッションペーパー)をだしていますね。。。
・人工物メトリック・システムにおける耐クローン性の評価方法の構築に向けて
・偽造防止技術の中の人工物メトリクス:セキュリティ研究開発の動向と課題
・偽造防止技術の新潮流:金融分野における人工物メトリクスの可能性
岩下さんです。
| Permalink
|
| TrackBack (0)
2009.03.28
こんにちは、丸山満彦です。IPAが「10大脅威 攻撃手法の『多様化』が進む」を公開していますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。総務省が電子自治体の推進に関する懇談会(セキュリティワーキング グループ)検討結果を公表していますね。。。
=====
・・・地方公共団体の業務の外部委託事業者や再委託事業者からの情報漏えい事案が頻発していること、情報セキュリティ対策の基盤となるリスク分析について、地方公共団体における取組が低い状況にあることから、地方公共団体における「外部委託に伴う個人情報漏えい防止対策」及び「情報資産のリスク分析」に関して検討を進めてきたところですが、このたび、それぞれの検討の結果を取りまとめましたので公表します。
=====
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。CIO Magazine + PwCが2003年から活動しているようですね。。。
=====
今回掲載した調査結果は、100を超える国や地域の7,097名に及ぶCEOやCIO、CSO(最高セキュリティ責任者)、ITおよびIS担当の副社長やディレクター、セキュリティやIT担当の専門技術者などから得た回答に基づいている。
=====
ということのようです。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。経済産業省が「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書(案)」に対する意見を募集していますね。。。
| Permalink
|
| TrackBack (0)
2009.03.27
こんにちは、丸山満彦です。忘れていました。。。経済産業省が情報システムの信頼性向上に関するガイドライン第2版を公開していますね。。。
| Permalink
|
| TrackBack (0)
2009.03.19
こんにちは、丸山満彦です。
監査法人トーマツが、リスクマネジメントに関するコンサルティングサービスに特化した新会社、「デロイト トーマツ リスクサービス株式会社」を新設したようですね。
■監査法人トーマツ
・2009.03.18 デロイト トーマツ リスクサービス株式会社 新設のお知らせ
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。IPAが「中小企業の情報セキュリティ対策ガイドライン」を公開していますね。。。とかくこれまでの対策についての解説は大企業向けとなりがちであったのですが、小さな企業であっても多くの個人情報をとりあつかったり、インターネットを利用してサービスをしたりという状況ですので、社会全体の安全を確保する上でも、中小企業が適切なセキュリティ対策を講じるようになることは重要ですよね。。。
ということで、できる限りわかりやすく、対策しやすいようにということで作られているようですね。。。
■IPA
●プレス文
・2009.03.18 「中小企業の情報セキュリティ対策ガイドライン」を公開
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。IPAが「情報セキュリティ教本」の改訂版を出すようですね。。。
主な変更点
=====
・政府機関統一基準第3版対応
・情報セキュリティ関連年表の掲載
・10章セキュリティ評価 の書き換え
・情報セキュリティ対策ベンチマーク改訂にあわせて書き直し
・保証型情報セキュリティ監査の枠組策定、情報セキュリティ管理基準改正により、情報セキュリティ監査の項の書き直し
・ISMSについて記載を追加
・法令遵守に内部統制関連の項目を追加
・新規格の発効に伴う記載の変更
=====
政府機関統一基準は第4版となりましたが、対照表がありますので、それで基本的には対応は可能です。。。
| Permalink
|
| TrackBack (0)
2009.03.16
こんにちは、丸山満彦です。米国では重要インフラを運営する組織に対するサイバーセキュリティに対する法整備が必要なのではないかという話ですね。。。
| Permalink
|
| TrackBack (0)
2009.03.09
こんにちは、丸山満彦です。ISACAがEnterprise Risk: Identify, Govern and Manage Risk The Risk IT Frameworkの公開草案を2月3日に公開していました。。。パブコメ期間は45日ですからもう少しです。。。
=====
1. Risk ITFramework—Purpose and Target Audience
2. Risk IT Principles
3. Responsibilities and Accountability for IT Risk
4. Awareness and Communication
5. Responding to IT Risk
6. Risk and Opportunity Management Using COBIT, Val IT and Risk IT
7. The Risk IT Framework Components
8. The Risk IT Foundation
9. The Risk IT Process Model
10. Managing Risk in Practice—The Techniques Guide Overview
11. Description of the Risk IT Framework
12. The Risk IT Framework
=====
という目次になっております。いままで出版していたものをリスクを切り口にまとめたような感じかなぁ。。。
| Permalink
|
| TrackBack (0)
2009.03.02
こんにちは、丸山満彦です。更新が滞っていますが。。。気まぐれ日記ということで。。。SANSのConsensus Audit Guidelinesは参考になりますわ。。。
こういう基準は、一部の特定の学者や事業者が権威の力を借りて一般に公正妥当と認められる基準をつくったことにするよりも、利害関係者が集まって実践を繰り返す中で必要なものを作り出していくことが重要なんですよね。。。
| Permalink
|
| TrackBack (0)
2009.02.05
こんにちは、丸山満彦です。Deloitteが金融機関の情報セキュリティグローバル調査を公表していますね。今年で6回目ですね。
=====
・As in previous surveys, respondents recognize that people are both an organization’s greatest asset as well as its weakest link. But security vigilance is even more important in hard economic times, when the increased stress levels can lead people to behave in atypical ways.
・Even though both internal and external security breaches at financial institutions worldwide have fallen over the past 12 months, employee misconduct is a growing concern.
・The growing popularity of social networks and the proliferation of mobile media such as USB keys, MP3 players and PDAs, all cause an extra load on internal and external security. These devices present opportunities for unauthorized download and storage of confidential information in an unprotected medium.
This is one of the factors that has contributed to the sudden rise of data protection and information leakage as a top priority for financial institutions—tied at second place with access and identity management.
・The top three information security priorities of financial institutions are: security regulatory compliance, followed by data protection and information leakage, and access and identity management.
・In 2008, financial institutions saw a decline in the number of both external (47% vs. 65% in 2007) and internal (27% vs. 30% in 2007) security breaches.
・The leading drivers for financial institutions to protect the privacy of their clients information are privacy regulatory requirements (79%) followed by reputation and brand concerns (70%).
=====
| Permalink
|
| TrackBack (0)
2009.02.04
こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)に関する意見の募集の結果を公表していますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「重要インフラの情報セキュリティ対策に係る第2次行動計画」(案)に関する意見の募集の結果を公表していますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「第2次情報セキュリティ基本計画」(案)に関する意見の募集の結果を公表していますね。。。
| Permalink
|
| TrackBack (0)
2009.01.31
こんにちは、丸山満彦です。経済産業省のCHECK PCキャンペーンが始りはったみたいや。。。今年はバーチャルアイドル?のセキュリーナやそうや。。。両親をデジタルアーティストともつ東京都出身の「しな」と世界で有数のコンピュータ系の学校を首席で卒業した「せな」らしいは。。。「しなさい」、「せなアカン」をかけてるらしいわ。。。
ここで歴代のセキュリティ大使?のおさらいですわ。。。
・2006年:眞鍋かをり
・2007年:白石美帆
・2008年:上戸彩
| Permalink
|
| TrackBack (2)
2009.01.13
こんにちは、丸山満彦です。総務省が「電子自治体の推進に関する懇談会(オンライン利用促進ワーキンググループ)報告書」を公表していますね。。。住民の利用があまり進まない?電子自治体の推進のために「インセンティブの付与」や「証明書等のペーパーレス化」について検討しているようですね。。。
電子自治体の利用が進まない背景をアンケート等を活用して探っているようですね。金銭的インセンティブ、時間的インセンティブが十分でないものが利用が進んでいないという仮説のようですが、私の場合は滅多に利用しないサービスについては、繰り返し利用するサービスに比べると認知の面でも、操作性の面でも利用が進まないですね。。。
業務の効率化が目的なのか、電子自治体の利用促進が目的なのか、ようよう考えなあかんのとちゃうかなぁ・・・と思う時もありますなぁ。。。
=====
【総務省】
・2009.01.09 電子自治体の推進に関する懇談会(オンライン利用促進ワーキンググループ)報告書の公表
■オンライン利用促進ワーキンググループ報告書
●「インセンティブ付与」(第1分冊) 全体版
●「証明書等のペーパーレス化」(第2分冊) 全体版
【参考】このブログ
・2005.06.21 国のシステム 使われているシステムと使われていないシステム
=====
図表 2.2 オンライン利用促進対象手続(21 類型)の平成19年度利用実績
| Permalink
|
| TrackBack (0)
2009.01.02
こんにちは、丸山満彦です。。。元旦の日経新聞の第二部ですが、ことしは再び「テクノロジー新世紀特集」から「IT・デジタル特集」になっていますね。。。環境問題は昨年よりも減っていますね。。。不景気を反映してか、コスト削減の話がSaaSやクラウドコンピューティングとつなげて話題になっているように思います。。。SNSも話題となっていますね。。。
くわしくは新聞で・・・ということで、気になった部分だけ・・・
| Permalink
|
| TrackBack (0)
2009.01.01
あけましておめでとうございます。。。丸山満彦です。昨年は大変お世話になりました。。。本年も
よろしくお願いします。
とりいそぎ年賀状Web版です。。。
| Permalink
|
| TrackBack (0)
2008.12.30
こんにちは、丸山満彦です。経済産業省が「情報システム調達のための技術参照モデル(TRM) 平成20年度版」を公表していますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。総務省が「インターネット政策懇談会」報告書素案についてのパブリックコメントを募集していますね。。。
=====
総務省では、社会経済活動に不可欠な基盤インフラとして位置付けられるようになっているインターネットについて、近年、ネットワーク構造や市場環境が大きく変化する中、利用者はもとより、通信事業者、ベンダー、ISP、コンテンツ・アプリケーション事業者など、多様なステークホールダの観点から、ネットワークの中立性を確保し、インターネットの健全な発展を図るための政策課題を抽出・整理し、今後の政策の方向性を整理することを目的として、本年2月26日から「インターネット政策懇談会」を開催してきたところです(本懇談会の構成員は別紙1、同開催状況は別紙2のとおりです。)。
今般、本懇談会における検討結果を踏まえ、報告書素案(別紙3(PDF))が取りまとめられましたので、これを公表するとともに、報告書素案に対する意見を募集します。
=====
ということのようですね。。。高村さん。。。
| Permalink
|
| TrackBack (0)
2008.12.22
こんにちは、丸山満彦です。更新が滞っていますが、気まぐれ日記ということで。。。
さて、気になる記事「ノートPC紛失! それでも「謝罪不要」なセキュリティ・レベルを考える 」(ITPro)です。
| Permalink
|
| TrackBack (0)
2008.12.11
こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが 「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)に関する意見の募集を行っていますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。内閣官房情報セキュリティセンター(NISC)が「第2次情報セキュリティ基本計画」(案)に関する意見の募集を行っていますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。内閣官房情報セキュリティセンター(NISC)が「重要インフラの情報セキュリティ対策に係る第2次行動計画」(案)に関する意見の募集を行っていますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。なかなかブログの更新ができない日が続いておりますが。。。日経新聞に、「民間から「情報安全補佐官」 各省庁の採用を政府が義務づけ」という記事がでていましたね。。。
| Permalink
|
| TrackBack (0)
2008.11.11
こんにちは、丸山満彦です。経済産業省が情報セキュリティ管理基準 ver2.0を公開していますね。平成21年2月1日から適用?されるようです。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。総務省は、政府認証基盤(GPKI)アプリケーション認証局サービスにおいて、WebTrust for CAの規準に基づく検証報告書を監査法人トーマツから取得し、WebTrustシールの使用の許諾を得たようですね。。。
検証の範囲は、政府認証基盤(GPKI)アプリケーション認証局サービスですが、加入者登録業務を行っている外部登録局(府省等登録局)における内部統制は、当監査法人による検証の範囲外ですね。。。
WebTrust for CAの認証取得は日本では4番目(セコムトラストネット、インテック、財団法人地方自治情報センターのLGPKI がすでに取得していますね。。。)ということのようです。。。
監査法人別では、トーマツが3つ、PwC(あらた)が1つとなっていますね。。。
| Permalink
|
| TrackBack (1)
こんにちは、丸山満彦です。Googleといえば、Googleマップがプライバシーを侵害しているようなケースがありいろいろと話題となっておりますが。。。今回はGoogle AppsがSAS70の監査を受けているという話です。。。
このブログでも、
・2006.08.17 SAS70、監査基準委員会報告書第18号
で紹介していますが、SAS70ってその仕組みがなかなか理解されていませんよね。。。「SAS70認証を取得」とか。。。そういう話ではないんですよね。。。
そういえば、Webtrustも取得していると書かれていたので調べてみると、どうやらPostiniという会社がWebtrustの監査を受けていて、その会社を買収したようですね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。ITGIから「「バーゼルIIのためのIT統制目標」コンプライアンスのためのガバナンスとリスクの管理の重要性」が公開されていますね。。。
今回はKPMGビジネスアシュアランスが翻訳に貢献してくれました。。。
| Permalink
|
| TrackBack (0)
2008.11.06
こんにちは、丸山満彦です。情報ネットワーク法学会第8回研究大会の受付が開始されていますね。。。今年は東京電機大学ですね。。。12月6日土曜日です。。。
| Permalink
|
| TrackBack (0)
2008.10.31
こんにちは、丸山満彦です。長い題です。もちろん、状況によって外部内部の切分線が異なるのは当然ですが。。。ちょっと本質を考えてほしいと思うんですね。
支配権が及ばない持分法適用会社を企業グループの内部として内部統制の評価に含めるのはおかしいんじゃないの?という話は、
=====
2008.06.26 質問:そもそも持分法適用会社の内部統制って、親会社ではないけど大株主である企業から見た場合の内部統制ですか?
=====
でちょっとした議論となりましたが、逆に個人情報の取扱等情報セキュリティの分野では、一部門が子会社化し、完全一体化して運営されているような子会社についても法形式的には外部ということで、「外部委託は禁止だ。。。」みたいなことが言われたりします。
| Permalink
|
| TrackBack (0)
2008.10.26
こんにちは、丸山満彦です。電子債権にちょっとかかわっていましたので。。。金融庁が、「事務ガイドライン(第三分冊:金融会社関係 12 電子債権記録機関関係)(案)」についての意見募集をしていますね。。。さぁ、電子債権は普及するのでしょうか。。。
| Permalink
|
| TrackBack (0)
2008.10.19
こんにちは、丸山満彦です。日立システム情報セキュリティブログで「セキュリティいろはかるた」を募集していますね。。。
武田先生も監修しているんですね。。。
| Permalink
|
| TrackBack (0)
2008.10.07
こんにちは、丸山満彦です。かなり前になりますが、経済産業省が「情報システムの信頼性向上に関するガイドライン第2版(案)」に対するコメントを募集していますね。。。
| Permalink
|
| TrackBack (0)
2008.10.02
こんにちは、丸山満彦です。経済産業省が「政府機関としてST確認された基盤ネットワークを初めて導入」したことを発表していますね。。。
=====
1.ST確認とは、国際的なセキュリティ評価基準に基づき、情報システムのセキュリティ面の設計を、開発した事業者の申請に基づいて、規定された評価方法に従って第三者機関が評価し、さらに独立行政法人情報処理推進機構(IPA)がその評価結果を確認するわが国固有の制度です。
2.内閣官房情報セキュリティセンターが定めた「政府機関の情報セキュリティ対策のための統一基準」により、政府機関の情報システムについては、セキュリティレベルを高めるため、ST確認を活用することが求められております。
3.経済産業省は、本年度、更新中の基盤ネットワークシステムの構築に当たって、ST確認を取得するべく準備を進めて参りましたが、9月30日にIPAによる確認が完了いたしました。
=====
ということのようですね。。。
| Permalink
|
| TrackBack (0)
2008.10.01
こんにちは、丸山満彦です。「サイバー犯罪に関する白浜シンポジウム実行委員会」が経済産業大臣表彰「情報セキュリティ促進部門」を受賞しましたね。。。実行委員長が受賞までの時間を会社でつぶしていたような。。。(冗談です。)=>仕事してました。
12年間の地道な努力の積み重ねです。商業ベースではありません。地元と業界の手作りのシンポです。
これだけ長い間続いたわけですから、いろいろなことがあったと思いますが、そんな、こんながあってもやっぱり続いていることが今回の受賞につながったのだと思います。
関係者の皆様、本当におめでとうございました。私もいろいろと勉強させてもらいましたし、このシンポで様々な方と知り合うことができました!
これからもずーっと続くことを期待しております。もちろん、私もできる範囲で協力します。。。
| Permalink
|
| TrackBack (0)
2008.09.29
こんにちは、丸山満彦です。IPAが「2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書」を公開していますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。運転制御システム故障が原因となって新幹線が止まったようですね。。。システムが複雑になるとバグが出やすくなります。しかたがないことかもしれないのですが、なんとかしないとこの先危ないですね。。。
金融機関が第三者を入れて行っている、開発過程監査のようなものを特定の業種の特定の規模以上のシステム開発に導入するということも考えられますね。。。コスト・ベネフィット分析をする必要があるかもしれませんね。。。。
| Permalink
|
| TrackBack (0)
2008.09.20
こんにちは、丸山満彦です。全日空のシステム障害は複数の問題が合わさっているので、これがひとつの原因というわけではないと思いますが、そのひとつにデフォルト値の管理の問題がありそうですね。システムが複雑になるとデフォルト値がそのままよく検討されずに導入されることも多々あるとは思います。デフォルト設定を無くすと全体としては導入コストが増加するので、このあたりのバランスが問題ですよね。。。
不正と誤謬(ミス)の2つに分けると、誤謬(ミス)の問題ですので、失敗学的な解決がよいのかもしれません。
システムが複雑になれば、このような誤謬(ミス)の発生可能性は飛躍的に高くなってくるわけで、何らかの体系的な対策が必要となってくると思います。
開発組織の問題、責任者の確認の問題、実施者の運用上の問題、商品側のユーザービリティ確保の問題等々・・・
第三者審査制度の導入も考えているようですが、金融機関ではすでにシステム開発過程監査といわれるようなことをやっていますしね。
また、システム的な対応として、デフォルト値を変更していないもののリストが優先順位をつけて上がるユーティリティーをつけるなども考えられますね。システム監査では、よくデフォルト値の変更の必要性の有無を検討しているかを監査したりしますよね。。。
| Permalink
|
| TrackBack (0)
2008.09.12
こんにちは、丸山満彦です。お疲れ様です。技術情報の流出を防ぐため、不正競争防止法を改正し、技術情報を(元)社員などが不正取得した場合も刑事罰の対象とするような法改正を考えているようですね。。。社内の不正調査をしたこともありますが、アクセスコントロールが思ったほど十分にできていなかった場合など刑事罰とするといろいろと難しい問題もありそうですね。
| Permalink
|
| TrackBack (0)
2008.09.11
こんにちは、丸山満彦です。The Center for Internet Security (CIS)が情報セキュリティの指標を公開していますね。。。
日本でも情報セキュリティ格付けがあるしね。。。実際にどこまで信頼できるできるのかと言う問題がありますが、それはstep by stepでよくなっていくということで。。。
| Permalink
|
| TrackBack (0)
2008.09.07
こんにちは、丸山満彦です。日経BP社から「COBIT実践ガイドブック」が発行されていますね。。。COBITといえば情報システムの管理やITガバナンスのためのデファクトスタンダードと言われておりますがなかなか日本には浸透していませんでした。
その問題のひとつとして言語の問題があったと思います。最近やっと、COBITやその関連文書が翻訳され始めてきました。
「COBIT実践ガイドブック」は翻訳本ではなくて、日本企業にどのようにすればCOBITを導入できるかの解説本ですね。。。
| Permalink
|
| TrackBack (0)
2008.09.04
こんにちは、丸山満彦です。お疲れ様です。経済産業省が「ITサービス継続ガイドライン」を公表してますね。。。
なかなかよい意見がでていますね。。。
| Permalink
|
| TrackBack (0)
2008.08.29
こんにちは、丸山満彦です。NISCで開催された「第1回グランドチャレンジ検討ワーキンググループ」の資料等が公開されていますね。。。グランドチャレンジってセキュリティに関する研究開発の話です。。。
| Permalink
|
| TrackBack (0)
2008.08.21
こんにちは、丸山満彦です。昨日から金曜日までセキュリティソリューション & ERM 2008が東京のビッグサイトで開催されております。昨日は、ちょっとしたパネルディスカッションに出た関係で、展示場もぐるりと回ってきました。。。
早速、昨日の講演内容がサイトに公開されていますね。。。
●SS & ERM 2008 速報サイト
私がでたパネルディスカッションの取材記事も公開されていますね。。。紙面?の関係ではしょられているところもあるので、ちょっと補足しておきますね。。。
| Permalink
|
| TrackBack (0)
2008.08.20
こんにちは、丸山満彦です。ISACA名古屋支部のウェブページが新しくなりましたね。。。
ところで、9月の月例会は「トヨタ自動車株式会社 常務役員 グローバル監査室担当」の「辻 晶仁(つじ あきひと)氏」による、「「内部統制の評価」トップダウン型リスクアプローチとその実践」ですね。。。
●9月月例会
・2008.09.27 16:00-18:00 @監査法人トーマツ 名古屋事務所
「内部統制の評価」トップダウン型リスクアプローチとその実践
講師: 辻 晶仁(つじ あきひと)氏 トヨタ自動車株式会社 常務役員 グローバル監査室担当
| Permalink
|
| TrackBack (0)
2008.08.07
こんにちは、丸山満彦です。そういえば、ニフティで連載中の「週刊リスクガイド」を監修しています。5回目が公開されていますが、お盆明けには6回目が公開される予定です。。。
これとセット?で、鈴木先生の「3分スタディ 個人情報保護法」もあります。
漫画がどぎついというご意見もあろうかと思いますが、楽しくお伝えするのが目的ですから。。。
ちなみに、ライブの連載をブログの左上に表示することにしました。。。
| Permalink
|
| TrackBack (0)
2008.07.28
こんにちは、丸山満彦です。NISCが7月25日に開催された第8回基本計画検討委員会の議事要旨や 次期情報セキュリティ基本計画に向けた第1次提言への意見募集の結果、政府機関総合対策の現状に関する資料を公表していますね。。
前回の議事要旨、意見募集の結果、総合対策の現状などは、読んでみると面白いかもです。。。
| Permalink
|
| TrackBack (0)
2008.07.26
こんにちは、丸山満彦です。IIAが公表しているGlobal Technology Audit Guide seriesに「事業継続管理」と「IT監査計画の立案」が新たに公表されていました。。。ということでご紹介。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。IPAが
・「MD5 の安全性の限界に関する調査研究」に関する報告書と
・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書
を公表していますね。。。
| Permalink
|
| TrackBack (0)
2008.07.20
こんにちは、丸山満彦です。仕事が忙しくて更新が滞っていました。。。何人から「大丈夫?」ってメールをいただきました。心配していただいた皆様、ありがとうございます。。。元気でした。。。このブログが死活監視のツールになっているようです(笑)。ひとやま超えそうってところなので、気分転換にブログです。
IPAから「ハッシュ関数安全性評価手法の開発」に関する報告書が公表されていますね。。。SHA-1のコリジョンの問題など、最近いろいろと言われておりますので、読んでおこうかと思います。。。
「共通鍵暗号をベースとしたハッシュ関数安全性評価手法の調査」と「算術演算をベースとするハッシュ関数安全性評価手法に関する調査 」の2つについての報告書になっていますね。。。
| Permalink
|
| TrackBack (0)
2008.07.14
こんにちは、丸山満彦です。今年の白浜シンポのパネルディスカッションは「ネットワーク規制」という題で、岡村先生、高木さん、ガ島通信の藤代さんそして私がでました。会場の皆さんとこい~ディスカッションが行われたわけです。会場には、武田先生、上原先生、高倉先生などのメンバーもいますので、そうなりますわな・・・。その中で高木さんが、「固有IDの問題」を提起されました。会場を含めて熱い?議論が繰り広げられたわけですが、「固有IDの問題を正しく理解してもらいたい。」という高木さんの投げかけについてみなさんもよく考えてみることが重要かと思います。。。
| Permalink
|
| TrackBack (0)
2008.07.13
こんにちは、丸山満彦です。日本システム監査人協会近畿支部 20周年記念シンポジウムに参加してきました。
私はパネルで好きなことをしゃべるという役回り。。。言いたいことをいってきました。。。
みなさん、ありがとうございました。。。
| Permalink
|
| TrackBack (0)
2008.07.09
こんにちは、丸山満彦です。財団法人地方自治情報センターが、LGPKI の「アプリケーション認証局」において、WebTrust for CAの規準に基づく検証報告書を監査法人トーマツから取得し、WebTrustシールの使用の許諾を得たようですね。。。
WebTrust for CAの認証取得は日本では3番目(セコムトラストネット、インテックがすでに取得していますね。。。)ということのようです。。。
ウェブトラスト検証報告書はダイレクトレポーティングでも言明方式でもできますが、この検証報告書は言明方式で行われています。。。
=====
当監査法人は、「経営者の記述書」が、認証局のためのWebTrust の規準に基づいて、平成20 年1 月16 日から平成20 年4 月15 日までの期間において、すべての重要な点において適正に表示されているものと認める。
=====
| Permalink
|
| TrackBack (0)
2008.07.04
こんにちは、丸山満彦です。個人情報保護法のガイドラインの共通化が目指されているという話は、少し前に取り上げましたが、内閣府の個人情報保護のページに資料が上がっていますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。総務省が「次世代の情報セキュリティ政策に関する研究会報告書」を公表していますね。。。
| Permalink
|
| TrackBack (0)
2008.07.03
こんにちは、丸山満彦です。経済産業省が「ITサービス継続ガイドライン(案)」に対する意見募集を行っていますね。。。
| Permalink
|
| TrackBack (0)
2008.07.02
こんにちは、丸山満彦です。経済産業省が情報セキュリティ管理基準の改定案のパブコメを募集していますね。。。
| Permalink
|
| TrackBack (0)
2008.06.28
こんにちは、丸山満彦です。総務省が「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」(案)のパブコメを募集していますね。。。
| Permalink
|
| TrackBack (0)
2008.06.27
こんにちは、丸山満彦です。JPCERT/CCが「CSIRT マテリアル」を公表していますね。。。
| Permalink
|
| TrackBack (0)
2008.06.23
こんにちは、丸山満彦です。JNSAが「2007年度 セキュアOSの導入に関する課題の試行結果報告書」を公表していますね。。。
「はじめに」からの抜粋ですが
=====
・・・
JNSAのDMZ設置サーバに対してセキュアOSを適用し、その過程も含めて広く公表していくことで多くの方にセキュアOSの本質を理解をしていただけるよう活動を展開することになった。
=====
ということのようです。。。
| Permalink
|
| TrackBack (0)
2008.06.22
こんにちは、丸山満彦です。経済産業省の産業構造審議会情報セキュリティ基本問題委員会が「中間とりまとめ~企業における戦略的な情報セキュリティガバナンスの確立に向けて」を公表していますね。。
| Permalink
|
| TrackBack (0)
2008.06.19
こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「次期情報セキュリティ基本計画に向けた第1次提言」等に対する意見募集をしていますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。日本内部監査協会が監査白書2007という内部監査実施状況をまとめた白書を作成しております。いろいろな意味で大変参考になります。。。
3年に一度の調査?で経年変化もある程度みれます。内部統制報告制度が始まる前の状況とはいえますが。。。
ということで、今回はそこから情報システム監査の実施状況についてちょっと・・・
| Permalink
|
| TrackBack (0)
2008.06.18
こんにちは、丸山満彦です。EDPって懐かしい響きですね。。。EDPはElectronic Data Processingを省略したものです。。。で、表題の報告書は、日本公認会計士協会が1976年、昭和51年9月14日にまとめたものです。
内容的には今とあまり変わっていませんね。。。
| Permalink
|
| TrackBack (0)
2008.06.13
こんにちは、丸山満彦です。JNSAから「内部統制におけるアイデンティティ管理解説書」が公開されましたね。。。
ベンダーであるCA、HP、IBM、Oracle等が協力しているところもすばらしいですが、SIerも加わって作ったところがよいでしょうね。。。
ID管理の歴史なんかから始まっていて、おもしろそうですね。。。
| Permalink
|
| TrackBack (0)
2008.06.11
こんにちは、丸山満彦です。IPAが情報セキュリティ関係の報告書等を3つ公開していますね。。。
・イスラエルにおけるバイオメトリック認証に係る技術戦略に関する調査
・欧州における情報セキュリティ関連動向調査報告書
・情報セキュリティ対策ベンチマーク活用集第2版
| Permalink
|
| TrackBack (0)
2008.06.08
こんにちは、丸山満彦です。。。COBIT4.1の日本語版がダウンロードできるようになっていますね。。。かかわっているにもかかわらず花田先生のブログを見て気づくという・・・だめだめですね。。。
| Permalink
|
| TrackBack (0)
2008.06.07
こんにちは、丸山満彦です。皆様お疲れ様でした。大変有意義な時間をすごすことができました。これも実行委員やスタッフの皆様のおかげです。。。
今年で12回目を迎え一区切りということで来年以降のことは一から考え直すということになっているようですね。。。個人的にはこんな有意義なシンポジウムは日本でも数少ないと思うのでぜひとも続けていければと思っています。私もできる範囲で協力していきたいなぁ・・・と思っています。。。
(注)最初は、「白浜シンポ無事終了。来年もあるといいなぁ・・・」という表題にしていたのですが、なんか他人事のようなので、「白浜シンポ無事終了。来年もできるように。」にしました。。。
| Permalink
|
| TrackBack (0)
2008.06.06
こんにちは、丸山満彦@白浜です。。。ネットワンの山崎さんが講演しています。。。「どこまで(情報セキュリティ対策)を行えばよいのか基準が示されていない」という対策実施上の問題点(警察庁 平成19年1月不正アクセス対策等の実態調査)が紹介されていました。
どこまでセキュリティ対策をするのかというのは、(経営者の)自己責任の問題なんですが、そこまで日本人に求めるのは無理・・・という話もしていましたね。。。
経済産業省の個人情報保護法のガイドラインでも、政府統一基準でも、何をしろとはいっていますが、どこまでしろということは言っていません。
この点についても、いろいろな人から不満も聞きますが・・・
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。白浜シンポジウムに来ています。「教育現場から」@和歌山大学教育学部の豊田先生の話をきいています。
未成年者に携帯電話を持たせるのか、学校の裏サイトなどが話題となっていますが、生徒・学生の携帯電話の利用実態やmixiやブログの利用実態等の話がありました。。。先生の利用経験についてのアンケートの話もありました。。。
学校の先生の多くは、知識が不足しているので、適切な指導や授業ができないように思いました。。。
| Permalink
|
| TrackBack (0)
2008.06.05
こんにちは、丸山満彦です。今日から第12回サイバー犯罪に関する白浜シンポジウムが始まりますね。。。いってきます。。。
今回は「国民総ネット化時代の情報安全教育」ですね。。。
| Permalink
|
| TrackBack (0)
2008.06.04
こんにちは、丸山満彦です。今朝の日経産業新聞にシステム障害を減らすためにシステム大手がいろいろな対策を講じているという記事が載っていますね。。。
例えば、「プログラム検証 富士通、第三者の目」、「仕様書統一 6社が検討会発足」とか・・・
| Permalink
|
| TrackBack (0)
2008.06.02
こんにちは、丸山満彦です。経済産業省が「電子署名及び認証業務に関する法律の施行状況に係る検討会」報告書と意見募集の結果を公表していますね。。。
=====
本検討会では、電子署名法の施行状況を調査し、関係団体からの意見、要望を受けて、検討課題の整理・分析を行い、現行の電子署名法における課題を大きく技術的論点、制度的論点、ビジネス的論点に分けて議論し、検討を行った。
=====
ということなんですね。。。
| Permalink
|
| TrackBack (0)
2008.05.28
こんにちは、丸山満彦です。IPAが情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開していますね。。。
=====
「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など104名から構成される「情報セキュリティ検討会」で、2007年に「印象が強かったもの」、「社会的影響が大きいもの」などの観点から投票を行い、10大脅威を選択、分析し、今後の対策をまとめました。
=====
ということのようですね。。。
| Permalink
|
| TrackBack (0)
2008.05.27
こんにちは、丸山満彦です。 総務省の u-Japan政策では、「成長懇会イレブン リレーコラム」というのをやっているようですね。。。
| Permalink
|
| TrackBack (0)
2008.05.23
こんにちは、丸山満彦です。米国政府は、着々と成果をあげているように見えますね。。。
| Permalink
|
| TrackBack (0)
2008.05.22
こんにちは、丸山満彦です。経済産業省が「IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデル」を公開していますね。。。
こういう発想って重要だと思いますよ。。。いままでの監査って、専門家の判断によりすぎているような気がするんですよね。。。構造的に分析する必要があるのではと思っています。
コンテンツの是非も重要なのですが、考え方(発想)について考えてほしいです(=>監査関係者)
で、とくに重要なことは、前提条件っていうのがあるということですね。例えば、社長は粉飾をしようという意図はないとか。。。
だから、以下のコントロールがあれば、財務報告は適切になると・・・前提条件が偽であれば、その後はあまり関係ないということになります。。。
| Permalink
|
| TrackBack (0)
2008.05.20
こんにちは、丸山満彦です。JNSAが【速報版】2007年度 情報セキュリティインシデントに関する調査報告書(Ver.1.0)を公表していますね。。。
漏えい人数 3,053万1,004人
想定損害賠償総額 2兆2,710億8,970万円
2兆円といわれても実感がなかなかわいてきません。。。
| Permalink
|
| TrackBack (0)
2008.05.14
こんにちは、丸山満彦です。英国でセキュリティテストをする業界団体が設立されたようですね。。。新聞では、「侵入テスト」をする団体となっていますが・・・
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。三菱東京UFJ銀行のシステム障害についての佐藤金融庁長官の記者会見の要旨が公開されておりますね。。。
| Permalink
|
| TrackBack (0)
2008.05.13
こんにちは、丸山満彦です。IPAから「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査」が公表されていますね。。。
| Permalink
|
| TrackBack (0)
2008.05.09
こんにちは、丸山満彦です。経済産業省の産業構造審議会情報セキュリティ基本問題委員会が中間とりまとめ(案)~企業における戦略的な情報セキュリティガバナンスの確立に向けて~に対する意見公募をしていますね。。。
| Permalink
|
| TrackBack (0)
2008.05.06
こんにちは、丸山満彦です。経済産業省が「電子商取引及び情報財取引等に関する準則改定案」に対する意見募集をしていますね。。。
| Permalink
|
| TrackBack (0)
2008.04.30
こんにちは、丸山満彦です。ISACAがITAF™: A Professional Practices Framework for IT Assurance を公開していますね。。。
監査基準のようなものです。。。
| Permalink
|
| TrackBack (0)
2008.04.26
こんにちは、丸山満彦です。総務省の「地方自治情報管理概要」の調査が毎年9月末から10月初旬にかけて行われているようですが、取り上げていなかったのでいまさらながらまとめて・・・
| Permalink
|
| TrackBack (0)
2008.04.25
こんにちは、丸山満彦です。セキュリティホール memoで知りました。これ、おもしろいです。。。
ちょっと、癖がありますが・・・
| Permalink
|
| TrackBack (0)
2008.04.23
こんにちは、丸山満彦です。3年目ですね。。。地道な活動を継続することが重要ですね。
| Permalink
|
| TrackBack (0)
2008.04.21
こんにちは、丸山満彦です。IPAが
・「2007年 国内における情報セキュリティ事象被害状況調査」報告書
・情報セキュリティに関する脅威に対する意識調査(2007年度第2回)の報告書
を公開しているので、忘れないうちにメモ。。。
| Permalink
|
| TrackBack (0)
2008.04.15
こんにちは、丸山満彦です。今年も、南紀白浜にて、6月5日(木)~7日(土)に「サイバー犯罪に関する白浜シンポジウム」が開催されますね。今年で12回目となります。。。今年のテーマは、「国民総ネット化時代の情報安全教育」です。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。米国政府のセキュリティ評価関係について、忘れないうちにちょっとメモしておこうと・・・
| Permalink
|
| TrackBack (0)
2008.04.14
こんにちは、丸山満彦です。情報セキュリティ格付会社が5月2日に設立されるそうですね。。。
=====
情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。
=====
大変おもしろい取り組みだと思います。世界にも広がるとよいですね。。。
| Permalink
|
| TrackBack (2)
2008.04.09
こんにちは、丸山満彦です。警察庁が、「Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書) 」を公表していますね。。。
| Permalink
|
| TrackBack (0)
2008.04.06
こんにちは、丸山満彦です。総務省が「次世代の情報セキュリティ政策に関する研究会中間報告書」を公表し、パブコメを求めていますね。。。
| Permalink
|
| TrackBack (0)
2008.04.03
こんにちは、丸山満彦です。JIPDECが医療機関向けISMSユーザーズガイドを改訂し、公開していますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。社団法人 日本画像医療システム工業会の医用画像システム部会セキュリティ委員会の情報です。。。
| Permalink
|
| TrackBack (0)
2008.03.23
こんにちは、丸山満彦です。総務省が「情報通信ネットワーク安全・信頼性基準の一部を改正する告示等」を公表していますね。。。
| Permalink
|
| TrackBack (0)
2008.03.22
こんにちは、丸山満彦です。NTTデータが情報セキュリティ報告書を公表していますね。。。
| Permalink
|
| TrackBack (0)
2008.03.08
こんにちは、丸山満彦です。経済産業省が「情報システムの信頼性向上のための取引慣行・契約に関する研究会」~情報システム・モデル取引・契約書~(パッケージ、SaaS/ASP活用、保守・運用)<追補版>(報告書案)の意見募集をしていますね。。。
| Permalink
|
| TrackBack (0)
2008.03.03
こんにちは、丸山満彦です。「個人情報保護法についての経済産業分野を対象とするガイドライン」と「Q&A」が確定していますね。。。
| Permalink
|
| TrackBack (0)
2008.02.25
こんにちは、丸山満彦です。昨年11月に「@nfityビジネス」で開始した「どんと来い、リスクマネジメント」ですが、すでに12回も書いています。。。
右の「タイトルバー」にもリンクを張りました。これからもよろしくお願いします。
| Permalink
|
| TrackBack (0)
2008.02.21
こんにちは、丸山満彦です。JNSAが情報セキュリティ理解度チェックのサイトをオープンしていますね。。。
| Permalink
|
| TrackBack (0)
2008.02.12
こんにちは、丸山満彦です。総務省が「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」に対するパブコメを募集していますね。。。
| Permalink
|
| TrackBack (0)
2008.02.05
こんにちは、丸山満彦です。「政府機関の情報セキュリティ対策のための統一基準(第3版)」が確定したようですね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。内閣官房が「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」(案)についての意見募集を行っていますね。。。
| Permalink
|
| TrackBack (0)
こんにちは、丸山満彦です。内閣官房情報セキュリティ政策会議(第16回)が開催され、資料が公表されていますね。。。
| Permalink
|
| TrackBack (0)
2008.02.02
Recent Comments