三井住友銀行の投資銀行部門がデータベースに対する厳密なアクセスコントロールを実装したという話

　こんにちは，丸山満彦です。日本オラクル社が2009.11.05に「三井住友銀行、投資銀行部門のEUC基盤におけるセキュリティ対策を強化」というプレスを行っています。北野さんのブログで知りました。
　プレス内容には
＝＝＝＝＝
（略）投資銀行部門は、M&Aアドバイザリーの案件情報など、機密性が要求されるデータを取り扱うケースもあることから、三井住友銀行のIT企画セクションでは、IT部門のシステム保守要員であっても、閲覧してはいけない内容を見えないようにするための高度なセキュリティ対策が必要になると判断しました。

そこで、三井住友銀行は、2008年11月、通常の保守作業においてデータベースの保守担当者や外部の保守ベンダーが具体的な顧客名や顧客との折衝内容など機密性の高い情報を参照できないよう、「Oracle Database Vault」を利用して、データベース管理者から全業務データの参照権限を削除し、「Virtual Private Database」を利用して機密性の高い情報が格納される列に対する参照権限を削除しました。この2つの組み合わせにより、投資銀行部門のEUC基盤に対して、より高度なセキュリティ対策を行うことができました。
＝＝＝＝＝
　という記述があります。でも，よく考えればこれって，きわめて当たり前の話ですね。。。

Continue reading "三井住友銀行の投資銀行部門がデータベースに対する厳密なアクセスコントロールを実装したという話"

NRIセキュア Word, Excel, PowerPointに機密性ラベルを張って保存するフリーソフト

　こんにちは，丸山満彦です。あまり特定の会社の宣伝につながるようなことは書かないのですが，NRIセキュアが面白いフリーソフトを出したので思わず書いてしまいました。。。
　「機密性の格付けを記載しなさい」とルールで決まっていても，面倒でついつい忘れてしまいます。。。このソフトはWord, Excel, PowerPointのファイルに機密性などのラベルをつけなければ保存できないようにするソフトだそうです。。。
　こういうあるいみベタなソフトっていい感じです。。。商売にならないから今まであまり注目されていなかったのかもしれませんが，フリーソフトでこういうソフトをだす，NRIセキュアさんって素敵！ですね。ライバル企業をほめている余裕はないのかもしれませんが・・・（笑）

Continue reading "NRIセキュア　Word, Excel, PowerPointに機密性ラベルを張って保存するフリーソフト"

IPA 中小企業における情報セキュリティ対策の実施状況等調査

　こんにちは，丸山満彦です。IPAが中小企業における情報セキュリティ対策の実施状況等調査を公表していますね。。。
　調査結果の概要として，，，
＝＝＝＝＝
　(1) 対象企業の約7割が入門レベルの合格基準に達せず
　(2) 概ね組織全体としての取り組みが弱い
　(3) 専門家や情報不在の状況
　(4) 低い情報セキュリティ投資意向
　(5) IPAガイドライン等の有効性を確認
＝＝＝＝＝
　とのことです。。。

Continue reading "IPA 中小企業における情報セキュリティ対策の実施状況等調査"

情報処理の生産性向上

　こんにちは，丸山満彦です。仕事がいっぱいでブログの更新ができていませんでしたが，気まぐれ日記ということで。。。
　日本の企業は自動車や機械といった物理的な物についての生産性は高いのですが，情報処理の生産性は高くないように思うんですね。。。

Continue reading "情報処理の生産性向上"

JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”（PCI DSS／ISMS準拠のためのガイド）を公開

　こんにちは，丸山満彦です。JIPDECが「クレジット加盟店向け“情報セキュリティのためのガイド”（PCI DSS／ISMS準拠のためのガイド）」を公開していますね。。。
　クレジットカード番号の情報漏洩等が原因となった事件も起こっているようですので，クレジットカードの普及のためにも適切なクレジットカード番号の管理が重要となりますね。。。
　ISMSとPCI DSSのコラボレーションですね。。。

Continue reading "JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”（PCI DSS／ISMS準拠のためのガイド）を公開"

クラウドコンピューティングとリスク

　こんにちは，丸山満彦です。10日までネットワーク・セキュリティ　ワークショップ　イン　越後湯沢がありました。台風18号の影響で私もなかなか会場につけず，1時間遅らせた開催時刻にまにあうのかどうか，ドキドキしたのですが，なんとか間に合いました。でも，開催時間には間に合わなかった参加者の方も多く，ちょっと今年は大変でしたが，最後まで大きな事故もなく無事終わりました。関係者の皆様，ありがとうございました。
　ボランティアでこういう会を支えている皆様には本当に感謝です！！！

　さて，私はクラウドコンピューティングとリスクについて話をしました。。。

Continue reading "クラウドコンピューティングとリスク"

経済産業省 確定 個人情報の保護に関する法律についての経済産業分野を対象とするガイド ライン

　こんにちは，丸山満彦です。経済産業省が「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正についての意見の募集結果を公表していますね。。。
　やっと出ました。。。参考にしてください。。。

Continue reading "経済産業省 確定 個人情報の保護に関する法律についての経済産業分野を対象とするガイド ライン"

明日からネットワーク・セキュリティ ワークショップ イン 越後湯沢

　こんにちは，丸山満彦です。いろいろと忙しくしております。。。明日から，ネットワーク・セキュリティ　ワークショップ　イン　越後湯沢が始まりますね。。。

Continue reading "明日からネットワーク・セキュリティ　ワークショップ　イン　越後湯沢"

堺市 保証型情報セキュリティ監査報告書

　こんにちは，丸山満彦です。堺市が保証型の情報セキュリティ監査報告書を公開していますね。。。

■堺市
●情報セキュリティ対策を点検するために、外部監査を実施しました。

＝＝＝＝＝
監査は、本市が作成した情報セキュリティ管理手続きに関する言明書に基づき、情報セキュリティ対策が行われているかを第三者機関が現場調査するという方法で行いました。

監査の結果、本市の情報セキュリティ対策の安全性は「保証できるレベルにある」という評価を得ました。
＝＝＝＝＝

Continue reading "堺市　保証型情報セキュリティ監査報告書"

セミナー （システム監査学会）「クラウド時代とシステム監査の役割－来るべきクラウドコンピューティングと専門的な診断の視点－」

　こんにちは，丸山満彦です。システム監査学会が，「クラウド時代とシステム監査の役割－来るべきクラウドコンピューティングと専門的な診断の視点－」という題でシンポジウムを11月6日に開催するようですね。。。
　マイクロソフトの楠さんもお話されるようです。。。

Continue reading "セミナー （システム監査学会）「クラウド時代とシステム監査の役割－来るべきクラウドコンピューティングと専門的な診断の視点－」"

多重化するITリスクに「ITリスク学」の確立を by 佐々木先生

　こんにちは，丸山満彦です。佐々木先生が，日立システムズが主催するセミナー「第38回 Prowise Business Forum ITリスクへの対応 - これからのセキュリティ脅威と企業対策」（9月17日開催）で「ITリスクの考え方 - 対立するリスクにどのように対応するか」と題した基調講演をしたようですね。。。

　先生の研究室にお邪魔して説明を受けました。なかなか面白いアイデアです。。。

Continue reading "多重化するITリスクに「ITリスク学」の確立を by 佐々木先生"

IPA 情報セキュリティ技術動向調査（2009 年上期）

　こんにちは，丸山満彦です。IPAが「情報セキュリティ技術動向調査（2009 年上期）」を公表していますね。。。

Continue reading "IPA 情報セキュリティ技術動向調査（2009 年上期）"

官邸 各府省情報化統括責任者（ＣＩＯ）連絡会議 府省共通業務・システム等の平成20年度最適化実施評価報告書の決定等

　こんにちは，丸山満彦です。CIO連絡会議の資料として府省共通業務・システム等の平成20年度最適化実施評価報告書等が公表されていますね。。。
　資料が膨大なのでまだ読んでいませんが，うまくいっているようなうまくいっていないような。。。

Continue reading "官邸 各府省情報化統括責任者（ＣＩＯ）連絡会議 府省共通業務・システム等の平成20年度最適化実施評価報告書の決定等"

「システム監査研究の黎明期」＠鳥居先生

　こんにちは，丸山満彦です。システム監査の黎明期について

鳥居先生による「システム監査研究の黎明期」が駿河台大学文化情報学部紀要 15(2), 3-25 ,200812に掲載されているようですね。花田先生ありがとうございます。。。

Continue reading "「システム監査研究の黎明期」＠鳥居先生"

「コントロールオブジェクティブズ」のコントロール項目

　こんにちは，丸山満彦です。EDPAA（現ISACA）の1983年度版「Control Objectives」をEDPAA東京支部が翻訳したものが日経マグロウヒル社から「システム監査ガイドライン」として発行されていますが，そのコントロール項目を書き出してみました。
　具体的な手続きは異なりますが，コントロール目標としては昔も今も同じですね。。。

Continue reading "「コントロールオブジェクティブズ」のコントロール項目"

経産省 確定 情報システムの信頼性向上に関する評価指標第1版

　こんにちは、丸山満彦です。経済産業省が情報システムの信頼性向上に関する評価指標第1版（案）に対する意見公募結果を公表していますね。。。

Continue reading "経産省 確定 情報システムの信頼性向上に関する評価指標第1版"

総務省 パブコメ 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案

　こんにちは、丸山満彦です。昨日は朝の7時から会社に来ていましたので、長～い1日となっております。。。さて、総務省が「電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集」を行っていました。。。
　。

Continue reading "総務省 パブコメ 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案"

ISACA名古屋支部20周年記念講演会

　こんにちは、丸山満彦です。ISACA名古屋の20周年記念講演会に参加してきました。

参加の目的はいろいろとあったのですが。。。
　概ね目的は達成できました。。。

　名古屋支部は、存亡の危機もありましたが（会長に連絡ができないとか・・・）、今は会員も100名を超えているようです。

Continue reading "ISACA名古屋支部20周年記念講演会"

Security, time after time 北野さんのブログ・・・

　こんにちは、丸山満彦です。オラクルの北野さんもブログを始めたようですね。。。マイクロソフトのセキュリティーチームブログ（小野寺さんが多いようですが。。。）、Sunの下道さんのブログなど、参考になるブログが増えるとよいですね。。。
　データベース・セキュリティをはじめセキュリティ関係では有名な方ですので、今後の展開を期待しております。。。
　情報セキュリティblogのリンクとまるちゃんのアンテナにも入れておきました。。。
　
■Security, time after time

　

Continue reading "Security, time after time　北野さんのブログ・・・"

SANS 20 Critical Security Controls - Version 2.1

　こんにちは、丸山満彦です。米国政府のセキュリティの基準にNISTのSP800-53がありますが、それを実現するための重要な20のコントロールを示したもののようですね。。。
　これを自動化するためのツールも募集している？ようですね。。。
　J-SOXでもそうですが、コントロールの自動化は重要なポイントです。人間によるコントロールのほうが柔軟性があり、効果的なコントロールとなる場合も多いですが、人間のコントロールは、ITによる自動化されたコントロールと比べると
　・ばらつきが大きい
　・同じ作業をする場合に効率が悪い
というデメリットがあります。
　業務の標準化を行い、その中コントロールを標準化し、標準化したコントロールを自動化していく。最後に人間によるコントロールで押えを行う。というのが、効果的なコントロールの基本設計といえますね。。。
　
　さて、セキュリティの基本的な対策は、
・権限のある人のみが必要最低限の権限を行使できる
　状況を作り出すことです。
　そのためには、情報へのアクセス制御が重要となります。この点からセキュリティ対策を考えていけば自然と必要なセキュリティ対策が見えてくると思います。。。

Continue reading "SANS 20 Critical Security Controls - Version 2.1 "

マイクロソフト セキュリティウォーズ by IT弁護士

　こんにちは、丸山満彦です。マイクロソフトのセキュリティのコラムで、Security Warsが公開されていますね。。。

Continue reading "マイクロソフト セキュリティウォーズ by IT弁護士"

経済産業省 情報セキュリティガバナンス実態調査2008

　こんにちは、丸山満彦です。花田先生のブログにいつも先をこされていますが・・・経済産業省が、「情報セキュリティガバナンス実態調査2008」を公表していますね。。。報告書の日付は2009年3月どす。。。

Continue reading "経済産業省 情報セキュリティガバナンス実態調査2008"

東証 三菱UFJ証券株式会社に対する処分について

　東証が三菱UFJ証券株式会社に対する処分を公表していますね。。。取引参加者規程第34条第1項第8号の規定に基づき処分（戒告）だそうです。。。
　また、取引参加者規程第19条の規定に基づき、業務改善報告書の提出も請求したようですね。。。

　業務改善報告書には以下の内容を含まないといけないようです。。。
　① 情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること
　② 大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
　③ 今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
　④ 例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること
　　・部門別のけん制機能の確保
　　・外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保
　　・不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への監理・けん制の強化
　　・不正行為の隠蔽の防止
　⑤ 不正行為の未然防止に向けて、人事管理等のあり方を見直し、適切に実施すること
　⑥ 上記③乃至⑤への対応状況を含めた同社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる充実を図ること
　⑦ 上記①乃至⑥への対応状況について、顧客等への周知を図る観点から、その概要を公表すること
　⑧ 個人データの安全管理のための実効性のある措置を確保すること
　⑨ 個人データの安全管理を図るための従業者に対する監督を徹底すること

Continue reading "東証 三菱UFJ証券株式会社に対する処分について"

JIPDEC ISO/IEC27000ファミリー

　こんにちは、丸山満彦です。花田先生のブログでしりました。JIPDECがISO/IEC27000ファミリーの動向について公表していますね。。。
　ISO/IEC27000:2009などISO化されたものは、まもなく翻訳版がでると思います。。。

Continue reading "JIPDEC ISO/IEC27000ファミリー"

JIPDEC ITSMS適合性評価制度の概要

　こんにちは、丸山満彦です。JIPDECが「ITSMS適合性評価制度の概要」を公表していました。。。ITSMSの認証取得数は2009年7月31日現在で88。2006年10月に制度が開始されて約3年。。。浸透はいまいちですね。。。ちなみにISMSは同じ期間で1330です。15分の1のスピード感でしょうか。そういえば、ISMSも最近は新規認証取得数が減っているようです。

Continue reading "JIPDEC ITSMS適合性評価制度の概要"

NRIセキュア 「～66％の問題は設計段階までに起因、求められる上流工程からの対策～」

　こんにちは、丸山満彦です。NRIセキュアテクノロジー社が「Webサイトのセキュリティ診断結果の傾向分析レポート2009年版」を公開を公表していますね。。。
　参考になりますね。。。

　

Continue reading "NRIセキュア 「～66％の問題は設計段階までに起因、求められる上流工程からの対策～」"

内閣官房 パブコメ 「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針（第３版）」（案）

　内閣官房が、「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針（第３版）」（案）に対するコメントを求めていますね。。。
＝＝＝＝＝
※ 対策項目の重点項目として、従来の3項目に次の2項目を追加しています。
IT障害発生時の利用者の対応のための情報の提供等の対策
ITに係る環境変化に伴う脅威のための対策
＝＝＝＝＝
ということのようです。。。

Continue reading "内閣官房 パブコメ 「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針（第３版）」（案）"

公認会計士協会 パブコメ ＩＴ委員会報告「ＩＴに係る保証業務等の実務指針(一般指針)」

　こんにちは、丸山満彦です。日本公認会計士協会からＩＴ委員会報告「ＩＴに係る保証業務等の実務指針(一般指針)」 （公開草案）が公表されていますね。また、「ＩＴ委員会報告第２号「Trustサービスに係る実務指針 （中間報告）」も用語の修正を中心に整理していますね。。。

Continue reading "公認会計士協会 パブコメ ＩＴ委員会報告「ＩＴに係る保証業務等の実務指針(一般指針)」 "

GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

　こんにちは、丸山満彦です。GAOが政府機関の情報セキュリティ対策の実施状況に対する報告書「Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses」を公表していますね。。。これから読んでいこうと思いますが、アクセスコントロールに課題が多いような感じですね。。。
　日本の会計検査院もこういうのをやってみるとよいのかもしれませんね。。。
　日本の場合はどうなのでしょうか・・・
　

Continue reading "GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses"

総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

　こんにちは、丸山満彦です。総務省が「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」を公表していますね。。。
　総務省の報告書というのはいつもページ数が多いように思いますが、気のせいでしょうか？

Continue reading "総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」"

経済産業省 確定 「情報セキュリティ監査手続ガイドライン（案）」及び「情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引（案）」

　こんにちは、丸山満彦です。
・情報セキュリティ監査手続ガイドライン
・情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引
　が確定したようですね。。。

Continue reading "経済産業省 確定 「情報セキュリティ監査手続ガイドライン（案）」及び「情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引（案）」"

内閣官房 確定 「電子政府ユーザビリティガイドライン（案）」

　こんにちは、丸山満彦です。「電子政府ユーザビリティガイドライン（案）」が確定していましたね。。。

Continue reading "内閣官房 確定 「電子政府ユーザビリティガイドライン（案）」"

金融庁 パブコメ 「金融分野における個人情報保護に関するガイドライン」改正案

　こんにちは、丸山満彦です。7月10日に金融庁から「金融分野における個人情報保護に関するガイドライン」に対する意見募集が行われていましたね。。。

Continue reading "金融庁 パブコメ 「金融分野における個人情報保護に関するガイドライン」改正案"

環境省 パブコメ 「環境省所管分野における個人情報保護に関するガイドライン（案）」

　こんにちは、丸山満彦です。いろいろ忙しくて。。。6月30日に環境省から「環境省所管分野における個人情報保護に関するガイドライン（案）」に対する意見募集が行われていましたね。。。

Continue reading "環境省 パブコメ 「環境省所管分野における個人情報保護に関するガイドライン（案）」"

経済産業省 新世代情報セキュリティ研究開発事業（クラウドコンピューティングセキュリティ技術研究開発）

　こんにちは、丸山満彦です。経済産業省が「新世代情報セキュリティ研究開発事業（クラウドコンピューティングセキュリティ技術研究開発）」の委託先を公募していますね。。。
　事業の目的で
＝＝＝＝＝
現状のクラウドコンピューティングは既存のテクノロジーの集大成というべきものであり、今後も発展が期待されるものの、クラウドコンピューティングが次世代の基盤テクノロジーとなるためには、解決しなくてはならない課題があり、その中で最も重大な課題領域がセキュリティの確保、データプライバシーの確保であると考えられます。そこで本事業においては、クラウドコンピューティングに必要なセキュリティ技術とはどのようなものであるのかの検討に加え、具体的な技術開発を行います。
＝＝＝＝＝
　としていますが、クラウドコンピューティングという用語の定義が明確にする必要があるとは思いますが、もはや難しいでしょうかね。。。
　セキュリティ監査の話もありますね。。。

　

Continue reading "経済産業省 新世代情報セキュリティ研究開発事業（クラウドコンピューティングセキュリティ技術研究開発）"

経済産業省 「情報セキュリティガバナンス導入ガイダンス」等の公表について～経営者のリーダーシップによる情報セキュリティ対策の推進を目指して～

　こんにちは、丸山満彦です。経済産業省が『「情報セキュリティガバナンス導入ガイダンス」等の公表について～経営者のリーダーシップによる情報セキュリティ対策の推進を目指して～を』を公表していますね。。。
　「アウトソーシングに関する情報セキュリティ対策ガイダンス」なるものも公表されていますね。
　また、「情報セキュリティ関連法令の要求事項集」というものがありまして、これが非常に興味深いので是非参考にしてくださいね。。。

Continue reading "経済産業省 「情報セキュリティガバナンス導入ガイダンス」等の公表について～経営者のリーダーシップによる情報セキュリティ対策の推進を目指して～"

経済産業省 パブコメ 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

　こんにちは、丸山満彦です。「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改定案に対する意見の募集が行われていますね。。。

Continue reading "経済産業省 パブコメ 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン"

総務省 「スマート・クラウド研究会」の開催

　こんにちは、丸山満彦です。総務省が「スマート・クラウド研究会」を立ち上げたようですね。。。
＝＝＝＝＝
（1）クラウド技術の活用方策
　・地球環境問題、自然災害、食料問題など地球的規模の課題解決のためのクラウド技術活用方策
　・電子行政クラウドなど公共分野におけるクラウド技術活用方策　　など
（2）クラウド技術の標準化、相互運用性を確保するためのプラットフォーム基盤やセキュリティ基準の在り方
（3）次世代クラウドネットワーク技術の在り方
（4）クラウド技術に係る国際的なルールの在り方
（5）その他
＝＝＝＝＝
　NISCが政府のファイルサーバやウェブサーバの数を半減と言っていましたが、クラウド技術をつかって政府で効率的なサービスを提供できればよいかもしれませんね。。。
　外注費の削減、各府省庁のリストラがなければ新たに導入するメリットは半減してしまいますので、もちろんこういうこともセットだと思いますが。。。

Continue reading "総務省 「スマート・クラウド研究会」の開催"

JPCERT/CC ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」（日本語版）

　こんにちは、丸山満彦です。JPCERT/CCがソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」を公開していますね。。。
＝＝＝＝＝
セキュリティ上の欠陥の根本原因に対する理解が深まるにつれ、実装とデプロイメントのフェーズだけでなく、ソフトウエア開発ライフサイクル全般を通して、セキュリティ対策の重要性に対する理解が深まってきています。
＝＝＝＝＝
　そのとおりどす。。。
＝＝＝＝＝
ソフトウエアあるいはシステムが提供する機能のセキュリティ品質（非機能要件としてのセキュリティ）の向上を目的としたものです。機能に依存しない対策であるため、セキュアコーディングと同様にその適用範囲は開発される製品の種類（アプリケーションドメイン）を選ばず、かつ、開発言語への依存性も低いことから、幅広い開発プロジェクトにおける脆弱性対応関連コストの削減とリストの低減などに資する効果が期待できます。また、開発現場において、下流工程における対策であるセキュアコーディングと併用して適用することにより、より大きな効果が期待できます。
＝＝＝＝＝
　なるほど。。。

Continue reading "JPCERT/CC ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」（日本語版）"

セキュアジャパン2009 事故前提。。。

　こんにちは、丸山満彦です。内閣官房（NISC）がセキュアジャパン2009を公表していますね。。。今回の副題は「すべての主体に事故前提の自覚を」です。。。そんなに何度も「事故前提」と書かなくてもふつう、事故前提で考えていますよね。。。と普通の会社で働いている人は思っているかもしれません。。。でも、そう書き続けることが必要なんでしょうね。。。

Continue reading "セキュアジャパン2009 事故前提。。。"

ISACA/ITGI IT Assurance Guideの日本語訳「IT統制の保証ガイド」

　こんにちは、丸山満彦です。ITGI JapanのウェブページにIT Assurance Guideの日本語訳「IT統制の保証ガイド」が公表されていますね。。。
　システム監査やIT全般統制の評価をする際に役に立つと思います。。。

Continue reading "ISACA/ITGI　IT Assurance Guideの日本語訳「IT統制の保証ガイド」"

IPA 「IC旅券用プロテクションプロファイル」に関する調査報告書

　こんにちは、丸山満彦です、IPAが「IC旅券用プロテクションプロファイル」に関する調査報告書を公表していました。。。

Continue reading "IPA 「IC旅券用プロテクションプロファイル」に関する調査報告書"

第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

　こんにちは、丸山満彦です。第13回サイバー犯罪に関する白浜シンポジウムが始まっています。。。

　テーマは

　「ウイルスとマルウェアの脅威」
　　　～あなたの生活が狙われている～

です。。。

昨年度　このブログ
・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。
　

　講演内容は。。。

Continue reading "第13回　サイバー犯罪に関する白浜シンポジウム　はじまってます。。。"

総務省 公的個人認証サービス普及拡大検討会 第1回会合 議事次第

　こんにちは、丸山満彦です。総務省で2009.04．21に開催された「公的個人認証サービス普及拡大検討会　第1回会合　議事次第」が公表されていますね。。。
　e-taxのおかげ？で113万枚まで発行が増えた公的個人認証サービスの電子証明書の普及をより図ろう・・・という話ですかね。。。
　ICカードだけでなく、パソコンやUSBメモリーに電子証明書を入れるということも検討しているようですね。。。

Continue reading "総務省 公的個人認証サービス普及拡大検討会　第1回会合　議事次第"

経済産業省 確定 「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書」

　こんにちは、丸山満彦です。経済産業省が、「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書」を公表していますね。。。

Continue reading "経済産業省 確定 「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書」"

これは読んでおかなければ・・・Cyberlaw 米国：オバマ政権がサイバーセキュリティオフィスを設置

　こんにちは、丸山満彦です。最近、めっきりブログが御留守になっております。。。これは、情報収集能力もおちているからですね。。。
　ということで、夏井先生のCyberlawブログは、重要な海外の情報をよく拾っているので大変参考になります。これもその一つ。。。

Continue reading "これは読んでおかなければ・・・Cyberlaw 米国：オバマ政権がサイバーセキュリティオフィスを設置"

内閣官房 第1回 情報セキュリティ報告書専門委員会

　こんにちは、丸山満彦です。2009.05．22に内閣官房で第1回情報セキュリティ報告書専門委員会が開催されたようですね。。。

Continue reading "内閣官房 第1回 情報セキュリティ報告書専門委員会"

経済産業省 パブコメ 情報システムの信頼性向上に関する評価指標第１版（案）

　こんにちは、丸山満彦です。経済産業省が情報システムの信頼性向上に関する評価指標第１版（案）に対するパブコメを募集していますね。。。

Continue reading "経済産業省 パブコメ 情報システムの信頼性向上に関する評価指標第１版（案）"

総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン（案）」

　こんにちは、丸山満彦です。総務省が、「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン（案）」に対する意見を募集していますね。。。
＝＝＝＝＝
1．経緯
　・・・従来、医療機関等や関係者に対しては法律や各種のガイドライン等により、格別の安全管理措置を講ずることが義務付けられ、医療情報については、医療機関等が自らの責任で管理し、情報システムの導入時にも自らが管理するシステム等により取り扱われてきました。一方で、情報システムの高度化・多様化に伴い、個人情報の保護やセキュリティに対する社会的な要請が高まる中、必ずしも情報処理に関わる専門家ではない医療機関等や医療関係者がこれらの要請に耐えうることが困難な場面も見受けられるようになってきました。このような状況のなか、昨今のASP・SaaSの普及に伴い、医療に関わる情報を処理するASP・SaaS事業者も見られ、これらの事業者に対し、安全性確保の方策について一定の基準を示す必要性が生じてきました。
　そこで、総務省とASPIC※の合同で設立した「ASP・SaaS普及促進協議会」のなかに「医療・福祉情報サービス展開委員会」（別紙）を設置し、医療情報の重要性から見た高度な安全性確保の要求を踏まえ、医療情報がASP・SaaSによって適正かつ安全に取り扱われ、医療情報におけるASP・SaaSの利用の適切な促進を図るための検討を実施してきました。・・・。
＝＝＝＝＝
　ということのようです。。。

Continue reading "総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン（案）」"

JASA 平成20年度成果物 （保証型監査促進プロジェクト報告）

　こんにちは、丸山満彦です。JASA（日本セキュリティ監査協会）が保証型監査促進プロジェクト報告等を公表していますね。。。なかなか面白いです。

Continue reading "JASA 平成20年度成果物　（保証型監査促進プロジェクト報告）"

IPA 2008年 国内における情報セキュリティ事象被害状況調査

　こんにちは、丸山満彦です。IPAが「2008年 国内における情報セキュリティ事象被害状況調査」を公表していますね。。。セキュリティ対策の導入状況も合わせてアンケートしていますので、参考になるかもですね。

Continue reading "IPA 2008年 国内における情報セキュリティ事象被害状況調査"

経済産業省 パブコメ 「情報セキュリティ監査手続ガイドライン（案）」及び「情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引（案）」

　こんにちは、丸山満彦です。経済産業省が、「情報セキュリティ監査手続ガイドライン（案）」及び「情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引（案）」についての意見募集をしておりますね。。。

Continue reading "経済産業省 パブコメ 「情報セキュリティ監査手続ガイドライン（案）」及び「情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引（案）」"

経済産業省 平成２０年度情報セキュリティ市場調査報告書

　こんにちは、丸山満彦です。経済産業省が「平成２０年度情報セキュリティ市場調査報告書」を公表していますね。。。
報告書のP７には、アイデンティティ・アクセス管理製品がセキュリティ製品の中では二番目の市場規模になったと書いていますね。J-SOXの影響ですかね。。。
＝＝＝＝＝
【アイデンティティ･アクセス管理製品】
「アイデンティティ･アクセス管理製品」の2007 年度推定実績値は615 億円（同17.8%）で、「ネットワーク脅威対策製品」を抜いて「情報セキュリティツール」市場の中で二番目に大きな規模へと成長した。このカテゴリには、本人認証のための製品や、システム、サーバ、ネットワーク、データ等のコンピューティング資源の利用権をシステム全般にわたって管理するシステム、システムやネットワークへのログオンを管理する製品等が含まれる。この市場が拡大する背景には、個人情報保護や情報漏えい対策強化を中心に、ユーザの本人確認や、システムやデータへのアクセス権管理の必要性が、より強く意識されるようになってきたことが挙げられる。また、内部統制のためにIT ガバナンスの確立が急がれており、IT の利用を個人に紐付けて管理する管理体制や統制システムの整備が進んできたこともこのカテゴリの規模が急速に拡大している要因と言える。
＝＝＝＝＝
　個人情報保護法のガイドラインにはアクセス管理の重要性、そのためのアイデンティティ管理の重要性に触れられているのですけどね。。。

Continue reading "経済産業省 平成２０年度情報セキュリティ市場調査報告書"

総務省 クラウドコンピューティング時代のデータセンター活性化策に関する検討会

　こんにちは、丸山満彦です。総務省が「クラウドコンピューティング時代のデータセンター活性化策に関する検討会」を開催するようですね。。。担当課長補佐は高村さんのようですね。。
＝＝＝＝＝
1　背景・目的
　ブロードバンド化やIP化の進展に伴い、どこに保管されているデータであっても利用者が容易に利用することができるクラウドコンピューティング化が進んでいます。そのため、国内インターネットの総トラヒックは順調に増加しているものの、その内訳を見ると「海外データセンターからの流入トラヒック」の増加が顕著です。一方で、ネットワーク事業者の収入は国内から送信されるトラヒックに依存するため、世界への情報発信機能を強化し、電気通信事業を発展させるためには、総トラヒックに占める「国内データセンターからの送出トラヒック」の割合の増加を図ることが必要とされています。
　これらの観点から、「国内データセンターからの送出トラヒック」を増加させ、日本をアジアの情報発信拠点とすることにより、電気通信事業の発展や新規サービスの創出を図り、利用者利便の向上、我が国経済全体の発展を実現する方策の検討を行うことを目的として、本検討会を開催します。

2　検討項目
(1)　国内データセンターの利用促進方策
　　(1)　立地に係る環境整備
　　(2)　業務運営の円滑化
　　(3)　利用者の選択が容易な環境の整備
(2)　国内向けサービスの活性化方策
　　(1)　利用者に安心感を与える環境の整備
　　(2)　新たなサービスが創生される環境の整備
＝＝＝＝＝
　普及においてまずは、「(1)　利用者に安心感を与える環境の整備」が重要なんでしょうね。

　「●●会社がやっているから安心」というのではなく、「■■というルールにしたがっているから安心」できるというようになれば、適切なルールを作れば広がるのかもしれませんね。。。

Continue reading "総務省 クラウドコンピューティング時代のデータセンター活性化策に関する検討会"

GAO Federal Information System Controls Audit Manual (FISCAM) 表

　こんにちは、丸山満彦です。FISCAMを表にしてみました。。。J-SOXのIT全般統制やIT業務処理統制を考える上でも参考になりますね。。。

Continue reading "GAO Federal Information System Controls Audit Manual (FISCAM)　表"

内閣官房 パブコメ 「セキュア・ジャパン２００９」（案）

　こんにちは、丸山満彦です。こんにちは、丸山満彦です。内閣官房情報セキュリティセンター(NISC)が「セキュア・ジャパン２００９」（案）に関する意見の募集を行っていますね。。。
　副題は、「～すべての主体に事故前提の自覚を～」のようです。。。

Continue reading "内閣官房 パブコメ 「セキュア・ジャパン２００９」（案）"

経済産業省 「素形材企業のための技術・ノウハウ保護ガイドブック」 ～ あなたの会社の技術は流出していないか！？ さぁチェック！！～

　こんにちは、丸山満彦です。経済産業省が、「素形材企業のための技術・ノウハウ保護ガイドブック」を公表していますね。。。
　チェックリスト＆事例付きで分かりやすくまとめられていますね。。。

Continue reading "経済産業省 「素形材企業のための技術・ノウハウ保護ガイドブック」　～ あなたの会社の技術は流出していないか！？ さぁチェック！！～"

GAO GAO Federal Information System Controls Audit Manual (FISCAM)

　こんにちは、丸山満彦です。GAOのシステム監査マニュアル・・・2月に公表されていました。。。忘れないうちに・・・
＝＝＝＝＝
FISCAM control activities are consistent with NIST Special Publication 800-53 and all SP800-53 controls have been mapped to the FISCAM.
＝＝＝＝＝
　ということですので、NIST Sp800-53とも対応がとれているということになっていますね。。。

Continue reading "GAO GAO Federal Information System Controls Audit Manual (FISCAM)"

経産省 パブコメ 「情報セキュリティガバナンス導入ガイダンス」（案）等

　こんにちは、丸山満彦です。経済産業省が、「情報セキュリティガバナンス導入ガイダンス」（案）等に対して意見募集をしていますね。。。

Continue reading "経産省 パブコメ 「情報セキュリティガバナンス導入ガイダンス」（案）等"

Security Guidance for Critical Areas of Focus in Cloud Computing

　こんにちは，丸山満彦です。Cloud Security Allianceが「Security Guidance for Critical Areas of Focus in Cloud Computing」を公開していますね。。。

Continue reading "Security Guidance for Critical Areas of Focus in Cloud Computing"

IPA 重要インフラ情報システム信頼性研究会報告書

　こんにちは、丸山満彦です。IPAが重要インフラ情報システム信頼性研究会報告書を公表していますね。。。
＝＝＝＝＝
IPAでは、社会インフラとして広く国民生活に関係する情報システムの信頼性を確保していくことの重要性に鑑み、経済産業省の指導の下、「情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会（経済産業省）」における重要テーマを検討するため、JUAS（社団法人日本情報システム・ユーザー協会）と連携し、2者を共同事務局とする「重要インフラ情報システム信頼性研究会」（委員長：中尾 政之 東京大学大学院・工学研究科教授）を平成20年度に発足しました。
　今回、本研究会の活動成果を、「重要インフラ情報システム信頼性研究会報告書」として公開しました。
＝＝＝＝＝
　ということです。。。
　で、目次の大項目は、
＝＝＝＝＝
1：重要インフラ情報システム信頼性研究会 ― 総論
2：システムプロファイリングの基本的な考え方
3：ITシステム障害事例の分析と対策指針
4：情報セキュリティ・インシデント事例分析と対策
5：信頼性向上に向けたシステム開発共通リファレンス
＝＝＝＝＝
　今後は、
＝＝＝＝＝
SECを中心に、以下の項目について産業分野毎に具体化及び精緻化を進めるとともに、情報の共有体制を整備していきます。
・システムプロファイリング
・システム障害の類型化と障害対策指針
・セキュリティを重視した障害対策指針
・重要インフラ情報システム構築段階での信頼性実現に向けた開発作業指標（指針）
＝＝＝＝＝
　ということのようです。。。

Continue reading "IPA 重要インフラ情報システム信頼性研究会報告書"

厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第４版

　こんにちは、丸山満彦です。最近すっかりJ-SOXで個人情報の話題が少なくなっていますが、漏洩事故は依然と続いていますね。。。さて、厚生労働省が「医療情報システムの安全管理に関するガイドライン　第４版」を公表しましたね。。。

Continue reading "厚生労働省 確定 医療情報システムの安全管理に関するガイドライン　第４版"

ISMS関連

　こんにちは、丸山満彦です。JIPDECからISMS関連の文書が３つ出ていることを花田先生のブログで知りました。。。
　つい最近まで作業をやっていたと思ったら公開されていました。。。

Continue reading "ISMS関連"

IPA 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書

　こんにちは、丸山満彦です。ちょっと世の中に遅れ気味ですわ。。。IPAが「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」を公表していますね。。。

Continue reading "IPA 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書"

総務省 地方公共団体ASP・SaaS活用推進会議 第一次中間報告

　こんにちは、丸山満彦です。総務省が「地方公共団体ASP・SaaS活用推進会議　第一次中間報告」を公表していますね。
　経緯
＝＝＝＝＝
ASP（Application Service Provider）・SaaS（Software as a Service）サービスとは、ネットワークを通じてアプリケーションを提供するサービスです。地方公共団体がASP・SaaSサービスを利用することにより、情報システムの開発コストの軽減、開発期間の短縮、運用に係る負担の軽減等のメリットが期待できます。

総務省では、電子自治体の普及促進のため、平成20年10月に地方公共団体ASP・SaaS活用推進会議を設置し、地方公共団体がASP・SaaSを活用する際の具体的課題や活用を推進するための実効性のある取組方策等について広く検討してきたところですが、今般、平成20年度における検討結果を第一次中間報告として取りまとめました。
＝＝＝＝＝

Continue reading "総務省 地方公共団体ASP・SaaS活用推進会議　第一次中間報告"

日本銀行金融研究所 人工物メトリックス関係・・・

　こんにちは、丸山満彦です。日本銀行金融研究所が、人工物メトリックスに関する３つの報告書（ディスカッションペーパー）をだしていますね。。。
・人工物メトリック・システムにおける耐クローン性の評価方法の構築に向けて
・偽造防止技術の中の人工物メトリクス：セキュリティ研究開発の動向と課題
・偽造防止技術の新潮流：金融分野における人工物メトリクスの可能性
岩下さんです。

Continue reading "日本銀行金融研究所　人工物メトリックス関係・・・"

IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む

　こんにちは、丸山満彦です。IPAが「10大脅威 攻撃手法の『多様化』が進む」を公開していますね。。。

Continue reading "IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む"

総務省 電子自治体の推進に関する懇談会（セキュリティワーキング グループ）検討結果

　こんにちは、丸山満彦です。総務省が電子自治体の推進に関する懇談会（セキュリティワーキング　グループ）検討結果を公表していますね。。。
＝＝＝＝＝
・・・地方公共団体の業務の外部委託事業者や再委託事業者からの情報漏えい事案が頻発していること、情報セキュリティ対策の基盤となるリスク分析について、地方公共団体における取組が低い状況にあることから、地方公共団体における「外部委託に伴う個人情報漏えい防止対策」及び「情報資産のリスク分析」に関して検討を進めてきたところですが、このたび、それぞれの検討の結果を取りまとめましたので公表します。
＝＝＝＝＝

Continue reading "総務省　電子自治体の推進に関する懇談会（セキュリティワーキング　グループ）検討結果"

「国際情報セキュリティ調査2008」報告 CIO Magazine + PwC

　こんにちは、丸山満彦です。CIO Magazine + PwCが2003年から活動しているようですね。。。
＝＝＝＝＝
今回掲載した調査結果は、100を超える国や地域の7,097名に及ぶCEOやCIO、CSO（最高セキュリティ責任者）、ITおよびIS担当の副社長やディレクター、セキュリティやIT担当の専門技術者などから得た回答に基づいている。
＝＝＝＝＝
　ということのようです。

Continue reading "「国際情報セキュリティ調査2008」報告 CIO Magazine + PwC"

経済産業省 パブコメ 「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書（案）」

　こんにちは、丸山満彦です。経済産業省が「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書（案）」に対する意見を募集していますね。。。

Continue reading "経済産業省 パブコメ　「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書（案）」"

経産省 確定 「情報システムの信頼性向上に関するガイドライン第２版」

　こんにちは、丸山満彦です。忘れていました。。。経済産業省が情報システムの信頼性向上に関するガイドライン第2版を公開していますね。。。

Continue reading "経産省 確定 「情報システムの信頼性向上に関するガイドライン第２版」"

デロイト トーマツ リスクサービス株式会社 新設

　こんにちは、丸山満彦です。
　監査法人トーマツが、リスクマネジメントに関するコンサルティングサービスに特化した新会社、「デロイト トーマツ リスクサービス株式会社」を新設したようですね。

■監査法人トーマツ
・2009.03.18 デロイト トーマツ リスクサービス株式会社 新設のお知らせ

Continue reading "デロイト トーマツ リスクサービス株式会社 新設"

IPA 「中小企業の情報セキュリティ対策ガイドライン」公開

　こんにちは、丸山満彦です。IPAが「中小企業の情報セキュリティ対策ガイドライン」を公開していますね。。。とかくこれまでの対策についての解説は大企業向けとなりがちであったのですが、小さな企業であっても多くの個人情報をとりあつかったり、インターネットを利用してサービスをしたりという状況ですので、社会全体の安全を確保する上でも、中小企業が適切なセキュリティ対策を講じるようになることは重要ですよね。。。
　ということで、できる限りわかりやすく、対策しやすいようにということで作られているようですね。。。
　　
■IPA　
●プレス文
・2009.03.18 「中小企業の情報セキュリティ対策ガイドライン」を公開

Continue reading "IPA 「中小企業の情報セキュリティ対策ガイドライン」公開"

本：IPA 情報セキュリティ教本 改訂版 -組織の情報セキュリティ対策実践の手引き

　こんにちは、丸山満彦です。IPAが「情報セキュリティ教本」の改訂版を出すようですね。。。

主な変更点
＝＝＝＝＝
・政府機関統一基準第3版対応
・情報セキュリティ関連年表の掲載
　・10章セキュリティ評価　の書き換え
　・情報セキュリティ対策ベンチマーク改訂にあわせて書き直し
　・保証型情報セキュリティ監査の枠組策定、情報セキュリティ管理基準改正により、情報セキュリティ監査の項の書き直し
　・ISMSについて記載を追加
・法令遵守に内部統制関連の項目を追加
・新規格の発効に伴う記載の変更
＝＝＝＝＝
　政府機関統一基準は第4版となりましたが、対照表がありますので、それで基本的には対応は可能です。。。

Continue reading "本：IPA 情報セキュリティ教本　改訂版　-組織の情報セキュリティ対策実践の手引き"

Lawmaker: New cybersecurity regulations needed

　こんにちは、丸山満彦です。米国では重要インフラを運営する組織に対するサイバーセキュリティに対する法整備が必要なのではないかという話ですね。。。

Continue reading "Lawmaker: New cybersecurity regulations needed"

ISACA パブコメ Enterprise Risk: Identify, Govern and Manage Risk The Risk IT Framework

　こんにちは、丸山満彦です。ISACAがEnterprise Risk: Identify, Govern and Manage Risk The Risk IT Frameworkの公開草案を2月3日に公開していました。。。パブコメ期間は45日ですからもう少しです。。。
＝＝＝＝＝
1. Risk ITFramework—Purpose and Target Audience
2. Risk IT Principles
3. Responsibilities and Accountability for IT Risk
4. Awareness and Communication
5. Responding to IT Risk
6. Risk and Opportunity Management Using COBIT, Val IT and Risk IT
7. The Risk IT Framework Components
8. The Risk IT Foundation
9. The Risk IT Process Model
10. Managing Risk in Practice—The Techniques Guide Overview
11. Description of the Risk IT Framework
12. The Risk IT Framework
＝＝＝＝＝
という目次になっております。いままで出版していたものをリスクを切り口にまとめたような感じかなぁ。。。

Continue reading "ISACA パブコメ Enterprise Risk: Identify, Govern and Manage Risk The Risk IT Framework"

SANS パブコメ Consensus Audit Guidelines （参考になるわ）

　こんにちは、丸山満彦です。更新が滞っていますが。。。気まぐれ日記ということで。。。SANSのConsensus Audit Guidelinesは参考になりますわ。。。
　こういう基準は、一部の特定の学者や事業者が権威の力を借りて一般に公正妥当と認められる基準をつくったことにするよりも、利害関係者が集まって実践を繰り返す中で必要なものを作り出していくことが重要なんですよね。。。

Continue reading "SANS パブコメ Consensus Audit Guidelines （参考になるわ）"

Deloitte（トーマツ） 金融機関情報セキュリティグローバル調査 第6回

　こんにちは、丸山満彦です。Deloitteが金融機関の情報セキュリティグローバル調査を公表していますね。今年で6回目ですね。
＝＝＝＝＝
・As in previous surveys, respondents recognize that people are both an organization’s greatest asset as well as its weakest link. But security vigilance is even more important in hard economic times, when the increased stress levels can lead people to behave in atypical ways.
・Even though both internal and external security breaches at financial institutions worldwide have fallen over the past 12 months, employee misconduct is a growing concern.
・The growing popularity of social networks and the proliferation of mobile media such as USB keys, MP3 players and PDAs, all cause an extra load on internal and external security. These devices present opportunities for unauthorized download and storage of confidential information in an unprotected medium.
This is one of the factors that has contributed to the sudden rise of data protection and information leakage as a top priority for financial institutions—tied at second place with access and identity management.
・The top three information security priorities of financial institutions are: security regulatory compliance, followed by data protection and information leakage, and access and identity management.
・In 2008, financial institutions saw a decline in the number of both external (47% vs. 65% in 2007) and internal (27% vs. 30% in 2007) security breaches.
・The leading drivers for financial institutions to protect the privacy of their clients information are privacy regulatory requirements (79%) followed by reputation and brand concerns (70%).
＝＝＝＝＝

Continue reading "Deloitte（トーマツ） 金融機関情報セキュリティグローバル調査 第6回 "

内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準（第４版）

　こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「政府機関の情報セキュリティ対策のための統一基準（第４版）」（案）に関する意見の募集の結果を公表していますね。。。

Continue reading "内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準（第４版）"

内閣官房 確定 「重要インフラの情報セキュリティ対策に係る第２次行動計画」

　こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「重要インフラの情報セキュリティ対策に係る第２次行動計画」（案）に関する意見の募集の結果を公表していますね。。。

　

Continue reading "内閣官房 確定 「重要インフラの情報セキュリティ対策に係る第２次行動計画」"

内閣官房 確定 「第２次情報セキュリティ基本計画」

　こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「第２次情報セキュリティ基本計画」（案）に関する意見の募集の結果を公表していますね。。。

Continue reading "内閣官房 確定 「第２次情報セキュリティ基本計画」"

経済産業省 CHECK PC! 今年のセキュリティ大使？は「セキュリーナ」

　こんにちは、丸山満彦です。経済産業省のCHECK PCキャンペーンが始りはったみたいや。。。今年はバーチャルアイドル？のセキュリーナやそうや。。。両親をデジタルアーティストともつ東京都出身の「しな」と世界で有数のコンピュータ系の学校を首席で卒業した「せな」らしいは。。。「しなさい」、「せなアカン」をかけてるらしいわ。。。
　ここで歴代のセキュリティ大使？のおさらいですわ。。。

・2006年：眞鍋かをり
・2007年：白石美帆
・2008年：上戸彩

Continue reading "経済産業省 CHECK PC! 今年のセキュリティ大使？は「セキュリーナ」 "

総務省 電子自治体の推進に関する懇談会（オンライン利用促進ワーキンググループ）報告書

　こんにちは、丸山満彦です。総務省が「電子自治体の推進に関する懇談会（オンライン利用促進ワーキンググループ）報告書」を公表していますね。。。住民の利用があまり進まない？電子自治体の推進のために「インセンティブの付与」や「証明書等のペーパーレス化」について検討しているようですね。。。
　電子自治体の利用が進まない背景をアンケート等を活用して探っているようですね。金銭的インセンティブ、時間的インセンティブが十分でないものが利用が進んでいないという仮説のようですが、私の場合は滅多に利用しないサービスについては、繰り返し利用するサービスに比べると認知の面でも、操作性の面でも利用が進まないですね。。。

　業務の効率化が目的なのか、電子自治体の利用促進が目的なのか、ようよう考えなあかんのとちゃうかなぁ・・・と思う時もありますなぁ。。。

＝＝＝＝＝

【総務省】
・2009.01.09 電子自治体の推進に関する懇談会（オンライン利用促進ワーキンググループ）報告書の公表

■オンライン利用促進ワーキンググループ報告書
　●「インセンティブ付与」（第１分冊）　全体版
　●「証明書等のペーパーレス化」（第２分冊）　全体版

【参考】このブログ
・2005.06.21 国のシステム　使われているシステムと使われていないシステム

＝＝＝＝＝
図表 2.2 オンライン利用促進対象手続（21 類型）の平成１９年度利用実績

Continue reading "総務省 電子自治体の推進に関する懇談会（オンライン利用促進ワーキンググループ）報告書"

IT・デジタル特集

　こんにちは、丸山満彦です。。。元旦の日経新聞の第二部ですが、ことしは再び「テクノロジー新世紀特集」から「IT・デジタル特集」になっていますね。。。環境問題は昨年よりも減っていますね。。。不景気を反映してか、コスト削減の話がSaaSやクラウドコンピューティングとつなげて話題になっているように思います。。。SNSも話題となっていますね。。。
　
　くわしくは新聞で・・・ということで、気になった部分だけ・・・

Continue reading "IT・デジタル特集"

明けまして、おめでとうございます 2009

　あけましておめでとうございます。。。丸山満彦です。昨年は大変お世話になりました。。。本年も
よろしくお願いします。
　とりいそぎ年賀状Ｗｅｂ版です。。。

Continue reading "明けまして、おめでとうございます　2009"

経済産業省 確定 情報システム調達のための技術参照モデル（TRM）

　こんにちは、丸山満彦です。経済産業省が「情報システム調達のための技術参照モデル（TRM）　平成20年度版」を公表していますね。。。

Continue reading "経済産業省 確定 情報システム調達のための技術参照モデル（TRM）"

総務省 パブコメ 「インターネット政策懇談会」報告書素案

　こんにちは、丸山満彦です。総務省が「インターネット政策懇談会」報告書素案についてのパブリックコメントを募集していますね。。。
＝＝＝＝＝
総務省では、社会経済活動に不可欠な基盤インフラとして位置付けられるようになっているインターネットについて、近年、ネットワーク構造や市場環境が大きく変化する中、利用者はもとより、通信事業者、ベンダー、ＩＳＰ、コンテンツ・アプリケーション事業者など、多様なステークホールダの観点から、ネットワークの中立性を確保し、インターネットの健全な発展を図るための政策課題を抽出・整理し、今後の政策の方向性を整理することを目的として、本年２月２６日から「インターネット政策懇談会」を開催してきたところです（本懇談会の構成員は別紙１、同開催状況は別紙２のとおりです。）。
今般、本懇談会における検討結果を踏まえ、報告書素案（別紙３(PDF)）が取りまとめられましたので、これを公表するとともに、報告書素案に対する意見を募集します。
＝＝＝＝＝
ということのようですね。。。高村さん。。。

Continue reading "総務省 パブコメ 「インターネット政策懇談会」報告書素案"

気になる記事 [ノートPC紛失! それでも「謝罪不要」なセキュリティ・レベルを考える ]

　こんにちは、丸山満彦です。更新が滞っていますが、気まぐれ日記ということで。。。
さて、気になる記事「ノートPC紛失! それでも「謝罪不要」なセキュリティ・レベルを考える 」（ITPro）です。

Continue reading "気になる記事 [ノートPC紛失! それでも「謝罪不要」なセキュリティ・レベルを考える ]"

内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一基準（第４版）」（案）

　こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが 「政府機関の情報セキュリティ対策のための統一基準（第４版）」（案）に関する意見の募集を行っていますね。。。

Continue reading "内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一基準（第４版）」（案）"

内閣官房 パブコメ 「第２次情報セキュリティ基本計画」（案）

　こんにちは、丸山満彦です。内閣官房情報セキュリティセンター(NISC)が「第２次情報セキュリティ基本計画」（案）に関する意見の募集を行っていますね。。。

Continue reading "内閣官房 パブコメ 「第２次情報セキュリティ基本計画」（案）"

内閣官房 パブコメ 「重要インフラの情報セキュリティ対策に係る第２次行動計画」（案）

　こんにちは、丸山満彦です。内閣官房情報セキュリティセンター(NISC)が「重要インフラの情報セキュリティ対策に係る第２次行動計画」（案）に関する意見の募集を行っていますね。。。

Continue reading "内閣官房 パブコメ 「重要インフラの情報セキュリティ対策に係る第２次行動計画」（案）"

各省庁に民間から「情報安全補佐官」の採用を義務づけ?

　こんにちは、丸山満彦です。なかなかブログの更新ができない日が続いておりますが。。。日経新聞に、「民間から「情報安全補佐官」　各省庁の採用を政府が義務づけ」という記事がでていましたね。。。

Continue reading "各省庁に民間から「情報安全補佐官」の採用を義務づけ?"

経済産業省 情報セキュリティ管理基準 ver2.0

　こんにちは、丸山満彦です。経済産業省が情報セキュリティ管理基準 ver2.0を公開していますね。平成21年2月1日から適用？されるようです。。。

Continue reading "経済産業省 情報セキュリティ管理基準 ver2.0"

政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得

　こんにちは、丸山満彦です。総務省は、政府認証基盤(GPKI)アプリケーション認証局サービスにおいて、WebTrust for CAの規準に基づく検証報告書を監査法人トーマツから取得し、WebTrustシールの使用の許諾を得たようですね。。。
　検証の範囲は、政府認証基盤(GPKI)アプリケーション認証局サービスですが、加入者登録業務を行っている外部登録局（府省等登録局）における内部統制は、当監査法人による検証の範囲外ですね。。。

　WebTrust for CAの認証取得は日本では4番目（セコムトラストネット、インテック、財団法人地方自治情報センターのLGPKI がすでに取得していますね。。。）ということのようです。。。
　監査法人別では、トーマツが３つ、PwC（あらた）が１つとなっていますね。。。

　

Continue reading "政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得"

Google Apps がSAS70 TypeIIとWebTrustの監査を受けていたようですね。。。

　こんにちは、丸山満彦です。Googleといえば、Googleマップがプライバシーを侵害しているようなケースがありいろいろと話題となっておりますが。。。今回はGoogle AppsがSAS70の監査を受けているという話です。。。
　このブログでも、
・2006.08.17 SAS70、監査基準委員会報告書第18号
で紹介していますが、SAS70ってその仕組みがなかなか理解されていませんよね。。。「SAS70認証を取得」とか。。。そういう話ではないんですよね。。。
　そういえば、Webtrustも取得していると書かれていたので調べてみると、どうやらPostiniという会社がWebtrustの監査を受けていて、その会社を買収したようですね。。。

Continue reading "Google Apps がSAS70 TypeIIとWebTrustの監査を受けていたようですね。。。"

ITGI 「バーゼルIIのためのIT統制目標」コンプライアンスのためのガバナンスとリスクの管理の重要性

　こんにちは、丸山満彦です。ITGIから「「バーゼルIIのためのIT統制目標」コンプライアンスのためのガバナンスとリスクの管理の重要性」が公開されていますね。。。
　今回はKPMGビジネスアシュアランスが翻訳に貢献してくれました。。。

Continue reading "ITGI 「バーゼルIIのためのIT統制目標」コンプライアンスのためのガバナンスとリスクの管理の重要性"

情報ネットワーク法学会 第8回研究大会受付開始

　こんにちは、丸山満彦です。情報ネットワーク法学会第8回研究大会の受付が開始されていますね。。。今年は東京電機大学ですね。。。12月6日土曜日です。。。

Continue reading "情報ネットワーク法学会　第8回研究大会受付開始"

内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる

　こんにちは、丸山満彦です。長い題です。もちろん、状況によって外部内部の切分線が異なるのは当然ですが。。。ちょっと本質を考えてほしいと思うんですね。
　支配権が及ばない持分法適用会社を企業グループの内部として内部統制の評価に含めるのはおかしいんじゃないの？という話は、
＝＝＝＝＝
　2008.06.26 質問：そもそも持分法適用会社の内部統制って、親会社ではないけど大株主である企業から見た場合の内部統制ですか？
＝＝＝＝＝
　でちょっとした議論となりましたが、逆に個人情報の取扱等情報セキュリティの分野では、一部門が子会社化し、完全一体化して運営されているような子会社についても法形式的には外部ということで、「外部委託は禁止だ。。。」みたいなことが言われたりします。

Continue reading "内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる"

金融庁 パブコメ 事務ガイドライン(第三分冊：金融会社関係 12電子債権記録機関関係)（案）

　こんにちは、丸山満彦です。電子債権にちょっとかかわっていましたので。。。金融庁が、「事務ガイドライン(第三分冊：金融会社関係　12　電子債権記録機関関係)（案）」についての意見募集をしていますね。。。さぁ、電子債権は普及するのでしょうか。。。
　

Continue reading "金融庁 パブコメ 事務ガイドライン(第三分冊：金融会社関係　12電子債権記録機関関係)（案）"

セキュリティいろはかるた by 日立システム

　こんにちは、丸山満彦です。日立システム情報セキュリティブログで「セキュリティいろはかるた」を募集していますね。。。
　武田先生も監修しているんですね。。。

Continue reading "セキュリティいろはかるた by 日立システム"

経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第２版（案）」

　こんにちは、丸山満彦です。かなり前になりますが、経済産業省が「情報システムの信頼性向上に関するガイドライン第２版（案）」に対するコメントを募集していますね。。。

Continue reading "経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第２版（案）」"

経済産業省 政府機関としてＳＴ確認された基盤ネットワークを初めて導入

　こんにちは、丸山満彦です。経済産業省が「政府機関としてＳＴ確認された基盤ネットワークを初めて導入」したことを発表していますね。。。
＝＝＝＝＝
１．ＳＴ確認とは、国際的なセキュリティ評価基準に基づき、情報システムのセキュリティ面の設計を、開発した事業者の申請に基づいて、規定された評価方法に従って第三者機関が評価し、さらに独立行政法人情報処理推進機構（ＩＰＡ）がその評価結果を確認するわが国固有の制度です。

２．内閣官房情報セキュリティセンターが定めた「政府機関の情報セキュリティ対策のための統一基準」により、政府機関の情報システムについては、セキュリティレベルを高めるため、ＳＴ確認を活用することが求められております。

３．経済産業省は、本年度、更新中の基盤ネットワークシステムの構築に当たって、ＳＴ確認を取得するべく準備を進めて参りましたが、９月３０日にＩＰＡによる確認が完了いたしました。
＝＝＝＝＝
　ということのようですね。。。

Continue reading "経済産業省 政府機関としてＳＴ確認された基盤ネットワークを初めて導入"

白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

　こんにちは、丸山満彦です。「サイバー犯罪に関する白浜シンポジウム実行委員会」が経済産業大臣表彰「情報セキュリティ促進部門」を受賞しましたね。。。実行委員長が受賞までの時間を会社でつぶしていたような。。。（冗談です。）＝＞仕事してました。
　12年間の地道な努力の積み重ねです。商業ベースではありません。地元と業界の手作りのシンポです。
　これだけ長い間続いたわけですから、いろいろなことがあったと思いますが、そんな、こんながあってもやっぱり続いていることが今回の受賞につながったのだと思います。
　関係者の皆様、本当におめでとうございました。私もいろいろと勉強させてもらいましたし、このシンポで様々な方と知り合うことができました！
　これからもずーっと続くことを期待しております。もちろん、私もできる範囲で協力します。。。

　

Continue reading "白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」"

IPA 2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書

　こんにちは、丸山満彦です。IPAが「2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書」を公開していますね。。。

Continue reading "IPA 2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書"

運転制御システム故障で新幹線が運転停止

　こんにちは、丸山満彦です。運転制御システム故障が原因となって新幹線が止まったようですね。。。システムが複雑になるとバグが出やすくなります。しかたがないことかもしれないのですが、なんとかしないとこの先危ないですね。。。
　金融機関が第三者を入れて行っている、開発過程監査のようなものを特定の業種の特定の規模以上のシステム開発に導入するということも考えられますね。。。コスト・ベネフィット分析をする必要があるかもしれませんね。。。。

Continue reading "運転制御システム故障で新幹線が運転停止"

全日空のシステム障害はデフォルト値の管理の問題でもありますね。。。

　こんにちは、丸山満彦です。全日空のシステム障害は複数の問題が合わさっているので、これがひとつの原因というわけではないと思いますが、そのひとつにデフォルト値の管理の問題がありそうですね。システムが複雑になるとデフォルト値がそのままよく検討されずに導入されることも多々あるとは思います。デフォルト設定を無くすと全体としては導入コストが増加するので、このあたりのバランスが問題ですよね。。。
　不正と誤謬（ミス）の２つに分けると、誤謬（ミス）の問題ですので、失敗学的な解決がよいのかもしれません。
　システムが複雑になれば、このような誤謬（ミス）の発生可能性は飛躍的に高くなってくるわけで、何らかの体系的な対策が必要となってくると思います。
　開発組織の問題、責任者の確認の問題、実施者の運用上の問題、商品側のユーザービリティ確保の問題等々・・・
　第三者審査制度の導入も考えているようですが、金融機関ではすでにシステム開発過程監査といわれるようなことをやっていますしね。
　また、システム的な対応として、デフォルト値を変更していないもののリストが優先順位をつけて上がるユーティリティーをつけるなども考えられますね。システム監査では、よくデフォルト値の変更の必要性の有無を検討しているかを監査したりしますよね。。。

Continue reading "全日空のシステム障害はデフォルト値の管理の問題でもありますね。。。"

「企業情報の流出防止へ新法、不正取得に刑事罰 経産省検討」だとか。。。

　こんにちは、丸山満彦です。お疲れ様です。技術情報の流出を防ぐため、不正競争防止法を改正し、技術情報を（元）社員などが不正取得した場合も刑事罰の対象とするような法改正を考えているようですね。。。社内の不正調査をしたこともありますが、アクセスコントロールが思ったほど十分にできていなかった場合など刑事罰とするといろいろと難しい問題もありそうですね。

Continue reading "「企業情報の流出防止へ新法、不正取得に刑事罰　経産省検討」だとか。。。"

情報セキュリティの指標

　こんにちは、丸山満彦です。The Center for Internet Security (CIS)が情報セキュリティの指標を公開していますね。。。
　日本でも情報セキュリティ格付けがあるしね。。。実際にどこまで信頼できるできるのかと言う問題がありますが、それはstep by stepでよくなっていくということで。。。

Continue reading "情報セキュリティの指標"

「COBIT実践ガイドブック」が発行されました

　こんにちは、丸山満彦です。日経BP社から「COBIT実践ガイドブック」が発行されていますね。。。COBITといえば情報システムの管理やITガバナンスのためのデファクトスタンダードと言われておりますがなかなか日本には浸透していませんでした。
　その問題のひとつとして言語の問題があったと思います。最近やっと、COBITやその関連文書が翻訳され始めてきました。
　「COBIT実践ガイドブック」は翻訳本ではなくて、日本企業にどのようにすればCOBITを導入できるかの解説本ですね。。。

Continue reading "「COBIT実践ガイドブック」が発行されました"

経済産業省 確定 「ＩＴサービス継続ガイドライン」

　こんにちは、丸山満彦です。お疲れ様です。経済産業省が「ITサービス継続ガイドライン」を公表してますね。。。
なかなかよい意見がでていますね。。。

Continue reading "経済産業省 確定 「ＩＴサービス継続ガイドライン」"

NISC グランドチャレンジ検討ワーキンググループはじまりました。。。

　こんにちは、丸山満彦です。NISCで開催された「第1回グランドチャレンジ検討ワーキンググループ」の資料等が公開されていますね。。。グランドチャレンジってセキュリティに関する研究開発の話です。。。

Continue reading "NISC グランドチャレンジ検討ワーキンググループはじまりました。。。"

セキュリティソリューション & ERM 2008 @ ビッグサイト

　こんにちは、丸山満彦です。昨日から金曜日までセキュリティソリューション & ERM 2008が東京のビッグサイトで開催されております。昨日は、ちょっとしたパネルディスカッションに出た関係で、展示場もぐるりと回ってきました。。。
　早速、昨日の講演内容がサイトに公開されていますね。。。

●SS & ERM 2008 速報サイト

　私がでたパネルディスカッションの取材記事も公開されていますね。。。紙面？の関係ではしょられているところもあるので、ちょっと補足しておきますね。。。

Continue reading "セキュリティソリューション & ERM 2008 @ ビッグサイト"

ISACA 名古屋支部ウェブページが新しくなりましたね。。。

　こんにちは、丸山満彦です。ISACA名古屋支部のウェブページが新しくなりましたね。。。

　ところで、9月の月例会は「トヨタ自動車株式会社　常務役員　グローバル監査室担当」の「辻　晶仁（つじ　あきひと）氏」による、「「内部統制の評価」トップダウン型リスクアプローチとその実践」ですね。。。

●9月月例会
・2008.09.27 16:00-18:00 @監査法人トーマツ 名古屋事務所
「内部統制の評価」トップダウン型リスクアプローチとその実践
講師： 辻　晶仁（つじ　あきひと）氏　トヨタ自動車株式会社　常務役員　グローバル監査室担当

Continue reading "ISACA 名古屋支部ウェブページが新しくなりましたね。。。"

週刊リスクガイド！

　こんにちは、丸山満彦です。そういえば、ニフティで連載中の「週刊リスクガイド」を監修しています。5回目が公開されていますが、お盆明けには6回目が公開される予定です。。。
　これとセット？で、鈴木先生の「3分スタディ　個人情報保護法」もあります。

　漫画がどぎついというご意見もあろうかと思いますが、楽しくお伝えするのが目的ですから。。。

　ちなみに、ライブの連載をブログの左上に表示することにしました。。。

Continue reading "週刊リスクガイド！"

NISC 第8回基本計画検討委員会の資料

　こんにちは、丸山満彦です。NISCが7月25日に開催された第8回基本計画検討委員会の議事要旨や 次期情報セキュリティ基本計画に向けた第１次提言への意見募集の結果、政府機関総合対策の現状に関する資料を公表していますね。。
　前回の議事要旨、意見募集の結果、総合対策の現状などは、読んでみると面白いかもです。。。

Continue reading "NISC 第8回基本計画検討委員会の資料"

IIA Global Technology Audit Guide

　こんにちは、丸山満彦です。IIAが公表しているGlobal Technology Audit Guide seriesに「事業継続管理」と「IT監査計画の立案」が新たに公表されていました。。。ということでご紹介。。。

Continue reading "IIA Global Technology Audit Guide "

IPA 「MD5 の安全性の限界に関する調査研究」に関する報告書・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書を公表

　こんにちは、丸山満彦です。IPAが
・「MD5 の安全性の限界に関する調査研究」に関する報告書と
・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書
を公表していますね。。。

Continue reading "IPA 「MD5 の安全性の限界に関する調査研究」に関する報告書・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書を公表"

IPA 「ハッシュ関数安全性評価手法の開発」に関する報告書

　こんにちは、丸山満彦です。仕事が忙しくて更新が滞っていました。。。何人から「大丈夫？」ってメールをいただきました。心配していただいた皆様、ありがとうございます。。。元気でした。。。このブログが死活監視のツールになっているようです（笑）。ひとやま超えそうってところなので、気分転換にブログです。
　IPAから「ハッシュ関数安全性評価手法の開発」に関する報告書が公表されていますね。。。SHA-1のコリジョンの問題など、最近いろいろと言われておりますので、読んでおこうかと思います。。。
　「共通鍵暗号をベースとしたハッシュ関数安全性評価手法の調査」と「算術演算をベースとするハッシュ関数安全性評価手法に関する調査 」の２つについての報告書になっていますね。。。

Continue reading "IPA 「ハッシュ関数安全性評価手法の開発」に関する報告書"

日本のインターネットはどうなんのよ。。。

　こんにちは、丸山満彦です。今年の白浜シンポのパネルディスカッションは「ネットワーク規制」という題で、岡村先生、高木さん、ガ島通信の藤代さんそして私がでました。会場の皆さんとこい～ディスカッションが行われたわけです。会場には、武田先生、上原先生、高倉先生などのメンバーもいますので、そうなりますわな・・・。その中で高木さんが、「固有IDの問題」を提起されました。会場を含めて熱い？議論が繰り広げられたわけですが、「固有IDの問題を正しく理解してもらいたい。」という高木さんの投げかけについてみなさんもよく考えてみることが重要かと思います。。。

Continue reading "日本のインターネットはどうなんのよ。。。"

日本システム監査人協会 近畿支部 ２０周年記念シンポジウムに参加しました。。。

　こんにちは、丸山満彦です。日本システム監査人協会近畿支部 ２０周年記念シンポジウムに参加してきました。
　私はパネルで好きなことをしゃべるという役回り。。。言いたいことをいってきました。。。
　みなさん、ありがとうございました。。。

Continue reading "日本システム監査人協会　近畿支部 ２０周年記念シンポジウムに参加しました。。。"

地方公共団体組織認証基盤（LGPKI）が「WebTrust for CA」検証報告書を取得

　こんにちは、丸山満彦です。財団法人地方自治情報センターが、LGPKI の「アプリケーション認証局」において、WebTrust for CAの規準に基づく検証報告書を監査法人トーマツから取得し、WebTrustシールの使用の許諾を得たようですね。。。
　WebTrust for CAの認証取得は日本では3番目（セコムトラストネット、インテックがすでに取得していますね。。。）ということのようです。。。

　ウェブトラスト検証報告書はダイレクトレポーティングでも言明方式でもできますが、この検証報告書は言明方式で行われています。。。
＝＝＝＝＝
当監査法人は、「経営者の記述書」が、認証局のためのWebTrust の規準に基づいて、平成20 年1 月16 日から平成20 年4 月15 日までの期間において、すべての重要な点において適正に表示されているものと認める。
＝＝＝＝＝

Continue reading "地方公共団体組織認証基盤（LGPKI）が「WebTrust for CA」検証報告書を取得"

個人情報保護法 ガイドラインの共通化

　こんにちは、丸山満彦です。個人情報保護法のガイドラインの共通化が目指されているという話は、少し前に取り上げましたが、内閣府の個人情報保護のページに資料が上がっていますね。。。

Continue reading "個人情報保護法 ガイドラインの共通化"

総務省 確定 次世代の情報セキュリティ政策に関する研究会報告書

　こんにちは、丸山満彦です。総務省が「次世代の情報セキュリティ政策に関する研究会報告書」を公表していますね。。。

Continue reading "総務省 確定 次世代の情報セキュリティ政策に関する研究会報告書"

経済産業省 パブコメ 「ＩＴサービス継続ガイドライン（案）」

　こんにちは、丸山満彦です。経済産業省が「ＩＴサービス継続ガイドライン（案）」に対する意見募集を行っていますね。。。

Continue reading "経済産業省 パブコメ 「ＩＴサービス継続ガイドライン（案）」"

経済産業省 パブコメ 情報セキュリティ管理基準改正案

　こんにちは、丸山満彦です。経済産業省が情報セキュリティ管理基準の改定案のパブコメを募集していますね。。。

Continue reading "経済産業省 パブコメ 情報セキュリティ管理基準改正案"

総務省 パブコメ 「地方公共団体におけるＩＣＴ部門の業務継続計画（ＢＣＰ）策定に関するガイドライン」（案）

　こんにちは、丸山満彦です。総務省が「地方公共団体におけるＩＣＴ部門の業務継続計画（ＢＣＰ）策定に関するガイドライン」（案）のパブコメを募集していますね。。。

Continue reading "総務省 パブコメ 「地方公共団体におけるＩＣＴ部門の業務継続計画（ＢＣＰ）策定に関するガイドライン」（案）"

JPCERT/CC CSIRT マテリアル

　こんにちは、丸山満彦です。JPCERT/CCが「CSIRT マテリアル」を公表していますね。。。

Continue reading "JPCERT/CC CSIRT マテリアル "

JNSA 2007年度 セキュアOSの導入に関する課題の試行結果報告書

　こんにちは、丸山満彦です。JNSAが「2007年度 セキュアOSの導入に関する課題の試行結果報告書」を公表していますね。。。
　「はじめに」からの抜粋ですが
＝＝＝＝＝
・・・
ＪＮＳＡのＤＭＺ設置サーバに対してセキュアＯＳを適用し、その過程も含めて広く公表していくことで多くの方にセキュアＯＳの本質を理解をしていただけるよう活動を展開することになった。
＝＝＝＝＝
　ということのようです。。。

Continue reading "JNSA 2007年度 セキュアOSの導入に関する課題の試行結果報告書"

経済産業省 産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキュリティガバナンスの確立に向けて

　こんにちは、丸山満彦です。経済産業省の産業構造審議会情報セキュリティ基本問題委員会が「中間とりまとめ～企業における戦略的な情報セキュリティガバナンスの確立に向けて」を公表していますね。。

Continue reading "経済産業省 産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキュリティガバナンスの確立に向けて"

内閣官房 パブコメ 「次期情報セキュリティ基本計画に向けた第１次提言」

　こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「次期情報セキュリティ基本計画に向けた第１次提言」等に対する意見募集をしていますね。。。

Continue reading "内閣官房 パブコメ 「次期情報セキュリティ基本計画に向けた第１次提言」"

情報システム監査の実施状況 ＜＝ 監査白書

　こんにちは、丸山満彦です。日本内部監査協会が監査白書2007という内部監査実施状況をまとめた白書を作成しております。いろいろな意味で大変参考になります。。。
　3年に一度の調査？で経年変化もある程度みれます。内部統制報告制度が始まる前の状況とはいえますが。。。
　ということで、今回はそこから情報システム監査の実施状況についてちょっと・・・

Continue reading "情報システム監査の実施状況 ＜＝ 監査白書"

ＥＤＰシステムの監査基準および監査手続試案

　こんにちは、丸山満彦です。EDPって懐かしい響きですね。。。EDPはElectronic Data Processingを省略したものです。。。で、表題の報告書は、日本公認会計士協会が1976年、昭和51年9月14日にまとめたものです。
　内容的には今とあまり変わっていませんね。。。

Continue reading "ＥＤＰシステムの監査基準および監査手続試案"

JNSA 内部統制におけるアイデンティティ管理解説書

　こんにちは、丸山満彦です。JNSAから「内部統制におけるアイデンティティ管理解説書」が公開されましたね。。。
　ベンダーであるCA、HP、IBM、Oracle等が協力しているところもすばらしいですが、SIerも加わって作ったところがよいでしょうね。。。
　ID管理の歴史なんかから始まっていて、おもしろそうですね。。。

Continue reading "JNSA 内部統制におけるアイデンティティ管理解説書"

IPA 情報セキュリティ関係報告書

　こんにちは、丸山満彦です。IPAが情報セキュリティ関係の報告書等を３つ公開していますね。。。

・イスラエルにおけるバイオメトリック認証に係る技術戦略に関する調査
・欧州における情報セキュリティ関連動向調査報告書
・情報セキュリティ対策ベンチマーク活用集第2版

Continue reading "IPA 情報セキュリティ関係報告書"

ITGI/ISACA CobiT4.1日本語版を公表

　こんにちは、丸山満彦です。。。COBIT4.1の日本語版がダウンロードできるようになっていますね。。。かかわっているにもかかわらず花田先生のブログを見て気づくという・・・だめだめですね。。。

Continue reading "ITGI/ISACA CobiT4.1日本語版を公表"

白浜シンポ無事終了。来年もできるように。

　こんにちは、丸山満彦です。皆様お疲れ様でした。大変有意義な時間をすごすことができました。これも実行委員やスタッフの皆様のおかげです。。。
　今年で12回目を迎え一区切りということで来年以降のことは一から考え直すということになっているようですね。。。個人的にはこんな有意義なシンポジウムは日本でも数少ないと思うのでぜひとも続けていければと思っています。私もできる範囲で協力していきたいなぁ・・・と思っています。。。

（注）最初は、「白浜シンポ無事終了。来年もあるといいなぁ・・・」という表題にしていたのですが、なんか他人事のようなので、「白浜シンポ無事終了。来年もできるように。」にしました。。。

Continue reading "白浜シンポ無事終了。来年もできるように。"

「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について

　こんにちは、丸山満彦＠白浜です。。。ネットワンの山崎さんが講演しています。。。「どこまで（情報セキュリティ対策）を行えばよいのか基準が示されていない」という対策実施上の問題点（警察庁 平成19年1月不正アクセス対策等の実態調査）が紹介されていました。
　どこまでセキュリティ対策をするのかというのは、（経営者の）自己責任の問題なんですが、そこまで日本人に求めるのは無理・・・という話もしていましたね。。。

　経済産業省の個人情報保護法のガイドラインでも、政府統一基準でも、何をしろとはいっていますが、どこまでしろということは言っていません。
　この点についても、いろいろな人から不満も聞きますが・・・
　

Continue reading "「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について"

学校の先生は教育できるだけの知識があるのだろうか？＠白浜

　こんにちは、丸山満彦です。白浜シンポジウムに来ています。「教育現場から」＠和歌山大学教育学部の豊田先生の話をきいています。
　未成年者に携帯電話を持たせるのか、学校の裏サイトなどが話題となっていますが、生徒・学生の携帯電話の利用実態やmixiやブログの利用実態等の話がありました。。。先生の利用経験についてのアンケートの話もありました。。。
　学校の先生の多くは、知識が不足しているので、適切な指導や授業ができないように思いました。。。

Continue reading "学校の先生は教育できるだけの知識があるのだろうか？＠白浜"

今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

　こんにちは、丸山満彦です。今日から第12回サイバー犯罪に関する白浜シンポジウムが始まりますね。。。いってきます。。。
　今回は「国民総ネット化時代の情報安全教育」ですね。。。

Continue reading "今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。"

「システム大手 障害撲滅へ開発改革急ぐ」

　こんにちは、丸山満彦です。今朝の日経産業新聞にシステム障害を減らすためにシステム大手がいろいろな対策を講じているという記事が載っていますね。。。
　例えば、「プログラム検証　富士通、第三者の目」、「仕様書統一　６社が検討会発足」とか・・・

Continue reading "「システム大手 障害撲滅へ開発改革急ぐ」"

経済産業省 確定 「電子署名及び認証業務に関する法律の施行状況に係る検討会」報告書

　こんにちは、丸山満彦です。経済産業省が「電子署名及び認証業務に関する法律の施行状況に係る検討会」報告書と意見募集の結果を公表していますね。。。
＝＝＝＝＝
本検討会では、電子署名法の施行状況を調査し、関係団体からの意見、要望を受けて、検討課題の整理・分析を行い、現行の電子署名法における課題を大きく技術的論点、制度的論点、ビジネス的論点に分けて議論し、検討を行った。
＝＝＝＝＝
　ということなんですね。。。
　

Continue reading "経済産業省 確定 「電子署名及び認証業務に関する法律の施行状況に係る検討会」報告書"

IPA 情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開

　こんにちは、丸山満彦です。IPAが情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開していますね。。。
＝＝＝＝＝
「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など104名から構成される「情報セキュリティ検討会」で、2007年に「印象が強かったもの」、「社会的影響が大きいもの」などの観点から投票を行い、10大脅威を選択、分析し、今後の対策をまとめました。
＝＝＝＝＝
ということのようですね。。。

Continue reading "IPA 情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開"

総務省 u-Japan政策 成長懇イレブン リレーコラム

　こんにちは、丸山満彦です。 総務省の u-Japan政策では、「成長懇会イレブン リレーコラム」というのをやっているようですね。。。

Continue reading "総務省 u-Japan政策 成長懇イレブン リレーコラム"

米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

　こんにちは、丸山満彦です。米国政府は、着々と成果をあげているように見えますね。。。

Continue reading "米国政府 セキュリティ評価関係 2007(2)　総合評価はC <= C-"

経済産業省 IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について

　こんにちは、丸山満彦です。経済産業省が「IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデル」を公開していますね。。。
　こういう発想って重要だと思いますよ。。。いままでの監査って、専門家の判断によりすぎているような気がするんですよね。。。構造的に分析する必要があるのではと思っています。
　コンテンツの是非も重要なのですが、考え方（発想）について考えてほしいです（＝＞監査関係者）

　で、とくに重要なことは、前提条件っていうのがあるということですね。例えば、社長は粉飾をしようという意図はないとか。。。
　だから、以下のコントロールがあれば、財務報告は適切になると・・・前提条件が偽であれば、その後はあまり関係ないということになります。。。

Continue reading "経済産業省 IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について"

JNSA 「【速報版】2007年度 情報セキュリティインシデントに関する調査報告書（Ver.1.0）」を公表

　こんにちは、丸山満彦です。JNSAが【速報版】2007年度 情報セキュリティインシデントに関する調査報告書（Ver.1.0）を公表していますね。。。

　漏えい人数 3,053万1,004人
　想定損害賠償総額 2兆2,710億8,970万円

2兆円といわれても実感がなかなかわいてきません。。。
　

Continue reading "JNSA 「【速報版】2007年度 情報セキュリティインシデントに関する調査報告書（Ver.1.0）」を公表"

英国 セキュリティテストをする団体が設立

　こんにちは、丸山満彦です。英国でセキュリティテストをする業界団体が設立されたようですね。。。新聞では、「侵入テスト」をする団体となっていますが・・・

Continue reading "英国 セキュリティテストをする団体が設立"

金融庁 三菱東京UFJ銀行のシステム障害に対する佐藤金融庁長官記者会見の要旨

　こんにちは、丸山満彦です。三菱東京UFJ銀行のシステム障害についての佐藤金融庁長官の記者会見の要旨が公開されておりますね。。。

Continue reading "金融庁 三菱東京UFJ銀行のシステム障害に対する佐藤金融庁長官記者会見の要旨"

IPA 情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査

　こんにちは、丸山満彦です。IPAから「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査」が公表されていますね。。。

Continue reading "IPA 情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査"

経済産業省 パブコメ 産業構造審議会情報セキュリティ基本問題委員会 中間とりまとめ（案）～企業における戦略的な情報セキュリティガバナンスの確立に向けて～

　こんにちは、丸山満彦です。経済産業省の産業構造審議会情報セキュリティ基本問題委員会が中間とりまとめ（案）～企業における戦略的な情報セキュリティガバナンスの確立に向けて～に対する意見公募をしていますね。。。

Continue reading "経済産業省 パブコメ 産業構造審議会情報セキュリティ基本問題委員会　中間とりまとめ（案）～企業における戦略的な情報セキュリティガバナンスの確立に向けて～"

経済産業省 パブコメ 「電子商取引及び情報財取引等に関する準則改定案」

　こんにちは、丸山満彦です。経済産業省が「電子商取引及び情報財取引等に関する準則改定案」に対する意見募集をしていますね。。。

Continue reading "経済産業省 パブコメ 「電子商取引及び情報財取引等に関する準則改定案」"

ISACA ITAF™: A Professional Practices Framework for IT Assurance

　こんにちは、丸山満彦です。ISACAがITAF™: A Professional Practices Framework for IT Assurance を公開していますね。。。
　監査基準のようなものです。。。

Continue reading "ISACA ITAF™: A Professional Practices Framework for IT Assurance"

総務省 総務省 地方自治情報管理概要

　こんにちは、丸山満彦です。総務省の「地方自治情報管理概要」の調査が毎年9月末から10月初旬にかけて行われているようですが、取り上げていなかったのでいまさらながらまとめて・・・

Continue reading "総務省 総務省 地方自治情報管理概要"

セキュリティ投資スゴロク by NTT西日本

　こんにちは、丸山満彦です。セキュリティホール memoで知りました。これ、おもしろいです。。。
　ちょっと、癖がありますが・・・

　

Continue reading "セキュリティ投資スゴロク by NTT西日本"

内閣官房 パブコメ 「セキュア・ジャパン２００８」（案）

　こんにちは、丸山満彦です。３年目ですね。。。地道な活動を継続することが重要ですね。

Continue reading "内閣官房 パブコメ 「セキュア・ジャパン２００８」（案）"

IPA 2007年のセキュリティ関連の報告書

　こんにちは、丸山満彦です。IPAが
・「2007年 国内における情報セキュリティ事象被害状況調査」報告書
・情報セキュリティに関する脅威に対する意識調査(2007年度第2回)の報告書
を公開しているので、忘れないうちにメモ。。。

Continue reading "IPA 2007年のセキュリティ関連の報告書"

第12回サイバー犯罪に関する白浜シンポジウム

こんにちは、丸山満彦です。今年も、南紀白浜にて、6月5日（木）～7日（土）に「サイバー犯罪に関する白浜シンポジウム」が開催されますね。今年で12回目となります。。。今年のテーマは、「国民総ネット化時代の情報安全教育」です。。。

Continue reading "第12回サイバー犯罪に関する白浜シンポジウム"

米国政府 セキュリティ評価関係 2007

　こんにちは、丸山満彦です。米国政府のセキュリティ評価関係について、忘れないうちにちょっとメモしておこうと・・・

Continue reading "米国政府 セキュリティ評価関係 2007"

情報セキュリティ格付会社

　こんにちは、丸山満彦です。情報セキュリティ格付会社が5月2日に設立されるそうですね。。。
＝＝＝＝＝
情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。
＝＝＝＝＝
　大変おもしろい取り組みだと思います。世界にも広がるとよいですね。。。

Continue reading "情報セキュリティ格付会社"

警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について（平成19年度総合セキュリティ対策会議 報告書）

　こんにちは、丸山満彦です。警察庁が、「Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について（平成19年度総合セキュリティ対策会議 報告書） 」を公表していますね。。。

Continue reading "警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について（平成19年度総合セキュリティ対策会議 報告書） "

総務省 パブコメ 次世代の情報セキュリティ政策に関する研究会中間報告書に係る意見募集

　こんにちは、丸山満彦です。総務省が「次世代の情報セキュリティ政策に関する研究会中間報告書」を公表し、パブコメを求めていますね。。。

Continue reading "総務省 パブコメ 次世代の情報セキュリティ政策に関する研究会中間報告書に係る意見募集"

JIPDEC 医療機関向けISMSユーザーズガイドを改訂

　こんにちは、丸山満彦です。JIPDECが医療機関向けISMSユーザーズガイドを改訂し、公開していますね。。。

Continue reading "JIPDEC 医療機関向けISMSユーザーズガイドを改訂"

画像医療システムのセキュリティ

　こんにちは、丸山満彦です。社団法人 日本画像医療システム工業会の医用画像システム部会セキュリティ委員会の情報です。。。
　

Continue reading "画像医療システムのセキュリティ"

総務省 確定 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」

　こんにちは、丸山満彦です。総務省が「情報通信ネットワーク安全・信頼性基準の一部を改正する告示等」を公表していますね。。。

Continue reading "総務省 確定 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」"

ＮＴＴデータ 情報セキュリティ報告書2008

　こんにちは、丸山満彦です。ＮＴＴデータが情報セキュリティ報告書を公表していますね。。。

Continue reading "ＮＴＴデータ 情報セキュリティ報告書2008"

経済産業省 パブコメ 「情報システムの信頼性向上のための取引慣行・契約に関する研究会」～情報システム・モデル取引・契約書～（パッケージ、SaaS/ASP活用、保守・運用）＜追補版＞（報告書案）

　こんにちは、丸山満彦です。経済産業省が「情報システムの信頼性向上のための取引慣行・契約に関する研究会」～情報システム・モデル取引・契約書～（パッケージ、SaaS/ASP活用、保守・運用）＜追補版＞（報告書案）の意見募集をしていますね。。。

Continue reading "経済産業省 パブコメ　「情報システムの信頼性向上のための取引慣行・契約に関する研究会」～情報システム・モデル取引・契約書～（パッケージ、SaaS/ASP活用、保守・運用）＜追補版＞（報告書案）"

経済産業省 確定 個人情報保護法についての経済産業分野を対象とするガイドライン

　こんにちは、丸山満彦です。「個人情報保護法についての経済産業分野を対象とするガイドライン」と「Q&A」が確定していますね。。。

Continue reading "経済産業省 確定 個人情報保護法についての経済産業分野を対象とするガイドライン"

どんと来い、リスクマネジメント

　こんにちは、丸山満彦です。昨年11月に「＠nfityビジネス」で開始した「どんと来い、リスクマネジメント」ですが、すでに12回も書いています。。。
　右の「タイトルバー」にもリンクを張りました。これからもよろしくお願いします。

Continue reading "どんと来い、リスクマネジメント"

JNSA 情報セキュリティ理解度チェック

　こんにちは、丸山満彦です。JNSAが情報セキュリティ理解度チェックのサイトをオープンしていますね。。。

Continue reading "JNSA 情報セキュリティ理解度チェック"

総務省 パブコメ 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」

　こんにちは、丸山満彦です。総務省が「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」に対するパブコメを募集していますね。。。

Continue reading "総務省 パブコメ 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」"

内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準（第３版）

　こんにちは、丸山満彦です。「政府機関の情報セキュリティ対策のための統一基準（第３版）」が確定したようですね。。。

Continue reading "内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準（第３版）"

内閣官房 パブコメ 「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」（案）

　こんにちは、丸山満彦です。内閣官房が「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」（案）についての意見募集を行っていますね。。。

Continue reading "内閣官房 パブコメ 「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」（案）"

内閣官房 情報セキュリティ政策会議（第16回）

　こんにちは、丸山満彦です。内閣官房情報セキュリティ政策会議（第16回）が開催され、資料が公表されていますね。。。

Continue reading "内閣官房 情報セキュリティ政策会議（第16回）"