情報漏洩対策をムダにしないための7カ条,最終回は『対策のバランスを考える』という提起で締めくくりたいと思います。現場の実情を考慮した「現場参加型のルール」を策定したら、あとは対策の実施ということになります。この段階では、対策のバランスが重要になります。 対策のバランスとは、つまり「初志貫徹」と「臨機応変」の使い分けです。目的実現のために決して譲れない事柄と柔軟に対応すべき事柄を判別し,場面に応じて適切な方法で対応することです。決して譲れない事柄とは、情報セキュリティ対策の目的や基本方針などの情報セキュリティ対策のおおもとと言える事柄です。これらが実施の段階で揺らいでしまうと、対策そのものが成り立たなくなります。一方、柔軟に対応すべき事柄は、おおもととなる事柄を踏まえて目的を達成するための手段や方法のことです。前者については既に方々で語り尽くされた感がありますので、今回は後者について詳しく述
自社のログ取得体制を構築する上では,(1)不正なアクセスから守る,(2)時刻を合わせる,(3)保存期間を決める――の3つに注意したい(図1)。 図1●ログ取得の体制を構築する上での注意点 ログを削除/改ざんされないためのセキュリティ対策が必要となるほか,ログごとの時間がずれないように各サーバーの時刻を合わせる必要がある。重要度や監視頻度に応じてログの保存期間も決めておくようにしたい (1)が重要なのは,ログが削除されたり改ざんされたりしたら意味をなさなくなってしまうからだ。特にフォレンジック製品は,ネットワーク上の通信を記録しているので,外部に記録が漏れただけでもセキュリティ上の問題になる。ずさんな管理は逆効果になるので注意したい。 (2)の時刻は,ログを取得するサーバーごとに時刻がバラバラになっていると,何か問題が起きたときにログの突き合わせが大変になる。また「時刻が正確でないと,ログの
内部統制でやるべきことと、いまできること:IT担当者のための内部統制ガイド(3)(1/2 ページ) 6月7日に金融商品取引法が成立した。これで、内部統制対応までの締め切りは確定した。一方、当初成立直後に発表予定だった実施基準の公開が遅れている。しかし、締め切りは迫るばかりだ。そこで、今回は“やるべきことと、いまできること”を整理して紹介する。 6月7日に金融商品取引法が参議院本会議にて可決され、正式に成立しました。これにより、すべての上場企業(約3800社の上場会社と、その連結子会社約5万社)は、2009年3月期からの決算以降、「内部統制報告書」を提出する義務を負うことになります。 内部統制対応の期日は確定しました。 内部統制対応プロジェクトの事務局メンバーや関係者の皆さんとしては、「期日までに内部統制の整備作業に間に合わせなければ」という気持ちだと思います。しかし、1つ問題があります。そ
企業内の業務プロセスにおいて、不正・ミスが発生し得るリスクと、それに対処する方策を列挙した表。内部統制の構築・評価にあたり作成すべき文書の1つ。 日本版SOX法(企業改革法)への対応や、内部統制強化の課題としてよく言われるのが、「業務プロセスを可視化して把握するための文書を大量に作らなければならない」ということです。例えば、米国で上場する野村ホールディングスは、米国SOX法に対応するために約5000ページもの文書を作成しました。 作成すべき文書のうち主なものは、販売、購買など業務ごとに業務プロセスを記述した「業務記述書」と、書類の流れや承認手続きなどを図示した「フローチャート」「リスク・コントロール・マトリクス(RCM)」の3つです。これらは「(SOX法対応のための)3点セット」と呼ばれることもあります。 3点セットの中でも、一般になじみが薄いのが、RCMでしょう。RCMとは、その名の通り
大手精密機器メーカー「オリンパス」(東京)の社員浜田正晴さん(48)が、社内のコンプライアンス(法令順守)通報窓口に上司に関し告発した結果、不当に配置転換されたと訴えている問題で、浜田さんは二日、暴言や退職要求などの社内の嫌がらせを会社にやめさせるよう東京弁護士会に人権救済を申し立てた。 申立書によると、浜田さんは一九八五年に入社後、大手鉄鋼メーカーへの精密検査システム販売などを担当。上司が機密情報を知る取引先の社員を引き抜くことを知り、不正競争防止法違反(営業秘密の侵害)の疑いがあるとして二〇〇七年六月、社内の通報窓口に通報した。役員が取引先に謝罪し引き抜きは止めたが浜田さんは同十月、閑職とされる部署に異動させられた。通報内容は通報窓口から上司らに電子メールで報告されていた。 異動先では資料整理などをさせられていたが、病欠者扱いで賃金も抑えられている。部外者との連絡には許可が必要といい、
2007.08 ページ| 1 | 2 | 3 | 4 | IT全社統制およびIT全般統制の文書化ポイント 日本における財務報告に係る内部統制の評価及び監査への対応、とりわけIT統制に係る文書化については、何をどのように対応してよいか、また効率的に進めるにはどうしたらよいか、判断に困る管理者も多いと思われる。文書化にあたっての基本的な考え方は実施基準に記載してある通りであるが、本章ではもう少し具体的な項目を示しながら、社内のIT統制を把握、評価し、その結果を文書化する方法について述べる(IT業務処理統制(ITAC)については「IT業務処理統制の文書化ポイント」で述べるため、IT全社統制(ITCLC)およびIT全般統制(ITGC)に焦点をあてて説明する)。 IT統制の分類 IT統制を文書化、評価するにあたっては、IT統制を適切に分類し、それぞれの特性に応じて文書化、評価する
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
住商情報システム(SCS)は2008年1月8日、企業内部統制向けに、IT全般統制テンプレート「SMART SOX for ITGC」の販売を開始した。エイトレッド(本社:東京都渋谷区)のWebフォーム ワークフロー「X-point」に組み込んで、IT全般統制の整備を容易にできるという。 「SMART SOX for ITGC」は、企業内部統制の業務処理統制を支えるIT全般統制対応に焦点を絞った製品で、IT全般統制に含まれる「情報システム部の業務プロセス」の申請・承認処理を確実に行うための監査対応を中心としている。 同社のコンサルティングノウハウをベースに、「標準プロセスの運用フロー」を「X-point」に組み込んで、文書化後の内部統制の有効性評価のフェーズのサンプリング抽出、証跡提示などの膨大な作業量を軽減するという。 同社によると、「内部統制対応」や「J-SOX対応」製品の多くは、内部監
第3回 御社のログ管理体制、見直してみませんか? 松下 勉 テュフズードジャパン株式会社 マネジメントサービス部 ISMS主任審査員 CISA(公認情報システム監査人) 2007/8/17 ログの持つ意味は大きくなっている ISMS(情報セキュリティマネジメントシステム)およびプライバシーマークを構築するに当たり、情報システムにおけるログ管理を導入する企業が増えてきました。 昨今では、日本版SOX法の法的要求事項を順守するために、従業員が財務諸表に関係する業務においてITを利用した場合に、業務を実施した証拠や改ざんなどの不正な操作が行われなかった証拠として、システムのログ管理も法が求める対策の1つとなっています。 ログ管理において、管理職などの権限のあるユーザーが承認した履歴があることで、従業員の操作が正しく行われたということが実証できます。しかし、上位の管理者の業務の実施状況については、
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
PS2ソフト「対局麻雀ネットでロン!」ネットワークサービス再開のお知らせを掲載しました。 「対局麻雀ネットでロン!」ネットワークサービス再開のお知らせ 「対局麻雀ネットでロン!」のネットワークサービスにつきまして、昨年よりサービスを一時停止しておりましたが、 本日よりサービスを再開いたしました。 お客様には大変ご迷惑おかけしましたことを深くお詫び申し上げます。 今後とも、弊社ソフトウェアをどうぞよろしくお願いいたします。 2007年5月28日 PS2ソフト「対局麻雀ネットでロン!」のサーバー停止についての告知とお詫びを掲載しました。 PS2ソフト「対局麻雀ネットでロン!」のサーバー停止についての告知とお詫び 去る2006年5月18日、弊社社員(当時)が、退職を申し出た直後に社内の機密資料等を外部記憶媒体にコピーし持ち出そうとする事件が発生しました。 退職を申し出た直後の悪質な行動であった事
2006年6月に成立した日本版SOX法(厳密には金融商品取引法)により,多くの企業が内部統制の強化を迫られている。その一部として,「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」で,情報セキュリティの強化を求めている。では,企業ユーザーは内部統制強化のために,どの観点でのセキュリティをどのレベルまで強化したらよいのか。一口にセキュリティと言っても,範囲は広く,導入の手間やコストを考えれば,施策を適切に取捨選択したいところだ。 セキュリティ・レベルが「一定の水準」に達しているかどうかを判断するには,例えば情報処理推進機構(IPA)が公開している「情報セキュリティ対策ベンチマーク(セルフチェック)」ツールを使う方法がある。このツールを使って, 情報セキュリティに対する組織的な取組状況(7項) 物理的(環境的)セキュリティ上の施策(5項) 通信ネットワーク及び情報システムの運
2007/01/31 金融庁の企業会計審議会 内部統制部会は1月31日、日本版SOX法の実施基準を含む「財務報告に係る内部統制の評価および監査の基準並びに財務報告に係る内部統制の評価および監査に関する実施基準の設定について(意見書)」(案)を了承した。今後、企業会計審議会総会に諮り、正式決定する。 [2月1日追記:金融庁はWebサイトで意見書を公表した] 基準と実施基準で構成する意見書 意見書は、2つの文書を合わせた内容。1つは同部会が2005年12月に公表した「財務報告に係る内部統制の評価及び監査の基準のあり方について」で、「前文」と「基準案」を一部を追加・修正し、採用した。もう1つは2006年11月21日に公開した「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」(以下、実施基準)。実施基準は12月20日までパブリックコメントを受け付けていて、1月31日に修正した内容
「内部統制のためのログ活用セミナー」というセミナーが開催されます。内部統制セミナーは、経営者よりのものが多いかと思いますが、これはログという視点からのもので、システム管理者向けのものとなっています。(そうだよね?) 基調講演はid:sonodamさん!私はモデレーター役です。 タイトル:内部統制のためのログ活用セミナー 〜統合的ログ活用で効率的に実現するIT統制〜 日時:2007年2月16日(金) 10:00〜 (受付開始9:30) 会場:青山ダイヤモンドホール (ダイヤモンド) 定員:250名 参加費:無料 主催:@IT 情報マネジメント編集部(アイティメディア株式会社) ゴールドスポンサー ・株式会社ビーエスピー ・マクニカネットワークス株式会社 ・株式会社リエンクリプション・テクノロジーズ ・インフォサイエンス株式会社 ・株式会社インテリジェント ウェイブ 内部統制のためのログ活用セ
PointSecの運用管理ツール(運用管理ツール、リカバリファイル収集管理など)を発売するそうです。 NECソフトは2月1日、Pointsec製の運用管理ツール「webRH」および自社開発のwebRH連携ツール「SelfHelp」、リカバリファイル収集管理ツール「FileCenter」を発売した。2月中旬から出荷を開始する。 海外出張の端末もロック解除が可能とのこと。PointSec運用するには面白そうなツール群ですね。 SelfHelpは、webRHと連携して管理者が直接操作することなくユーザー自身が端末のロックを解除できるもの。ユーザーは、指定されたアドレスにメールを送信するとロックを解除できる。ユーザーが海外出張や休日出勤した場合など、管理者が通常の業務時間では対応することが難しいケースに活用できるという。 FileCenterは、pointsecの運用管理に必要なリカバリファイルを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
