3分で分かる！ISMS情報セキュアド試験研究課

急がれる内部統制

Wed, 25 Oct 2006 06:03:16 +0900

日本版SOX法（J-SOX）の中核となる「金融商品取引法」が成立しました。この法制化によって、上場企業は、財務諸表の内容の適正性を確保するための「内部統制」の整備と、内部統制報告書の提出を義務づけられました。 3月期決算の企業では、2009年3月期から内部統制報告書を提出することが求められます。 J-SOXに対応した内部統制体制を構築するのは、企業にとって大きな負担となります。なぜなら、財務報告にかかわる業務フローを洗い出し、そのフローで発生するリスクの棚卸しを実施したうえで、業務プロセスを改善する、この一連のプロセスで様々な文書を作る必要があるからです。非常に時間もかかり、手間もかかります。さらに、日本企業にとっては、アメリカからやってきた内部統制という概念自体をとらえにくいのが現実です。どこまでの業務を内部統制の対象に含め、どんな統制活動を組み込めばよいのか、また、内部統制を行う際に、どんな文書を作成すればよいのかが分かりにくいのが実情でしょう。

内部統制とは？

Sun, 22 Oct 2006 22:54:24 +0900

内部統制とは、事業経営の有効性や効率性を高めることを第一の目的とし、さらに、内部統制の第二の目的として企業の財務報告の信頼性の確保を掲げ、事業経営に関わる法規の遵守を促すものです。よって、内部統制とは企業目的を達成するために必要不可欠な仕組みとなってくるのです。

編集後記

Thu, 12 Oct 2006 05:07:58 +0900

「相手をリスペクトする」というのはとても大切なことだと思います。　資格試験においても、出題内容や形式について批判的な考え方を持って　いる人がいますが、相手も人間ですのでいろいろな考えがあってのこと　だと思うのです。　相手の変化に応じてこちらも変化する。　相手は簡単に変わりませんが、自分は考え方を改善いていくことにより、　対応が可能となります。

クリアデスク・クリアスクリーン

Mon, 25 Sep 2006 07:50:09 +0900

NetSecurity
企業に求められる「確からしさ」とは？ ■第2回■(2003.3.18)
http://old.netsecurity.ne.jp/article/11/9150.html
を読んで下記問いに答えよ。

　(1)クリアデスクとは何か。またその目的は何か。

　(2)クリアスクリーンとは何か。またその目的は何か。

　(3)感想・調べたこと

(裏)

Wed, 20 Sep 2006 07:36:52 +0900

『分かち合うことができれば、　　悲しみは半分に、　　喜びは二倍になります。　　　　　　　　　　　　　　　アメリカ・インディアンの格言』

税務処理委託先の社員PCから約12,000件の個人情報が流出

Wed, 13 Sep 2006 08:00:56 +0900

⇒資格ランキング挑戦中「3分で分かる！セキュアド試験研究課」

石川県能登町は9月11日、税務処理業務の委託先社員が個人所有するPCから住民税に関する個人情報がインターネット上に流出していることが判明したと発表した。流出が確認されたデータは、旧能都町の平成15年度個人住民税に関する情報が4,558件（所得割、均等割のある納税者の整理番号、税額）および旧能都町の平成16年度個人住民税に関する情報が8,134件（普通徴収対象者の住所、氏名、整理番号、税額）。同町では現在、インターネット上に流出した情報の追跡と削除を依頼するとともに、流出情報の該当者に事情を知らせているという。

参考サイトLivedoor ニュース

効く度：■■■■■■60%
□個人情報
□委託先の管理
□情報漏洩

Vol.318のACT回答お待ちしています。

Tue, 12 Sep 2006 07:55:16 +0900

ACTの回答お待ちしています。

よろしければ、「感想・調べたこと」も書いてくださるとうれしいです。

試験まであと１ヶ月、コツコツ楽しくがんばりましょう。

今週のACTはこちらです。

IPA
リモートアクセス環境におけるセキュリティ 6.6.4公開鍵暗号方式を読んで下記問いに答えよ。

(1)公開かぎ暗号方式は共通かぎ暗号方式のどのような問題（短所）を解決しているか。

(2)公開かぎ暗号方式では、公開かぎと秘密かぎは（同じ・異なる）。

(3)感想・調べたこと

9/7(裏)編集後記

Thu, 07 Sep 2006 07:45:38 +0900

通信データの機密性、完全性を確保するためには、悪意のある第三者からの「盗聴」、「なりすまし」、「改ざん」を防止しなければなりません。

共通かぎ暗号方式では、かぎが第三者に漏えいしてしまうとその後の暗号を全て解読されてしまう危険性が高くなります。

よって、共通かぎ暗号方式では、

・通信相手を偽るなりすまし
・通信途中でデータを改ざんする攻撃

に対して有効ではありません。

だからといって共通かぎ暗号方式がダメということではありませんよ。

この問題点を補うために、公開かぎ暗号方式やハッシュ関数といった技術と併用して通信データの機密性（認証、否認防止を含む）、完全性を確保していくことになります。

共通かぎ暗号方式については、キーマンズネットの「ネットワーク早わかり講座　第39回　何が違う？新旧暗号方式DESとAES」が分かりやすいです。必読。

『セキュアド試験対策！インターネットサイト有効利用術』

キーマンズネットの記事検索で、「共通鍵暗号方式」で検索してください。

続くパソコンの盗難事件

Wed, 06 Sep 2006 07:45:39 +0900

⇒資格ランキング挑戦中「3分で分かる！セキュアド試験研究課」

このところ、ラップトップなどの盗難による情報漏洩事件が頻繁に起きて、問題となっている。8月21日にも、世界的な石油企業のシェブロンのラップトップが盗難されていたことが、『ComputerWorld』の報道で明らかになった。

ラップトップは、8月5日にシェブロンの業務を行う会計事務所から盗まれたようだが、事務所名は今のところ明らかになっていない。保存されていた個人情報は、シェブロンの、過去から現在に至るまで従業員の社会保険番号と氏名だという。

参考サイトLivedoor ニュース

効く度：■■■■■50%
□パソコンの盗難
□情報漏洩

〔セキュアド試験へ向けて〕

業務の施設や情報に対する物理的なアクセスを防止するために、物理的なセキュリティ境界、入退管理策、オフィス・部屋・施設のセキュリティ、外部や環境の脅威からの保護、セキュリティを保つべき領域での作業、一般の人の立ち寄り場所や受渡し場所の隔離などの管理策が求められます。このように物理的および環境的セキュリティへの対応は必須ですが、求められるセキュリティレベルは事業規模、業務の内容、保有する情報資産に応じたものであることが重要です。

9/5編集後記

Tue, 05 Sep 2006 08:20:53 +0900

秋期試験までまだ１ヶ月以上あります。

毎日コツコツ勉強していけば、まだまだ合格圏内狙えます。

過去にも夏から勉強を始めましたという方が合格されています。（初級シスアドを取得されていましたが。）

試験に向けて疑問・質問等がございましたら、ACTのその他に書いてくださってもＯＫです。

NTTコミュニケーションズ、顧客情報を含む業務ファイルがWinny上に流出

Mon, 04 Sep 2006 08:06:09 +0900

⇒資格ランキング挑戦中「3分で分かる！セキュアド試験研究課」

NTTコミュニケーションズ株式会社は8月30日、顧客情報を含む業務関連ファイルがWinny上に流出していたことが判明したと発表した。流出したファイルは同社社員および販売業務委託先元社員が作成したもので、同社の法人顧客企業名と担当者の氏名48件が含まれていた。企業の所在地や連絡先電話番号、メールアドレスも一部含まれていたが、銀行口座番号やクレジットカード情報などは含まれていないとしている。

参考サイトLivedoor ニュース

効く度：■■■■■60%
□Winny
□顧客情報流出

米AT&Tにサイバー攻撃、2万人近い顧客情報が流出

Fri, 01 Sep 2006 08:05:58 +0900

⇒資格ランキング挑戦中「3分で分かる！セキュアド試験研究課」

米AT&Tは8月29日（現地時間）、同社のシステムに不正侵入があり、クレジットカード情報を含む顧客情報に不正アクセスされたと発表した。同社では侵入を数時間で探知し、オンラインショップの閉鎖や関連機関への通知を行ったとしているが、同社からDSL機器を購入した約19,000名分の顧客情報が流出した可能性が高いとしている。

参考サイトLivedoor ニュース

効く度：■■■■■■70%
□顧客情報漏えい
□不正アクセス
□サイバー攻撃

〔セキュアド試験へ向けて〕

情報セキュリティに100％安全ということはありません。

セキュリティインシデントに対する原因の究明と適切な対応が求められます。

セキュリティインシデントの原因を調査し、犯行者に対して、訴訟、賠償請求を行うために証拠資料を収集する必要があります。

不正アクセス時には、コンピュータ媒体上の情報、ハードディスクまたは記憶装置の中の情報を複製します。

この複製プロセスにおいても立会人を置き、原本とする媒体およびログに誰も触れないようにセキュリティを保って保管することを確実にします。

証拠資料の収集に関しては、事前に法律専門家に助言を求め、またその助言に従った行動であること、および法律専門家とのコミュニケーションプロセスの有効性について的確に確認を取るとよいでしょう。

8/31編集後記

Thu, 31 Aug 2006 07:52:45 +0900

長男の夏休み最終日が終わりました。今日から学校です。

よくよく聞いてみると、読書感想文の本が無いって、、、帰宅してから、近くの本屋に行きました。

課題図書って書かれている中で、一番薄いのを買ってました。（汗）

400字の感想文を２時間で仕上げていました。２時間で終わるのか？

夏休みの宿題は最後にやるっていうのも、良い思い出になると思っていますので、ガミガミ言わないことにしているんです。

疑似スパムメールを用いた、官庁でのセキュリティ模擬訓練の結果と傾向

Wed, 30 Aug 2006 07:45:19 +0900

⇒資格ランキング挑戦中「3分で分かる！セキュアド試験研究課」

アイエックス・ナレッジ社は2006年7月から、セキュリティ教育サービス「メル訓」を開始した。メル訓は、疑似スパムメールを従業員向けに抜き打ちで配信し、その開封状況や対応等を調査分析し、報告書を提出するという異色のセキュリティ教育サービスだ。いわば、抜き打ちで行う、火災などの避難訓練の、情報セキュリティ版と言ってもいいだろう。

情報セキュリティ対策の推進にあたって、社員の不理解や、現場従業員の低いセキュリティ意識を、大きな障害としてあげる声は多い。しかし「社員の不理解」「現場従業員の低いセキュリティ意識」を、具体的に数字で把握する有効な方法は、これまでほとんど存在しなかったのが現状である。こうした意味でこの「メル訓」は、システムを対象とした一般的な脆弱性診断と異なり、組織を構成する「人間」を対象としたペネトレーションテストとしての意義も持っている。

参考サイトLivedoor ニュース

効く度：■■■■50%
□疑似スパムメール
□情報セキュリティ教育
□従業員のモラル

〔セキュアド試験へ向けて〕

人間を対象としたペネトレーションテストが登場しました。

人的セキュリティの中で、情報セキュリティの意識向上、教育及び訓練は非常に大切なプロセスです。

ISO27001では、従業員などに認識させなけれならない事項として、次の項目を挙げています。

・セキュリティ事象・弱点についての報告手順等
・不審者への問いかけ
・施錠すること
・クリアデスク及びクリアスクリーンの実践
・パスワードの取扱い
・ウイルス等への対策
・媒体の取扱い
・電話・ファクシミリの利用上の注意
・知的財産権の保護
・情報処理施設の業務外使用

8/29編集後記

Tue, 29 Aug 2006 08:04:45 +0900

長男が宿題をがんばってやっています。(^^;

漢字練習と算数の宿題は、夏休み早々に片付けたみたいなのですが、読書感想文と自由研究が残っているそうです。

あと数日で終わるのでしょうか？