« 2007年12月 | トップページ | 2008年2月 »

2008年1月26日 (土)

情報セキュリティ教育の指導者向け手引書(2007年版)

日本ネットワークセキュリティ協会(JNSA)が、経済産業省の受託調査 平成18年度コンピュータセキュリティ早期警戒体制の整備事業(インターネット安全教室及び情報セキュリティ人材育成に関する調査等) として、情報セキュリティ教育の指導者向け手引書(2007年版) を公開しています。

情報セキュリティ教育の指導者向け手引書(2007年版)
Ver. 1.0 (2007.11.11)  (6.7MB) (PDF)

付録2にサンプル教材はついていますが、あくまで対象は「指導者」であり、情報セキュリティ教育のカリキュラム例情報セキュリティ教育の実践上のポイントがまとめられています。4年制大学の理工系の学部生ならびに大学院生を受講者として想定したということで、カリキュラム例などの内容は学校向けです。

企業で参考になりそうなのは、講座と教材に関するセルフチェックリストと、付録1 知識項目のリストでしょうか。テクニカルエンジニア(情報セキュリティ)の情報処理技術者スキル標準でも、要求される知識と要求される技能が記載されていますが、こちらの知識項目のリストの方が、より具体的です。情報セキュリティ教育のカリキュラムを作成する際に参考となりそうです。

投稿日 2008年1月26日 (土) 情報セキュリティ | | コメント (0) | トラックバック (0)

2008年1月25日 (金)

「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」

日本公認会計士協会から2008年1月21日、「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」(IT委員会研究報告第35 号)が発表されていました。

IT委員会研究報告第35号「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」の公表について

自動化された業務処理統制等を以下の3つに区分し、それぞれの例示をすると共に、全般統制との関係が述べられています。

(1) 自動化された業務処理統制
(2) 自動化された会計処理手続
(3) 手作業の統制に利用されるシステムから自動生成された情報

また、全般統制に関して、リスク評価を行い統制目標を記載した上で、具体的例示を行い、全般統制のモニタリング方法を記載しています。更に、全般統制に不備がある場合の対応について記載されています。

日本公認会計士協会が、全般統制の具体例を提示した事で、求められるレベルがわかりやすくなったのではないでしょうか。私個人的には、その中で、情報セキュリティポリシー、規程が制定されていること、と記載されていたのが以外でした。

(4) プログラムとデータの情報セキュリティ管理
① 情報セキュリティポリシー、規程が制定されている。

投稿日 2008年1月25日 (金) 内部統制 | | コメント (0) | トラックバック (0)

2008年1月23日 (水)

経産省が「SaaS向けSLAガイドライン」公表

経産省が「SaaS向けSLAガイドライン」を公表しました。

「SaaS向けSLAガイドライン」公表について
http://www.meti.go.jp/press/20080121004/20080121004.html

昨年11月21日にパブコメを出していた案の確定版ですね。
案と確定版の対照表が記載されていないので、どこが変わったかわかりにくいのですが、見比べると一部追加された文章があるようです。

総務省は、ASP・SaaSの情報セキュリティ対策ガイドライン、経産省は、SaaSのSLAガイドラインという事で、SLAガイドラインには、サービスレベル項目のモデル項目も記載されていますので、SLAを策定する際には、まずこちらが参考になります。

ちなみに、SLAに関する専門書としては下記の本がお勧めですね。

発行:日経BP社
著者/編集:社団法人 電子情報技術産業協会(JEITA)ソリューションサービス事業委員会
編集:日経コンピュータ
「民間向けITシステムのSLAガイドライン 第三版」
ISBN-4-8222-6205-7

【本ブログ関連記事】
総務省 ASP・SaaSの情報セキュリティ対策おける情報セキュリティ対策ガイドライン(案)
ASP・SaaSに対する動き

投稿日 2008年1月23日 (水) ASP・SaaS, IT(Information Technology), ITSMS(ISO20000), 情報セキュリティ | | コメント (0) | トラックバック (0)

2008年1月22日 (火)

経産省「迷惑メール規制に関する技術的論点WG 中間とりまとめ」公表

2008年1月18日、経産省から、「迷惑メール規制に関する技術的論点WG 中間とりまとめ」が公表されています。

迷惑メール規制に関する技術的論点WG 中間とりまとめについて
http://www.meti.go.jp/press/20080118003/20080118003.html

現行法制度では、特定商取引法による表示義務規制再送信禁止規定がありますが、表示義務規制に関し、「未承諾広告※」の表示がなかったものが全体の99.3%に達し、再送信禁止規定に関しては、メールを受け取ることを希望しない旨を通知したにもかかわらず、メールの送信が止まらない、あるいは、かえって迷惑メールが増えてしまったとして、一般の消費者から寄せられた情報提供件数が平成18年度で1,866件であったとして、迷惑メール規制の実効性を確保するために、以下のように見直すべきであると記載されています。

1 オプトイン規制の導入
2 広告主事業者が他の事業者にメール広告を委託した場合の規制
3 金融機関・プロバイダー等に対する報告徴収
4 1及び2の行為について行政処分・刑事罰の対象

その上で、オプトイン規制を導入する場合の技術的論点を整理し、検討結果をまとめています。

迷惑メール規制に関しては、総務省が昨年12月21日に「迷惑メールへの対応の在り方に関する研究会」の中間とりまとめを公表したばかりで、こちらは特定電子メール法について論じていましたが、経産省の方は、特定商取引法という事で、以下のようにメンバーは異なりますが、連動した動きのようです。

総合通信基盤局電気通信事業部消費者行政課
「迷惑メールへの対応の在り方に関する研究会」

商務流通グループ 消費経済対策課
産業構造審議会消費経済部会特定商取引小委員会
「迷惑メール規制に関する技術的論点WG」

迷惑メールに関して、オプトイン規制と行政処分、刑事罰が適用されるのは時間の問題でしょうか。

【本ブログ関連記事】
迷惑メールにオプトイン方式採用か?

投稿日 2008年1月22日 (火) 個人情報保護, 情報セキュリティ | | コメント (0) | トラックバック (0)

2008年1月15日 (火)

総務省 ASP・SaaSの情報セキュリティ対策おける情報セキュリティ対策ガイドライン(案)

2007年12月19日、総務省がASP・SaaSの情報セキュリティ対策に関する研究会報告書案等に係る意見募集の中で、ASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)ASP・SaaSにおける情報セキュリティ対策ガイドライン(案)を公表しています。

ASP・SaaSの情報セキュリティ対策に関する研究会報告書案等に係る意見募集
http://www.soumu.go.jp/s-news/2007/071219_6.html

以下の3つの期待をこめて作成したとの事です。
(a) 利用者がASP・SaaS サービスを適切に選別できるような判断基準としての役割
(b) 様々な規模のASP・SaaS 事業者への対応
(c) 新規に参入するASP・SaaS 事業者にとっての指南書としての役割

ASP・SaaSにおける情報セキュリティ対策ガイドライン(案)では、Ⅰ 序編でガイドラインの概要を記載した後、Ⅱ組織・運用編、Ⅲ 物理的・技術的対策編に分けて、基本的対策とベストプラクティスを記載し、Ⅲ 物理的・技術的対策編に関して評価項目と対象参照値(要はSLAレベルですね)を記載しています。

また、評価項目の対象参照値については、”ASP・SaaS 事業者が提供するサービスは多種多様なものが存在しており、各サービスによって取り扱う情報が異なっているため、各ASP・SaaS サービスに要求されるCIA のレベルも必然的に異なってくる”という事で、機密性・完全性・可用性(機密性は高と低の2段階、完全性は高のみ、可用性は高中低の3段階)に対して、求められるレベルによって6種類のパターンに類型化し、パターン毎に参照値を分けて記載しています。

パターン毎のサービス種別も記載されていますので、自社の利用/提供しているASP・SaaSに関して、どのパターンに該当するかが判別できるようになっていますね。最も、この点に関しては、研究会報告書(案)の図表 23 各ASP・SaaS サービスのCIA 要求レベル判定結果の方が詳細です。

その他、ASP・SaaS サービスの典型的な構成要素と情報資産や、情報資産に対する脅威分析(研究会報告書(案))も記載されていますので、ISMS(情報セキュリティマネジメントシステム)やITSMS(ITサービスマネジメントシステム)の構築、運用の参考資料として大いに活用できそうです。

【関連記事】
経産省 SaaS向けSLAガイドライン(案)に対する意見募集
経産省 SaaS向けSLAガイドライン(案)

【本ブログ関連記事】
ASP・SaaSに対する動き

投稿日 2008年1月15日 (火) ASP・SaaS, ITSMS(ISO20000), 情報セキュリティ | | コメント (0) | トラックバック (0)

2008年1月14日 (月)

迷惑メールにオプトイン方式採用か?

総務省が2007年12月21日に公表した「迷惑メールへの対応の在り方に関する研究会」の中間とりまとめによると、

「迷惑メールへの対応の在り方に関する研究会」中間とりまとめの公表
http://www.soumu.go.jp/s-news/2007/071221_4.html

現行のオプトアウト方式(受信者が拒否した場合はメール送信をストップするという前提でメールを送信する)では、受信者からの再送信拒否の通知がかえって迷惑メールを招くこともあるということで、制度が円滑に機能していないため、少なくとも受信者側の拒否が推定できるような場合には、オプトイン(メールを送信する前に受信者の承認が必要)的な考え方を導入することが適当ではないかと記載されています。主要国ではオプトイン方式を採用する国が多数となってきている事も理由にあるようです。

”配信停止はこちら”とか書いて、形式だけオプトアウトにしている迷惑メールって多いと思いますが、スパムメールの業者がオプトアウトを守るとは思えませんね。本でもオプトイン方式が必要ではないでしょうか

投稿日 2008年1月14日 (月) 個人情報保護 | | コメント (0) | トラックバック (0)

2008年1月 2日 (水)

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録

2007年12月26日、経産省が、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録」を公表しました。

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録」の公表について
http://www.meti.go.jp/press/20071226006/20071226006.html

内部統制に関しては、既に多数の市販本が販売されており、チェックリストやリスクコントロールマトリクスも多数紹介されていますので、今更という感がいなめませんが、公的文書として無料で入手できることは評価できると思います。
但し、「参考」として記載されている通り、経産省 商務情報政策局 情報セキュリティ政策室が作成した文書で、金融庁が認めた文書ではありませんし、もし、これに準じた評価を行っても監査会社が認めるかどうかは疑問です。
結局の所、自社の監査会社の考えを探りながら内部統制を構築するしかないという事です。

付録7.財務会計パッケージソフトウェアの機能等一覧表(例)の使い方
財務会計パッケージソフトウェアをカスタマイズしないで使用している場合の、IT 統制の評価に有用と思われる質問項目の例示だそうです。財務会計パッケージに関してこのような事を調査すればいいというサンプルですね。

付録8.IT 統制のための財務会計パッケージソフトウェア向けプロテクション・プロファイル (シナリオ例)
ISO/IEC 15408を参考に、会計パッケージソフトウェアが具備すべき機能を例示するためのプロテクション・プロファイル(PP)を検討した結果をシナリオ例として示されたものだそうです。財務会計パッケージソフトウェアの開発会社には参考になるかもしれませんが、一般企業にはあまり参考にならないのではないでしょうか。

付録9. IT 業務処理統制における業務プロセスごとの、リスク、統制活動、統制活動の評価手続の例示
連結決算と個別決算の財務報告プロセス、並びに販売、購買等の6つのその他のプロセスに関して、IT統制目標、リスク、統制活動の例、統制活動の評価、適切な財務諸表作成の要件(アサーション)が記載されています。付録9の中で記載されている通り、業務処理統制のリスクコントロールマトリックスを作成する際にこの例示が参考として利用できます。(※利用の際には、追補版の第Ⅳ章1.(3)、(4)の記載に留意するよう記載されています。)

(1)財務報告プロセス
   ①連結決算プロセス
   ②個別決算プロセス
(2)その他のプロセス
   ①販売プロセス
   ②購買プロセス
   ③たな卸資産プロセス
   ④固定資産プロセス
   ⑤人事給与プロセス
   ⑥仕訳計上プロセス

投稿日 2008年1月 2日 (水) 内部統制 | | コメント (0) | トラックバック (0)

« 2007年12月 | トップページ | 2008年2月 »