「SAAJ月例研究会報告」カテゴリーアーカイブ

第218回月例研究会:講演録【情報処理安全確保支援士制度について(通称;登録セキスペ)】

【第218回月例研究会:講演録【情報処理安全確保支援士制度について(通称;登録セキスペ)】】
. 会員番号 2023 戸室 佳代子
【講師】経済産業省商務情報政策局
地域情報化人材育成推進室長  藤岡 伸嘉 氏
【日時・場所】
2016年11月15日(火)18:30~20:30
機械振興会館 B2F ホール
【テーマ】
「情報処理安全確保支援士制度について(通称;登録セキスペ)」
【要旨】
近年、ソフトウェアの脆弱性(サイバー攻撃を受ける危険性がある弱点)に起因する被害や情報漏えいが深刻化している。その一方で我が国のサイバーセキュリティの専門人材は不足している。

そこで、政府機関や企業等のサイバーセキュリティ対策を強化、最新のセキュリティに関する知識・技能を備えた高度かつ実践的な人材を確保するため、このたび新たな国家資格である「情報処理安全確保支援士制度」が創設された。今回は、この情報処理安全確保支援士制度について解説する。

【講演録】
1.サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律の概要

日本年金機構の情報流出事案等を踏まえ、政府機関等のサイバーセキュリティ対策の抜本的強化を図るため、以下の改正を行う必要があった。

① 国が行う不正な通信の監視、監査、原因究明調査等の対象拡大
対象となる特殊法人・認可法人はサイバーセキュリティ戦略本部が以下のとおり指定。
日本年金機構、国家公務員共済組合連合会(KKR)、地方公務員共済組合連合会、地方職員共済組合、都職員共済組合、全国市町村職員共済組合連合会、日本私立学校振興・共済事業団、公立学校共済組合、地方公共団体情報システム機構(J-LIS)の9法人。(続きを読む) ⇒投稿 【 情報処理安全確保支援士制度について 】

顕在化しにくくなったサイバー脅威のリスクコントロール(Saaj会報2016.11)

第216回月例研究会:講演録
【 顕在化しにくくなったサイバー脅威のリスクコントロール 】
会員番号 2581 斉藤 茂雄

【講師】株式会社サイバーディフェンス研究所 専務理事 名和 利男 氏
【日時・場所】2016年9月7日(水)18:30~20:30
【テーマ】「顕在化しにくくなったサイバー脅威のリスクコントロール」
【要旨】
サイバー攻撃は高度化・巧妙化し、かつ進展速度を上げてきている。
そのためサイバー脅威は、我々の対応限界を遥かに超えたものとなっている。
その結果、情報システムの現場では、サイバー空間利用における脅威及びリスクを実情に見合った形で見積もることが困難となり、日々発生するインシデント対応に追われている状況が見られる。

本講演では、なぜこのような状況に陥ってしまったのか、そして今後サイバー脅威のリスクコントロールをどのようにしていくべきかについて、サイバー空間における攻撃側と防御側の観点で考察する。

【講演録】
1.激変するサイバー攻撃メカニズム
(1)攻撃側と防御側の関係位置の変化
エベレストのような高い山への登山には高度な訓練が必要だが、サイバー攻撃の攻撃者がこのレベルだとすれば、防御側の大多数は、幼稚園児が砂場に作った標高10cmの砂山で遊んでいるようなレベルであり、残念ながら私達のサイバー攻撃に対する本質的理解及び対処スキルのレベルは極めて低い。

(2)日本へのサイバー攻撃で利用される「日本特有の仕組み」
米欧の組織内ネットワークでは、その文化的な背景から、一人一人のアカウントに対して権限を厳格に定めている特徴がある。
対して日本は、ある社員が休めば、他の社員がその仕事を代わることができるといったように、権限管理に甘いところがある。

米欧でのマルウェア被害は1台のPCで納まることが多いが、日本では1台のPCが被害を受けるとまたたくまに内部ネットワーク全体に広がることがある。

(3)既成概念を覆す斬新な発想に基づく攻撃手法
最近の攻撃者は、マジシャンと同じような既成概念を覆す斬新な発想に基づく攻撃を行うことがある。昨年12月にウクライナの電力供給会社がサイバー攻撃を受け、8万戸(実際は12万戸)の住居やビルが停電したと報道されているが、これなど人間を騙してマルウェア感染させた事例である。

続きを読む ⇒顕在化しにくくなったサイバー脅威のリスクコントロール

実践的なセキュリティと監査の役割

■研究会報告

第214回月例研究会:講演録
【 実践的なセキュリティと監査の役割 】

会員番号 148 木村 裕一

【講師】内閣サイバーセキュリティセンター
基本戦略グループ(分析担当) 企画官 結城 則尚 氏

【日時・場所】2016年6月21日(火)18:30~20:30

【テーマ】 実践的なセキュリティと監査の役割

【要旨】
【講師自己紹介】
現在、内閣サイバーセキュリティセンター基本戦略グループ(分析担当企画官)。
地方公務員としてスタートののち、トラブルシューティング、審査機関の認定委員、原子力関連の検査などセキュリティに関して30年の経験を重ねてきた。

最初の監査は米国で経験し3年間苦労してプロセスアプローチを身に着けた。
プロセスアプローチのほうが要素型より効率が良いと考える。
セキュリティに問題がある職場は環境も良くないが、信頼性を高めることで良くなる。
不安全な職場は何か人間環境がおかしい。健全な職場に安全が宿ると認識している。

【講演概要】
 はじめに セキュリティ対策への取り組みについて
 結城氏は、セキュリティに関する上原哲太郎氏(立命館大学教授)の次のツイッターメッセージにうなずいたことから、話を始めた。

『セキュリティって全分野ひとりで出来るスーパーマンなんていないんだからどうやったってチーム戦。
いい選手集めるのは重要だけどそれ以上にいいコーチや監督がいないと勝てない。
他部門には常に疎まれる立場なのでオーナーがその価値を認めて支えてあげないと簡単にチーム全体の士気が下がる。

 セキュリティは組織全体で取り組む組織力が必要であり、組織を指揮して管理するマネジメントシステムが重要です。
 その組織に最適化されたマネジメントシステムを構築・維持し、適切なセルフアセスメント、内部監査、マネジメントレビューを実施し、改善に結び付けるサイクルを継続的に行っていくことが求められています。

 こうしたサイクルにおいて、客観的に組織内の課題を指摘する外部監査の活用は、とりわけ重要です。
 
 一方、システム認証をとることに専念して、マネジメントシステムが形骸化している例も多く見受けられます。
 
 監査は組織のパフォーマンスを向上させる重要なものと位置づけ、現場で見られる課題と方策を説明します。

続きを読む ⇒実践的なセキュリティと監査の役割

IoTって何? ~IoTによるイノベーションとその課題~ 

■研究会報告

第213回月例研究会:講演録 
【 IoTって何? ~IoTによるイノベーションとその課題~ 】

会員番号 2589林 昭夫

【講師】独立行政法人 情報処理推進機構 技術本部
ソフトウェア高信頼化センター 調査役        
工学博士 田丸 喜一郎 氏

【日時・場所】2016年5月26日(木)18:30~20:30
【テーマ】「IoTって何? ~IoTによるイノベーションとその課題~」

【要旨】
“IoT”は今や日常的に使われ、誰もが知っている用語ではあるが、立場が違えば解釈も異なるため、人によってこの解釈が随分と異なっている。

この講演では“IoT”の由来と定義、及びそれを活用した事業の展開とともに見えてくる課題、更には顕在化してくるリスクについて分かり易く解説し、 IoTの利用状況・利用環境に関連した不具合を想定したシステム監査の必要性についても触れている。

続きを読む ⇒「IoTって何? ~IoTによるイノベーションとその課題~」

「企業IT動向調査2016(15年度調査)~データで探るユーザー企業のIT動向~」

■研究会報告

第212回月例研究会:講演録
【企業IT動向調査2016(15年度調査)
~データで探るユーザー企業のIT動向~】

会員番号 1697 大西 智

【講師】一般社団法人 日本情報システム・ユーザー協会(略称:JUAS)
常務理事 浜田達夫 氏
【日時・場所】2016年4月25日(月)18:30 – 20:30、
機械振興会館 地下2階ホール(神谷町)
【テーマ】「企業IT動向調査2016(15年度調査)
~データで探るユーザー企業のIT動向~」

【要旨】JUASのホームページ(「企業IT動向調査2016」調査結果トピックスのプレスリリース(2016年4月22日))
http://www.juas.or.jp/servey/it16/index.html 内、関連図表(PDF:983KB) 参照。
なお、2016年5月18日に報告書として「企業IT動向調査報告書2016(2015年度調査)」(発行:日経BP社、価格:¥14,200+税)が発刊される。調査結果の詳細の内容は、こちらの報告書をお読み頂きたい。

講演録:
一般社団法人 日本情報システム・ユーザー協会(以下、JUASという)は、「企業IT動向調査2016」を実施し、その結果を4月21日にJUAS会員向けに報告。当日は、この会員向け報告で使用したスライドにより、この調査の概要と新たに得られた知見を紹介頂いた。(なお、今回の講演はビデオの撮影はしておらず、配布された資料は紙のレジュメのみである。この講演録には、レジュメ以外のスライド内容は、含まない。)

続きを読む ⇒「企業IT動向調査2016(15年度調査)~データで探るユーザー企業のIT動向~」

クラウドサービスのセキュリティ規格ISO/IEC27017

■研究会報告

第211回月例研究会講演録 【 クラウドサービスのセキュリティ規格ISO/IEC27017 】
 会員番号 2564 櫻井 俊裕
講師 : 特定非営利活動法人 日本情報セキュリティ監査協会
 公認情報セキュリティ主席監査人 事務局長 永宮 直史 氏
日時、場所 : 2016年3月2日(水)18:00 – 20:00、
 機械振興会館 地下2階ホール(神谷町)
テーマ : 「クラウドサービスのセキュリティ規格ISO/IEC27017」

要旨:
 2015年12月に発行のISO/IEC27017は、経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を下敷きに、日本の提案により規格化された。
ISO/IEC27002をベースに、クラウドサービス固有の管理策や実施の手引きを記載したISO/IEC27017、その狙いとその特徴を解説する。

続きを読む ⇒【クラウドサービスのセキュリティ規格ISO/IEC27017】

最近のインターネットバンキングに係る不正送金事犯の現状と対策

■月例研報告

第 210 回月例研究会講演録
【最近のインターネットバンキングに係る不正送金事犯の現状と対策】
会員番号 0557 仲 厚吉

講師 :警察庁 生活安全局 情報技術犯罪対策課 指導第一係
課長補佐 小竹一則 氏
日時、場所 : 2016 年 1 月 21 日(木)18:30 – 20:30、
機械振興会館 地下 2 階ホール (神谷町)
テーマ : 「最近のインターネットバンキングに係る不正送金事犯の現状と対策」
要旨:
日本年金機構の個人情報の流出、DDoS 攻撃やランサムウェア感染による企業恐喝の発生など、サイバー空間におけ
る脅威が高まるなか、平成 26 年に過去最悪の被害となったインターネットバンキングに係る不正送金事犯についても、その被害は、平成 27 年上半期で約 15 億円に達するなど、深刻な状況が続いている。
本講演では、これらサイバー空間における脅威の情勢に触れつつ、最近の不正送金事犯の手口について事例を交え
て紹介し、効果的な対策について考察を加えたい。

続きを読む ⇒最近のインターネットバンキングに係る不正送金事犯の現状と対策

「IT ガバナンスのJIS 化(JIS Q 38500:2015)について」

■月例研報告

第209回 月例研究会 (2015年12月14日開催)
会員番号0056 藤野明夫
【講演テーマ】 「IT ガバナンスのJIS 化(JIS Q 38500:2015)について」
講師:日本ITガバナンス協会(ITGI Japan) 副理事長 梶本 政利 氏
特定非営利活動法人 日本システム監査人協会(SAAJ) 副会長 力 利則 氏
日時:2015 年12月14日(月曜日) 18:30~20:30
場所:機械振興会館 地下2 階ホール

【講演骨子】
本年7月に「IT ガバナンス」がJIS Q 38500 として制定された。
この原案策定に関わったメンバーとして、JIS Q 38500 成立の経緯から、その内容について解説を行う。さらにどの
ように解釈することができるか、IT ガバナンスの強化を訴えている日本政府の実情、JIS Q 38500 のベースとなった
ISO/IEC 38500 の適用事例等についてお話ししたいと考えている。

官民問わず、大小問わず、いかなる組織においてもIT を活用しIT に依存している現在では、IT ガバナンスの重
要性は益々高まっているといえる。そのための国際的な動向や知識について、ご出席される方々にご提供できれば
幸いである。

続きを読む ⇒「IT ガバナンスのJIS 化(JIS Q 38500:2015)について」

リスクマネジメントと危機管理~想定内と想定外:原点に戻って考える~

■月例研報告

第208回月例研究会講演録
【リスクマネジメントと危機管理~想定内と想定外:原点に戻って考える~】  投稿者 会員番号 0557 仲 厚吉

講師 :東京海上日動リスクコンサルティング株式会社 主幹研究員 兼
   立教大学 21世紀社会デザイン研究科 特任教授 指田朝久 氏
日時、場所 : 2015年11月19日(木)18:30 – 20:30、
       機械振興会館 地下2階ホール (神谷町)
テーマ :
 「リスクマネジメントと危機管理~想定内と想定外:原点に戻って考える~」

要旨:
地震、水害、火山噴火、テロ、株価の暴落、粉飾決算、情報漏洩、ハッキング、コンピュータウイルス、法令違反など様々な企業や組織をゆるがす事態が発生している。
これらについて危機管理あるいはリスクマネジメントと説明されるが、その言葉の意味は使用する人々によって様々である。
また東日本大震災の教訓として想定外に備えることが示されているが、これらはリスクマネジメントや危機管理のどの領域に対応するのであろうか。今日はこれらの言葉の使い方について原点にもどって考察する。

続きを読む ⇒リスクマネジメントと危機管理~想定内と想定外:原点に戻って考える~

失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介(第207回月例研究会講演録)

第207回月例研究会講演録【失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介】

投稿者 会員番号 0557 仲 厚吉

講師 :日本システム監査人協会近畿支部会員 公認システム監査人 松井秀雄 氏
日時、場所 : 2015年10月23日(金)18:30 – 20:30、機械振興会館 地下2階ホール (神谷町)
テーマ : 「失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介」
要旨:
ITプロジェクトで失敗を経験した時、何を学び、何を語り継ぐべきでしょうか?
ここ数十年の間、IT部門ではITプロジェクト・マネジメントの手法を踏まえて、失敗プロジェクトから得た知見を蓄積し再発防止に努めてきたにもかかわらず、多くのITプロジェクトが失敗しています。あるIT業界誌にITプロジェクトの7割が失敗しているという記事が出た程です。
それほど多くのプロジェクトが失敗に終わる原因は、失敗プロジェクトの失敗原因を検討する際、検討メンバーの思いつきに頼った狭い範囲の検討に終始し、真の原因を究明できていないため、有効な「再発防止策」が打ち出せていない可能性があります。

当発表では、失敗原因を検討する際に網羅性のある視座・視点を検討メンバーに提供するツールとして「ITプロジェクト版・失敗原因検討マンダラ図」を紹介します。これは、失敗学会の失敗原因マンダラ図をベースに開発したもので、4月5日にNHK-TVで全国放送された番組「サキどり 『さよなら、失敗するワタシ~失敗学最新事情~』」の中でも紹介されました。
さらに特性要因図やなぜなぜ分析との共存を含めたマンダラ図の活用法や、システム監査における使用例も紹介します。システム監査では、「なぜその問題事象が起こったかを検討し、その原因をコントロール(仕組み)の欠点(弱点)としてとらえて指摘するスタンスが問題事象の再発防止に寄与すると考え、マンダラ図で原因分析を行い、「真の原因」を踏まえた改善提言をした事例を紹介します。

続きを読む ⇒【失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介】