「月例研報告2014」カテゴリーアーカイブ

「企業におけるセキュリティ戦略」第198回 月例研究会 (2014年12月16日開催)報告

第198回 月例研究会 (2014年12月16日開催)報告
         報告者 会員番号0056 藤野明夫 (情報セキュリティ監査研究会)

【講演テーマ】 「企業におけるセキュリティ戦略」
【講師】日本アイ・ビー・エム株式会社
    IBM Computer Security Incident Response Team(CSIRT)
    IT Forensic Analyst 守屋 英一 氏

【日時】 2014 年12 月16 日(火曜日)18:30~20:30
【場所】 機械振興会館 地下2 階ホール
【講演骨子】
本年3月、NTT 出版より「サイバーセキュリティ」という本を出版させて頂きました。
本書では、サイバー攻撃を社会的背景、技術的対策、法律および企業経営などの様々な視点から問題の解決に向けて解説しています。
本講演では、本書の内容を踏まえて、サイバー攻撃及び内部犯行による企業への影響に対して、企業が取り組む
べきセキュリティ戦略について解説させていただきます。
・サイバー攻撃及び内部犯行の現状
・人的資源マネジメントが困難な時代
・多様なセキュリティ技術の存在
・企業におけるセキュリティ戦略

続きを読む ⇒「企業におけるセキュリティ戦略」第198回 月例研究会報告

マイナンバーと民間サービスとの連携を目指して

第197回 月例研究会 (2014年11月19日開催)報告
   会員番号0056 藤野明夫(情報セキュリティ監査研究会主査)

【講演テーマ】 「マイナンバーと民間サービスとの連携を目指して」
【講師】経済産業省 CIO補佐官 満塩 尚史 氏
【日時】 2014年11月19日(水曜日)18:30~20:30
【場所】 機械振興会館 地下2階ホール

【講演骨子】 
平成28年度からマイナンバー制度と呼ばれる社会保障・税番号法(「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」)が利用開始される。

このマイナンバー制度では、個人に付与される個人番号(マイナンバー)は、法律で定められた業務以外での利用や他人に提供することはできない。

一方、民間サービスにおいても、
マイナンバー制度を利活用したいという意見もある。

前記の通り、個人番号そのものは、利用することはできないが、
個人番号を使わないで、ID連携トラストフレームワークを活用し、
民間サービスとマイナンバー制度を連携させ、利活用できる可能性がある。

また、社会保障・税番号制度では、個人に個人番号を付与するだけでなく、法人や行政機関に法人番号を付与し、インターネット経由で法人番号、法人名、本社所在地が提供される。

ここでは、マイナンバー制度の概要と、
マイナンバーを民間サービスで利活用する仕組みとしての
ID連携トラストフレームワークをご紹介します。

続きを読む ⇒【マイナンバーと民間サービスとの連携を目指して】

オープンデータの推進 (第196回 月例研究会)

第196回 月例研究会 2014年10月30日開催
             報告者 会員番号0608 三谷 慶一郎

【講演テーマ】 「オープンデータの推進」
【講師】 内閣官房 政府CIO補佐官・経済産業省 CIO補佐官 平本 健二氏
【日時】 2014 年10 月30 日(木曜日)18:30~20:30
【場所】 機械振興会館 地下2 階ホール

【講演骨子】:講演者より
2020年に向け世界最先端IT国家創造宣言が現在進められているが、
その中核となるオープンデータ、オープンガバメントの動向、及び、
IT政策の取り組み状況や課題について解説を行う。

番号制度、パーソナルデータ、セキュリティの話ではなく、攻めのIT戦略が話の中心となる。

【講演概要】
1.「世界最先端IT国家創造宣言」
 2年前の8月10日に新しく政府CIO室が設立されている。
私はこの部署で政府CIO補佐官として行政情報化の推進を行っている。
特に本日お話するオープンデータ等の「攻めのIT投資」を主に担当している。

「世界最先端IT国家創造宣言」は、2013年6月にまとめられた最新のIT戦略である。
この宣言は閣議決定されたものである。
これまでにも政府のIT戦略はいろいろまとめられてきたが、閣議決定されたものはかなり珍しい。
閣議決定は各大臣の了承をとったものであるため、実現に向けた各省の推進力はかなり強いものになる。

続きを読む ⇒ 「オープンデータの推進」

個人情報影響評価PIA の考え方と実施手順-プライバシーバイデザインとしてのPIA-

第194回 月例研究会 (2014年8月20日開催)
           報告者 藤野明夫 (情報セキュリティ監査研究会)

【講演テーマ】「個人情報影響評価PIA の考え方と実施手順 
         -プライバシーバイデザインとしてのPIA-」

講師:一般財団法人日本情報経済社会推進協会(JIPDEC)
      電子情報利活用研究部 部長 坂下哲也氏

日時:2014年8月20日(水曜日)18:30~20:30
場所:機械振興会館 地下2階ホール

【講演骨子】 
「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年度法律第27号)
(以下、「社会保障と税番号法」又は「番号法」)に基づき、
平成28年1月より私たちに「番号(以下、マイナンバー)」
が付与される。

現在、国、行政機関、地方公共団体等では、その導入に向け、
“特定個人情報ファイルを保有する前に
安全な取扱いがなされることを評価し、宣言する
「特定個人情報保護評価」(以下、PIA)”
を実施している。

JIPDECでは、平成25年度に複数の地方公共団体の協力の下で
「特定個人情報保護評価」を試行し、実効性が高い手順を取りまとめ
、平成26年度から評価機関の支援を行っている。

本会では、PIA実施における対策等を解説するとともに、
政府戦略に基づくマイナンバーの利用について検討されているモデル
(ID連携トラストフレームワーク)等について紹介する。

 続きを読む ⇒ 個人情報影響評価PIA の考え方と実施手順

首都直下地震の被害想定の警告~情報システムのバックアップは本当に機能するか~

第195回 月例研究会 2014年9月18日開催
             報告者 大石正人 (当協会理事)

【講演テーマ】首都直下地震の被害想定の警告
       ~情報システムのバックアップは本当に機能するか~
【講師】東京海上日動リスクコンサルティング株式会社
       上席主席研究員 指田朝久氏
【日時】2014年9月18日(木曜日) 18時30分~20時30分
【場所】機械振興会館 地下2階 ホール

【講演骨子】講師より
 2013年末に公表された政府の首都直下地震の被害想定は
東日本大震災を踏まえて前回2005年に公表された想定を大きく変えている。
しかしながらその被害想定の内容はあまり認識されていない。

本セミナーでは今回公表された被害想定を解説し、
企業はどのように対応すればよいかについて提言する。

このように書くとありふれた内容に思われるかもしれないが、
政府は首都直下地震につきかなり踏み込んだ被害想定を行ったことを理解していただきたい。

政府は今回はじめて具体的なライフラインの途絶時間を公表した。
その内容をみると情報システムの稼働に大きな影響を与える
電力の被害想定が大幅に悪化したことがわかる。

また通勤困難、飲食料入手困難
さらに非常用発電機に不可欠な燃料の調達困難などがあり、
これらを含め政府は過酷事象も想定外としないように求めている。

それを踏まえると首都圏における経済活動が困難であり、
企業はこれらを正しく踏まえたBCPを構築することが必要である。

続きを読む ⇒ 情報システムのバックアップは本当に機能するか

最近のサイバー攻撃と対策の解説(SAAJ会報2014.10)

第193回 月例研究会 (2014年7月22日開催)

【講演テーマ】 「最近のサイバー攻撃と対策の解説」
【講師】 独立行政法人 情報処理推進機構(IPA) 技術本部 セキュリティセンター
情報セキュリティ技術ラボラトリー 主任研究員 渡辺 貴仁 氏
【日時】 2014年7月22日(木曜日)18:30~20:30
【場所】 機械振興会館 地下2階ホール

【講演骨子】:講演者より
オンラインバンキングにおける不正送金の被害が増加傾向にあり、警察庁によれば2014年の国内における被害額は、5月9日の時点で14億円を超え、過去最大であった昨年の被害総額を既に超えたとあります。また多くのオンラインサービスサイトで第三者にログインされ、情報の不正取得やなりすましの被害が発生しています。
さらにホスティング事業者が攻撃を受け、そのサービスを利用しているウェブサイトが改ざんされ、エンドユーザにウイルスを感染させる事例が発生しております。
この様なサイバー攻撃を紹介するとともに、対策について解説をします。

【講演概要】
IPAが毎年発行している「10大脅威」の2014年版を中心に、情報セキュリティに関する注目すべき脅威や懸念とその対策について紹介された(参考資料のURLは、文末にまとめて記載する)。

 続きを読む ⇒ 最近のサイバー攻撃と対策の解説(SAAJ会報2014.10)

クラウドサービス利用のための情報セキュリティマネジメントガイドラインの概要及び改訂について (第192回 月例研究会 、2014年7月3日開催)

第192回 月例研究会 (2014年7月3日開催)

【講演テーマ】 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの概要及び改訂について

【講師】 経済産業省 商務情報政策局 情報セキュリティ政策室 室長補佐 上坪健治 氏

     特定非営利活動法人 日本セキュリティ監査協会(JASA) 事務局長 永宮直史 氏

【日時】 2014年7月3日(木曜日)18:30~20:20
【場所】 機械振興会館 地下2階ホール

【講演骨子】:講演者より
本年3月、経済産業省では「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を改訂しました。
新ガイドラインは、JIS Q 27002:2006(ISO/IEC 27002:27005)における実施の手引をベースに、クラウドサービス利用における情報セキュリティ管理の確立、導入、運用、監視、見直し、維持及び改善のために必要な情報を提供するものです。本講演では、新ガイドラインの趣旨と概要を中心に解説するとともに、改訂によって生じた主要な変更点についても紹介します。

【講演概要】
Ⅰ.情報セキュリティマネジメントガイドラインの概要

経済産業省では、2011年4月に「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」(以下「旧ガイドライン」という。)を作成しましたが、2014年3月に改訂を行い、2013年度版として新たに公表しました(以下「新ガイドライン」という。)。
本講演では、新ガイドラインの概要と改訂内容について説明します。

クラウドコンピューティング(以下「クラウド」という。)は、新ガイドラインでは「共有化されたコンピュータリソース(サーバ,ストレージ,アプリケーションなど)について,利用者の要求に応じて適宜、適切に配分し,ネットワークを通じて提供することを可能とする情報処理形態」と定義しています。

また、クラウドは、世界各地にあるコンピュータ群を仮想化等の先端技術で巨大な1つのコンピュータとして扱えるようにしたもので、提供されるリソースにより、SaaS、PaaS、IaaSに分類されます。

 続きを読む ⇒ クラウドサービス利用のための情報セキュリティマネジメントガイドラインの概要及び改訂について

企業IT動向調査2014(13年度調査)第190回 SAAJ月例研究会 (2014年4月開催)

第190回 月例研究会 (2014年4月開催)

【講演テーマ】
第20回 企業IT動向調査2014(13年度調査) 
~データで探るユーザー企業のIT動向~
【講師】
一般社団法人 日本情報システム・ユーザー協会(JUAS)
常務理事 浜 田 達 夫 氏

【日時】 2014年4月25日(金曜日) 18:30~20:30
【場所】 機械振興会館 地下2階ホール

【講演骨子】
一般社団法人 日本情報システム・ユーザー協会 (略称:JUAS) は、経済産業省 商務情報政策局の監修を受け、「企業IT動向調査2014」を実施いたしました(調査期間:2013年10月~11月)。1000社のITユーザー企業の回答から、定点観測と重点テーマを通してIT投資やIT戦略方針など、世の中の動向を俯瞰していきます。

JUASのホームページ
http://www.juas.or.jp/servey/it14/index.html

参照
調査の内容の詳細は、JUASから「企業IT動向調査報告書2014 ユーザー企業のIT投資・活用の最新動向(2013年度調査)」(発行:日経BP社2014年4月24日)として発行されています。

(全文を読む) 第190回 月例研究会 (2014年4月開催)

 

個人情報保護法改正の方向性 -パーソナルデータの活用をめぐる制度見直し方針について-

SAAJ会報、2014年4月号より
第189回 月例研究会 (2014年2月)参加者報告を紹介します。

【講演テーマ】 :
「個人情報保護法改正の方向性」    
- パーソナルデータの活用をめぐる制度見直し方針について -

【講師】: 新保 史生(シンポ フミオ) 氏 
慶應義塾大学 総合政策学部 教授 専門は、憲法、情報法。 経済協力開発機構(OECD)情報セキュリティ・プライバシー部会(WPISP)副議長、 憲法学会理事、情報通信学会監事、法とコンピュータ学会理事、 (社)日本マーケティング・リサーチ協会理事、総務省情報通信政策研究所特別上級研究員。 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)「パーソナルデータに関する検討会」、 総務省「パーソナルデータの利用・流通に関する研究会」等の委員、 スマートフォンの利用者情報等に関する連絡協議会議長をはじめとして、 各府省庁、地方公共団体、公益法人、業界団体等の個人情報・情報セキュリティ関連の委員を歴任。

【講演骨子】:
講演者より 内閣官房IT総合戦略本部のパーソナルデータに関する検討会において、 「パーソナルデータの利活用に関する制度見直し方針」が示された。
平成25年6月に決定された「世界最先端IT国家創造宣言」において、 IT・データの利活用がグローバル競争を勝ち抜く鍵であり、その戦略的な利活用により、 新たな付加価値を創造するサービスや革新的な新産業・サービスの創出と全産業の成長を 促進する社会を実現するものとされ、個人情報及びプライバシーの保護を前提としつつ、 パーソナルデータの利活用に必要な制度の見直しを実施することに基づくものである。
平成26年6月までに、法改正の内容を大綱として取りまとめ、平成27年通常国会への 個人情報保護法の改正案提出を目指すことが示された。
見直し案において示された検討事項として、第三者機関(プライバシー・コミッショナー) の設置、個人が特定される可能性を低減した個人データの個人情報 及びプライバシー保護への影響に留意した取扱い、国際的な調和を図るために必要な事項、 プライバシー保護等に配慮した情報の利用・流通のために実現すべき事項について解説する。

(全文を読む)個人情報保護法改正の方向性 -パーソナルデータの活用をめぐる制度見直し方針について-