システム監査の使い道と秋の声

今月号のPrezi版 SAAJ会報の副題は、

 システム監査の使い道と秋の声

としてみました。

固い話には、やわらかいクッションがよく似合う。

SAAJ会報2013年10月号

画像をクリックすると、
Prezi 再生ページへジャンプします。

画面下部の再生ボタンで、1ページずつページ送りするか、
右端の自動再生モード(3-6秒が適度でしょうを設定してご覧ください。)

会報サイトへのブルートフォースアタック

世の中の流行と同様に、
会報サイトへのブルートフォースアタックも活発です。

たとえば、10月号を公開した直後には、
次のような集中攻撃を受けています。

このキャプチャは、攻撃に利用された機器のIPアドレスです。
所有者をトレースすると、
中国籍のものが圧倒的に多かったのですが、
最近では、多国籍に広がっているようです。

世の中に報道される攻撃は、
決して他人のことでないことを紹介するために、
公開して紹介します。
20130920saajsite

1秒間の間に、
このように画面に収まりきれないほどの集中的なアクセスがあるのは、
組織化された、またはプログラム化された攻撃の現れでしょう。

私たちもいっそうの自衛に努める必要があります。

協会主催イベント・セミナーのご案内

協会主催イベント・セミナーのご案内(東京開催)

■中堅企業向け「6ヶ月で構築するPMS」セミナー
 基本コース:月1 回(第3 水曜日)14 時~17 時(3 時間)×6 ヶ月

■月例研究会
 第186回月例研究会のご案内(速報)[2013/10/22,於・東京]
 

 

詳細を読む ⇒ SAAJ主催イベント・セミナーのご案内(東京開催)

 

今後のSAAJ行事予定は、次のページで一覧できます。
 ⇒ SAAJ行事一覧

 

このページはSAAJ会報、2013年10月号より紹介しています。

注目情報 (2013.8~2013.9)

◆注目情報 (2013.8~2013.9)

 

■IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、
昨今のウェブサイト改ざんの一因となっている、
脆弱性が含まれる古いバージョンのCMS(*1)を使い続けているウェブサイトの届出が、
6月からの累計で42件寄せられているのを受け、
ウェブサイト運営者へ早急な対策を呼びかける為、注意喚起を発することとしました。

 

■IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)
およびJPCERT/CC(一般社団法人 JPCERT コーディネーションセンター、代表理事:歌代 和正)は、
ウェブサイト改ざん等のインシデントの急激な増加を受け、
ウェブサイト運営者及び管理者に対し、改めて点検と備えを呼びかけます。

 

■一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター

 平成24年度に受付けたプライバシーマーク付与事業者等の
  個人情報の取扱いに係る苦情・相談等(以下「相談」)の概要

(平成24年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」

 

続きを読む ⇒ 注目情報 (2013.8~2013.9)

 

 

このページはSAAJ会報、2013年10月号より紹介しています。

2013年度 SAAJ中部・北信越支部 JISTA中部支部 合同セミナー 報告

【 2013年度 SAAJ中部・北信越支部 JISTA中部支部 合同セミナー 報告 】

 7月20,21日に「システム監査体験セミナー(実践編)」を
SAAJ中部/北信越支部、JISTA中部支部の合同で開催しました。

このセミナーは監査事例に基づいて設定された仮想企業を対象に監査を体験するものです。

当日は最初に栗山中部支部長の開会挨拶の後、
12名の受講者およびスタッフの自己紹介でセミナーが始まりました。

その後、講師である近畿支部の三橋さんより監査の流れや具体的な実施方法の説明を頂き、
実際の監査を体験するグループワークに入っていきます。

 

続きを読む ⇒ 2013年度 SAAJ中部・北信越支部 JISTA中部支部 合同セミナー 報告

 

 

このページはSAAJ会報、2013年10月号より紹介しています。

近畿支部 創設25周年記念研究大会 報告

近畿支部 創設25周年記念研究大会 報告

 

 支部創設25周年を記念して統一テーマを掲げ、
支部研究プロジェクト活動成果の報告(4編)、
会員から応募のあった研究論文の発表(2編)、
およびパネルディスカッションを行った。

 大会運営は、発表者による説明、コメンテータによる意見表明(研究論文)、
およびパネルディスカッションを介した会場からの質問への回答と
今後の方向性の議論という形態で実施した。

成果報告と研究発表の計6編は、近畿支部の会員3名の方に記録を分担いただいた。

 【日時】   2013年7月6日(土) 13時~17時
 【場所】   大阪大学中之島センター 3階 講義室304
 【統一テーマ】「システム監査の新領域への対応」
 【参加者数】 94名(発表者を含む)

 

続きを読む ⇒ 近畿支部 創設25周年記念研究大会 報告

 

 

このページはSAAJ会報、2013年10月号より紹介しています。

実演によるサイバー攻撃の仕組み解説(SAAJ月例研究会 第183回)

■月例研究会参加報告 第183回

日時2013年7月24日(水曜日) 18時30分~20時30分
場所:機械振興会館 地下2階 ホール
講演テーマ:「実演によるサイバー攻撃の仕組み解説」
講師: 独立行政法人 情報処理推進機構(IPA)
技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー
研究員  渡辺 貴仁 氏

<講演骨子>
 今年3月韓国で銀行や放送局を狙ったサイバー攻撃により大規模システム障害が発生し、
日本でも今年4月から1,000件以上ものウェブサイトが改ざんされている。
これらサイバー攻撃の事例を紹介するとともに、どのような問題により被害が生じたのか、
特に重大な被害に結び付く新しいタイプの攻撃について、
ウイルスによる攻撃を実演し、その仕組みや対策を解説した。
(講師から頂いた講演骨子)

 

続きを読む ⇒ 実演によるサイバー攻撃の仕組み解説(月例研究会)

 

 

このページはSAAJ会報、2013年10月号より紹介しています。

「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第10章~12章

第10章 直接書面以外で取得する場合の措置

 直接書面で取得する場合は、その利用目的を本人に書面で通知できますが、
直接書面以外で取得する場合は、本人に通知し同意を得ることが困難なため、
ホームページ等で利用目的を公表します。 

第11章 利用に関する措置

 利用目的の公表
直接書面取得であるか、それ以外であるかどうかにかかわらず、
個人情報を取得する場合は、その利用目的を通知もしくは公表しなければなりません。
また、事業者は個人情報をあらかじめ特定した利用目的の
達成に必要な範囲内で利用しなければなりません。・・・ 以下は<公表の事例>

第12章 提供に関する措置

 提供に関する措置
 個人情報保護法 第23 条には、“あらかじめ本人の同意を得ないで、
個人データを第三者に提供してはならない。”と定めています。
すでに取得している個人情報でも、第三者提供について同意を得ていない場合は、
あらためて第三者提供する利用目的を明示して、書面で同意を得なければなりません。 

続きを読む 「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第10章~12章

情報セキュリティ監査研究会だより その6

情報セキュリティ監査研究会の活動状況の会報連載は、本号で第6回になります。

今回から、新たなテーマ「プライバシー・バイ・デザイン」に移ります。
当面、
アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」(*1)
をテキスト(以下、左記の書を「テキスト」と称します)として研究を進めてまいります。

単にテキストの輪読のみではなく、他の周辺情報も含め、
「プライバシー・バイ・デザイン」の意義、影響、
PIAやシステム監査との関係などを議論していきたいと思います。

続きを読む 情報セキュリティ監査研究会だより その6