会報編集部からのお知らせ

■ 会報編集部からのお知らせ

1.会報テーマについて
2.会報記事への直接投稿(コメント)の方法
3.投稿記事募集

(会報編集部からのお知らせ全文を読む)

【会報編集部からのお知らせ(2014.06)】

■ ■ よりよい会報サイトを目指して ■ ■ 

今月も、Wordpressがバージョンアップしました。
WindowsXPのサポート終了の後に、
あらたなセキュリティホールも報告されていますね。

早期の安定化を期待します。

サイバーセキュリティ 書籍紹介

最近益々脅威の度合いを深めているサイバーセキュリティについて、
大変参考になる図書が出版されましたので、紹介いたします。

book201406

本書は「サイバーセキュリティと経営戦略研究会」編纂の図書であり、
執筆者は2012年11月の月例研究会
(テーマ:SNSの情報セキュリティを考える)
の講師を務めていただいた守屋 英一氏と各分野の専門家6名の方々である。

サイバーセキュリティは現在個々のシステム・企業を狙うだけでない。

TVシステムもインターネットも銀行も、いや社会インフラ、
国家そのものもその狙いに入れているものになっていることは、
皆さんがご存知のとおりです。

われわれシステム監査人は、単に自社、あるいは
顧客のコンピュータシステムに関わる問題として狭い範囲で捉えるのではない、
幅広い、また先を見通した理解をもって対処する必要があります。

(全文を読む) サイバーセキュリティ 書籍紹介

 

協会主催イベント・セミナーのご案内(SAAJ会報2014.6より)

【協会主催イベント・セミナーのご案内】

・月例研究会(東京)
  5月、2014年5月22日(木)18:30?20:30
   ISMSの最新動向とISO/IEC27001(JIS Q 27001)改定
  6月 2014年7月3日 (木) 18:30?20:30
クラウドセキュリティガイドライン改訂版に係る改訂のポイント(仮題)
7月 2014年7月22日(火)  18:30~20:30
「情報セキュリティの最新の脅威の動向」(仮題)

・システム監査実践セミナー(東京)

・公認システム監査人特別認定講習(東京・大阪)
システム監査に関する知識コース 2014年6月23日~24日(2日間、東京)
2014年7月20日~21日(2日間、東京)
情報システムに関する知識コース 2014年7月13日~14日(2日間、東京)

・中堅企業向け「6ヶ月で構築するPMS」セミナー(東京)
・システム監査サービス(全国)

【外部のイベント・セミナーのご案内】
  ・日本監査研究学会 第36回 東日本部会 開催
   http://www.dobunkan.co.jp/audit/bukai/index.html 
   ◆第36回 東日本部会
    開催日 2014年5月24日(土) 開催校 中央大学

(イベント・セミナー案内を読む)
   http://skansanin.com/saaj/category/chumoku-event/

注目情報(2014.03~04)

注目情報(2014.03~04)
※各サイトのデータやコンテンツは個別に利用条件を確認してください。

■OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について(2014.4.16)
IPA(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html

■更新:Internet Explorer の脆弱性対策について(CVE-2014-1776)(2014.4.30)
IPA(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

■Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515)(2014.4.30)
IPA(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html

■2014年版 情報セキュリティ10大脅威(2014.3.31)
IPA(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/security/vuln/10threats2014.html

■モバイルマルウェアを用い2要素認証のコードを盗む手口に注意(2014.4.28)
内閣官房情報セキュリティセンター(NISC)
http://securityblog.jp/news/20140428.html

■平成25年中の不正アクセス行為の発生状況等の公表について(2014.3.27)
警察庁
http://www.npa.go.jp/cyber/statics/h25/pdf040.pdf

■日本監査研究学会 第36回 東日本部会 開催
http://www.dobunkan.co.jp/audit/bukai/index.html 
◆第36回 東日本部会
開催日 2014年5月24日(土)開催校 中央大学

個人情報保護マネジメントシステム実施ハンドブック 簡易版 第25章

「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第25章

第25章 システム管理基準 個人情報保護コントロール
個人情報を取り扱う情報システム(以下、“個人情報システム”という。)を利用している場合、システム監査が必要になります。

本章では、経済産業省システム管理基準に、個人情報保護監査研究会が個人情報保護コントロールを追補し、個人情報システムへのチェック項目の例としました。

当研究会では、事例として監査用の「3726g_情報システム開発の安全性チェックリスト」を策定しています。
実際の監査に当たっては、それぞれの個人情報システムの特徴に応じてチェック項目を選定します。

(全文を読む) 【「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第25章】

 

情報セキュリティ監査研究会だより その14 -
  プライバシー・バイ・デザイン 第9回

  情報セキュリティ監査研究会では、アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを議論しております。この概要を2月21日に開催された日本システム監査人協会第13期総会の後の特別講演会において、「Privacy by Design ご紹介と問題提起」と題して発表し、さらに会報4月号で報告いたしました。

 3月と4月に開催した定例の研究会で、今後の研究テーマについて検討した結果、引き続き、「プライバシー・バイ・デザイン」をテーマに研究を続けることになりました。全体の概要は一段落しましたので、今後は、そのなかの個別の要素についてやや深く検討していくことにいたしました。当面は、FIM(連携アイデンティティ管理)、そのなかでもトラストフレームワーク、次にPIA(プライバシー影響評価)を取り上げる予定です。トラストフレームワークについては、既に概要を会報5月号でご紹介いたしましたが、今回は事例を二つご紹介したいと思います。

(全文を読む) 【情報セキュリティ監査研究会だより その14 -
  プライバシー・バイ・デザイン 第9回】

情報化社会のためのシステム監査

情報化社会のためのシステム監査

賢い人は「勘定」と「感情」の二つの視点を持っている。
これは、公認会計士の山田真哉氏(『さおだけ屋はなぜ潰れないのか?』の著者)
が最近の講演会で話していた言葉です。

また、夏目漱石は「草枕」で、“智に働けば角が立つ。情に掉させば流される。
意地を通せば窮屈だ。とかくに人の世は住みにくい。”と書いています(岩波文庫)。

システム監査人は、この二つの視点、
つまり、システム管理基準に照らして不備や不十分を指摘する視点と、
それを被監査部門が納得感を持って聞くことができる説明を行うための視点を、
うまく使い分けて監査に当る必要があると思います。

(全文を読む) 【情報化社会のためのシステム監査】

システム監査を何のために行うのか?/ 5月のカレンダー (情報化社会のためのシステム監査)

今回のめだかは、次の2稿です。
1 システム監査を何のために行うのか?(情報化社会のためのシステム監査) 
2 5月のカレンダー (情報化社会のためのシステム監査)

システム監査を何のために行うのか?(情報化社会のためのシステム監査)

「あなたは、何のためにシステム監査を行っているのですか?」と問われて、皆さんならどう答えるでしょうか?
最近、P.F.ドラッカー著『現代の経営』(注)の中にある三人の石工の話を読んで、「何のためにシステム監査を行うのか?」について、考えさせられた。この三人の石工の話とは、次のようなものである。
(注)P.F.ドラッカー著『マネジメント』にも、同様の話がある。
**********
ある人が工事現場の脇を通りかかり、汗を流して働いている数人の石工に、「何をしているのか」と問いかけました。
一人目の人は、こう答えました。「これで食べている」と。
二人目は、手を休めずに答えました。「国で一番腕のいい石工の仕事をしている」と。
最後の一人は、目を輝かせて答えました。「教会を建てている」と。
―上田惇生監修・佐藤等編著『実践するドラッカー[思考編]』より引用―

(全文を読む) システム監査を何のために行うのか?(情報化社会のためのシステム監査)

5月のカレンダー (情報化社会のためのシステム監査)

5月のカレンダーの挿し絵や写真には、田植え風景や新緑の山など、季節の人々の営みや自然の遷り変わりを用いているものが多い。
今月、忍野八海近くの山に登り、左右の麓まで遮るもののない富士、手の届きそうな富士を眺めながら、5月の色と匂いを感じて来た。スミレの群生、マメザクラのトンネル、ミツバツツジ、自生のボケなどの彩りとともに、木々の新芽も薄緑・濃い緑・薄赤など様々な形容を見せていて、日頃使われていなかった我が身の五感のどこかが呼び覚まされたような気がしている。この季節は山全体がパワースポットになっていると思う。色の華やかさよりもそれをもたらしているものに、ただならない力強さや迫力のようなものを感じた。自然現象は季節や一定のサイクルで繰り返しつつ、我々にも分かる形でパワーを見せている。繰り返すこと自体のパワー、変化を遂げるパワー、目的達成のパワーがある。特に5月のカレンダーには、そのような出現・創造を感じるものがある。

(全文を読む) 5月のカレンダー(情報化社会のためのシステム監査)