SAAJ会報2014年8月号(第161号)を発行しました。

SAAJ会報2014年8月号(第161号)を発行しました。

暑い夏。システムセキュリティがホットです。
ネット不正送金、個人情報漏えいなど、システムセキュリティへの対応が問われています。
関連記事に注目を!!!

SAAJ会報2014年8月号(第161号))の本文は、

SAAJ会報2014年8月号(第161号)本文
からご覧いただけます。

SAAJ会報2014年8月号(第161号))の目次は、

SAAJ会報2014年8月号(第161号)目次
からご覧いただけます。

■ ■ 巻頭言 
kantogen161

次世代を考える、〝次世代を担うシステム監査人〞考、ベネッセ個人情報漏えい、脱法ハーブ、3D-Printer拳銃製造と次世代のためのシステム監査

めだか投稿は、次の3篇です。
【 次世代を考える(次世代のためのシステム監査) 】
【〝次世代を担うシステム監査人〞考 (次世代のためのシステム監査)】
【ベネッセ個人情報漏えい、脱法ハーブ、
  3D-Printer拳銃製造と次世代のためのシステム監査】

【 次世代を考える(次世代のためのシステム監査) 】

公共機関の情報システムは社会インフラであり、その障害は多くの人々に被害をもたらすリスクとなる。リスクへの予防措置として公共機関の情報システムにシステム監査が求められるべきと思う。先ず公共機関の情報システムの中でも個人情報を取り扱う情報システムの構築や保守には、障害が起きないよう、また法令等への準拠や利用目的に齟齬が生じないようシステム監査の法制化を求めたい。
(全文を読む) 次世代を考える(次世代のためのシステム監査)

【〝次世代を担うシステム監査人〞考 (次世代のためのシステム監査)】

先日、IPAから平成26年春期の情報処理技術者試験の合格発表があった。システム監査技術者については、合格率13.2%の狭き門の中、361名の方が合格された。今回新たにシステム監査技術者の資格をとられた方が、実務経験を積み、次世代を担うシステム監査人として、大いに活躍されんことを願っている。

IPAの統計情報によると、今回のシステム監査技術者資格の取得者は、平均年齢40.3歳で経験は豊かといえるものの、実際にシステム監査を担当しているのは39名(合格者の1割)に過ぎない。この人数で、これからますます発展するであろう情報化社会に向けた「次世代のシステム監査人」を供給できるのか、不安になる。

(全文を読む) 〝次世代を担うシステム監査人〞考 (次世代のためのシステム監査)

【ベネッセ個人情報漏えい、脱法ハーブ、
  3D-Printer拳銃製造と次世代のためのシステム監査】

 ベネッセ個人情報漏えい事件、脱法ハーブ、3D-Printerによる拳銃製造事件と、三題噺風に並べてみたが、一見、全く異なる三つの事件に共通する根本的課題は何か。ずばり、ITを中心とする急速、かつ、継続的なイノベーションと、それにともなう社会の変化に、法規制が追いつかないということである。

(全文を読む) ベネッセ個人情報漏えい、脱法ハーブ、3D-Printer拳銃製造と次世代のためのシステム監査】

次世代のためのシステム監査、【エッセイ】両面宿儺 (会報2014.08)

次の2篇の投稿をいただきました。

次世代のためのシステム監査
【エッセイ】両面宿儺

次世代のためのシステム監査  投稿者 仲 厚吉

8月号から3ヶ月テーマが、“次世代のためのシステム監査”になりました。先のテーマの“情報化社会のためのシステム監査”を引き継いで、次世代のためのシステム監査について考えてみたいと思います。当協会と同様、システム監査の普及・促進を目指す団体に、システム監査学会や、ISACA(情報システムコントロール協会)東京支部等があります。目標を同じくする団体としてシステム監査の普及・促進に協力していきたいと思います。

システム監査人は、システム管理基準によって、情報システムが、
・経営方針及び戦略目標の実現に貢献するか、
・その利用目的を実現するように安全、有効かつ効率的に機能するか、
・報告する情報の信頼性を保つように機能するか、
・関連法令、契約又は内部規程等に照らして準拠性はあるか、
等を監査します。

(全文を読む) 次世代のためのシステム監査

【エッセイ】両面宿儺  投稿者 神尾博

日本書紀によると、仁徳天皇の時代、飛騨の国で「両面宿儺(りょうめんすくな)」と呼ばれる怪人が跳梁跋扈していたという。
大和朝廷に刃向い、手下を率いて略奪を繰り返し、国造(くにのみやつこ)に任命された地方豪族も手を焼いていた。

両面宿儺は、胴体は1つだが2つの顔が反対方向を向き、頭頂が1つに合わさるという姿だったそうだ。これなら360度の視野を確保できる。
手足はそれぞれ2本ずつで怪力かつ敏捷、剣や弓矢を操ったと書き記されているので、知覚や運動機能を司る小脳を駆使し、各々の器官の動作を割り振っていたのであろう。
疲労の度合いに応じて、一組を一時的に休息させることも可能だったのではないだろうか。

(全文を読む) 【エッセイ】両面宿儺

第23回CSAフォーラム開催【トラブルを未然防止するプロジェクトマネジメント】

第23回CSAフォーラム開催
 【トラブルを未然防止するプロジェクトマネジメント】

CSA利用推進グループでは(株)クロスリンク・コンサルティング社エグゼクティブコンサルタントの原田憲幸氏をお迎えし、第23回CSAフォーラムを開催しました。

原田氏は電電公社のDIPSのOSや通信ソフト開発に始まり、多くのビッグシステムの構築に、SEや開発部門マネジャ、コンサル、監査人、経営者など様々な立場で携わって来られました。

情報システムの構築にはトラブルがつきものというのは、システム構築を知る方に否定する方はおられないでしょう。

今回は原田氏からトラブルを未然に防ぐにはどうしたら良いのかを語って頂き、20数名の参加者で意見交換致しました。

監査人として、はたまた情報システムに関係するCSA・ASAとしての眼力UPに大いに役立った2時間でした。

(全文を読む) 第23回CSAフォーラム開催【トラブルを未然防止するプロジェクトマネジメント】

【情報セキュリティ監査研究会だより No.16 - 特定個人情報保護評価(PIA)指針について】(連載)

情報セキュリティ監査研究会 報告

情報セキュリティ監査研究会では、アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを、2013年8月から議論しております。

 今回は、8月20日に予定しております、第194回月例研究会「特定個人情報保護評価指針について – マイナンバーにおけるPIA実施の対策と課題等 -」の事前のご紹介という趣旨で、特定個人情報保護評価指針(PIA)のご紹介をさせていただきます。

 実は、7月3日に開催された第192回月例研究会「クラウドサービス利用のための情報セキュリティマネジメントガイドラインの概要及び改訂について」におきまして、担当理事が講演の内容に関する政府公開資料を事前に学習し、講演者に事前に質問をお送りしたところ、充実した回答が得られました。

 さらに、関連質疑でも、この充実した回答の影響で、講演内容の本質を突く質疑が行われ、たいへん創造的な、意義深い講演会になりました。講演者、参加者とも大きな満足が得られ、事前学習には、講演会を相互啓発の場にする大きな効果があると感じた次第です。

(全文を読む) 【情報セキュリティ監査研究会だより No.16 - 特定個人情報保護評価(PIA)指針について】(連載)

個人情報保護監査研究会【「個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン」の改定案に対するパブリックコメント提出】

個人情報保護監査研究会 報告

【「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
  の改定案に対するパブリックコメント提出】

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」、いわゆる「経済産業省ガイドライン」の改定が予定されている。
現行の「経済産業省ガイドライン」 (平成21年10月9日厚生労働省・経済産業省告示第2号)以降、5年ぶりの改定検討である。

IT総合戦略本部において、パーソナルデータの利活用に向けての検討がすすみ、またOECD「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告(2013)」への対応を迫られていることから、「個人情報保護法」の2015年改訂まで待っていられないという状況のようである。

個人情報保護監査研究会が6月14日に提出した、4件のパブリックコメントのうち2件をご紹介する。

(全文を読む) 【「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
  の改定案に対するパブリックコメント提出】

北信越支部福井県例会報告 (2014.6.14)

2014年度 北信越支部福井県例会を開催しました.

・日時:2014年6月14日(土) 13:00-17:00    参加者:11名

・会場:アオッサ AOSSA(福井市)

・議題:<研究報告>

「金融犯罪の事例と犯罪・被害防止
   に向けた銀行界の取組の紹介」       角屋 典一 氏

「外部委託先社員による不正出金等の発生
  を踏まえた点検とシステム監査」       小嶋 潔 氏

「IPA 2014年版 10大脅威
 -複雑化する情報セキュリティ
   あなたが直面しているのは?-」の概要   宮本 茂明

◇研究報告 1
「金融犯罪の事例と犯罪・被害防止に向けた銀行界の取組の紹介」
  報告者(会員No. 1267 角屋 典一)
 本年に入り、インターネットバンキングの不正送金被害が深刻化して、大きな社会問題になってきている。このような状況のなか、金融犯罪にはどのような種類があり、被害の状況はどうか、また、金融機関はどのような取組みを行っているかを紹介し、特に「インターネットバンキングによる不正払戻し」の状況については詳しく説明を行い、システム監査に何ができるかを議論した。

◇研究報告 2
「外部委託先社員による不正出金等の発生を踏まえた点検とシステム監査」
    報告者(会員No. 1739 小嶋 潔)
金融機関のシステムの外部委託先社員による不祥事が連続して発生している状況を受け、金融庁は3月下旬に銀行をはじめとする広範な金融機関に対して自主点検を要請しました。
この「点検」を通じて、金融機関が顧客の重要情報を保護するために必要な施策と、それに呼応してシステム監査において取り組むべき課題について検討しました。

◇研究報告 3
「IPA 2014年版 10大脅威 
 -複雑化する情報セキュリティあなたが直面しているのは?-」の概要
   報告者(会員No. 1281 宮本 茂明)
IPA から情報セキュリティに関する「2014年版 10大脅威 -複雑化する情報セキュリティあなたが直面しているのは?-」が公開されました。福井県例会では、2014年度10 大脅威の概要説明と関連情報について紹介し、以下のテーマに関する意見交換を行いました。

⇒(報告の全文を読む) 北信越支部福井県例会報告(2014.6.14)

注目情報(2014.06~2014.07)

注目情報(2014.06~2014.07)
 ※各サイトのデータやコンテンツは個別に利用条件を確認してください。

■総務省「スマート・ジャパンICT戦略」の公表 (6月20日)
総務省では、昨年7月に公表した『ICT成長戦略』の第二弾となる『ICT成長戦略II』と、「ICT国際競争力強化・国際展開に関する懇談会」における議論を踏まえた『ICT国際競争力強化・国際展開イニシアティブ』から構成される『スマート・ジャパンICT戦略』を公表した。

『スマート・ジャパンICT戦略』では、持続的成長・発展に向けた「歴史的な分岐点」に立っているという危機感を共有したうえで、ICTを活用して様々なモノ、サービスを繋げることにより、新たなイノベーションを創出するとした「ICT成長戦略II」(国内戦略)と、ICTの国際競争力強化・国際展開を通じた国際貢献を行うとした「ICT国際競争力強化・国際展開イニシアティブ」(国際戦略)の2つの戦略を連携し、進めていくとしている。
http://www.soumu.go.jp/menu_news/s-news/02tsushin01_03000264.html

■ベネッセコーポレーション「個人情報の漏えい」発表(7月9日)
ベネッセコーポレーションの顧客情報約760万件が外部に漏えいしたことが確認された。漏えいしたと思われるデータベースに保管されている情報の件数から推定すると、最大約2,070万件の顧客情報が漏えいしている可能性がある。
7月17日、同社のシステム開発・運用を行っているグループ会社の業務委託先の元社員が、顧客情報を社外に漏えいさせたとして、不正競争防止法違反の容疑で警視庁に逮捕された。

・ベネッセコーポレーションHP:
 http://www.benesse.co.jp/bcinfo/
・同社7月9日プレスリリース:
 http://www.benesse-hd.co.jp/ja/about/release_20140709.pdf
・同社7月17日プレスリリース:
 http://www.benesse-hd.co.jp/ja/about/release_20140717_2.pdf

■IPA「情報セキュリティ白書2014」の発行(7月15日)
IPA(独立行政法人情報処理推進機構)は、国内外で発生した注目すべき情報セキュリティインシデントとその手口、各国の情報セキュリティ政策や国際連携に向けた取り組みなど、情報セキュリティ全般に関する出来事や状況をまとめ、「情報セキュリティ白書2014」として販売を開始した。

2013年度には、水飲み場型攻撃でウイルスに感染したパソコンからの情報流出、インターネットバンキングにおける不正送金被害の拡大、パスワードリスト攻撃による不正アクセスの多発等、インターネット利用者を狙う様々な脅威と被害が確認された。これらの状況を考慮し「情報セキュリティ白書2014」では、頻発する脅威および将来の脅威を見据えた新たなトピックを加えている。
http://www.ipa.go.jp/about/press/20140715.html

■全国銀行協会「法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方」の発表(7月17日)

全国銀行協会は、法人向けインターネット・バンキングにおける不正送金被害の発生状況を踏まえて、被害にあった企業に銀行が補償する際の指針を、理事会で決定した。実際の補償は、個別行の経営判断としているものの、法人に対する補償検討の考慮点として、6項目のセキュリティ対策をあげている。
http://www.zenginkyo.or.jp/news/2014/07/17174000.html

SAAJ事務局からのお知らせ (会報2014.08)

SAAJ事務局からのお知らせです。

1.「会員規程」の改定
2.会費納付等のお願い
3.新たに会員になられた方々へ

1.「会員規程」の改定
「会員規程」の改定が、2014年7月10日の理事会で承認されました。

 最新の「会員規程」は 
http://www.saaj.or.jp/gaiyo/kaiin_kitei.pdf  
に掲示しています。

2.会費納付等のお願い

事務局では、2014年度会費の納入が確認できない会員の皆様へ、
2014年7月初旬に「会費納付のお願い」状を送付しました。
会費のお支払がまだの方は至急お振込みをお願い致します。

3.新たに会員になられた方々へ

新しく会員になられたみなさま、当協会はみなさまを熱烈歓迎しております。
先月に引き続き、協会の活用方法や各種活動に参加される方法などの一端をご案内します。

⇒【SAAJ事務局からのお知らせ(2014.08)】全文を読む

SAAJ主催イベント・セミナーのご案内(2014.8)

【SAAJ主催イベント・セミナーのご案内】

【 協会主催イベント・セミナーのご案内 】
■月例研究会(東京)
日時 :2014年8月20日(水)18:30〜20:30  
場所:機械振興会館 地下2階多目的ホール
テーマ 特定個人情報保護評価指針について 
  - マイナンバーにおけるPIA実施の対策と課題等 –

■システム監査実務セミナー(東京)

日程 2014年8月30 日(土)〜31日(日)
2014年9月13日(土)〜14日(日)<1泊2日×2>

■システム監査体験セミナー(大阪)

日程 2014年8月30日(土)13:00〜20:00/
〜 31日(日)10:00~17:00(宿泊なし)

■中堅企業向け「6ヶ月で構築するPMS」セミナー(東京)
基本コース 月1回(第3水曜日)14時~17時(3時間)×6ヶ月
※他に、月2回の応用コースなどがあります。

■公認システム監査人特別認定講習の実施(東京・大阪)
システム監査に関する知識コース(2日コース)  
2014年8月10日~11日
2014年9月14日~15日
◎論文およびプレゼンテーションコース (1日コース)
 2014年8月 3日
 2014年9月 3日

■システム監査普及サービス(全国)
情報システムの健康診断をお受けになりませんか。 
実費のみのご負担でお手伝いいたします。

【 外部のイベント・セミナーのご案内(会報担当収集分)】

■システム監査学会 2014年度 第1回定例研究会
日時 2014年8月22日(金) 18:00~20:00
場所 六本木ファーストビル 1階 JIPDEC第1-3会議室
テーマ 個人情報影響評価PIAの考え方と実施手順
    -プライバシーバイデザインとしてのPIA-

■日本内部統制研究学会 第7回年次大会
日時 2014年8月30日(土)
場所 法政大学市ヶ谷キャンパス
統一論題 ガバナンス変革期における内部統制の課題

今回記事の詳細を読む

(イベント・セミナー案内を読む)
   http://skansanin.com/saaj/category/chumoku-event/