SAAJ会報2014年10月号(第163号)を発行しました。

SAAJ会報2014年10月号(第163号)を発行しました。

今月も巻頭言から話題満載です。PDFの目次検索も活用ください!!!

2014年10月号(第163号)の本文は、

2014年10月号(第163号)本文
からご覧いただけます。

2014年10月号(第163号)の目次と巻頭言は、

2014年10月号(第163号)目次

2014年10月号(第163号)巻頭言
からご覧いただけます。

■ ■ 巻頭言 
kantogen201410

次世代のためのシステム監査

次の投稿をいただきました。
 【 次世代のためのシステム監査 】

投稿【 次世代のためのシステム監査 】

この世の中に「誤謬の無いもの」は無い。
だから、情報システムには、ITガバナンスと、PDCAサイクルのCheck局面でシステム監査が必要になります。

公共機関等の情報システムは、誤謬が発生した場合、多くの人に大きな悪影響を与えます。
また、公共機関等の情報システムのうち個人情報を取り扱う情報システムは、
個人情報の漏えい、滅失、き損が発生すると取り返しがつかなくなるおそれがあります。

続きを読む  次世代のためのシステム監査

次世代のためのシステム監査、提案:次世代のため5%の時間を割こう!

今月のめだか投稿は、次の2編です。

 【 次世代のためのシステム監査 】
【 提案:次世代のため5%の時間を割こう! 】

 【 次世代のためのシステム監査 】

「だますやつが悪い。」のか、「だまされるほうが悪い。」のか。
それはシステム監査人にとって頭の痛い問題である。

フランシス・フクヤマは、著書「信なくば立たず」(Trust)で、歴史によって伝統的に信頼関係が形成されやすい地域とそうでない地域があるとしている。

個人を取り巻く社会は、家族、中間組織(会社、宗教、地域コミュニティ、学校)、国の、3つの信頼の輪によって成り立っている。

信頼関係の第一の輪は、家族である。信頼関係の輪が中間組織から国まで広がる信頼関係が形成されやすい地域では、ビジネスは円滑に行われる。例えば、納品請求書を送付すると相手は納品を確認し銀行振込で支払う商習慣があればビジネスは円滑に進む。
しかし、信頼関係の低い地域では、いちいち集金に行くと支払う、また、銀行振込は入金を国が補足するため普及しないと聞いたことがある。

続きを読む ⇒  次世代のためのシステム監査

【 提案:次世代のため5%の時間を割こう! 】

システム監査に限りませんが、研究会やセミナーに出ると、その主催団体の構成員像がなんとなく浮かび上がります。
新技術に絡むフォーラムだと、会社から派遣されている参加者もいるせいか、若手の参加も多く、運営側もまだ熟達していない印象を抱きます。

これに対し、システム監査関連の会合だと、もちろん現役バリバリの参加者もいますが、多くの場合、セミリタイア世代、といったら失礼だと思いますが、中堅というよりシニアが多く、経験豊富で落ち着いた印象を与えます。

自分は最初の会社で一通りのことは吸収してきた、これからはキャリアを活かして活躍したい、そういった方が多いのではないでしょうか。

続きを読む ⇒  提案:次世代のため5%の時間を割こう!

最近のサイバー攻撃と対策の解説(SAAJ会報2014.10)

第193回 月例研究会 (2014年7月22日開催)

【講演テーマ】 「最近のサイバー攻撃と対策の解説」
【講師】 独立行政法人 情報処理推進機構(IPA) 技術本部 セキュリティセンター
情報セキュリティ技術ラボラトリー 主任研究員 渡辺 貴仁 氏
【日時】 2014年7月22日(木曜日)18:30~20:30
【場所】 機械振興会館 地下2階ホール

【講演骨子】:講演者より
オンラインバンキングにおける不正送金の被害が増加傾向にあり、警察庁によれば2014年の国内における被害額は、5月9日の時点で14億円を超え、過去最大であった昨年の被害総額を既に超えたとあります。また多くのオンラインサービスサイトで第三者にログインされ、情報の不正取得やなりすましの被害が発生しています。
さらにホスティング事業者が攻撃を受け、そのサービスを利用しているウェブサイトが改ざんされ、エンドユーザにウイルスを感染させる事例が発生しております。
この様なサイバー攻撃を紹介するとともに、対策について解説をします。

【講演概要】
IPAが毎年発行している「10大脅威」の2014年版を中心に、情報セキュリティに関する注目すべき脅威や懸念とその対策について紹介された(参考資料のURLは、文末にまとめて記載する)。

 続きを読む ⇒ 最近のサイバー攻撃と対策の解説(SAAJ会報2014.10)

ID連携トラストフレームワークの実証事業ご紹介- 情報セキュリティ監査研究会だより No.18 -

ID連携トラストフレームワークの実証事業ご紹介
  - 情報セキュリティ監査研究会だより No.18 -

情報セキュリティ監査研究会では、アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを、2013年8月から議論しております。

 この情報セキュリティ監査研究会だよりでは、会報5月号から7月号まで、プライバシー・バイ・デザインの一実現形態であるID連携トラストフレームワークのご紹介をしてきました。8月号、9月号は、別のトピックスをご紹介いたしましたが、今回から元に戻って、ID連携トラストフレームの実証事業をご紹介したいと思います。

ご紹介するのは、経済産業省が平成25年度に実施した、「『ID連携トラストフレームワーク』の構築のための実証事業」(資料1)のなかのユースケース、「保証書管理サービス」です。今回は、ID連携トラストフレームワーク自体の解説は掲載いたしませんので、必要に応じて会報のバックナンバー5月号(158号)〜7月号(160号)をご参照願います。なお、会報は、日本システム監査人協会のホームページからPDF形式でダウンロードできます(URL1)。

本報告は、情報セキュリティ監査研究会内部の検討結果であり、日本システム監査人協会の公式の見解ではないことをお断りしておきます。また、我々の力不足のため、誤りも多々あるかと存じます。お気づきの点がございましたら適宜ご指摘いただきたいと存じます。ご興味のある方は、毎月20日前後に定例研究会を開催しておりますので是非ご参加ください。

【報告】「平成25年度経済産業省『ID連携トラストフレームワーク』の構築のための実証事業
 におけるユースケース『保証書管理サービス』ご紹介」

経済産業省は、平成25年度電子経済産業省構築事業の一環として、「『ID連携トラストフレームワーク』の構築のための実証事業」を行い、2014年3月に報告書を公開した(資料1)。
今回は、この報告書のなかの「第5章 ユースケースの具体化によるID連携トラストフレームワークの有効性、実用性の検証」(資料1 pp108-152)をとりあげる。

続きを読む ⇒  情報セキュリティ監査研究会だより No.18

経済産業省ガイドラインの読みこなしポイント~「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」その2

~「経済産業省ガイドライン」の読みこなしポイント~ 
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」その2 
    

2-2.個人情報取扱事業者の義務等 
2-2-1. 個人情報の利用目的関係(法第15条~第16条関連)

2.法令解釈指針・事例 の続きです。

2-2.個人情報取扱事業者の義務等
2-2-1.利用目的関係(法第15条~第16条関連)
(1)利用目的の特定(法第15条第1項関連)

法第15条第1項
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的
(以下「利用目的」という。)をできる限り特定しなければならない。

事業者は、どのような目的で個人情報を利用するかをできる限り具体的に特定する必要があります。
多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはなりません。

個人情報を第三者に提供することを想定している場合には、利用目的において、その旨特定する必要があり、従業者の雇用管理情報の利用目的の特定に当たっても、具体的、個別的に特定しなければなりません。

続きを読む ⇒「経済産業省ガイドライン」の読みこなしポイント その2

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
 http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf 

注目情報(2014.08~2014.09) SAAJ会報2014.10

注目情報(2014.08~2014.09)
 ※各サイトのデータやコンテンツは個別に利用条件を確認してください。

■IPA「企業の内部不正防止に関する緊急セミナー」開催資料、セミナー動画の公表 (2014年9月1日)

企業内部からの重要情報や個人情報の漏えいが大きなニュースとなり、システム監査やシステム運用に従事する関係者は再点検や改善活動を急遽実施されたのではないかと思われます。

この状況を受けてIPAで「企業の内部不正防止に関する緊急セミナー」を8月26日に緊急開催されています。
「内部不正の国内外の現状と事例の紹介」、「防止ソリューション選定のガイド」、「個人情報保護」について講演が実施されており、講演資料とセミナーの動画を下記サイトで公開されています。

内部不正防止の点検、改善の際には参考としてご利用ください。

<開催概要>
IPAは、2013年に策定した「組織における内部不正防止ガイドライン」を活用して内部不正対策の普及啓発を行ってきました。
これまで「組織における内部不正対策セミナー」を3回(6月26日、7月24日、7月30日)開催してきましたが、教育関係の企業における個人情報漏えい事件の報道を受け、改めて同ガイドラインの周知徹底を図るとともに、多くの企業・組織の意識を高め対策を推進するため、「企業の内部不正防止に関する緊急セミナー」を経済産業省と共に開催します。

http://www.ipa.go.jp/security/event/2014/insider_semi_20140826.html 

新しく会員になられたみなさまへ(SAAJ会報2014.10)

新しく会員になられたみなさまへ

新しく会員になられたみなさま、当協会はみなさまを熱烈歓迎しております。

先月に引き続き、協会の活用方法や各種活動に参加される方法などの一端をご案内します。

・協会活動全般がご覧いただけます。 
  http://www.saaj.or.jp/index.html

・会員規程にも目を通しておいてください。 
  http://www.saaj.or.jp/gaiyo/kaiin_kitei.pdf

・皆様の情報の変更方法です。 
  http://www.saaj.or.jp/members/henkou.html

⇒ 続きを確認する

SAAJ主催イベント・セミナーのご案内(SAAJ会報2014.10)

【SAAJ主催イベント・セミナーのご案内】

【 協会主催イベント・セミナーのご案内 】
■月例研究会(東京)
日時:2014年10月30日(木)  18:30~20:30 
場所:機械振興会館 地下2階多目的ホール
テーマ オープンデータを中心にIT政策の動向全般(仮題)
講師 経済産業省
CIO補佐官  平本 健二 氏

詳細は、速報HPでご案内しています。
  http://www.saaj.or.jp/kenkyu/kenkyukai_sokuhou201410.html

日時:2014年11月19日(水)  18:30~20:30 
場所:機械振興会館 地下2階多目的ホール
テーマ マイナンバーと民間サービスとの連携を目指して
講師 経済産業省
CIO補佐官  満塩 尚史 氏

■中堅企業向け「6ヶ月で構築するPMS」セミナー(東京)
基本コース 月1回(第3水曜日)14時~17時(3時間)×6ヶ月
※他に、月2回の応用コースなどがあります。

■システム監査普及サービス(全国)
情報システムの健康診断をお受けになりませんか。 
実費のみのご負担でお手伝いいたします。

【 外部のイベント・セミナーのご案内(会報担当収集分)】

■第35回監査講演会のご案内
日時 2014年10月21日(火) 10:20~17:00
場所 きゅりあん(品川区立総合区民会館/東京・大井町)
テーマ 『情報セキュリティとシステム監査』

サイバーテロ対策や情報漏えいへの対応など各企業のセキュリティは一層重要となっており、システム監査の実施に際しても従来以上に厳格な対応が求められております。
現在検討されている情報セキュリティの国家資格を含むセキュリティ政策や、システム開発における情報セキュリティ関連の法的課題とシステム監査に関する講演、現場で実務に携わる方々をお招きしてのパネルディスカッションなど多岐にわたる内容となっております。

今回記事の詳細を読む

(イベント・セミナー案内を読む)
   http://skansanin.com/saaj/category/chumoku-event/