会報記事へのご意見をお待ちしています。2015.8

2015年8月号の記事はいかがでしたか。
会報記事へのご意見をお待ちしています。

ご意見の投稿方法を紹介します。

1.会報記事全体、今月号全体へのご意見や感想

  画面上部の見出し「お問い合わせ」をクリックして、
 「記事内容」の区分を選択し、メッセージを入力してください。

2.個別の記事に対するご意見

  コメントしたいそれぞれの 該当記事の掲載日付横にある
 「コメントをどうぞ」をクリックします。
 「コメント入力用の枠内に、メッセージを入力してください。
  内容を確認して、「コメント投稿」をクリックすることで
  投稿は完了します。

  なお、「コメントをどうぞ」の機能は、
  スパムコメントや意味不明の書き込みが投稿される場合には、
  機能を制限します。

SAAJ会報2015年8月号(第173号)を発行しました

SAAJ会報2015年8月号(第173号)を発行しました。

<不審メールに注意 >
ウイルス感染を目的とした添付ファイルが付いているかも
安易に不審メールを開かないよう注意しましょう。!

SAAJ会報2015年8月号(第173号)の全文は、
  SAAJ会報2015年8月号(第173号)
からご覧いただけます。

  SAAJ会報2015年8月号(第173号)目次
からご覧いただけます。

■ ■ 巻頭言 
『 制御システムおけるセキュリティ動向 』
      会員番号:1750 舘岡均(副会長)

最近は国内外にて、標的型サイバー攻撃による甚大な被害が頻繁に発生し、大きな脅威となっています。
このような業務システムにおけるセキュリティ脅威の他に、制御システムにおけるセキュリティ脅威も注目されています。
社会・産業基盤を支える産業用の制御システムは、エネルギー分野(電力、ガス等)や石油・化学、鉄鋼業等におけるプラントや機械・食品等の生産・加工ラインなどにおけるシステムであり、従来はセキュリティ強固な固有のシステムで構成されてきました。

しかし、業務システムにおいて圧倒的な規模で普及したPCやサーバ、ネットワークの利便性、コストメリット、知識・技術共有のメリット、等々から、制御システムにおいてもその汎用技術が活用され、その結果、セキュリティの脆弱性をも引継いでしまいました。

社会・産業基盤のシステムがサイバー攻撃を受けた場合には、社会にとって健康、安全、環境をも脅かす甚大な被害となることから、急務の課題となり、官民あげて対策の準備が進められ、2014年4月にCSMS(Cyber Security Management System for IACS (Industrial Automation and Control System) )、制御システムに関するセキュリティマネジメントシステム認証制度が発足しました。

システム監査においては、セキュリティについての視点も重要な一つとなっており、より範囲を広げて関心を持ち、技術向上に努めていきたいものです。

システム監査人の喜び (めだか)

(めだか)【 システム監査人の喜び 】 (空心菜)

2015年6月30日、政府は、「日本再興戦略」改訂2015を閣議決定しホームページに公表している。
日本再興戦略の中には、ITにかかわるロボット開発やビッグデータへの投資を企業に促すほか、IoT、AIの活用の促進に言及している。
日本再興戦略の要旨は次のようなものである。

「日本再興戦略」改訂2015を閣議決定
 平成27年6月30日、デフレ脱却に向けた動きを確実なものにし、将来に向けた発展の礎を再構築する「『日本再興戦略』改訂2015」を閣議決定しました。
 アベノミクスは、デフレ脱却を目指して専ら需要不足の解消に重きを置いてきた「第一ステージ」から、人口減少下における供給制約を乗り越えるための対策を講ずる新たな「第二ステージ」に入りました。

続きを読む ⇒【システム監査人の喜び】

システム監査人の魅力、基礎的自治体のシステム・トラブルに見る自治体のシステム運用・監査の課題

2件の投稿をいただきました。
・システム監査人の魅力
・基礎的自治体のシステム・トラブルに見る、
  自治体のシステム運用・監査の課題

【 システム監査人の魅力 】
会員番号 0557 仲 厚吉(会長)

日本年金機構や東京商工会議所など世の中を震撼させる情報漏洩事件が発生しています。
7月9日の朝、ニュースがあり、米国で7月8日、米ユナイテッド航空(United Airlines)がコンピューターの故障により一時運航停止となり、朝のラッシュ時の空港は数千人の旅客で混雑したと伝えられました。
ユナイテッド航空でこうしたトラブルが起きるのはこの6週間で2度目といいます。

続きを読む ⇒【 システム監査人の魅力 】

【 基礎的自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題 】
  会員番号 1566 田淵隆明
      (近畿支部法制化研究会)

§1. 発生したシステム・トラブルの概要
 昨年、2014年8月4日、東京都心からほど近い某基礎的自治体の基幹システム(外部のデータ・センタのクラウドを使用)が丸一日停止し、住民票の発行や転入・転出の受付、婚姻届・出生届の受理などの重要業務が停止した。
原因調査の結果、Webシステムの手前の負荷分散装置(Load Balancer, 以下LB)が過負荷になっていたことが原因と判明した。
この件は、某有名ビジネス誌にも掲載され、全国的な話題となった。

続きを読む ⇒【 基礎的自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題 】

個人情報保護法及び番号利用法の改正~パーソナルデータの利活用をめぐる制度の見直し~

第203回 月例研究会 (2015年6月開催)報告
    報告者 会員番号 1760 斎藤由紀子
(個人情報保護監査研究会)

【講演テーマ】個人情報保護法及び番号利用法の改正
  ~パーソナルデータの利活用をめぐる制度の見直し~
【講師】慶應義塾大学総合政策学部教授 新保史生 氏
【日時】 2015年6月16日(火曜日) 18:30~20:30
【場所】 機械振興会館 地下3階 研修2号
【テーマ】 □制度見直しに向けた取り組みの経緯
      □個人情報保護法の改正案
      □番号利用法の改正案 

1.⽇本の現⾏の個⼈情報保護制度(抜粋)
(1) OECDプライバシー8原則
(2)「行政機関の保有する電子計算機処理に係る
個人情報の保護に関する法律
(1988年12月16日法律第95号)
(3) プライバシーマーク制度の運用開始
(1998年4月1日)
  JIS Q15001「個人情報保護に関する
  コンプライアンス・プログラムの要求事項」
(1999年制定、2006年改正)
(4) 個人情報の保護に関する法律 
(2003(平成15)年法律第57号)
・・・→ 2005年4月1日全面施行

続きを読む 

【個人情報保護法及び番号利用法の改正】

北信越支部 「2015年度 福井県例会 報告」

北信越支部 「2015年度 福井県例会 報告」
      報告者 会員No.1281 北信越支部 宮本 茂明

以下のとおり2015年度福井県例会を開催しました.
・日時:2015年6月13日(土) 13:00-17:00 参加者:10名
・会場:福井市地域交流プラザ (AOSSA)
・議題:
1.研究報告
「システム案件起案段階でのシステム監査のあり方」
      小嶋 潔 氏
2.西日本支部合同研究会
「社会と組織のためのシステム監査」
  -北信越支部報告検討・北信越支部報告:
「重要インフラにおける情報セキュリティ管理
  PDCAサイクルの実効性確保とその監査について」

3.SAAJ中部・北信越支部・JISTA中部合同研究会 企画検討
  ・開催日程:11月開催で調整, 
   開催場所:福井市地域交流プラザ

続きを読む 

北信越支部 「2015年度 福井県例会 報告」

支部報告 【 近畿支部第152回定例研究会報告 】

支部報告 【 近畿支部第152回定例研究会報告 】
        報告者 会員番号 0645 是松徹 (近畿支部)

1.テーマ  : 「失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介」
2.講師   : 公認システム監査人 松井 秀雄氏
3.開催日時 : 2015年5月15日(金) 18:30~20:30
4.開催場所 : 大阪大学中之島センター3階 講義室301
5.講演概要 :
「ITプロジェクトで失敗を経験した後、何を学び、何を語り継ぐべき?」との命題を掲げて研究を進め、その成果としてまとめられた失敗を究明する手法である「【ITプロジェクト版】失敗原因マンダラ図」(以後【IT版】マンダラ図)について、構築の経緯・内容と活用事例等についてご講演いただいた。
また、関連して失敗から学んだことを整理し共有する手法である「AAR(After Action Review)」(アメリカ陸軍の事後検証メソッド)について紹介いただいた。

続きを読む 

【近畿支部 第152回定例研究会 報告」】

注目情報(2015.6~2015.7) SAAJ会報 2015.08

■ ■ 注目情報(2015.6~2015.7) SAAJ会報 2015.08

【注意喚起】 IPAの注意喚起メールを騙った不審メールに注意!
2015年7月17日 独立行政法人情報処理推進機構

7月17日、IPAの名前を騙った不審メールが出回っていることを確認しました。
当該不審メールにはウイルス感染を目的とした添付ファイルが付いているため、安易に不審メールを開かないよう注意してください。
IPAが確認したところ、IPAが7月15日に発信したMicrosoft製品やAdobe製品に関するセキュリティ対策情報が用いられており、IPAからのメールニュースを模した内容となっていました。
また、このメールには本来のメールニュースには存在しないはずの圧縮ファイル(.zipファイル)が添付されていました。

「安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント」
最終更新日 2015年 7月 14日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター

 ウェブサイトの脆弱性や運用管理の不備を悪用された情報漏えいやウェブページの改ざんなどの事件が多数発生しています。
ウェブサイトの改ざんや情報漏えい等の被害が発生すると、サービス停止や顧客への補償等、事業に直接的な影響を受ける可能性があります。
IPA(独立行政法人情報処理推進機構)は、国内重要産業における標的型攻撃の情報共有の枠組みである「サイバー情報共有イニシアティブ」(J-CSIPジェイシップ (*1))において、参加組織から情報提供された939件の攻撃メールを分析した結果、同一と思われる攻撃者から国内9組織に対し、巧妙かつ執拗な攻撃が31か月も継続していることを確認しました。
この詳細な分析について、2014年度の情報共有の運用状況と共に2014年度(2014年4月~2015年3月)の活動レポートとして公開しました。

プライバシーマーク制度における番号法および特定個人情報ガイドラインへの対応について
   http://privacymark.jp/news/2015/0519/index.html
よくある質問と回答 : 2015年7月17日追加更新 
http://privacymark.jp/reference/pdf/guideline_kaisetsu_FAQ_150717.pdf
一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター

注目情報(2015.6~2015.7) SAAJ会報 2015.08の詳細を見る

 ⇒【注目情報(2015.6~2015.7) SAAJ会報 2015.08】

協会主催イベント・セミナー等のご案内 SAAJ会報2015.08

【 協会主催イベント・セミナー等のご案内 】

 ・月例研究会(東京)日時:2015年8月24日(月)
 「CSMS(サイバーセキュリティマネジメントシステム)
    認証とISMS認証の今後」(仮題)

 ・月例研究会(東京)日時:2015年9月15日(火) 
 「マイナンバーがもたらす社会の大変革  
    -制度施行直前チェックを含めて-」

 ・月例研究会(東京)日時:2015年10月23日(金)
「失敗したITプロジェクトの
     真の原因に迫るマンダラ図の紹介」(仮題)

 ・公認システム監査人特別認定講習(東京・大阪)
講習開催スケジュールと申し込み先をHPでご案内しています

 ・中堅企業向け「6ヶ月で構築するPMS」セミナー(東京)

 ・システム監査体験セミナー(入門編・大阪)
  日時:2015 年8月29日(土)10:00~17:00

【 外部主催イベント・セミナーのご案内1件(会報担当収集分)】
 ・ISACA東京支部2015年 月例会予定(東京)
   2015年8月例会 8/25(火)開催予定
               19:00-20:40(受付開始:18:30)
   2015年9月例会 9/30(水)開催予定
               18:30-20:10(受付開始:18:00)

(イベント・セミナー・関連情報のご案内 詳細を読む)

【SAAJ主催イベント・セミナー・関連情報のご案内】