2015年9月号の記事へのご意見をお待ちしています。

2015年9月号の記事は、
キーワードが、
  ガバナンス、BCP・減災、そしてサイバー攻撃でした。

いかがでしたか。
会報記事へのご意見をお待ちしています。

ご意見の投稿方法を紹介します。

1.会報記事全体、今月号全体へのご意見や感想

  画面上部の見出し「お問い合わせ」をクリックして、
 「記事内容」の区分を選択し、メッセージを入力してください。

2.個別の記事に対するご意見

  コメントしたいそれぞれの 該当記事の掲載日付横にある
 「コメントをどうぞ」をクリックします。
 「コメント入力用の枠内に、メッセージを入力してください。
  内容を確認して、「コメント投稿」をクリックすることで
  投稿は完了します。

  なお、「コメントをどうぞ」の機能は、
  スパムコメントや意味不明の書き込みが投稿される場合には、
  機能を制限します。

SAAJ会報2015年9月号(第174号)を発行しました。

SAAJ会報2015年9月号(第174号)を発行しました。

今月のキーワードは、
ガバナンス、BCP・減災、サイバー攻撃です。
いつもとはちょっと違う記事をお楽しみください。

SAAJ会報2015年9月号(第174号)の全文は、
  SAAJ会報2015年9月号(第174号)
からご覧いただけます。

  SAAJ会報2015年9月号(第174号)目次
からご覧いただけます。

■ ■ 巻頭言 
『 ガバナンスを評価する監査という考え方 』
            会員番号 6027 小野修一(副会長)

去る7月 21 日、IT ガナバンスと情報セキュリティガバナンスに関する JIS 規格が制定されました。
IT ガナバンスに関する規格は「JIS Q 38500:2015」、情報セキィリティカバナンスに関する規格は「JIS Q 27014:2015」です。

それぞれの規格では、それぞれのガバナンスを次のように定義しています。
IT ガバナンス;組織の IT の現在及び将来の利用を指示し、
       管理するシステム。(JIS Q 38500:2015)
情報セキュリティガバナンス;組織の情報セキュリティ活動を
       指導し、管理するシステム。
         (JIS Q 27014:2015)

そして、「JIS Q 27014:2015」には、IT ガバナンスと情報セキュリティガバナンス、さらにコーポレートガバナンスを含めた関係が規定されています。

システム監査人の喜び

システム監査人の喜び (めだか)

経済産業省より2015年7月24日付でコーポレート・ガバナンス・システムの在り方に関する研究会の報告書「コーポレート・ガバナンスの実践~企業価値向上に向けたインセンティブと改革~」の News Release があった。

背景には、グローバル競争時代の中、企業の「稼ぐ力」の向上に、中長期的な収益性・生産性を高めるため、スチュワードシップ・コードの策定(2014年2月)、社外取締役の確保に向けた改正会社法の施行(2015年5月)、コーポレートガバナンス・コードの策定(2015年6月適用開始)等の取組みがある。

2015年6月30日に閣議決定された「日本再興戦略」改訂2015においても、企業の「稼ぐ力」の更なる向上のために、コーポレート・ガバナンスの強化が課題として位置付けられている。また、東芝の会計処理問題から監督機能が課題となっていることがある。

続きを読む 

【システム監査人の喜び】(空心菜)

システム監査人の魅力

システム監査人の魅力 (投稿)
    会員番号 0557 仲 厚吉 (会長)

「情報技術-IT ガバナンス JIS Q 38500:2015」が、日本規格協会より 2015 年 7 月 21 日付で発行されました。

 当協会では、副会長の力利則 氏、理事の清水惠子 氏が原案作成委員としてかかわっています。
 IT ガバナンス規格は、適用範囲に、“この規格は、組織の経営陣(オーナー、取締役会の構成員、経営者、パートナー、上級取締役又はその他これらと同等の人)のため、組織内で効果的、効率的及び受け入れ可能な IT 利用に関する原則について規定する。

 この規格は、組織によって使われる IT サービスに関係したマネジメントプロセス及び意思決定のガバナンスに適用できる。
 これらのマネジメントプロセスは、組織内の IT の専門家若しくは外部のサービス提供者によって、又は組織内の事業部門によって管理することが望ましい。” と規定しています。

続きを読む 

【システム監査人の魅力】

ガバナンスを評価する監査という考え方 (投稿)

ガバナンスを評価する監査という考え方 (投稿)
      会員番号 6027 小野修一(副会長)

活性化委員会で議論していることですが、この「ガバナンス」というシステムをシステム監査の対象に見据えてはどうでしょうか。
「ガバナンス」というシステムを対象にした監査をシステム監査と捉えてはどうでしょうか。

・「ガバナンス」というシステムが、組織の実態に則して
  構築されていること
・「ガバナンス」というシステムが、組織の経営および
  業務活動に有効かつ効率的に機能していること
・「ガバナンス」というシステムの安全性・信頼性が
  確保されていること

などをシステム監査で評価します。
情報システムが「ガバナンス」というシステムの中核に位置していることは異論のないところですので、システム監査には情報システムの安全性、信頼性、効率性、有効性などの観点での評価が含まれることは当然です。

続きを読む 

【ガバナンスを評価する監査という考え方】

阪神・淡路大震災記念 人と防災未来センター訪問録

阪神・淡路大震災記念 人と防災未来センター訪問録(投稿)
       会員番号 898 竹下 和孝

防災訓練が実施される9月が近いですが、どれほど真剣に避難訓練、防災チェックなどの行事に参加しているでしょうか。訓練とはいえ、本番そのものの臨場感を持ち準備不足を知るにはどのような方法が有効でしょうか。

今から20年ほど前のことですが、私が経験した英国での火災避難訓練では、避難に要した時間が当初計画を超えた場合には、同席する官庁の消防・防災担当の判断でやり直しを指示される、という場面に遭遇しました。当時の状況としても、災害訓練のありかたとして大変印象深い経験をさせていただいたわけです。

さて、国内では実際に規模の大小にかかわらず事故や災害に遭遇することは多く、いろいろな場面で、チェック、訓練、実践することができます。しかし、大規模な災害に対しては被災地を訪問する、実際に被災者の経験を聞くのが役に立つでしょう。
以前から計画していた「阪神・淡路大震災記念 人と防災未来センター」(略称DRI)を訪問することができました。

DRIは、Disaster Reduction and Human Renovation Institution の略称で減災がコンセプトです。
DRIでは震災発生・被災時の状況や復興までの足取りを、映像記録が中心なので迫力があります。

目次:
・人と防災未来センター訪問録
・命を守る実践
・風水害、東日本大震災
・「鉄人28号」発見。神戸の街にガオー
・未来志向のシステム監査
続きを読む 

【阪神・淡路大震災記念 人と防災未来センター訪問録】

最近のサイバー攻撃と対策の解説(第204回月例研究会講演録)

第204回月例研究会講演録【 最近のサイバー攻撃と対策の解説 】
             会員番号 0557 仲 厚吉

講師   : 独立行政法人 情報処理推進機構(IPA)
      技術本部 セキュリティセンター
      情報セキュリティ技術ラボラトリー
      主任研究員 渡辺 貴仁 氏
日時・場所: 2015 年 7 月 14 日(火)18:30 – 20:30、
       機械振興会館 地下 2 階ホール (神谷町)
テーマ  :「最近のサイバー攻撃と対策の解説」
要旨   :
日本年金機構や東京商工会議所など世の中を震撼させる情報漏洩事件が発生している。改めて標的型メールによるサイバー攻撃についてその仕組みと、組織としての対策の考え方や標的型攻撃メールの見分け方、ウイルス活動の痕跡の確認ポイントについて解説する。

また経済基盤である情報システムから社会基盤である制御システムへとサイバー攻撃の対象は多様化しており、先日警察庁からも制御システムに向けた脆弱性の探索アクセスが増加したとの発表がなされた。
制御システムへの攻撃による被害事例を紹介し、現状の危険性やリスクを踏まえ、経営層が実施すべきポイントや設計・開発・導入段階および運用段階に担当者がどの様な対応を取るべきかについて解説する。

続きを読む 

【最近のサイバー攻撃と対策の解説】

IT-BCP体験セミナー 開催結果報告 (SAAJ会報2015.09)

支部報告【 IT-BCP体験セミナー 開催結果報告 】
        会員番号 1709 荒町 弘 (近畿支部)

1.セミナー名称 : IT-BCP体験セミナー
2.開催日時 : 2015年6月27日(土)10~17:00
3.開催場所 : 大阪大学中之島センター 608教室
4.当日参加者 : 受講者 7名
スタッフ 荒町、松井、金子、尾浦、伊藤(BCP研究プロジェクト)、広瀬

5.開催概要
当セミナーは、ケースシナリオを使った体験演習により IT-BCP のポイントを把握することを狙いとし、昨年度から開始したセミナーです。
災害初動の基礎知識や体験演習、IT-BCP の現状と危機対応の原理原則など、IT-BCP の必要性やポイントについて学んでいただくセミナーとして今年も開催しました。

カリキュラムは2つの講義と演習2題から成り、午前はオリエンテーションの後に講義1つ、お昼休みを挟んでのグループ演習を実施し、チームごとの発表および解説を経て、2つめの講義を行うといった流れで 1 日コースのプログラムを終えました。
各演習の最後に検討した結果をチーム単位にまとめて発表いただき、講師講評を踏まえて受講者全員で成果の共有を図りました。

続きを読む 

【IT-BCP体験セミナー 開催結果報告】

第287回月例会(平成 27 年 7 月)に参加して

支部報告【第287回(平成 27 年 7 月)月例会に参加して 】
           会員番号 0350 鶴岡通 (九州支部会員)

7月25日の九州支部月例会(勉強会)は、JISTA 四国支部で開催されたシステム監査に関する講演に Skype(注)で九州支部も合同で参加致しました。
その経緯と感想を述べます。

1、合同開催の背景
この度の勉強会は、JISTA(Japan IT Strategist Association:日本ITストラテジスト協会)の四国支部で開催されたシステム監査に関する講演のテーマ「先輩!システム監査って何か役にたつんすか?」を JISTA のメーリングで6月18日に知り、九州支部月例会の勉強日と開催日も時間帯も重なっていることと Skype で参加できることから、九州支部長に連携できないかのご相談を行いました。

<私の知りたかった内容>
①システム監査がどのように、システム技術者に受け取られており、どのような感想を持っているか。
②その中から、システム監査の進むべき道が見えて来るのではないか。
③Skype を活用した勉強会の有効性の確認
・どこまで、会議に活用できるのか。
・活用できるならば、本部の理事会や各部会の会合などに応用できないか。
・活用に当たり阻害要因となるものがあるのか。

続きを読む 

【九州支部 第287回月例会に参加して】

注目情報(2015.7~2015.8) SAAJ会報 2015.09

■ ■ 注目情報(2015.7~2015.8) SAAJ会報 2015.09
※各サイトのデータやコンテンツは個別に利用条件を確認してください。

【IoT社会を見据えた国内初の業界横断的なソフトウェア開発指針の策定に着手】
2015年8月5日 独立行政法人情報処理推進機構

IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)
技術本部ソフトウェア高信頼化センターは、
自動車・HEMS(*1)などの製品がインターネットや製品同士で相互に接続する「IoT(*2)社会」を見据え、“つながる”製品に組み込まれたソフトウェアの信頼性を確保するためのソフトウェア開発指針の策定に着手し、本日8月5日、検討会を発足しました。

注)*1 HEMS(Home Energy Management System)
  *2  IoT(Internet of Things)

【Internet Explorer の脆弱性対策について(CVE-2015-2502)】
       2015年8月19日 独立行政法人情報処理推進機構

 2015 年 8 月 19 日に Internet Explorer に関する脆弱性(CVE-2015-2502)の修正プログラムが 1 件公表されています。
 この脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。

 Microsoft 社は「悪用の事実を確認済み」と公表しており、
攻撃が行われた場合の影響が大きいため、
できるだけ早急に修正プログラム(MS15-093)を適用して下さい。

 以下の Microsoft 製品が対象です。
•Internet Explorer 7、8、9、10、11

注目情報(2015.7~2015.8) SAAJ会報 2015.09の詳細を見る
 ⇒【注目情報(2015.7~2015.8) SAAJ会報 2015.09】