SAAJ会報2016年8月号(第185号)を発行しました

■ SAAJ会報2016年8月号(第185号)を発行しました。

 今月号のテーマは「システム監査の多様性」です。
「システム監査」という「しくみ」を 様々な局面で有効活用してみませんか?

SAAJ会報2016年8月号(第185号)の全文は、
  SAAJ会報2016年8月号(第185号)
からご覧いただけます。

■ ■ 巻頭言 『昨年の日本年金機構・個人情報流出の教訓』
  会員番号 1750 舘岡均(副会長)

 2015年5月の日本年金機構における個人情報流出は、その甚大な被害に皆が衝撃を受け、このようなサイバー攻撃を根絶するために官民あげて原因究明、再発防止を図りました。

 具体的には、「日本年金機構における個人情報流出事案に関する原因究明調査結果」等の調査報告書が2015年8月に報告され、さらに「サイバーセキュリティ戦略」が9月に定められました。

 これらを踏まえて、各省庁、自治体、独立行政法人、特殊法人等にては、サイバー攻撃犯罪を防ぐよう、本格的に防御対策等が着手され始めた経緯がありました。

 さて、約1年を過ぎて振り返ってみますと、日本年金機構の事案は、やはりサイバー攻撃対策のエポックメイキングな取組みの契機として位置づけられており、最近の各研究団体における講演、あるいは研究成果報告を拝見しますと、日本年金機構の事案を踏まえて、それぞれの研究を展開しています。

 しかし最近でも、「JTBにおける個人情報の流出」等のインシデントが相変わらず発生しています。
 これまで示されている対策などを確実に実施していると、未然防止、あるいは早期発見により被害を最小限に出来たとも言われています。

 このような状況下で、さらに2020年東京オリンピック・パラリンピックに向けて各組織にて防御策が進められていることから、システム監査人は、システム監査の一環として情報セキュリティの監査、あるいはコンサルティングにおいて、その力量の発揮が益々求められています。

システム監査への期待(めだか SAAJ会報)

■めだか

システム監査への期待

会報7月号では、IoTとは「つながる」インフラストラクチャであるということからシステム監査の多様性について考えてみた。
そうしたところ、英国では、国民投票の過半数によりEUから「離脱」するよう決まったことでキャメロン首相が想定外の結果を受け辞任表明、また、スコットランドがEUに「残留」するため英国から独立する動きが始まったことや、株価の下落、ポンド安、円高などの状況が報じられている。

英国では、若い層は、「残留」に、高齢層は、「離脱」に投票したという。

情報学最前線という市民講座を受講し、インターネットで目的サイトに到着するのに、到着までのサイト数は、4.74であると、解析されたと聞いて驚いた。

世界は、英国のEU離脱騒ぎのように、政治、経済、宗教など、あちこちで異文化がぶつかりあって、たいそう広いと思うが、サイバー空間は、あっという間にサーバ同士がつながるスモールワールドで、悪意のある人間も多く、例えば、戦後の闇市を思わせる。

コンピュータが汎用機の時代、プログラマーは、システムエンジニアの設計のとおりコーディングする職種を言っていたが、IoTの時代、プログラマーは、アルゴリズムを考案し、プログラムを自由自在に書く能力のある人を言っていて、今は、官民を挙げて優秀なプログラマーを育成しようとしている。

続きを読む ⇒システム監査への期待

システム監査の活性化

■投稿

サイバーセキュリティ経営ガイドライン
会員番号 0557 仲厚吉 (会長)

経済産業省と独立行政法人情報処理推進機構は、「サイバーセキュリティ経営ガイドライン」を策定し、経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待するとしています。
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html

当協会は、システム監査の普及、及びシステム監査人の活動促進のため、システム監査を核として、「ITアセスメント」を行っていくように取り組んでいて、当ガイドラインは、システム監査人が、経営面で「ITアセスメント」を行う際に重要なガイドラインのひとつになると考えています。概要は、次の通りです。

●経営者が認識する必要のある「3原則」
① 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
② 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
③ 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

続きを読む ⇒【システム監査の活性化】

実践的なセキュリティと監査の役割

■研究会報告

第214回月例研究会:講演録
【 実践的なセキュリティと監査の役割 】

会員番号 148 木村 裕一

【講師】内閣サイバーセキュリティセンター
基本戦略グループ(分析担当) 企画官 結城 則尚 氏

【日時・場所】2016年6月21日(火)18:30~20:30

【テーマ】 実践的なセキュリティと監査の役割

【要旨】
【講師自己紹介】
現在、内閣サイバーセキュリティセンター基本戦略グループ(分析担当企画官)。
地方公務員としてスタートののち、トラブルシューティング、審査機関の認定委員、原子力関連の検査などセキュリティに関して30年の経験を重ねてきた。

最初の監査は米国で経験し3年間苦労してプロセスアプローチを身に着けた。
プロセスアプローチのほうが要素型より効率が良いと考える。
セキュリティに問題がある職場は環境も良くないが、信頼性を高めることで良くなる。
不安全な職場は何か人間環境がおかしい。健全な職場に安全が宿ると認識している。

【講演概要】
 はじめに セキュリティ対策への取り組みについて
 結城氏は、セキュリティに関する上原哲太郎氏(立命館大学教授)の次のツイッターメッセージにうなずいたことから、話を始めた。

『セキュリティって全分野ひとりで出来るスーパーマンなんていないんだからどうやったってチーム戦。
いい選手集めるのは重要だけどそれ以上にいいコーチや監督がいないと勝てない。
他部門には常に疎まれる立場なのでオーナーがその価値を認めて支えてあげないと簡単にチーム全体の士気が下がる。

 セキュリティは組織全体で取り組む組織力が必要であり、組織を指揮して管理するマネジメントシステムが重要です。
 その組織に最適化されたマネジメントシステムを構築・維持し、適切なセルフアセスメント、内部監査、マネジメントレビューを実施し、改善に結び付けるサイクルを継続的に行っていくことが求められています。

 こうしたサイクルにおいて、客観的に組織内の課題を指摘する外部監査の活用は、とりわけ重要です。
 
 一方、システム認証をとることに専念して、マネジメントシステムが形骸化している例も多く見受けられます。
 
 監査は組織のパフォーマンスを向上させる重要なものと位置づけ、現場で見られる課題と方策を説明します。

続きを読む ⇒実践的なセキュリティと監査の役割

「新個人情報保護法」がPMSに及ぼす影響 ~PMSハンドブック読者!必読!~第4回

■研究会報告

「新個人情報保護法」がPMSに及ぼす影響
~PMSハンドブック読者!必読!~第4回
会員番号 2581 斉藤茂雄(個人情報保護監査研究会)

今月号では 第四章 第27条から第34条」まで解説します。
そのうち第34条以外は、すでに2016年1月1日から施行されていますので、事業者は、PMSを再度確認する必要があります。
この連載の前回までの内容は、以下のサイトで閲覧できます。
目次 =http://1.33.170.249/saajpmsHoritsu/000PIPHoritsu.html

第四章 個人情報取扱事業者の義務等 第一節 個人情報取扱事業者の義務 (続き)

第27条(保有個人データに関する事項の公表等) (旧二十四条)
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 全ての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項の規定による求め又は次条第一項、第29条第一項若しくは第30条第一項若しくは第三項の規定による請求に応じる手続(第33条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
(以下省略)

現在公表されている法律は、旧番号のままであるため、条文中の条項番号を、新法に従い変更し、アラビア数字で記述しました。 例:第二十六条(旧法) →第29条(新法)
第一項三の改正部分は第28条以下の条項追加による参照条項番号の変更であり

続きを読む ⇒「新個人情報保護法」がPMSに及ぼす影響 ~PMSハンドブック読者!必読!~第4回

IoT時代のサイバーセキュリティ対策~サイバー攻撃から工場・プラントを守るには~

第29回CSAフォーラム開催
【IoT時代のサイバーセキュリティ対策~サイバー攻撃から工場・プラントを守るには~】
会員番号 2581 斉藤 茂雄(CSA利用推進G)

今回は、ジェイティ エンジニアリング株式会社 シニアコンサルタントの福田敏博様を講師にお迎えしました。
福田様は多くの 制御システム」 生産管理システム」の構築を手がけて来られ、昨年『工場・ララントのサイバー攻撃への対策と課題がよ~くわかる本』(秀和システム)を上梓されました。

情報セキュリティというと個人情報漏えいやオフィスやデータセンタのセキュリティ対策が思い浮かぶのですが、今やサイバー攻撃の激化などにより、工場やララントといった社会の重要インフラのセキュリティ対策が、重要な課題になっています。

今回のお話では、工場・ララントにおける情報システムの状況、セキュリティ対策の現状などの基本的な知識を得ることが出来ました。
また生産現場の情報セキュリティ意識はまだまだ低いといった生々しいお話もあり、CSAとしてさらに理解を深め、セキュリティ対策に寄与する活動が必要だと思いました。

開催の概要は以下です。終了後講師を囲んで短時間ですが懇親会を実施しました。

続きを読む ⇒【IoT時代のサイバーセキュリティ対策~サイバー攻撃から工場・プラントを守るには~】

支部報告【北信越支部2016年度 福井県例会・研究報告】

支部投稿

支部報告【北信越支部2016年度 福井県例会・研究報告】
   会員番号 1281 宮本 茂明(北信越支部)

以下のとおり2016年度 北信越支部 福井県例会を開催しました.
・日時:2016年6月11日(土) 13:00-17:00 参加者:8名
・会場:福井市総合ボランティアセンター 研修室A
・議題:
1.研究報告
システム監査におけるリスクベース監査の実践」小嶋 潔 様
2.西日本支部合同研究会 北信越支部報告検討
・北信越支部報告テーマ:システム開発/構築に関わるシステム監査

◇研究報告

「システム監査におけるリスクベース監査の実践」
~ システムリスク評価とシステム監査の対象システム選定について ~
報告者 (会員番号 1739 小嶋 潔)

1.はじめに
 私が勤務している銀行の監査部門において、昨年監査法人に依頼して内部監査の品質評価を行いました。
 その際に、システム監査の対象システムの選定方法に関して システム単位でのリスク評価が為されていない」との指摘がありました。

 システム単位でのリスクアセスメントを実施し、リスクが高いと判断した重要なシステムについては、部署別監査の一部としてではなく、当該システムを対象として別途監査を行うべきであるというものです。

 実際には、監査担当者の経験に基づきリスク評価を行い、監査対象を決定しているのですが、明文化した選定方式に関する規程や、選定結果に至った経緯を記録していなかったことについて改善すべきであるとされました。

続きを読む ⇒【北信越支部2016年度 福井県例会・研究報告】

注目情報(2016.6~2016.7)

注目情報(2016.6~2016.7)

■Microsoft 製品の脆弱性対策について(2016年7月)【IPA】
2016年7月13日(日本時間)に
Microsoft 製品に関する脆弱性の修正プログラムが 11 件公表されています。

これらの脆弱性を悪用された場合、アラリケーションラログラムが異常終了したり、
攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。
攻撃が行われた場合の影響が大きいため、できるだけ早急に修正ラログラムを適用して下さい。

<脆弱性の解消 – 修正ラログラムの適用>
Microsoft 社から提供されている修正ラログラムを適用して下さい。
Windows Update の利用方法については以下のサイトを参照してください。
Windows 10 の Windows Update については以下のサイトを参照してください。

Windows 10、Microsoft Edge、
 初めての月例セキュリティ リリース ‐ 読み解き
https://blogs.technet.microsoft.com/jpsecurity/2015/08/11/windows-10microsoft-edge-
3529/

Windows 10 以外の Windows Update の利用方法については以下のサイトを参照してください。
Windows 10 以外の Windows Update 利用の手順
https://www.microsoft.com/ja-jp/safety/pc-security/j_musteps.aspx

■攻撃の早期検知と的確な初動による深刻な被害からの回避を最終
 更新日:2016年6月23日 【注意喚起】IPA

~標的型攻撃メールに対しては リテラシの向上・適切な運用管理・
セキュアなシステムの構築 の三位一体での対策を~

対象 : 企業・組織の経営者、システム管理者、従業員(システムユーザー)

概要 : 標的型攻撃メールに起因にした個人情報流出の事案が後を絶ちません。
    最近の事案では、主に以下のような要因があると考えられます。

要因 : これらの要因は、昨年発生した大規模情報流出の事案と類似しています。
    企業・組織は以下のポイントを踏まえ、
    改めて標的型攻撃メール対策の確認・見直しを行ってください。

SAAJ主催イベント・セミナー等のご案内 (会報2016.8)

【 SAAJ主催イベント・セミナー等のご案内 】(会報2016.8)

■SAAJ月例研究会(東京)第215回
 日時:2016年 7月 26日(火曜日)18:30~20:30
 場所:機械振興会館 地下2階ホール
 テーマ:ステム監査の現状と課題、システム監査人に望むこと(仮題)
講師:日本大学 商学部教授 堀江正之 先生
講演骨子 近日公表予定

【協会主催イベント・セミナーのご案内】
■SAAJ月例研究会(東京)第216回
日時:2016年 9月7日(水曜日)18:30~20:30
場所:機械振興会館 地下2階ホール
テーマ:日本のサイバーセキュリティ最前線」(仮題)
講師:サイバーセキュリティ研究所 専務理事 名和 利男 様
日本大学 商学部教授 堀江正之 先生
講演骨子:近日公表予定

■SAAJ「関東地区会員向けSAAJ活動説明会」(仮称) NEW!
日時:2016年 10月 22日(土曜日)⒕:30から17:30(予定)
場所:NATULUCK茅場町 新館 3階大会議室
テーマ SAAJの研究会及び部会からの活動状況説明
    説明会終了後懇親会を予定(詳細は、別途公開)

(イベント・セミナー・関連情報のご案内 詳細を読む) ⇒【SAAJ主催イベント・セミナー・関連情報のご案内】2016.8

SAAJからのお知らせ (SAAJ 2016.8)

■ SAAJからのお知らせ (SAAJ 2016.8)

1. 新たに会員になられた方々へ
 新しく会員になられたみなさま、
 当協会はみなさまを熱烈歓迎しております。
 協会の活用方法や各種活動に参加される方法などの一端をご案内します。

・ホームページでは協会活動全般をご案内
http://www.saaj.or.jp/index.html

・会員規程
http://www.saaj.or.jp/gaiyo/kaiin_kitei.pdf

・会員情報の変更方法
http://www.saaj.or.jp/members/henkou.html

・セミナーやイベント等の会員割引や優遇
http://www.saaj.or.jp/nyukai/index.html
公認システム監査人制度における、会員割引制度など。

・各支部・各部会・各研究会等の活動。
http://www.saaj.or.jp/shibu/index.html
皆様の積極的なご参加をお待ちしております。
門戸は広く、見学も大歓迎です。

・皆様からのご意見などの投稿を募集。
ペンネームによる 「めだか」や
  実名投稿には多くの方から投稿いただいております。
  この会報の 会報編集部からのお知らせ」をご覧ください。

・ 情報システム監査実践マニュアル」
  6か月で構築する個人情報保護マネジメントシステム」
  などの協会出版物が会員割引価格で購入できます。
   http://www.saaj.or.jp/shuppan/index.html

・月例研究会など、セミナー等のお知らせ
 http://www.saaj.or.jp/kenkyu/index.html
 月例研究会は毎月100名以上参加の活況です。
 過去履歴もご覧になれます。

・公認システム監査人へのSTEP-UPを支援します。
 公認システム監査人」 と システム監査人補」で構成されています。
 監査実務の習得支援や継続教育メニューも豊富です。
 CSAサイトで詳細確認ができます。
  http://www.saaj.or.jp/csa/index.html

・会報のバックナンバー公開
  http://www.saaj.or.jp/members/kaihou_dl.html)
  電子版では記事への意見、感想、コメントを投稿できます。
  会報利用方法もご案内しています。
  http://www.saaj.or.jp/members/kaihouinfo.pdf

・お問い合わせページをご利用ください。
http://www.saaj.or.jp/toiawase/index.html
  各サイトに連絡先がある場合はそちらでも問い合わせができます。

2.SAAJ行事一覧
 (行事一覧、全文を読む)

 ⇒ 【SAAJからのお知らせ(2016.8)】