2006年7月29日土曜日

このBlogを開設してから一年以上が経過しました。物臭な性格が災いして、更新が著しく滞ることもありますが、一日平均60件程度、多い時は100件を超すアクセスを頂き感謝しております。
その間、幾つかのお問い合わせを頂きました。私が答えるべき、また回答して差し支えないと思われるご質問にはご返信してきました。しかし、回答できない、または回答することが適切でないと思われる質問もあります。

例えば、ISACA東京支部の公式な立場においてしか回答できないような事柄や、私の担当職務以外のお問い合わせなどは回答を遠慮させて頂いております。当Blogは、あくまで管理人自身が個人的にISACA東京支部には関係なく開設したものです。’お気楽’を銘打っているのもそのためです。

管理人の個人的立場、過去の経験などで回答できるご質問には、極力回答しています。しかし、分を超えたものには回答できませんので、予めご承知おき下さい。

以上、皆様のご理解をいただけるように、お願い申し上げます。

2006年7月27日木曜日

昨晩、ISACA東京支部の7月度月例会が開催されました。日本教育会館3Fのホールに多数の方の参加を頂き盛況でした。

今回の講師は、ISACA東京支部副会長でトーマツのパートナーの丸山さんさん、テーマは「SOX法シリーズその3 CISAの時代か?財務報告に係る内部統制の評価と報告」と題してのスピーチでした。
丸山さんの知名度と時宜に適ったテーマであったので、多くの方の興味を引いたのでしょうね。
私は受付などがあり、スピーチそのものは部分的にしか聞けなかったのですが、J-SOX法施行後の対応については、未だ不明確、試行錯誤が続くのだろうなとう感想です。
IT統制はどうあるべきか、職務の分離が曖昧な日本の企業文化の中で、厳密な内部統制が可能であるのかなど。昨日の記事に取り上げた日経新聞のインサイダー取引など、内部統制の欠如、職務の分離の曖昧さの代表事例ですね。
今後も、SOX法に関する議論は、ますます盛り上がる気がします。
丸山さんBlog、リンクしてありますので、是非ご参照下さい。大変に参考になります。

2006年7月26日水曜日

日経新聞社員にインサイダー取引事件で思うこと

日本経済新聞の社員がインサイダー取引で逮捕されました。その手口は、職場のPCを通じて株式分割の情報を入手して、当該企業の株を事前に購入、株式分割後の一時的株価上昇に乗じて売り抜けていたようです。情報セキュリティ上関心を呼ぶのは、その情報が入手できた経緯です。

以下は、読売新聞Webからの引用です。

日経社員を証取法違反容疑で逮捕、社長が謝罪
社員の逮捕で謝罪する日本経済新聞社の杉田亮毅社長(左)ら(東京・千代田区の本社で) 日本経済新聞社(東京都千代田区)の社員によるインサイダー取引事件で、東京地検特捜部は25日、証券取引等監視委員会の告発を受け、同社広告局金融広告部員の笹原一真容疑者(31)を証券取引法違反の容疑で逮捕した。
 同社は同日付で笹原容疑者を懲戒解雇するとともに、杉田亮毅社長が会見し、「社員の罪は社長の不徳の致すところ」などと謝罪、再発防止策を講じることを明らかにした。
 調べによると、笹原容疑者は昨年12月13日から今年1月20日までの間、上場企業5社が広告会社を通じて日経新聞に掲載を依頼した「法定公告」の内容を、掲載前に広告局内の共用パソコンで閲覧、同月31日までに5社の株計約9万4400株を計約2億4000万円で購入した疑い。笹原容疑者は、容疑を全面的に認めているという。
 笹原容疑者が不正取引に利用した法定公告は、いずれも公表後に値上がりが予想される株式分割に関するもので、掲載後に高値で売り抜け、計約3000万円の不正な利益を得ていた。関係者によると、笹原容疑者の口座には、事件発覚直前に、計1億円以上の残高があったという。
 逮捕を受け、日経新聞社は25日午後5時30分から本社で、杉田社長と専務3人が会見。杉田社長は、深々と頭を下げて謝罪した上で、「情けないの先を通り越して断腸の思い」などと述べ、社内調査結果を明らかにした。
 調査結果によると、笹原容疑者が株取引を始めたのは04年3月。動機については、「証券業界の担当者として、顧客企業を知るため」と説明したという。15の証券会社に口座を開き、インターネットを使って、多い日には100回以上も売買するほどのめり込んでいた。
 同社広告局では、法定公告の掲載情報などが閲覧できるIDとパスワードが部署ごとに共用され、笹原容疑者も日ごろからこのパスワードを使用していたが、ほかにも、少なくとも70人が法定公告の掲載情報にアクセス可能だったという。
 同社は、情報管理体制の不備を認めた上で、IDやパスワードを定期的に変更するなどの再発防止策を講じることを明らかにした。

 ◆過去に比べ悪質、規模も大◆
 今回のインサイダー取引は、過去の例に比べ、利益額や取引規模が大きく、悪質さが際立つ。
 インサイダー取引は1990年以降、約40件が摘発されている。大半が、一つの銘柄を対象とした取引で、複数銘柄の取引は、02年に監視委から告発された元東京三菱銀行員らの事件など数少ない。笹原容疑者による5銘柄での不正取引は過去最多。同容疑者が得た利益は約3000万円で、個人としては、98年の日本エム・アイ・シー事件、99年のトーア・スチール事件に次ぎ、史上3番目という。
��2006年7月25日21時28分 読売新聞)


記事にあるように、部署ごとでIDとパスワード共有していたのこと。初めから共用IDであったのか、それとも個人のIDがいつの間にか共用されたのかはわかりません。しかし、個人で固有に管理されるべきIDが共用されたことは、ID管理の原則に反します。また、職務の分離、職務に応じたアクセス権限の付与、need-to-knowなどアクセスコントロールの基本的な決り事に尽く反しています。
また、定期的なパスワードの変更もこれから実施するとのこと。という事は今まで行われていなかった訳ですね。
犯人の動機や犯意も問題ですが、アクセスコントロールの基本が守られていれば、十分に防ぐことが可能な事件であろうかと思われます。

2006年7月24日月曜日

個人情報保護法余波

個人情報保護法の施行後、様々な影響がでていますが、一部の明らかに過剰反応と思われることもあります。学校などで、連絡もが作れないというのも、その典型かと思います。

以下は、朝日新聞Webからに引用です。

電話番号知らなくても電話連絡網 情報保護意識高まり
2006年07月24日11時35分
 NTTコミュニケーションズは、利用者がお互いの電話番号を知ることなく連絡網を作れるシステムを開発し、サービスを始めた。個人情報保護意識の高まりで、いわゆる「過剰反応」を背景に、必要とされる連絡網や名簿が作りにくくなっているなどの現象も起きているなか、学校や塾などへ売り込みたいという。
 サービスを利用するには、電話のほかインターネット接続が可能なパソコンか携帯電話が必要。学級の連絡網を作る場合なら、親が専用のウェブサイトで生徒の名前や電話番号を登録する。
 電話で連絡を取り合いたいときは、サイトの画面で、相手の名前をクリックする。仲介するシステムが両者に電話をかけて接続する。
 これまでの類似サービスでは、利用する組織のうち管理者権限のある立場の人が、組織のメンバー全員の電話番号を知ってしまうようなシステムになっていて、情報流出の恐れは消えなかった。だが今回のシステムは、連絡網に登録された人同士はお互いの電話番号を一切知ることがない。いわば「番号なし電話連絡網」だ。
 ただし、連絡網の中の誰が電話をかけて来たのかわかるように、特別な番号が電話機に表示できる工夫はされている。
 基本料金は、登録者50人までの最小のシステムで1人あたり月1050円と高いが、NTTコムの斎藤幸男・担当部長は「学校の利用では割引も検討したい」と話している。


私は、連絡網が作れないといのは、明らかに行き過ぎだと思っています。連絡網全体の公開(関係者への)をやめて、部分公開にするとか、当該者の前後のみで連絡先を公開するとか、リスクを小さくする方法はあると思っています。
上記記事のようなビジネスが発案されるということは、個人的には必ずしもハッピーな出来事ではないと思いますが・・・・
皆さんは、如何にお考えでしょうか。
個人情報保護法とその影響、総括と見直しが必要ですね。

2006年7月23日日曜日

認証(保証)機関の質

前回の書込みから2週間以上ですね。すっかり、ご無沙汰です。いくらお気楽にやっているとは雖も、ちょっと怠慢が過ぎましたね。
反省いたします。 m(__)m

久々の記事、今回は認証(保証)機関の質という話題です。

金曜日に、とある認証機関のマネージャクラスの方と話をしました。その認証機関は外資系なのですが、日本の認証機関は審査を通さんがための審査をしていないかという話になりました。
無理に不適合を捻くり出すこともいかんですが、審査を通すことが目的と化した審査も問題であろうということです。
審査をパスする、認証を得るということは、第三者がその事により、当該組織の評価をする基準となります。しかし、認証機関によって審査水準がバラバラだと、第三者としては困ったことになります。というか、認証そのものの正当性の問題でしょう。
認証機関によって得意分野というのはあっても宜しかろうと思いますが、同一の認証基準においては、その審査水準は一定のレベル以上でないと、第三者としては当該組織を審査した審査機関のレベルを’審査’する必要がでてきてしまいますね。
耐震基準偽造問題で件の建築士が、審査の甘い建築確認機関に確認申請をだしていたという供述をしています(と報道されています)。
これでは、建築確認制度そのものの信頼性を揺るがしてしまいます、というより揺らいでいます。
認証もそうですし、現在進行形の保証型情報セキュリティ監査制度の推進でも、認証する保証する機関の水準を一定以上にする、維持することが重要ですね。
お話した認証機関は、厳しい審査をする、従って審査結果には信頼性があるという評価を得たい、ブランドイメージを作り上げたいとのことでした。是非とも実現して頂きたいと思います。

2006年7月6日木曜日

情報セキュリティシンポジウム

今日は、日本セキュリティ監査協会主催の情報セキュリティシンポジウムに参加しました。午前中の基調講演を拝聴し、午後は保証型監査普及促進プロジェクトに関係するセッションを出席しました。
日頃は、ISACAの月例会を運営する立場なので、本日は久し振りに一参加者として、じっくりと講演を聴くことができました。

JASAとして、保証型監査の普及への決意表明を新たにしたという印象でした。そのプロジェクトのメンバーとして、身の引き締まる思いでありました。

しかし、ISACAとJASAの役員を兼ねていたり、双方の活動に参加される方が多く、今日もISACAメンバーを多数、会場で見かけました。このシンポジウムの開催案内をISACAメンバーに発信した成果があったように思えます。

ISACAの行事もJASAのルートで案内を行うこともあります。そのような、両団体の協力、交流を積極的に進めていく必要性を感じた日でありまた。

7月と8月のISACA東京支部月例会もJASA CAIS保持者に皆さんに通知する予定です。会員と違い有料参加にはなりますが、CAIS資格維持プログラムの対象にもなりますので、ご出席いただければとおもいます。

ISACA東京支部教育担当理事として 

2006年7月5日水曜日

コメント

今朝、某国が弾道ミサイルの発射を強行したことで、夕刊やニュースはその話題で持切りですね。我が国の安全保障上の脅威ですから、当然と言えば当然なのですが。

ところで、日本は潜在的核保有国と想定されているそうです。思わず、「えっ! なんで」と言いたくなるところです。なんで、日本がと思いますが、ここで核保有国の定義ついて、一講釈してみます。

核保有国
 アメリカ
 連合王国
 フランス
 ロシア
 中国
 インド
 パキスタン

以上は、核兵器とその運搬手段を保有していることが公知されている国です。特に米英仏露中は、核不拡散条約でも核保有が認められています。

核保有疑惑国
 イスラエル
 イラン
 北朝鮮

以上は、核兵器の保有が疑われる、もしくは持とうとしている国とされています。

では、潜在的核保有国とはなんでしょうか。以下の条件を満たす国を潜在的核保有国と定義されるようです。
(1) 核兵器の開発製造能力がある
(2) 核兵器の小型化技術がある(核弾頭を製造できる)
(3) 核兵器の材料を保有している
(4) 核兵器(核弾頭)の運搬手段がある、もしくは開発能力がる

日本は、電力の30%以上を原発に依存しています。それだけ、多くの原発が稼動しているということで、先進的な核開発技術を持っているで、(1)の条件を満たしているとされています。
(2)の小型化技術は、日本の得意芸というべきもので、この条件も満たしているとされています。
原発用の核燃料や、再処理済みのプルトニウムを多量に保有していることは、公知のことなので、(3)の条件も満たします。
(4)もH-2Aロケットや、各種観測ロケットを開発しています。ロケットもミサイルも技術的違いはありません。運搬するのが、弾頭かそうでないかの違いだけです。
日本のJAXAが数年前に、地球の周回軌道上から投下したカプセルを予定された海上に予定とおりに着水させ回収する実験に成功しました。これは、ICBMに応用可能で、欧米の軍事筋では、日本は核弾頭の運搬手段を確保したと評価されたようです。

つまり、日本は上記の4条件を満たし潜在的核保有国、その気になれば数年以内に核弾頭開発可能な国家とされているようです。しかし、核保有疑惑国とはされていません。何故なのでしょうか?
それは、国際原子力機関(IAEA)の査察を受け、核兵器保有の可能性、開発の可能性が低い(ゼロではなく)とされているからです。つまり、IAEAから核保有疑惑国でないとのお墨付き、保証を得ている訳です。

長々と書き連ねてきましたが、言いたいことは上記の下線部です。あの国は、核保有に関しては可能性は低いとの保証をIAEAから得て、国際的信用を維持しているのです。
ここに、JASAが目指す保証型監査のモデルがあるような気がします。つまり、情報セキュリティに関しては、あの企業は一定の水準に達していることの保証。
以上は、私の私見です。皆様の反論、ご意見などお寄せ頂くと有難いです。

(時事ネタを強引に情報セキュリティに持って行きました)