J-SOX法の影響

金融商品取引法により義務付けられた財務報告に係る内部統制報告制度、所謂J-SOX法の適用が愈々来年に迫ってきました。対象企業は、対応に苦慮しているのが実情なのでしょう。しかし、米国の証券市場に上場している企業は、米企業改革法(米SOX法)への対応で四苦八苦しています。

以下は、産経新聞Webからの引用です。

ＳＯＸ法にらみ慎重に…電機大手、決算発表延期　相次ぐ
　企業の財務報告に関する規制強化に対応しきれずに、決算発表を延期する電機大手が相次いでいる。２００７年から、米国で上場する外国企業に対して米企業改革法（ＳＯＸ法）が適用されたが、大幅に増えたチェック作業に追いつけない日本企業も出ており、万全を期すために日本国内の決算発表日を延期するところも出始めた。
　すでに、日立製作所、ＴＤＫ、ソニーなどが従来の４月下旬から５月中旬へと、国内の決算発表日を後ろ倒しした。
　来年度には日本版ＳＯＸ法が国内上場企業に適用される。決算書の早期開示を求める東京証券取引所は「基本的には投資家保護が目的。スピード感は必要だが、中身を伴うことが肝心」と正確さを求めている。
◇
【用語解説】日本版ＳＯＸ法
　昨年６月成立した金融商品取引法に定められた内部統制報告制度の通称。米エネルギー大手エンロンの不正会計事件を契機とした米企業改革法（ＳＯＸ法）がモデル。投資家保護への公正な財務報告のため、取引や業務内容のＩＴによる保存と、その管理体制の外部監査が義務づけられている。すべての上場企業と連結売上高の上位３分の２を占める関連企業が対象。虚偽記載などには経営者に５年以下の懲役か５００万円以下の罰金も科される。
(2007/04/28 23:36)

Webではなく、実際の紙面にはもう少し詳細な記事が掲載されていますが、要するにSOX法への対応に慎重になるが故に決算発表を延期する企業が相次いでいるとの報道です。
米SOX法はダイレクトレポーティング方式ですから、監査法人による監査が例年以上に時間がかかったいるようです。そのために某大手総合電気メーカーが米証券取引委員会(SEC)への年次報告書の提出が期限に間に合わない事があったようです。しかし、別の家電大手メーカーは、数年前から準備し、なんとか乗り切ったようです。
企業の対応が明暗を分けたようですが、来年のJ-SOX法適用への影響が必至だと思われます。とうとう一年をきりましたが、関係する皆さん頑張りましょう。

海上自衛隊機密情報漏洩 その3 ---やはり！

海上自衛隊の機密情報漏洩について三度目です。私個人としては、それだけ関心が高いといういうことです。何故なら、おそらく海上自衛隊だけでなく、他の組織体、民間企業でも起こりえることだと考えているからです。

以下は読売新聞Webからの引用です。

イージス艦機密情報、歴代教官が内規違反で引き継ぎ
　海上自衛隊第１護衛隊群の２等海曹（３３）がイージス艦の機密情報を持ち出した事件で、この機密情報の入った光磁気ディスク（ＭＯ）が第１術科学校（広島県江田島市）で射撃管制を教えていた主任教官らの間で内規に違反して引き継がれていたことが２７日、わかった。
　部下の教官の１人は「上司からＭＯを借り、学生に複写させた」と供述しており、神奈川県警と海自警務隊は、機密情報が学校を舞台に拡散したとみて、教官経験者らから一斉に事情を聞いている。
　捜査当局によると、流出したイージス情報ファイルは、海自プログラム業務隊（当時）内部の解説用資料として１９９８年ごろ作成された。県警などで２等海曹の同僚だった海士長を調べたところ、パソコンから同じファイルが発見され、海士長は「術科学校で手に入れた」と供述した。
　海士長は砲術科の学生だったため、県警などは同科の教官を経験した佐官らから事情聴取。２００２年から約１年半、射撃管制班の班長だった主任教官の３等海佐（４１）は「教官就任時に引き継いだＭＯに情報が入っていた」と供述し、後任に渡したことを認めたが、別の教官や学生への提供は否定した。ＭＯを引き継いでいた主任教官は佐官クラスだった。機密情報へのアクセス権はあるが、ＭＯに情報を移して渡すなど、保管場所以外への持ち出しは内規で禁じられている。
　一方、０１年から約２年間、砲術科の教官だった１等海尉（４８）は、当時の上司だった主任教官の３佐からＭＯを借りてＣＤにコピー、自宅に持ち帰ったことを認めた。提出されたＣＤには２等海曹と同じ情報が入っていた。１等海尉は、イージス艦に興味を持った学生に「ＣＤを渡してコピーさせていた」と話している。
��2007年4月28日3時4分 読売新聞）

内規に違反した情報の取扱、複写が繰り返されていたことが推測される記事内容です。最初の段階はともかく、問題発覚の切っ掛けとなった二等海曹が入手した時点では、規範に反しているとの認識も無かったのではないでしょうか。前回の記事にも書いたように、コピーが繰り返されていくうちに規範意識が薄れ、忘れ去られていたということ。赤信号、皆で渡れば怖くない、これと同じ意識は働いたのでしょうね。
情報セキュリティ上のどんな管理策も、結局は関係者のモラル、規範意識などに左右されてしまうことの典型例だと思います。しかも、特効薬の無い、非常に頭の痛い問題です。

海上自衛隊機密情報漏洩 その2

海上自衛隊のイージス艦に機密情報漏洩した事件の続報です。当該の機密情報ファイルがコピーを繰り返されてていく内に事件がおきたようですね。

以下は、産経新聞Webよりの引用です。

イージス情報、１尉元教官から拡散
　海上自衛隊第１護衛隊群（神奈川県横須賀市）の２等海曹（３３）がイージス艦の中枢情報などを持ち出していた事件で、流出した情報は海自第１術科学校（広島・江田島）元教官の１尉（４８）が、学生ら３０人以上に内容をコピーさせたことで拡散し、最終的に２曹に渡っていたことが２４日、神奈川県警と海自警務隊の調べで分かった。流出情報には「特別防衛秘密」に該当するものが含まれ、海自の秘匿性への認識の甘さと、ずさんな情報管理が改めて浮き彫りになった。
教材…３０人以上から複製
　調べでは、流出したイージス艦中枢情報は、海自艦艇のコンピューターシステムの保守・管理を担当する「プログラム業務隊」（既に解散）に所属していた３佐（４３）が作成。幹部教育用の資料としてパソコンのファイルに保存していた。
　このファイルのコピーが繰り返され、横須賀地方隊の護衛艦「しらゆき」に勤務する３曹（３０）に渡り、２曹は３曹からファイルごとコピーしていた。２人は護衛艦「はつゆき」での勤務で接点があった。
　その後の調べで、第１術科学校の教官だった１尉がプログラム業務隊の３佐が作成したファイルと同一のファイルを所持していることが判明。１尉は捜査当局の聴取に「指導した学生に教材の一種として複製させた」と供述しており、学生ら３０人以上が同じファイルをコピーしていたことが新たに分かった。
　３曹は術科学校とは無関係で、学生らに流れたファイルを何らかの形で入手したとみられる。
　１尉はファイルの入手元について「覚えていない」としているが、術科学校の同僚教官だった別の３佐（４３）も同じファイルを所持しており、この３佐が着任するまでは１尉がファイルを入手していなかったことなどから、捜査当局はまず、作成者の３佐から術科学校の元教官の３佐へファイルがコピーされたとみて調べている。
　第１術科学校は主に艦艇に乗り組む幹部に砲術、水雷、掃海、航海、通信などの専門知識や技能を習得させる幹部養成機関。イージス艦についての教育も行われていた。
　一方、防衛省は２４日、第１回目の「情報流出対策会議」を開催、再発防止策を徹底させる「特別行動チーム」の編成などを決めた。
(2007/04/25 08:01)

プログラム業務隊の三等海佐　　幹部教育用に作成
　　　↓
第一術科学校の三等海佐　教官　教材用にコピーし保管
　　　↓
第一術科学校の一等海尉　教官　教材用にコピーし保管
　　　↓
第一術科学校の学生、教官　ファイルのコピー
　　　↓
護衛艦「はつゆき」　三等海曹　ファイル入手　経緯は不明
　　　↓
護衛艦「はつゆき」　二等海曹
(以上の経路図も産経新聞より)
問題の機密情報ファイルは、何段階もの階層で多くの関係者により複写が繰り返されたようです。電子データですから、何回コピーしても劣化することはありません。しかし、何回ものコピーで明らかに劣化するものがあります。しかも、海上自衛隊だけでなく、あらゆる組織で懸念されるのです。それは、「規範意識」です。このファイルも最初段階では、限定された幹部教育用資料であったのしょうが、コピーが繰り返されて、規範意識も薄れていくうちに問題の二等海曹の手に入ったものと推測されます。
情報セキュリティ、どんな管理策、リスクコントロールを導入しても、最終的には当該組織の規範意識に大きく依存するという実例として、今後の報道を注視していく必要がありますね。

ISACA東京支部の4月度月例会が開催されました

昨日は、ISACA東京支部の月例会が開催されました。監査法人の方を講師に招き、J-SOXに関連するテーマでのスピーチでした。

J-SOX法の施行がカウントダウン状態に入ったことで、関心は高まることがあっても、下がることはないよいうです。
ISACA東京支部4月度月例会
しかし、最近は解説的な内容ではなく、実務に即した実践的なテーマが求められているようです。昨日は、「J-SOXのITの対応に関する実務上の課題」というテーマだったので、月例会史上最多の申込みありました。その数、なんと728名。勿論、全員が当日に来場された訳ではありませんが、おそらく実参加者数でも史上最多であったとおもいます。
ISACA会員以外の有償参加者の申込みも65名あり、手元不如意の支部の財政に僅かながら貢献できたのかもしれません。
しかし、特別に企画したイベントでもないのにこの人数、現在の会場もパンクする日が近いかも。教育担当理事としては、頭の痛いところです。
来月の月例会は5月23日、詳細は近い内にISACA東京支部にHPで公開します。5月は記録更新なるか、楽しみなような困ったような、複雑な気持ちです。

情報セキュリティ監査保証型監査ガイド

日本セキュリティ監査協会(JASA)より、情報セキュリティ監査保証型監査ガイドが公開されています。従来行われたいた助言型の監査に加えて保証型監査の普及促進を目指して制定されたものです。

JASAでは、一昨年より保証型監査の普及促進を目的としたプロジェクトが発足していました。現在も活動継続中ですが、今後もその成果が発表されていくことと思います。
情報セキュリティ監査保証型監査ガイド
保証型監査へのご意見など、お寄せ下さい。

武器庫見取り図流出 - 今度は陸上自衛隊からです

海上自衛隊からイージス艦の情報が漏洩したニュースは、未だ耳に新しいところですが、今度は陸上自衛隊からです。軍事組織というのものは、機密保持に厳しく、厳しすぎて国民への情報公開の度合いが低いとの認識されていると思うのですが・・・　　我が陸海空自衛隊例外なのでしょうか。

以下は、産経新聞webからの引用です。

武器庫見取り図流出　ウィニー、陸自松戸駐屯地
　小銃、拳銃の保管場所を明記した陸上自衛隊松戸駐屯地（千葉県松戸市）の武器庫見取り図などの内部情報が、同駐屯地での勤務歴がある２等陸曹の私物パソコンからファイル交換ソフト「ウィニー」を通じて３月末にインターネット上に流出していたことが分かった。
　秘密情報は含まれていなかったが、防衛省は処分する方針。自衛隊では同ソフトによる情報流出が相次ぎ、同省は昨年２月、自衛官を含む全職員に業務用データの私物パソコンへの保存禁止と過去の保存データ削除などを指示したが、２等陸曹は従っていなかった。　２等陸曹は現在、陸自下志津駐屯地（千葉市）に所属し、防空を担う高射部隊の後方支援を担当している。
(2007/04/10 17:00)

ウイニーを通じてというのは、今更という気がします。私が気になるには、頻発した情報漏洩でとられた対策が有効でなかったことです。二等陸曹が指示に従っていれば情報の漏洩は防げていましたね。
過去の報道なども読む限り、防衛省や自衛隊が実施した情報漏洩対策は、決して的違いなものではなさそうです(と私は思います)。では、何故なのでしょうか。海上自衛隊のケースでもそうですが、組織の構成員が規則/基準/手順/手続きを遵守しなければ、どんな管理策も有効ではないんですね。少なくとも陸自では、私物パソコンへのデータ保存禁止と削除を指示していたのですから、対策が未実施だったとはいえないでしょう。問題は、自衛隊/警察のような命令に絶対服従の組織で、指示に従わなかったことです。ちょっと考えてしまいました。自衛隊/警察ですらそうなのですから、他の組織体では尚更でしょう。個々人の意識向上の問題って難しいですね、と思った一連の報道でした。

2週間のご無沙汰でした。風邪がぶり返し、暫く早めの就寝、4月1日は花見で昼間から酔っ払い・・・などなどで更新を怠っておりました。
その間に海上自衛隊から機密情報が漏洩したとの報道、何だ又かと思っていたのですが、今回はちょっと気になる点が幾つかあります。

以下は、産経新聞Webからの引用です。

漏洩の２曹、イージスシステム中枢情報も持ち出し
　海上自衛隊第１護衛隊群（神奈川県横須賀市）の男性２曹（３３）がイージス艦の情報を持ち出していた事件で、漏洩（ろうえい）したイージス艦に関する情報は約８００ページに及び、極めて秘匿度が高い「イージスシステム」の中枢情報が含まれていたことが３日、警察当局の調べで分かった。こうした情報は日米相互防衛援助協定に基づく秘密保護法に規定された「特別防衛秘密」にあたり、警察当局は秘密保護法違反（収集など）容疑での立件を視野に、海自など関係機関と協議を始めた。
　神奈川県警が、２曹の自宅から押収したハードディスクやフロッピーディスクを分析した結果、イージス艦に関する膨大な情報の中に「指定前機密」「極秘」「秘」などと記載された資料があることが判明。いずれもイージス艦の機能などを項目ごとに解説したもので、イージスシステムの情報も含まれていた。
　イージスシステムは世界最高水準の対空レーダーシステムで、高性能レーダーとミサイルをコンピューターで制御し、敵の航空機やミサイルを迎撃する。
　特に、イージス艦の最大の特徴である「ＳＰＹ－１Ｄ」と呼ばれる米海軍が開発した高性能レーダーの能力に関するデータは「ほとんどが『秘』以上にあたる」（防衛省幹部）という。
　レーダーは常に３６０度の監視が可能で、１００以上の目標を同時に探知、追尾できる迎撃システム。秘匿性が高いため、米政府は当初、日本への提供に難色を示していたとされる。日本側の情報管理の甘さが露呈すれば、米側の反発を買うのは必至だ。
　県警と警務隊は２曹が持ち出したイージスシステムの情報について、米軍側にも照会し、慎重に調べを進めている。
　２曹は県警の調べに対し、かつて同じ護衛艦で勤務した複数の同僚隊員のパソコンからデータをコピーし入手したなどと供述。県警と警務隊は名指しされた隊員に事情を聴くなど調べを進めているが、いずれも秘密情報に接触できる役職・階級になく、情報の流出源と断定できないため、別の隊員がかかわった疑いが強いとみて調べている。
　秘密保護法では、米国から供与された武器などの構造や性能などの特別防衛機密を、不当な方法で探知、収集したり、業務で扱うものが漏洩した場合、１０年以下の懲役としている。
■イージス艦情報持ちだし事件　神奈川県警が今年１月、２曹の中国籍の妻を入管難民法違反容疑（不法残留）で逮捕したことで発覚した。県警は２曹の自宅を家宅捜索し、護衛艦のレーダーのデータや通信関係の周波数などを記録したフロッピーディスクなどを押収した。２曹は平成７年から１１年にイージス艦「きりしま」に乗っていた。
(2007/04/04 07:01)
��佐、きょうにも聴取　流出イージス艦資料作成
　海上自衛隊第１護衛隊群の男性２曹（３３）がイージス艦の中枢情報などを持ち出していた事件で、神奈川県警など警察当局は、流出した極秘資料を作成したとみられる海自３佐から、６日にも任意聴取する方針を固めた。警察当局は、資料は２曹ら複数の隊員が私的なファイルをコピーする過程で誤って流出したとの見方を強めているが、イージスシステムが「特別防衛秘密」に該当し、過失による流出でも処罰の対象となるため、作成から流出までの経緯について詳しく事情を聴く必要があると判断した。
　聴取を受けるのは、イージスシステムの管理や保守を担当していた４０代の３佐。調べによると、秘密情報が納められたファイルには、作成者として３佐の名前が記載されていた。県警などが海自に３佐の所属などを照会した結果、東京都内の自衛隊施設に勤務する現役幹部であることが確認された。
　流出した情報は、自衛隊に関する秘密事項の取り扱いなどを定めた日米相互防衛援助協定等に伴う秘密保護法の定める「特別防衛秘密」に該当。同法は不当な方法で探知・収集したり、業務で取り扱う者が漏洩（ろうえい）した場合、１０年以下の懲役－などと定めている。
　県警などの調べでは、３佐は平成９年９月から１２年３月まで、イージス艦の中枢システムの保守や管理を担当する「プログラム業務隊」に所属。１０年３月、新システムへの移行に伴い、開発・製造元の米海軍に派遣され、システム運用に必要な知識を習得していた。
　海自などによると、３佐は帰国後、海自内の保守担当者向けに新システムに関する説明を行う業務を担当。流出した約８００ページの資料はその際、説明資料として作成されたものと警察当局はみている。
　県警などの調べでは、３佐は当時、市販の発表資料作成ソフトで資料を作成。今回流出した資料と書式や字体などが酷似しているため、資料は３佐が作成し、その後何らかの理由で２曹に流出した可能性が高い。３佐本人からの事情聴取を通じ、警察当局は流出経緯の全容解明を目指す方針だ。

資料を記憶メディアにコピーして自宅に持ち帰った二等海曹は、当該資料にアクセスする資格/権限がなかったようです。ということは、無資格の二曹が不正に当該資料にアクセスしたか、有資格者から不正に入手したかになります(報道によると後者のようですね)。
前者だとアクセスコントロールが適切に行われていないということですし、後者だと有資格者による逸脱という、技術的に制御し得ない人間系の課題ということになります。また、両者共通に問題として可搬記憶媒体の持ち込み(Note PCやモバイル機器を含む)が適切にコントロールされていたのかと言う点も大いに気になります。
防衛省(庁)/自衛隊は、度重なる情報漏洩対策として、省(庁)内/体内の情報セキュリティ対策の強化、使用PCを排除するための大量のPCの購入などに人と金を投入した筈です。その成果は芳しくなかったようですね。
今後の続報を注視していきましょう。