No title

2007年後期のCISA/CISM試験まで、あと2ヶ月余りとなりました。受験をされる皆様にとっては、これからの時間の使い方が合否を決めるといっても言い過ぎではないでしょう。

CISA/CISM試験が近づくと当Blogへのアクセスが増える傾向にあります。検索キーワードも’CISA試験‘とか’CISA 問題集’など等、その意図がはっきりと判るものです。受験予定者も皆さんが、インターネットで参考になる情報を集めているのでしょう。

ということで、今回は、受験の参考になる情報を幾つか紹介します。

9月20日に当ブログへのトラックバックがありました。’Julianus’s Blog’というCISAホルダーの方が開設されているBlogなのですが、ご自身の経験からCISA試験勉強方法を紹介されています。Blogの記事の内容、私も全面的に賛成です。参考になると思うので、是非ご参照下さい。
Julianus’s Blog
一部を引用させて頂きます。

この「最も」とか「最初」が、くせ者で、かなり悩まされます。どういう思考経路で答えを導き出したらいいのか、あるいは、どの様な立場で考えれば良いのかが、分かりにくいのです。これは、レビューマニュアルでの知識の説明よりも、サンプル問題集にある「解説」を数多く読んで理解するのがベストだと、私は考えています。答えを憶えるのではなく、考え方(のクセ)を理解する。これが、実際の試験問題を解く時の応用力につながります。

考え方のクセ、問題の傾向を掴むことは重要です。小生の全く同感、その通りです。
過去の当blogの記事も参考にしてください。
CISA/CISM受験対策
CISA/CISM試験、頑張って下さい
民間研修機関でもCISA試験講座が開催されます。
リコー・ヒューマン・クリエイツ
USエデュケーション・ネットワーク
J-SOX対応や情報セキュリティ対策の関心の高まりで、CISA受験者は年々増加しています。受験者の皆さん、残り2ヶ月、頑張って下さい。

年金横領 - 内部統制の欠如

社会保険庁や市町村職員による年金の横領が大問題になっています。国民の財産の横領ですから、問題となって当然ですし、再発防止が必要なのは言うまでもありません。
ある地方自治体では、複数の横領があったことが報道されています。再発防止が為されていなかったからなのでしょうか。これらのケース、民間企業だったらと考えてしまうのは、小生だけではないと思いますが・・・

以下は、産経新聞Webからの引用です。

社保庁職員横領１．４億円　市町村でも２億円
　公的年金の記録不備問題に絡み、昭和３６（１９６１）年度の「国民皆年金」スタート以降、平成１３（２００１）年度まで国民年金保険料の収納事務を扱っていた市区町村で、職員らによる保険料着服が２３都道府県の４４自治体で総額２億７８万円に上ることが３日、社会保険庁の調査で分かった。
　また社保庁職員による年金保険料などの着服は、昭和３７年度の同庁発足から平成１８年度までに計５０件、総額１億４１９７万円と新たに判明。いずれも総務省の年金記録問題検証委員会に同庁が資料を提出した。
　納付記録はすべて訂正済みで給付には影響がないとされるが、これまでに不正が指摘されていた社保庁だけでなく、市区町村職員の着服が多数発覚したことで、年金記録をめぐる国民の不信感はさらに高まりそうだ。
　自治体職員の着服は、古くは昭和４１年度から、収納事務を国に移管する直前の平成１３年度までに各地で発生。回数で最多の３件が起きた栃木県日光市では、昭和５９－６２年度にまたがる事例だけで５７３６万円に上った。
　一方、社保庁職員による着服は、年金保険料が２２件（約３４００万円）、給付された年金が１３件（約８０００万円）、健康保険関連の給付金などが１５件（約２８００万円）。計５０件のうち３件で被害弁済できていない。４１人を免職、３人を停職としたが、ほかは職員の退職や死亡などで処分していない。
　刑事告発したのは２７７件、うち１１件で有罪。社保庁が自発的に公表したのは２４件にとどまった、同庁は「平成１０年度以降はすべて処分、公表している」という。
　８月３１日に閣議決定された政府答弁書では、社保庁職員の着服などの不正は平成７年以降で２６件、総額約１億１３００万円とされていた。
(2007/09/03 18:39)

例えば、日光市。三件の横領があったとのことです。社会保険庁も負けず劣らず、国民の財産を平然とポケットに入れていたようです。
これが、民間企業だったら、間違いなくSOX法には対応不可の烙印押されるでしょう。財務報告にかかる内部統制が全く整備されず、もしくは機能していないと判定されることは間違いなしです。
不正を防止/発見/是正する仕組みが無かったとしか思えません。これは、やはり社会保険庁や地方自治体の組織構造や意識に問題があるのしょうね。
2年程度で移動し責任を果たす事の無いキャリアの管理職、長官や首長。チェック機能を果たさない議会。多くの認証システムでは、マネジメントの重要性を強調しますが、この年金横領の報道を見聞きす度に、然りと思います。
年金改革、社会保険庁の解体だけでなく、しっかりとした責任をもった、自覚あるマネジメントシステムの構築も必要ですね。

いやー　やってしまったようです。監査法人の職員が、監査先の資料を自宅PCにダウンロード、しかもウイニーがインストールされていた・・・　　誰もが想像する通りの結果になりますね。

以下は、読売新聞Webからの引用です。

トーマツが監査先資料を流出、自宅でウィニー使用
　監査法人トーマツは４日、監査先企業２４社の業務に関する資料と、その取引先などの個人情報約７０００件が、職員の私有パソコンを通じてインターネット上に流出していたと発表した。
　トーマツなどによると、この職員は自宅の私有パソコンに監査先企業の情報を保存していた。８月２７日、ファイル交換ソフト「ウィニー」を使用して音楽ファイルをダウンロードしようとした際に、情報が流出した。職員は公認会計士ではないという。
　トーマツは、個人所有のパソコンに業務上のデータを保存することを禁止していた。トーマツ広報室は「再発防止のため社員、職員にルールを徹底し、誓約書を提出させる」と話している。
��2007年9月4日21時54分 読売新聞）

内部統制上の問題ですね。どんなに厳密な規則/規約を設け、遵守を徹底させても、結局は個々人のモラルに依るということなのでしょうかね。
自分だけは大丈夫という意識、もしくは無関心、無警戒・・・　どんな対策が必要か、はたまた存在し得るのか。考えてみましょうか。

ネットワーク・セキュリティ・ワークショップ イン 越後湯沢

今年も「ネットワーク・セキュリティ・ワークショップ　イン　越後湯沢」の季節になりました。ISACA東京支部もこのイベントの講演をしています。とはいえ、私自身といえば、残念ながら未だ参加したことはねいのですが・・・今年も無理だな！　　多分

今年は、「新しいネットワーク技術がもたらす可能性とセキュリティの課題」をテーマに開催されます。
(セミナーについては、下記をクリックして下さい)
ネットワーク・セキュリティ・ワークショップ　イン　越後湯沢
ISACA大阪支部が主催者として関わる「サイバー犯罪に関する白浜シンポジウム」（コンピュータ犯罪関する白浜シンポジウムが本年より改称)、毎年初夏に開催されますは、この越後湯沢のシンポジウムが正に初秋。情報セキュリティの世界では、すっかり季節行事の感があります。
白浜シンポジウムも湯沢のセミナーもある共通の人物が、その創設にか関わっています。白浜シンポジウムには和歌山県警本部が主催者として名を連ねています。湯沢セミナーでは、新潟県警本部が後援団体になっています。
白浜シンポジウムにの創設には、当時の和歌山県警本部長が積極的でした。その本部長が新潟県警本部長になり、創設されたのが湯沢のセミナーです。その人物は、その後に防衛庁の移り、最近新聞紙上を賑わせていました。一時期、前防衛次官の後任にとされた前官房長Ｎ氏、その人です。報道では、情報セキュリティに精通していることが前大臣人選理由であったとのことですが、私としては大いに頷けるのでありました。機密情報の流出が相次いだ防衛庁の情報保全体制の建て直しには、正に適任だろうと思いました。その後の展開は、皆さんご存知の通りで、一同討ち死にと言ったところでしょうか。
ISACA東京支部は、越後湯沢のセミナーを後援しています。また、理事会メンバーは運営委員として参加しています。今年も国内外からスピーカーを招いています。ちょっと蛇足に流れましたが、万障お繰り合わせの上で、是非とも当セミナーにご参加下さい。