2007年9月23日日曜日

No title

2007年後期のCISA/CISM試験まで、あと2ヶ月余りとなりました。受験をされる皆様にとっては、これからの時間の使い方が合否を決めるといっても言い過ぎではないでしょう。

CISA/CISM試験が近づくと当Blogへのアクセスが増える傾向にあります。検索キーワードも’CISA試験‘とか’CISA 問題集’など等、その意図がはっきりと判るものです。受験予定者も皆さんが、インターネットで参考になる情報を集めているのでしょう。

ということで、今回は、受験の参考になる情報を幾つか紹介します。

9月20日に当ブログへのトラックバックがありました。’Julianus’s Blog’というCISAホルダーの方が開設されているBlogなのですが、ご自身の経験からCISA試験勉強方法を紹介されています。Blogの記事の内容、私も全面的に賛成です。参考になると思うので、是非ご参照下さい。
Julianus’s Blog
一部を引用させて頂きます。

この「最も」とか「最初」が、くせ者で、かなり悩まされます。どういう思考経路で答えを導き出したらいいのか、あるいは、どの様な立場で考えれば良いのかが、分かりにくいのです。これは、レビューマニュアルでの知識の説明よりも、サンプル問題集にある「解説」を数多く読んで理解するのがベストだと、私は考えています。答えを憶えるのではなく、考え方(のクセ)を理解する。これが、実際の試験問題を解く時の応用力につながります。


考え方のクセ、問題の傾向を掴むことは重要です。小生の全く同感、その通りです。
過去の当blogの記事も参考にしてください。
CISA/CISM受験対策
CISA/CISM試験、頑張って下さい
民間研修機関でもCISA試験講座が開催されます。
リコー・ヒューマン・クリエイツ
USエデュケーション・ネットワーク
J-SOX対応や情報セキュリティ対策の関心の高まりで、CISA受験者は年々増加しています。受験者の皆さん、残り2ヶ月、頑張って下さい。

2007年9月9日日曜日

年金横領 - 内部統制の欠如

社会保険庁や市町村職員による年金の横領が大問題になっています。国民の財産の横領ですから、問題となって当然ですし、再発防止が必要なのは言うまでもありません。
ある地方自治体では、複数の横領があったことが報道されています。再発防止が為されていなかったからなのでしょうか。これらのケース、民間企業だったらと考えてしまうのは、小生だけではないと思いますが・・・

以下は、産経新聞Webからの引用です。

社保庁職員横領1.4億円 市町村でも2億円
 公的年金の記録不備問題に絡み、昭和36(1961)年度の「国民皆年金」スタート以降、平成13(2001)年度まで国民年金保険料の収納事務を扱っていた市区町村で、職員らによる保険料着服が23都道府県の44自治体で総額2億78万円に上ることが3日、社会保険庁の調査で分かった。
 また社保庁職員による年金保険料などの着服は、昭和37年度の同庁発足から平成18年度までに計50件、総額1億4197万円と新たに判明。いずれも総務省の年金記録問題検証委員会に同庁が資料を提出した。
 納付記録はすべて訂正済みで給付には影響がないとされるが、これまでに不正が指摘されていた社保庁だけでなく、市区町村職員の着服が多数発覚したことで、年金記録をめぐる国民の不信感はさらに高まりそうだ。
 自治体職員の着服は、古くは昭和41年度から、収納事務を国に移管する直前の平成13年度までに各地で発生。回数で最多の3件が起きた栃木県日光市では、昭和59-62年度にまたがる事例だけで5736万円に上った。
 一方、社保庁職員による着服は、年金保険料が22件(約3400万円)、給付された年金が13件(約8000万円)、健康保険関連の給付金などが15件(約2800万円)。計50件のうち3件で被害弁済できていない。41人を免職、3人を停職としたが、ほかは職員の退職や死亡などで処分していない。
 刑事告発したのは277件、うち11件で有罪。社保庁が自発的に公表したのは24件にとどまった、同庁は「平成10年度以降はすべて処分、公表している」という。
 8月31日に閣議決定された政府答弁書では、社保庁職員の着服などの不正は平成7年以降で26件、総額約1億1300万円とされていた。
(2007/09/03 18:39)


例えば、日光市。三件の横領があったとのことです。社会保険庁も負けず劣らず、国民の財産を平然とポケットに入れていたようです。
これが、民間企業だったら、間違いなくSOX法には対応不可の烙印押されるでしょう。財務報告にかかる内部統制が全く整備されず、もしくは機能していないと判定されることは間違いなしです。
不正を防止/発見/是正する仕組みが無かったとしか思えません。これは、やはり社会保険庁や地方自治体の組織構造や意識に問題があるのしょうね。
2年程度で移動し責任を果たす事の無いキャリアの管理職、長官や首長。チェック機能を果たさない議会。多くの認証システムでは、マネジメントの重要性を強調しますが、この年金横領の報道を見聞きす度に、然りと思います。
年金改革、社会保険庁の解体だけでなく、しっかりとした責任をもった、自覚あるマネジメントシステムの構築も必要ですね。

2007年9月4日火曜日

いやー やってしまったようです。監査法人の職員が、監査先の資料を自宅PCにダウンロード、しかもウイニーがインストールされていた・・・  誰もが想像する通りの結果になりますね。

以下は、読売新聞Webからの引用です。

トーマツが監査先資料を流出、自宅でウィニー使用
 監査法人トーマツは4日、監査先企業24社の業務に関する資料と、その取引先などの個人情報約7000件が、職員の私有パソコンを通じてインターネット上に流出していたと発表した。
 トーマツなどによると、この職員は自宅の私有パソコンに監査先企業の情報を保存していた。8月27日、ファイル交換ソフト「ウィニー」を使用して音楽ファイルをダウンロードしようとした際に、情報が流出した。職員は公認会計士ではないという。
 トーマツは、個人所有のパソコンに業務上のデータを保存することを禁止していた。トーマツ広報室は「再発防止のため社員、職員にルールを徹底し、誓約書を提出させる」と話している。
��2007年9月4日21時54分 読売新聞)


内部統制上の問題ですね。どんなに厳密な規則/規約を設け、遵守を徹底させても、結局は個々人のモラルに依るということなのでしょうかね。
自分だけは大丈夫という意識、もしくは無関心、無警戒・・・ どんな対策が必要か、はたまた存在し得るのか。考えてみましょうか。

2007年9月2日日曜日

ネットワーク・セキュリティ・ワークショップ イン 越後湯沢

今年も「ネットワーク・セキュリティ・ワークショップ イン 越後湯沢」の季節になりました。ISACA東京支部もこのイベントの講演をしています。とはいえ、私自身といえば、残念ながら未だ参加したことはねいのですが・・・今年も無理だな!  多分

今年は、「新しいネットワーク技術がもたらす可能性とセキュリティの課題」をテーマに開催されます。
(セミナーについては、下記をクリックして下さい)
ネットワーク・セキュリティ・ワークショップ イン 越後湯沢
ISACA大阪支部が主催者として関わる「サイバー犯罪に関する白浜シンポジウム」(コンピュータ犯罪関する白浜シンポジウムが本年より改称)、毎年初夏に開催されますは、この越後湯沢のシンポジウムが正に初秋。情報セキュリティの世界では、すっかり季節行事の感があります。
白浜シンポジウムも湯沢のセミナーもある共通の人物が、その創設にか関わっています。白浜シンポジウムには和歌山県警本部が主催者として名を連ねています。湯沢セミナーでは、新潟県警本部が後援団体になっています。
白浜シンポジウムにの創設には、当時の和歌山県警本部長が積極的でした。その本部長が新潟県警本部長になり、創設されたのが湯沢のセミナーです。その人物は、その後に防衛庁の移り、最近新聞紙上を賑わせていました。一時期、前防衛次官の後任にとされた前官房長N氏、その人です。報道では、情報セキュリティに精通していることが前大臣人選理由であったとのことですが、私としては大いに頷けるのでありました。機密情報の流出が相次いだ防衛庁の情報保全体制の建て直しには、正に適任だろうと思いました。その後の展開は、皆さんご存知の通りで、一同討ち死にと言ったところでしょうか。
ISACA東京支部は、越後湯沢のセミナーを後援しています。また、理事会メンバーは運営委員として参加しています。今年も国内外からスピーカーを招いています。ちょっと蛇足に流れましたが、万障お繰り合わせの上で、是非とも当セミナーにご参加下さい。