2006年03月17日

第8回JNSA西日本支部主催セキュリティセミナー

3月16日(木)の第8回JNSA西日本支部主催セキュリティセミナーに行ってきた時のメモ。


JNSAの事務局から前日に参加者宛へメールが来たんだけど、参加者のメールアドレスが載った添付ファイルもついてきた。
原因は単純なミスだったらしい。事務局はお詫びで大変そうだった。

 JNSA「メールアドレス情報の流出に関するお詫び」
 http://www.jnsa.org/note_060316.html

事務局長さんの説明では
 通常のやり方
 事務局員A:メール本文をメール→事務局員B
 事務局員A:送信者一覧添付メール→事務局員B
 事務局員B:送信者一覧を?BCCに入れて、本文をメール

 今回
 事務局員A:メール本文+送信者一覧添付ファイル→事務局員B
 事務局員B:Aから送られてきたメールをそのまま利用して、メールを作成して送信


事務局長さんは事務局員Aが本文と送信者の添付ファイルを一緒に送ったことが原因といっていたけど、事務局員Bの行動だって変だと思うけど。


にしても、メールがらみのミスってよくある。
世の中のメーラーってミスしやすい設計になってるからなあ。


他所の日記で教えてもらったソフト
http://www.sourcenext.com/products/s_mail/
今回みたいに、すぐに気がついた場合は止められるかも。


肝心のセミナーの内容の方もなかなか面白かった。
以下メモ
------------------------
【講演1】「中小企業向け個人情報保護対策WG 活動報告」
中小企業向け個人情報保護対策WGメンバー 嶋倉 文裕

○WG発足のきっかけ
  個人情報保護法完全施行にたいして、中小企業はどうすべきを、純粋に検討するため

○当初考えたこと
 個人情報保護宣言の策定:PDCAのPの部分

○実際には
 2社のモニター企業にコンサルティング
 ヒアリングシートを作成、コンサルに使用。
 →思惑と異なり、PDCAの流れをできるような仕組みを作ることが目標に


○去年10月のJNSAセミナーのアンケートの分析
 サンプル数が51名
 1、個人情報保護法の影響
   →なんらかの影響があった
 2、どんな影響があったか
   →ビジネス面で大きな影響がなかった
    顧客評価が上がったところも。
 3、経営者のへ
   →サンプル数すくなく。影響はなんともいえない
 4、情報システム部門へ
   →不十分といいながら、どこまでいけばいいかわからない
   →本当は足りているかもしれない
    よくわかっていないのが本音なのか?
 5、情報システム部門以外では
   →不十分が多い
    教育をうけているところは多い。でも不十分

○中小企業の現状(アンケート、モニタ企業から)
 技術的対策
  どこまでやればよいのかわからない
 物理的対策
  事務所の制約
  サーバールームの独立もスーペースがない
 組織的対応
  担当者任せ。組織的対応ができていない
  社員と外部要員、バイトの区別がない
  委託先についての管理方法
   どこまで責任を負うのかルールがなくて、、、
  意識はあるが、文書化までは手が回らない
  実態とルールの間にギャップ
  就業規則の規定がない
  監査をしたことがない
 人的対策
  教育をしたことがない:モニタ企業
  ルールがなければ教育できない
  教育はしたが効果が不明

○中小企業の問題
 技術的対策の目標レベルを自分で決められない
  課題、問題を把握できていない。目標が決まらない
 規定がないので監査が出来ない
  監査を出来ないのでPDCAサイクルを回せない
 →マネジメントの問題!!

○WGから提示した対策案
 ヒアリングシートの書き方の工夫
 組織、人的対策へ雛形提示

------------------------
【講演2】「企業価値の向上に向けた情報セキュリティ対策
       〜目に見えない資産の重要性と内部統制〜 」
講師:東京大学大学院情報学環・学際情報学府 助教授 田中 秀幸氏

○「Why Information Security is Hard ?」(Ross Anderson)
  http://www.cl.cam.ac.uk/ftp/users/rja14/econ.pdf(※これかな?)
  技術が上がっているのに、情報セキュリティはすすんでいないじゃないかと
  経済的な動機付けが大事

○ハルバリアンの3つの見方?
 ●Total Effort
  組織構成員の全員の努力の総和できまる

 ●Weakest Link
  もっとも弱いところで決まる
  例:ダムの決壊、Winny?

 ●Best Shot
  もっとも強力なところで決まる
  例:東西冷戦下の核ミサイル

○自分が努力しないでも、他社の投資によってセキュアな環境を享受できる
  ただ乗り問題
   03年1月SQLスラマーの韓国・日本比較
    韓国ではネットワークが麻痺。対策していてもだめ
    日本ではやらなくても。。。
  自分が努力しても他社のセキュリティホールの影響をうける
   外部不経済の問題
   例:委託先からの漏えい
  外部性の存在を前提とすると
   取引先から求められていく。。。

○IT投資と「目に見えない資産」
 MITのブリニョルフソン教授
  IT投資とは、ITのハード、ソフトだけでない。目に見えない資産への投資である

○目に見えない資産とは
 仕事のすすめかた
 人と人との関係
 組織の文化
 人材
 コンピュータ、ソフトウェアは15%程度 →ここも重要

○インシデントにおける株価
 ウイルス、DoSアタックは影響なし
 秘密情報漏えい。不正アクセスの報道は影響あり

○JNSA調査
 「平成16年情報処理実態調査を用いた情報セキュリティ対策の実証分析に関する調査研究」
 経産省・情報処理実態調査
 http://www.meti.go.jp/policy/it_policy/statistics/jyojitsu.htm

4200社対象。他の調査よりも実態を反映

○小括
 IT投資は、ソフト、ハードだけでなく、目に見えない投資と補完的
 情報セキュリティは企業価値を左右
 効果的なセキュリティ対策にはFWのような単一の対策に安易に頼るのでなく、マネジメントや人材教育といった目に見えない資産への対策とあわせて行うことが重要

「内部統制と「目に見えない資産」」
○内部統制の構築は
 目に見えない資産への投資でもあるのではないか

○内部統制とIT投資・情報セキュリティ投資
 業務効率化を実現するという積極的な側面があるのではないか

○外部組織とのかかわり
 大企業は業務のモジュール化。外側に対応を求めていくかも
 →いちはやく対応したシステムを提供すれば、ビジネスチャンスかもしれません

○守りではなく、積極的なIT戦略の可能性

質問:IT投資の中でセキュリティにどれくらいかけるべきか?
田中:難しい。
   調査ではIT投資の10%なども(※上場企業の話?)。普通の企業では1%切っている
   教育のウェートが高い
   投資のタイミングが大事
    構築段階に比べて、メンテナンス段階での投資は60倍もかかることも

------------------------
【講演3】「内部統制のためのITフレームワーク」
講師:弁護士/宇都宮大学工学部講師 高橋 郁夫氏

○負の影響をどう減らすかではなく、プラスの方向から考えなければという課題

1、「正しい」日本版SOX法
○マスコミの日本版SOX法は神話でしかない
  公認会計士の内部統制についての監査などの制度が今回の導入で「初めて」導入されるのか

  米国のSOX法の他の規定やその法を動かしているその他の制度を比較しないで煽ることに、どれだけの意味があるか

○内部コントロールの構築(米国・SOX法)
 302条
  CEO、CFOが間違いないと宣誓する
  →企業全体として責任を負う
 404条
  内部統制がしっかりできてますよと報告書で
  外部監査人の監査を要求
 906条
  虚偽があった場合には個人的な責任
  罰金or5−20年の禁固刑

○日本で
 内部統制の構築義務は、善管注意義務の一つとして当然含まれる
  判決例)
  大和銀行事件
  神戸製鋼所総会屋利益供与株主代表訴訟など

 公認会計士による内部統制監査
  「監査基準」改訂

○日本語版SOX法の構造
 本家SOX法と比較して少しの意義しかない。
 フォローしていない人には、「神話」も必要

○内部統制部会長 八田進二氏のコメント
 米国SOX法の意義や意味が正しく伝わらなくなってしまうという理由から
 日本版SOX法という言い方は適切でないと考えています
http://itpro.nikkeibp.co.jp/article/COLUMN/20060228/231315/

2、正しい日本版SOX法の再構成

日本政府はSOX法の方向へすすんでいることはたしか

○改正会社法と内部統制
 348条3項4号
  取締役会としての決議事項
 改正法416条
 ----------------
 ※法務省・会社法の概要
  http://www.moj.go.jp/HOUAN/houan33.html
 ----------------
○文書化のレベルまでしなければいけないというガゼ
 →基本方針の策定だけ
  ポリシー、プロシージャのレベルまでという意味ではない
  会社では出来ている、これを機に作るのは健全だが。。
  義務付けられるわけでない

○内部統制報告書・制度
 金融庁方針:2005/05/10
 日経新聞が「日本版SOX法」と報道

○財務報告に係る内部統制の評価及び監査の基準
 ----------------
 ※このあたりのことかな
  企業会計審議会内部統制部会の報告書の取りまとめについて
  http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.html 

  あずさ監査法人・日本における内部統制制度の現状
  http://www.azsa.or.jp/b_info/letter/77/01.html
 ----------------

○金融商品取引法案の要旨
 平成18年3月10日閣議決定
 -----------------
 ※金融庁・国会提出法案(第164回国会)
  http://www.fsa.go.jp/common/diet/index.html

  ロイターの報道
  金融商品取引法案を閣議決定、証取法改正で投資家保護ルールへ一歩
  http://headlines.yahoo.co.jp/hl?a=20060310-00000951-reu-bus_all
 -----------------

○東京証券取引所の「会社情報等に対する信頼向上のための上場制度の見直しについて」
 -----------------
 ※
 http://www.tse.or.jp/guide/comment/041116js.pdf
 -----------------

○何が新しいの
 今の監査のレベルと将来と何が違っているのか
 現状でははっきりしない・・・・

○組織・刑事的な責任と説明責任
 米・SOX法は第8章、第9章が非常に比重
 改ざんする→企業による不正行為
  重い処罰が課せられる
  量刑ガイドラインが存在

○損害賠償による行動規制
 米国は経営者個人に対する損害賠償などが重要な行動規制のためのシステムになる
 自ら進んで開示しなければならない
  電子メールで特定の言葉で検索されたものはすべて提出しなければならない
 →日本では制度がない

○これらを通じて
 日本版SOX法が、どれだけ影響を与えるか微妙

 中小企業であっても、内部コントロール構築義務はある。
 大企業に対して説明責任
 証券取引所などに上場していれば、法的な規制

3、内部統制のためのチェックリスト
○まっとうなコンサルティングを受けるために
  コーポレートガバナンスと離れたITガバナンスは存在しうるのか?

4、内部統制のアーキテクチュア構築
 キーワードは「透明性」=説明責任
  証拠、監査証拠も
------------------------

高橋さんのWebサイトで資料が公開されると言う話だったけど、みつけられなかった。
デジタル・フォレンジック・コミュニティで聞いたネタの資料が一部同じだったのでリンク
 Security Wars Episode3(Revenge of the Myths)
posted by 端っこなひと at 04:19| Comment(0) | TrackBack(0) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/14945165

この記事へのトラックバック