2004年10月14日

経産省がシステム監査の新基準を発表、こんなシステム管理は将来許されなくなる

経済産業省は10月8日に、情報化投資が適正かどうかを判断する手がかりとなる、新「システム監査基準」と「システム管理基準」の二つの基準を発表した。従来のシステム監査基準を強化するとともに、内容に応じて二つに分けた。システム管理基準は、情報システムを持つ企業がどのように行動すべきかをまとめたもの。一方の新しいシステム監査基準の内容は、システムの監査人がどのように行動すべきか、というものだ。(記事元 IT Pro News

あまりインパクトの無い記事かもしれないが、特別興味深い点が二点あるのでピックアップした。

まず、第一に「IT投資が適切になされているどうかを管理、評価せよ」という点である。従来からITの投資は、IT部門がどうしても必要だと言えば実施せざるを得なかったり、競合他社が実施していてIT投資を行わないことは経営戦略上のリスクにもなるということで実施し、その必要性、金額の多寡、投資効果について適切に管理・評価できている企業は少なかった。
ITバブル崩壊後のここ2、3年で、使われなくなったシステム(不良IT資産等)が出現してきたこともあり、各企業ITのコスト削減と共に、IT投資の明確な管理・評価を求められてきている。経済産業省から明確に指針が出されたとことにより、これまで取組んできた先進的な企業だけでなく、多くの企業がIT投資の管理・評価の対応の実施を行わなければならなくなる。

第二に、新「システム監査基準」を策定している点である。従来は、情報セキュリティという言葉が先行しており、注目を集められていたのは「情報セキュリティ監査基準」であった。システム監査というと、情報セキュリティに関連したもので、システム監査、情報セキュリティ監査の区分がいまいち曖昧なところがあった。もちろん、今でもその曖昧さは残るが、今回、情報セキュリティ監査基準と整合性をとって新「システム監査基準」を策定し、その曖昧さをなくそうとしているのではないかと読み取れる。

2004年07月05日

NECの指紋認証技術、米司法省のテストでトップに

NECはこのほど、同社の指紋認証技術が、米国技術標準局(NIST)が米国司法省の委託を受けて実施した「指紋ベンダー技術評価プロジェクト」でトップ評価を受けたと発表した。(IT Media News)

先日のSONYのHDD搭載ウォークマンもそうであるが、日本の技術力の強さはまだまだ健在かと思わせるような日本的には、すばらしいニュースである。NECの指紋認識率は、小規模、中規模、大規模システムにおいて全部門トップという。同社は今後3年間の指紋関連製品のワールドワイドの売り上げを今後3年間で現在の倍の320億に引き上げるとしている。

バイオメトリクス認証は、現在急速に普及するブロードバンド時代において情報セキュリティの面から高い信頼性かつ利便性に優れた認証システムが必要とされている。なかでも成熟した認証技術として上記の指紋認証があり、その他に虹彩(人間の瞳孔の周りの筋肉組織の薄膜)、署名、顔、音声などがある。新たなバイオメトリクス認証で着目したいのは静脈認証であり、ようやく実用段階に達したといわれているが、非常に高い信頼性を持つという。

このニュースを見て感じたのはまさにこの点である。指紋認証は、技術的に成熟しているものの、指紋情報が採取できない人がいたり、シリコン等で偽の指紋情報を作成できるという点や指紋をとられることの抵抗感から実はあまり注目されていないのではないかと思っていたからである。むしろ、これからは静脈認証の時代だといわれ、指紋認証技術のニュース自体から遠ざかっていたので「珍しいな」と思い、かつ今更ながら米国司法省が指紋技術についての評価を実施している点である。今後何らかの形で指紋認証技術が幅広く採用されることもあるかも知れない。

2004年06月19日

KPMGなど、企業の情報漏えい事故を専門組織で支援

企業監査サービスのKPMGグループは情報漏えい事故を起こした企業を総合的に支援するサービスを始める。専門組織を設立し、漏えい事故が起きた際の対応や事故の原因究明調査を請け負う。(19日 日経新聞朝刊より)

6月15日、経済産業省は2005年4月より全面施行となる個人情報保護法に対するガイドラインを打ち出した。日経新聞の一面に掲載され、各企業の社内でもインパクトが強かったのではないかと想像される。

企業の個人情報保護法対策というと、本日のニュースのようにいわゆる『個人情報漏えい対策』というイメージが非常に強い。本来的な目的はもちろん、国民の権利保護であり、企業の自助努力を促すものであろう。
但し、この法律対策は情報漏えい対策だけでは不足している。

大企業等では個人情報の取り扱いについては、これまで情報セキュリティ対策の一環として、社内で規定し、ルールを整備してきていると思われる。
特筆すべきは、それに加えて、この法律では企業に対し、以下のことを求めている点である。

1.個人情報を取得した場合、その利用目的を本人に通知、明示すること
2.個人情報を取り扱う場合、本人の同意を得ること。
3.所有個人データに対し、本人が容易に知り得る状態にすること

これにより、個人は自分の情報を持っている相手に対し、どのような情報を持っているのかを聞くことができ、その目的が不合理なものであれば、その取り扱いを取り消すことが可能となる。また、企業は専門の窓口を設けなくてはならないため、自分に関してどのような情報を持っているのかをいつでも聞くことが可能となる。

企業はこれらの対応として、社内ルールや窓口の整備に非常に苦労するであろう。たとえば、銀行、証券、信販会社などで独自に収集しているデータ(いわゆるブラックリスト)についても、その顧客から提示を求められれば、「あなたはブラックリスト客で当社はこの情報をもとにこのような対策で営業活動を行っています。」など答えなければならないのである。
金融庁や証券業協会などの具体的な指針はこれから提示されてくるが、金融機関は特に大変であることは想像に易い。

それにしても、Yahoo!BBの660万件の情報漏えいはいただけない。今度も500円じゃ済まされないだろう。

2004年06月11日

ユーザの9割が個人情報漏洩に不安

6月10日、株式会社シマンテックが一般消費者を対象としたセキュリティ対策の実態調査について発表した。(記事元はこちら シマンテックプレスセンター

調査結果によるとユーザが最も不安を感じていることは、『情報漏洩』であり、ユーザの9割にも及ぶ。ウィルス感染よりも数値が上回っていることから、Yahoo!、ジャパネットタカタ等の昨今の情報漏洩事件に影響され、ユーザの意識の中に根付いてきたのであろう。

確かに、ウィルス感染、不正アクセス、スパムメール、スパイウェアなどはユーザの対策次第である程度、もしくは実質的な被害を受けない程度に防ぐことはそれほど難しいことではない。

但し、『情報漏洩』だけは全く別物である。なぜならばその被害を防ぐためには個人情報をどこにも出さないようにしなくてはならないからである。これはほとんど不可能に近い。もちろん来年4月には個人情報保護法が完全施行され、企業も必死で個人情報保護対策を実施しているし、今後コンサルティングファームやITベンダーも必死でソリューションを打ち出してくると思われる。

企業側は、損害賠償問題にもなるため、損害保険会社などもこの市場に参入してきそうである。(既にいくつかあるらしいが未調査。)
個人向けにも営業活動しているウィルス対策ベンダー(トレンドマイクロ、シマンテックなど)でもなかなか対応策を提供しきれない、一般ユーザの『個人情報漏洩に対する不安』を少しでも取り除くことはできないだろうか。

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。