ドクターQプレゼンツ ITサプリメント

いつもITサプリメントをご覧いただきありがとうございます。
このたびITサプリメントブログはサーバーの移転に伴い、
アドレスが変更になりました。お手数ですが、ブックマークや
RSSリーダーの登録先を下記のアドレスに変更してください。

■ドクターQプレゼンツ ITサプリメント
http://quality-blog.cocolog-nifty.com/

ITサプリメントブログは情報システム管理者のみなさんを対象にした
様々な情報を今後も定期発信していきますので、
これからもよろしくお願いします。

最近、ニュースや新聞などで連日のように「Winny（ウィニー）」による情報流出が報道されています。

機密情報漏洩対策が万全だと思われていた大企業や、本来情報流出があってはならない官公庁からの情報漏洩など、枚挙に暇がありません。報道されている事件は、ほんの氷山の一角で、中小企業や個人のような公になっていないものを含めると被害の件数は膨大だと考えられます。

こうした中、システム管理者の皆さんも、上司やトップからWinny対策を求められ、すでに何らかの対策を行なっている、反対にまだWinny対策に着手していない、有効な対策手段が分からないなどのお悩みをお持ちの方も多いことと思います。

実は、わたくしDr.Qに、Winny対策について、たくさんのお問い合わせを頂いています。

Winnyによる機密情報流出の多くは、

１：仕事を自宅に持ち帰り、Winnyのインストールされている自宅PCがAntinny(アンチニー)ウイルスに感染、機密情報ファイルが漏洩。




２：コスト等の問題から、やむなく私物PCの会社への持込が許可されている。Winnyのインストールされている私物PCがウイルスに感染、機密情報ファイルが漏洩。




というパターンです。
つまり、対策としては次の項目があげられます。

１：「ユーザPCの現状把握」が必要
２：「禁止ソフトを起動させない」体制が必要
３：「機密データを持ち出させない」体制が必要
４：「機密データを持ち出す場合は暗号化」が必要
５：「私物PC」を持ち込ませない体制が必要

次回から各項目の具体的な対策方法についてお話したいと思います。

Dr.QがITサプリメントをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第9回目。今回はシステム構築のロードマップ作成に大きく関わる適用時期に関してです。

すでにご存知の方も多いかと思いますが、先日、金融商品取引法案（通称：投資サービス法案）が閣議決定され、ついに国会へ提出されました。同法案の中に、日本版SOX法が企業の情報開示に規律を与える制度として盛り込まれました。

※金融庁のWebサイト／金融商品取引法案の内容を確認できます。
　http://www.fsa.go.jp/common/diet/index.html

さらに、システム管理者のみなさんに朗報が。当初、日本版SOX法の適用時期については2007年4月（2008年3月期）と言われてきました。しかし、実質的に1年先延ばしになるようです。適用開始期日は2008年4月(2009年3月期)の模様。1年間の猶予でトータル2年間の準備期間ができましたが、これによって「間に合わない」という企業側の逃げ道も無くなりました。

さらに今回の金融商品取引法案で、原則すべての上場企業に内部統制システムの構築を義務づける内容が明記されています。また、有価証券報告書とあわせて「内部統制報告書」の提出も義務づけられました。しかも、内部統制報告書の記載内容虚偽に対する罰則も盛り込まれました。内部統制システムを構築させ、継続的に安定運用させていくことが極めて重要になります。

「期日まで2年もある」ではなく、「期日まで2年しかない」とここで再度認識することが大切です。しっかりとしたロードマップを作成して、一日も早く内部統制システム構築に着手してください。

Dr.QがITサプリメントをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第8回目です。

ご存知の通り、各省庁でも情報漏洩対策を急務と位置づけ具体的な対策をはじめました。例えば外務省の場合、3月9日付で個人が所有する私物パソコンの庁内や在外公館での業務使用の原則禁止を決め、全職員に通知しました。また、総務省は3月３日、官房長名で「私物パソコンの業務利用の制限について」とする文書を作成。プライバシーに触れるなど「秘密文書に相当する機密性を要する情報」は、私物パソコンでの処理を禁止しました。
しかし「通達」や「厳令」だけではヒューマンエラーを完全防止することはできません。

特に、実質的に2007年4月からの運用開始が濃厚な日本版SOX法では、こうした情報漏洩対策をITによって永続的に禁止できる仕組みの導入が要求されます。

そこで、極めて重要になるのがクライアントPCの脆弱性を定期的に、かつ自動的に監査できる仕組みの導入です。
例えば、クライアントPCに、Winnyなどのファイル交換ソフトがインストールされていないか、またOSやIEなどで最新のセキュリティパッチが当てられているか、さらにはユーザーIDとパスワードで同一のものが利用されていないかなど、全てのクライアントPCに対して脆弱性を定期監査できる体制を整備することが大切です。
策定されたセキュリティポリシの徹底は、各自の良識に任せるのではなく、やはりITで。

日本版SOX法対策は、財務・会計システム強化と同等にセキュリティ強化も重要であることを忘れないでください

Dr.QがITサプリメントをお届けしました。次回もお楽しみに。

クオリティWEBサイトでは、クライアントの脆弱性を定期監査できる「QND Plus」をご紹介しています。
興味をお持ちの方は、こちらから。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第7回目です。

昨日3月7日、沓掛国家公安委員長の閣議後会見で、衝撃的な状況が公表されました。会見によると、全国の警察官や警察職員の約４割が私物PCを使用しているとのこと。沓掛委員長は「本当は全部公的なものにできればいいが、財政上の理由もあり私物のパソコンを公務に使用せざるを得ない。」ともコメントしています。今後、警察庁は職場で使うPCの管理徹底や、岡山県で捜査資料流出の原因となった「ウィニー」などのファイル交換ソフトを削除させるなどの緊急措置を取る方向です。

しかし確実に驚異になりつつある私物PCに対して、単に「通達」だけでは不十分です。特に2007年4月期からの実質的な運用開始が予想される日本版SOX法では、こうした機密情報漏洩のリスクを想定した強固なセキュリティ対策を導入しておくことが要求されます。

そこで、ウィニーなどがインストールされてしまっている私物PCへの具体的な対応策の一つとして「検疫ネットワーク」をあげることができます。検疫ネットワークによって、一定のポリシーが遵守されていないクライアントPCは、物理的に社内ネットワークに接続されても、論理的にネットワークに接続させないということが可能になります。

例えば、ウイルス対策ソフトのパターンファイルが最新版に更新されていないクライアントPCや、必要なセキュリティパッチが適用されていないクライアントPCは、社内ネットワークへのアクセスが拒否されます。つまり、ポリシーを遵守していなければセキュリティ的な問題があるクライアントPCとして社内ネットワークから排除し、ネットワーク内の他のクライアントPCを守ることができる訳です。

単一のセキュリティ対策では、日本版SOX法に対応できません。何重もの対策を講じることが必須と言えます。

Dr.QがITサプリメントをお届けしました。次回もお楽しみに。

クオリティWEBサイトでは、「検疫ネットワークソリューション Secure Controller連携キット」をご紹介しています。興味をお持ちの方はこちらから。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法 内部統制に対応した、より安全性の高いシステム構築に向けての具体的な対策、第6回目です。

商業的機密データや知的所有権の漏洩防止対策を絶対条件として要求する、日本版SOX法。持ち歩くモバイルPC自体を盗難や紛失した場合も想定して、あらかじめ明確な対応策を導入しておくことも、極めて重要なポイントになります。

対応策として推奨できるのは、やはりHDの暗号化。HD自体を暗号化しておけば、万一、盗難や紛失が発生しても第三者への情報漏洩を防止できます。ただし、運用面の配慮も重要です。ユーザーにストレスを感じさせない、スタンドアロンで活用できるクライアントプログラムを選択すべきでしょう。

ご存知の通り、ここ数年個人情報などの重要データが保存されたモバイルPCの盗難事件があとを断ちません。事実、アメリカでは回答者の約50％が2005年にモバイルPCなどの盗難を経験しているとのことです(※FBI実施調査)。日本版SOX法の制定もひかえ、企業にとって、PCの盗難や紛失は確実に一つの脅威になりつつあります。

「その場しのぎ」的対策では不十分です。長期展望にたって、いま一度セキュリティ体制を再検討してください。

クオリティWEBサイトでは、HD暗号化ツール「秘文AE IC」の円滑な導入と運用をサポートする「QND秘文連携ソリューション」をご用意しています。
興味をお持ちの方は、こちらから。

Dr.QがITサプリメントをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

さて、当ブログでは、このところ日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策を解説してきました。
でも今回は、ちょっと一休み。

今回は、クオリティの広報担当者に今年のコンセプトについて聞いてみました。
さて2006年は…。
最大のコンセプトは、ズバリ「法制度対策」です。
2005年の「個人情報保護法」や「e文書法」だけでなく、引き続き2006年も「新会社法」や「日本版SOX法」など企業の情報システムの形態に大きな影響を与える新法律や制度が制定され、次々に施行されます。合わせて今後、企業にとってコンプライアンス（法令遵守）は、企業価値の向上を目指す上で極めて重要な経営方針の一つになるでしょう。

2006年のクオリティは、情報システムをこうした新たな法制度に適合させるための多彩なツールと運用提案で、システム管理者のみなさんを強力にサポートしていきます。
もちろん、クオリティの最大の強みである「IT資産管理」についても、さまざまな運用提案やツールの提供で、より強力に情報システム管理者のみなさんの活動をサポートしてきます。

クオリティのテーマは、日本版SOX法だけではありません。クオリティのツールで、ぜひコーポレート・ガバナンスの確立と、IT資産管理の効率化を実現させてください。

Dr.QがITサプリメントをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第5回目です。

昨日13日に公表されたばかりの事件です。滋賀刑務所や福岡拘置所の受刑者らの個人情報がインターネット上に流出してしまいました。担当の刑務官が記録して自宅に持ち帰ったデータが、ウイルス感染した私物PCを通じて外部に流れたことが原因です。

さて、「機密情報漏洩対策」は日本版SOX対策の中でも非常に重要なポイント。しかし、それはネットワークに接続されるクライアントPCのセキュリティポリシのチェックだけでは不十分です。例えば、機密情報を安易に外部に持ち出しできない新たな仕組みなどを導入することも極めて重要になります。

具体的に解説すると、個人情報などの機密情報は、CD-RやUSBメモリ、さらにはMOディスクといった記憶媒体へデータコピーをさせないシステムへと移行する必要があります。
コピー方法への対応も重要です。HDから外部記憶媒体へのドラッグ&ドロップ形式コピーの禁止はもちろん、アプリケーションからの保存先が外部記憶媒体の場合もコピー禁止にしなければなりません。

今回の事件は、社会への警笛に思えてなりません。SOX法対策だけでなく、機密情報漏洩対策が待ったなしの状況に来ていることに、一人でも多くの方が気づいてくれることを願って止みません。

クオリティWEBサイトでは、外部記憶媒体利用制限ツール「eX WP」をご紹介しています。
興味をお持ちの方は、こちらから。

Dr.QがITサプリメントをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第4回目です。

さて、気がつけば2月。多くの企業で転属、転勤、あるいは出向などに関する内示が出る季節です。
また、転職希望者の中には2月～3月退社を望む方も大勢いらっしゃいますね。

でも、ちょっと待ってください。
もしかすると、いま使っているPCを、転勤先にそのまま持っていくことをフツーに許可していませんか? また、近々退職する若手社員はプライベートPCでアクセスしていませんでしたか? それらのPCに、機密情報は入っていませんか?

日本版SOX法が要求する内部統制では、こうした配信後のドキュメント管理に関する仕組みも不可欠になってきます。
つまり、一度ダウンロードされた機密情報などに関して、配信後もアクセス権の変更が可能なシステムへシフトする必要があります。
例えば退職後、プライベートPC内に消去し忘れた機密情報が存在していたとしても、それを一切閲覧できない、印刷できない、コピーできない、メール添付もできない、というふうに徹底して管理できる仕組みが重要になります。

一部の企業では、退職する社員に対して、退職後の機密保持義務継続を促す書類にサインさせることを義務づけるケースもあるようですが、それだけでは不十分です。一般的に言って、企業の機密情報は退職後の社員から漏れることが最も多いことを忘れないでください。

クオリティWEBサイトでは、配信後もアクセス権の変更が可能なファイルアクセス制御ツール「DKS Plus」をご紹介しています。
興味をお持ちの方は、こちらから。

Dr.QがITサプリメントをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第3回目です。

ちょっと今回は、最近のL事件でも着目されている、電子メールの保管に関して。

日本版SOX法対策の中では、社内データ保存は大変重要なプロセスと言えます。
実際に、米国でSOX法制定のキッカケになったエンロン事件では、大量の証拠となる電子メールや社内文章の破棄が行われ、事件の全容解明の妨げとなりました。そのため、米国では社内データの保存が義務付けられています。中でも電子メールに関しては、米国証券取引委員会によって、上場企業は電子メールを3年間保管する義務が課されています。実際に、そうした体制が取れなかった５つの企業に対して、総額825万ドル、日本円で約10億円もの多額の罰金が科された実例があります。かなりシビアです。同等の規定が日本版SOX法に含まれることも予想されます。

しかし、メール自体の保管だけではなく、電子メールログ収集と、その保管も絶対条件になります。いつメールが送られたのか、誰がメールを送ったのか、誰にメールを送ったのか、そのメールの送受信は成功したのか、メールの内容が何であったのかなどのメールログを収集する必要があります。しかし、メールログの収集は、一方でプライバー侵害の問題を引き起こす可能性も…。そのためにも、保管期間と保管内容をふくめて、まずは電子メール保管に関する包括的なポリシーを策定し、社員に示しておく必要があるでしょう。
SOX法施行に向けて、やるべきことは本当にたくさんあります。

一つ一つ、ぜひ計画的にSOX法対策を。

クオリティWEBサイトでは、メール送受信ログを含むクライアントPCの操作ログを収集する「eX CLT(Client Log Tracer)」をご紹介しています。
興味をお持ちの方は、こちらをチェックしてみてください。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。