« 2006年4月 | トップページ | 2006年6月 »

Winnyを起点とした情報漏洩の防止策~機密データを持ち出させない~(4/6)

前回(5月17日掲載)は、システム管理者側からユーザPCの任意のソフトを起動制御する話を述べました。

今回は、機密情報漏洩防止策の3つ目として「機密データを持ち出させない」というお話をします。

前回までは、Winnyの検出と起動制御の話でしたが、職場で社内使用禁止ソフトの起動を制御しても、それだけでは対策は不十分です。社員が自宅で仕事をしようと会社の重要なデータをUSBメモリーやCD-Rなどにコピーして持ち帰り、なにもセキュリティ対策の施されていない私物PCからWinnyを媒介としてデータが流出したケースが多いのです。そこで重要なのが社内PCから「機密データを持ち出させない」ということです。

USBメモリなどの外部記憶デバイスは大容量化、低価格化しており、フロッピーなどを使っていた時代に比べて職場からのデータの持ち出しは容易になりました。この問題の解決策として、PCから外部記憶デバイスへのデータの書き込みを禁止できれば、重要データの社外流出という危険性は低減します。もちろんWinnyネットワークに機密情報が流出する可能性も低くなります。

  クオリティでは、USBメモリなど外部記憶媒体からのデータ利用は許可したまま、外部記憶媒体へのデータコピーを禁止、すぐに情報漏洩対策を実現できるeX WPをご用意しております。体験版もご用意しておりますので、ぜひ一度お試しください。
>eX WPに関する製品情報はこちら

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。
Q-NEWS de プレゼントキャンペーン

5月 31, 2006 ビジネス, 情報漏洩対策, 経済・政治・国際 | | コメント (0) | トラックバック (0)

SOX法時代のセキュリティ体制へ…内部統制チェックテスト4

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第13回目です。

さて、今回はアプリケーション・システムのメンテナンス作業の、ウィークポイントと課題が明確になる質問リストです。業務の根幹を支える、アプリケーション・システム。内部統制の観点から、そのメンテナンス業務は、実作業の手順と管理方法をあらかじめ明確に設定し、それに従って行われていくことが要求されます。メンテナンス作業の管理方法に関してチェックしてください。 実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。


Q1.ユーザ部門から発生したメンテナンス依頼に関して、情報システム部門での処理手順、承認プロセスが定められていますか?
( YES ・ NO ) 

Q2.情報システム部門でのメンテナンス依頼の処理状況が、随時記録される体制を整備していますか?
( YES ・ NO ) 

Q3.システムメンテナンス依頼の処理状況に関して、情報システム部門からユーザ部門へ定期的な通知が行われていますか?
( YES ・ NO ) 

Q4.メンテナンスが完了したプログラムは、その規模と内容に合わせて、情報システム部門とユーザ部門の双方で適正なテストが行われ、テスト結果が常時記録されていますか?
( YES ・ NO )

Q5.大規模なメンテナンスが実施される場合、事前にユーザ部門による入念な受け入れテストが必ず行われていますか?
( YES ・ NO )

Q6.メンテナンスが完了したプログラムを本番環境へ移行する際、新プログラムなどの本番環境へ導入されるケースと、同様の手続きが適用されていますか?
( YES ・ NO )

Q7.プログラムのメンテナンス内容に合わせて、開発関係文書の改訂も行われていますか?
( YES ・ NO )
 
Q8.稼働プログラムにバグが発生した場合、情報システム部門の担当者が行う緊急のプログラムメンテナンス作業を管理するための手順、確認手続などが明文化されていますか?
( YES ・ NO )

Q9.緊急でプログラムを修正する場合、事前に情報システム部門のみでなく、必ずユーザ部門の責任者の承認も得ていますか?
( YES ・ NO )

Q10.緊急でメンテナンス作業が行われた場合、その実施内容と処理結果について、記録が残されていますか?
( YES ・ NO )

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。
Q-NEWS de プレゼントキャンペーン

5月 24, 2006 法制度 | | コメント (0) | トラックバック (0)

第58回ビジネスシヨウTOKYOのクオリティブースにお越しください!

5月17日から5月19日までの3日間、東京ビックサイトにて社団法人日本経営協会および東京商工会議所主催の「第58回ビジネスシヨウTOKYO IT&C/アドバンスオフィス2006」が開催されています。
(※入場は無料ですが、5月18日の入場には招待券または事前登録を行なう必要があります。時間は午前10時~午後5時まで)

"見える! 未来戦略"というテーマの元に251の企業が出展し、幅広いジャンルのビジネス用製品やサービス等が展示・実演されています。またアメリカや韓国、ドイツ、中国等6カ国1地域の企業や団体が参加しているのも特徴で、デンマーク製電動式稼動棚システムや、韓国の30GBのHDDを内蔵したWindowsCD搭載PDAなど、世界のめずらしい製品を見ることができます。

今回のビジネスシヨウTOKYOにクオリティも出展しています。会場のIT&Cエリアにあるブースでは、内部統制・法制度対策に関する簡単なアンケートを行なっており、ご回答いただいた方にはオリジナルFMラジオをプレゼントしていますので、ご来場の際にはぜひとも当社ブースにお立ち寄りください。

なお5月19日は「会社法と日本版SOX法」をテーマにした基調講演と、「Winnyによる情報漏洩の解決策」を題材にしたセミナーを現地のセミナー会場にて開催しますので、こちらの公演にもぜひご参加ください。

■基調講演
時間:5月19日(金) 11:00~11:45(45分)
タイトル:会社法と日本版SOX法により
     情報システムはどのように対応すべきか
公演者:クオリティ株式会社取締役 飯島邦夫
要旨:日本版SOX法が求める内部統制システムには、これまでの「情報システムだけによる『部分最 適』的対応」から「全社システムによる『全体最適』対応」が必要になります。このことにより大きく変化する、情報システムの立場や役割、その中で進める情報漏洩対策についてご紹介します。

■セミナー
時間:5月19日(金) 14:45~15:15(30分)
タイトル:Winnyによる情報漏洩事件続出!効果的な解決方法とは?
公演者:クオリティ株式会社カスタマーサービスグループ営業推進部
     マネージャー 坂田光太郎
要旨:Winnyを基点とした情報漏洩事件が連日各種メディアで報道されています。今回の事件を検証し、企業リスクにつながる「P2Pファイル交換ソフト」など、情報システム管理者が認めていないアプリケーションの使用への対策をご紹介いたします。

■イベントリンク
第58回ビジネスシヨウTOKYO IT&C/アドバンスオフィス2006
東京ビックサイト:会場交通案内

5月 18, 2006 ビジネス | | コメント (0) | トラックバック (0)

Winnyを起点とした情報漏洩の防止策~禁止ソフトを起動させない~(3/6)

前回はIT資産管理ソフトを使用することで、ユーザPCの利用状況を迅速に把握できることを述べました。

今回は情報漏洩防止策の2つ目として「禁止ソフトを起動させない」点についてお話します。

WinnyやShareなどの使用禁止ソフトウェアがユーザPCにインストールされていないかどうかの確認を、システム管理者がIT資産管理ツールを使用してチェックできたら、次は、禁止ソフトウェア本体の使用を禁止、あるいは強制的にアンインストールするといった物理的な対策が必要となってきます。

IT資産管理ツールに備わっているソフトウェア起動制御機能を利用すれば、Winnyを媒介とした機密情報漏洩を防ぐことが可能です。加えて起動を禁止するだけでなく、使用禁止ソフト使用者のデスクトップ画面に「使用禁止」、「アンインストール指示」などの警告メッセージを表示できれば効果的です。
Blogkeikoku
●Winny使用PCへの警告イメージ

なおWinnyだけでなく、いわゆる「グレイネットアプリケーション」と呼ばれる、システム管理者が正式に許可していないソフト、例えば、インスタントメッセンジャーや社内使用未許可のWebブラウザ、RSSニュースリーダーやストリーミングメディアプレイヤー等も起動制御できれば、機密情報漏洩リスクを大幅に低減することができます。

このようにユーザPCにどんなソフトがインストールされているのかを把握した上で、機密情報を流出させる危険性のあるソフトの起動を禁止することで、はじめて有効な機密情報漏洩対策がとれます。

  クオリティのシステム利用制限/IT資産管理ソフト QAW では企業が正式に認めていないソフトウェアの起動制限や警告メッセージ表示に対応しています。
>>詳細はこちら

以上、Dr.QがITサプリをお届けしました。次回もお楽しみに。

5月 17, 2006 情報漏洩対策 | | コメント (0) | トラックバック (0)

SOX法時代のセキュリティ体制へ…内部統制チェックテスト3

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第12回目です。

さて、今回は情報セキュリティとコンプライアンスに関する方針と組織体制の、ウィークポイントと課題が明確になる質問リストです。日本版SOX法で規定されている内部統制では、情報セキュリティとコンプライアンスに関して、専門の組織を編成することが必須になります。経営者の承認を得た同組織が、全社的な方針を策定して、またそれを実行・管理してくことが要求されます。御社の現状をチェックしてみてください。実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。

Q1.遵守すべき対象ごとに、委員会組織などの組織体制を設けていますか?

 Q1-A.機密情報漏洩対策、ウィルス対策を含む情報セキュリティの確保
 ( YES ・ NO )

 Q1-B.個人情報保護を含む、プライバシーの保護
 ( YES ・ NO )

 Q1-C.ソフトウェアおよびコンテンツの著作権の保護
 ( YES ・ NO )

 Q1-D.業種特有の法律や業法の遵守
 ( YES ・ NO )

 Q1-E.法人税・所得税・消費税などの税法の遵守
 ( YES ・ NO )

Q2.設置した組織には、担当者・専門部署を選任していますか?

 Q2-A.全社責任者( YES ・ NO )

 Q2-B.部門責任者( YES ・ NO )

 Q2-C.事務局( YES ・ NO )

 Q2-D.部門担当者( YES ・ NO )

Q3.組織体制は、経営者の承認を得ていますか?
( YES ・ NO ) 

Q4.対象ごとの遵守方針は文書化されていますか?
( YES ・ NO )

Q5.遵守方針を具体化したガイドラインを作成していますか?
( YES ・ NO )

Q6.同ガイドラインは、役員・従業員に対して教育が行われていますか?
( YES ・ NO )

Q7.遵守状況を確認できる証拠の保存体制は整備されていますか?
( YES ・ NO )
 
Q8.遵守状況の監視方法は整備されていますか?
( YES ・ NO )

Q9.Q7とQ8の定期的な監査が行われていますか?
( YES ・ NO )

Q10.遵守方針とガイドラインを定期的に見直す担当者を選任していますか?
( YES ・ NO )

Q11.組織の活動状況と遵守状況について、取締役会や経営者への定期的な報告が行われていますか?
( YES ・ NO )

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。
Q-NEWS de プレゼントキャンペーン

5月 10, 2006 法制度 | | コメント (0) | トラックバック (0)