SOX法対策のCOBITガイドラインが無償公開 - ITセキュリティー下学上達
COBITのガイドラインが無償で下記からダウンロードできる。 http://www.isaca.gr.jp/standard/COBIT3MG_JP.pdf 公開されているのは2000年7月に作られた旧版だが、COBITの考え方は十分に理解できると思う。その後、COBITは見直しが行われ第4版に至っている。 読んでみて気づいた点の一つは、COBITは最善を尽くしてITガバナンスに努めているが、IT時代のスピードには追いついていない点だ。IT環境の多様化、DoS攻撃、将来的なトラフィック予測甘さなどだ。逆に、よく言えば、今後も発展していく意味ではセキュリティを確保する上で押さえるべき情報の一つということだ。 ウェブで公開されている第3版を読むと、金融機関におけるIT成熟度について大規模な調査報告が書かれている。日本では金融庁、関連団体のFISCがCOBITを参考にして、金融機関のITガバナン
「米国ではSOX法の対象を見直す議論が起きている」---NRIの此本執行役員
「2002年にSOX法を施行した米国では,SOX法対応にコストがかかり過ぎることが問題視されており,法律の対象から中堅企業を外す議論も起きている」−−−。野村総合研究所(NRI)の此本臣吾執行役員(写真)は5月23日,「Microsoft Management Summit 2006 Japan」で「企業における内部統制基盤整備の進むべき方向」と題する講演を行い,米国における最新動向などを紹介した。 日本でも現在,内部統制に関する法律の制定や施行が進んでいる。1つは5月1日に施行された「新会社法」であり,もう1つは2008年3月の施行が予定されている「金融商品取引法」(日本版SOX法)である。此本氏は,「新会社法は,内部統制に関する方針を取締役会で決議することを求めた法律。一方の日本版SOX法は,投資家の保護を目的とした法律である。新会社法はある意味方針を決めるだけなので,やらなければなら
「財務諸表より、PCを調べた方が発見できる不正は多い」
「財務諸表をいくら調べても、それを作成する過程でどんな不正があったかかはわからない。パソコンやサーバーを調べて初めてわかることが多い」と、KPMG FASの小川真人取締役は指摘する。さらに、「不正を働いた者が、システムからその痕跡を完全に消し去ることは難しい」と続ける。 KPMG FASは、内部不正調査サービスを提供する、日本では数少ないベンダーだ。警察や検察が使っているような専用ツールを利用してハードディスクの情報を復元したり、ログを分析したりすることで、不正の証拠を探し出す。小川氏は、「パソコンに残るキャッシュからサーバーやネットワーク機器のログまでを、矛盾なく改ざん・消去するのは不可能に近い。そして、調査用ツールの精度は非常に高い」と語る。 何か問題が発生して警察などに被害届を出しても、状況によっては捜査に乗り出してもらえない。さらに捜査までいった場合には、そうした事実が企業のイメー
SOX法対応、米国企業の「教訓」
米Symantecは、SOX法をはじめとするさまざまな法的規制に対するコンプライアンス対応を支援するソリューションを発表した。 米Symantecは5月8日、SOX法やGLB(グラム・リーチ・ブライリー法)、HIPAAといったさまざまな法的規制に対するコンプライアンス対応を支援する「IT Compliance Solution」を発表した。 このソリューションは、シマンテックの統合セキュリティ対策ソフト「Symantec Client Security」や旧ベリタスのバックアップソフト「NetBackup」、アーカイブシステムの「Enterprise Vault」といった製品に加え、エンドポイントセキュリティ/ポリシー準拠を実現する「Symantec Sygate Network Access Control」、インスタントメッセージ向けのセキュリティ対策製品「IM Logic」といったさ
「個人情報保護法対応で実施した対策は,SOX法対応にも役立つ」---ネットマークス
「いわゆる日本版SOX法の施行を控え,国内では内部統制の重要性が高まっている。個人情報保護法の対応に追われた担当者の中には,『また苦労しなくてはいけないのか』と悲鳴を上げている方が少なくないようだ。だが,今までやってきたことは決して無駄にはならない」---。 ネットマークス アドバンスドソリューション事業部 コンサルティング部 部長の内田昌宏氏は4月27日,セキュリティ関連の会議/展示会「RSA Conference Japan 2006」の基調講演において,内部統制の重要性などを解説した(写真)。 内田氏によると,「個人情報保護法対応などで実施した管理策(対策)の適用範囲を広げれば,内部統制の基盤を作れる。そして基盤さえ作れば,CSR(企業の社会的責任)にもつながる。内部統制はCSRの大前提である」という。「逆に,個人情報保護対応をきちんとやっていない企業では,内部統制実現のハードルは高
CA、米CAのセキュリティー管理製品分野担当責任者によるプレス・ミーティングを開催
コンピュータ・アソシエイツ(株)は24日、都内同社オフィスにて、来日中の米コンピュータ・アソシエイツ社のセキュリティ・マネジメント担当シニア・バイス・プレジデント兼ジェネラルマネージャーのトビー・ウァイス(Toby Weiss)氏によるプレス・ミーティングを開催した。ウァイス氏はこの中で、同社が進める“エンタープライズITマネジメント(EITM)”について解説するとともに、質疑応答を通じて、セキュリティー分野における同社の戦略やソリューション展開などについて説明した。 ウァイス氏によると、現在のコンピュータ・アソシエイツのビジネスのうち、セキュリティー分野はその11%を占め、市場シェアでは、ユーザー情報およびアクセス管理分野、セキュリティーおよび脆弱性管理分野でトップの座を獲得しているという。特に、ユーザー情報およびアクセス管理分野は、企業のセキュリティー管理上非常に重要であることから、市
データベースのログをBIの手法で分析、不正アクセスの兆候を検知
データベース関連製品ベンダーのインサイトテクノロジーは日本オラクルと提携し、データベースのログを多次元分析するソフトウエア製品「PISO OLAP」を共同で開発する。その狙いについて、インサイトテクノロジーの小幡一郎代表取締役社長は、「売り上げ情報などを分析するBI(ビジネス・インテリジェンス)の手法を、データベースのログ分析に適用し、情報漏洩や不正アクセスの兆候を見つけることができるようにする」と説明する。 両社が共同で開発するPISO OLAPは、Oracle Database 10gのログをインサイトテクノロジーのログ蓄積サーバーに集め、それを日本オラクルのデータ分析ソフト「Oracle Business Intelligence 10g」(Oracle BI 10g)を使って分析するシステム。4月以降、順次3つのフェースに分けて製品の提供を開始する。 エントリーモデルである「PIS
企業の日本版SOX法への取り組みは「受け身的な対応が中心」――NRI調査
NRIが実施した日本版SOX法に関するアンケート調査によると、企業の9割近くが日本版SOX法を認識しているが、具体的な作業となるとまだこれからという。 9割近くの企業が日本版SOX法を認識しているが、具体的な作業を開始したのは4分の1以下――野村総合研究所(NRI)が行った日本版SOX法に関するアンケート調査の結果からは、こんな実体が浮かび上がった。 この調査はNRIが2005年12月に実施したもの。東証一部/二部および東証マザーズ、JASDAQに上場する主要企業を対象とし、380社から回答が得られたという。 まず日本版SOX法の検討が進められていることを知っているかどうかを尋ねたところ、回答企業の86.1%が認識していた。また、2005年7月に金融庁が公開した公開草案の内容を確認した企業も61.2%に上った。さらに、「何らかの対応を開始している」という企業も63.4%と、比較的高い数値を
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
computernews.com