[注意点]ログの削除/改ざんを防ぎ,時刻や保存期間に注意する
自社のログ取得体制を構築する上では,(1)不正なアクセスから守る,(2)時刻を合わせる,(3)保存期間を決める――の3つに注意したい(図1)。 図1●ログ取得の体制を構築する上での注意点 ログを削除/改ざんされないためのセキュリティ対策が必要となるほか,ログごとの時間がずれないように各サーバーの時刻を合わせる必要がある。重要度や監視頻度に応じてログの保存期間も決めておくようにしたい (1)が重要なのは,ログが削除されたり改ざんされたりしたら意味をなさなくなってしまうからだ。特にフォレンジック製品は,ネットワーク上の通信を記録しているので,外部に記録が漏れただけでもセキュリティ上の問題になる。ずさんな管理は逆効果になるので注意したい。 (2)の時刻は,ログを取得するサーバーごとに時刻がバラバラになっていると,何か問題が起きたときにログの突き合わせが大変になる。また「時刻が正確でないと,ログの
![[注意点]ログの削除/改ざんを防ぎ,時刻や保存期間に注意する](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
IT全般統制におけるログ監査の実態 〜JSOX法初年度の対応を終えて〜 - ホワイトペーパー [証跡管理]
IT全般統制の対応において多くの企業の頭を悩ませたのが「ログ監査」だ。 ・ログは保存しておくだけではダメなのか? ・どのような観点でログを監査すればよいのか? ・そのためにはどのようなログが必要なのか? JSOX法初年度の対応を終えた企業の状況をヒアリングしてみると、ログ監査に関して多くの共通点が浮かび上がってくる。 このホワイトペーパーでは、内部統制対応で企業が一般的に行っているログ監査内容をログ管理製品「監査れポータル」での実装例とともに解説する。 また、ログ監査で最も工数のかかる作業の1つである申請内容とログとの突合せを自動化する「監査れポータル」の機能も紹介する。
![IT全般統制におけるログ監査の実態 〜JSOX法初年度の対応を終えて〜 - ホワイトペーパー [証跡管理]](https://cdn-ak-scissors.b.st-hatena.com/image/square/26824ea25c49e4d8b7d5f5a586be1e09c4d39d50/height=288;version=1;width=512/https%3A%2F%2Fwp.techtarget.itmedia.co.jp%2Fimages%2Ftt_logo.gif){kind=logo}
あずさ監査法人 | IT全社統制およびIT全般統制の文書化ポイント Page1
2007.08 ページ| 1 | 2 | 3 | 4 | IT全社統制およびIT全般統制の文書化ポイント 日本における財務報告に係る内部統制の評価及び監査への対応、とりわけIT統制に係る文書化については、何をどのように対応してよいか、また効率的に進めるにはどうしたらよいか、判断に困る管理者も多いと思われる。文書化にあたっての基本的な考え方は実施基準に記載してある通りであるが、本章ではもう少し具体的な項目を示しながら、社内のIT統制を把握、評価し、その結果を文書化する方法について述べる(IT業務処理統制(ITAC)については「IT業務処理統制の文書化ポイント」で述べるため、IT全社統制(ITCLC)およびIT全般統制(ITGC)に焦点をあてて説明する)。 IT統制の分類 IT統制を文書化、評価するにあたっては、IT統制を適切に分類し、それぞれの特性に応じて文書化、評価する
CNET Japan
「T-Mobile G1」は中身で勝負--初の「Android」携帯が持つ可能性 米国時間9月23日に発表されたGoogleの「Android」を搭載した携帯は、外観はほかの携帯電話と大差はないが、これまでの携帯電話にはないユーザーエクスペリエンスを提供するソフトウェアが搭載されている。 2008/09/26 07:00 [スペシャルレポート] セカイカメラの世界観--Air Tagging The RealWorld iPhoneアプリ「セカイカメラ」は、究極のWYSIWYGを実現する可能性を秘めている。iPhoneの画面を通じて見えるものが、そのまま自分の情報として得られるという。オープンモバイル・コネクションズ2008で、同アプリを開発する頓智・CEOの井口尊仁氏がプレゼンした。 2008/09/26 14:58 [ネット・メディア] フォトレポート:分解、アップル「iPo
経済産業省のシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)について - まるちゃんの情報セキュリティ気まぐれ日記
こんにちは、丸山満彦です。経済産業省から公表された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」について「日本版SOX法の対応のために追補版に従わなければいけないんですか?」という質問が多くありますので、いつものとおり私見ですが、ちょっと考えを・・・ 経済産業省からシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)が公表されましたが、上記のような質問を多くの方からうけています。。。 今回の追補版は、 1.多くの企業でシステム管理基準やセキュリティ管理基準が活用されていること 2.一方、金融商品取引法の施行により財務報告に係る内部統制の評価を行わなければならないが、その際にITへの対応についての内部統制を適正に整備・運用し、評価しなければならないこと 3.しかし、システム管理基準では、財務報告に係る内部統制の制度に対応するためには不必要な部分もあり、ま
IT全般統制に向け,重要性を増すモニタリング
2006年6月に成立した日本版SOX法(厳密には金融商品取引法)により,多くの企業が内部統制の強化を迫られている。その一部として,「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」で,情報セキュリティの強化を求めている。では,企業ユーザーは内部統制強化のために,どの観点でのセキュリティをどのレベルまで強化したらよいのか。一口にセキュリティと言っても,範囲は広く,導入の手間やコストを考えれば,施策を適切に取捨選択したいところだ。 セキュリティ・レベルが「一定の水準」に達しているかどうかを判断するには,例えば情報処理推進機構(IPA)が公開している「情報セキュリティ対策ベンチマーク(セルフチェック)」ツールを使う方法がある。このツールを使って, 情報セキュリティに対する組織的な取組状況(7項) 物理的(環境的)セキュリティ上の施策(5項) 通信ネットワーク及び情報システムの運
日本版SOX法「実施基準」修正版が公開、正式決定へ - @IT
2007/01/31 金融庁の企業会計審議会 内部統制部会は1月31日、日本版SOX法の実施基準を含む「財務報告に係る内部統制の評価および監査の基準並びに財務報告に係る内部統制の評価および監査に関する実施基準の設定について(意見書)」(案)を了承した。今後、企業会計審議会総会に諮り、正式決定する。 [2月1日追記:金融庁はWebサイトで意見書を公表した] 基準と実施基準で構成する意見書 意見書は、2つの文書を合わせた内容。1つは同部会が2005年12月に公表した「財務報告に係る内部統制の評価及び監査の基準のあり方について」で、「前文」と「基準案」を一部を追加・修正し、採用した。もう1つは2006年11月21日に公開した「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」(以下、実施基準)。実施基準は12月20日までパブリックコメントを受け付けていて、1月31日に修正した内容
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
