“正しいログ”と日本版SOX法の関係は?
“正しいログ”と日本版SOX法の関係は?:セキュリティツールで作る内部統制(6)(1/2 ページ) 最近いろいろなお客さまから「ログを集約したい」という要望をいただいており、話をする機会も増えています。 実際にはログを集約する前に検討しなくてはいけないことや、ログを集約した後も検討すべきことがあり、こういった事前の検討が非常に重要です。今回は監査と監視をテーマに、主にログに関して考えるべきことを解説していきます。 なぜ「ログ」を収集するのか? まず、ログを集約する前に、その対象となる「ログ」とは何なのでしょうか? そして、何のためにログを取得するのでしょうか? ログは、監査ログ(audit log)、監査証跡(audit trail)ともいわれますが、実際には「活動の記録」、つまりは「業務プロセスの実行の記録」です。このような「記録=ログ」の取得の目的は、以下のようなものになります。 目的
日本版SOX法時代のOracleセキュリティ(前編) 1/3 - @IT
2005年4月に「個人情報の保護に関する法律」(個人情報保護法)が施行されて1年あまりが経過しました。皆さんの会社でも、個人情報保護法対策室が設置され、個人情報や機密情報の取り扱いについて社員に自覚を促しルールを順守するための「雇用および企業秘密保持に関する誓約書(仮称)」や、個人情報の範囲および利用目的の確認と同意のための「個人情報の取得・利用に関する同意書(仮称)」などが整備されたのではないでしょうか。また、eラーニングを利用した個人情報保護法の社員教育が行われているところも少なくないと思います。 このような個人情報保護法に向けての社内体制、社内外のルール策定に加え、物理的・技術的対策として各種のセキュリティ対策が実装されていると思います。筆者の勤務するアシストでは2005年1月以降、セミナーにご参加いただいたお客さまを対象に、システムのセキュリティ対策についてアンケートを実施していま
【第1回】 アクセスコントロールを用いた日本版SOX法対策のポイント<br>〜日本版SOX法で企業 - ZDNet Japan
【第1回】 アクセスコントロールを用いた日本版SOX法対策のポイント 〜日本版SOX法で企業が実施すべきこととは?〜 日本版SOX法の柱となる金融商品取引法が可決し、いよいよ実施のカウントダウンが始まっている。ガイドラインとなる実施基準の公開が遅れる中、業務プロセスの文書化を始めとする期限までの対応に懸念を抱く企業も多いが、それと同様に問題となっているのがプログラムやデータへのアクセス権限が定義されていないという実態である。そこで本連載では、日本版SOX法が施行されるに当たって、企業が直面する課題と、実際に実施しなくてはならない事項について6回に渡りみていくことにする。第1回目の今回は、業務プロセスにおけるアクセス権管理の重要性をIT内部統制における問題点を照らしながら考察していきたい。 日本版SOX法の柱となる金融商品取引法が可決し、いよいよ実施のカウントダウンが始まっている。ガイドライ
(後編) PC操作の記録や運用体制の整備に注力
社員が利用するクライアントPCの操作記録に重点を置いたセンチュリー21・ジャパン、記録した情報の運用体制を整えて取り組んでいる東京工業品取引所の取り組みを紹介する。システム利用記録を保存することが、新たなリスクにつながりかねないことにも留意する必要がある。 社員が利用するクライアントPCの操作記録に重点を置いたのは、住宅販売を手掛けるセンチュリー21・ジャパンだ。昨年8月に、東京、大阪、名古屋、札幌の4拠点にある約150台のクライアントPCにケイディティエスの操作記録ツール「イリーガルビュー」を導入。操作履歴とともに5秒に1回の割合で画面のスクリーン・ショットをキャプチャしている。毎日、東京にあるサーバーに集約しており、そのデータ量は半年間で約200Mバイトになった。抜き打ちで社員の操作内容をチェックすることを公表し、抑止効果を上げている。 ぷららネットワークスは、守るべきは顧客の個人情報
内部統制.jp : ITpro
「小規模企業に遅れ目立つ」,アビームがJ-SOXの対応状況を調査 アビームコンサルティングは2008年9月2日,「内部統制の現在・過去・未来―J-SOX対応状況調査」を発表した。08年3〜5月に実施した上場企業の日本版SOX法(J-SOX)への対応状況をまとめた。調査結果についてアビームコンサルティングは「本番年度に突入しても内部統制の整備を進めている企業が多数ある。規模の小さい企業のほうが総じて対応が遅れがち」と分析している。 【After J-SOX 〜 真の「企業価値向上」を考える】 最終回 企業価値経営を目指す日本企業へのエール 「After J-SOX」をテーマに掲げた本連載もいよいよ最終回である。1980年代後半以降に改革と復活を成し遂げた,わが国の製造業の歴史を振り返りながら,日本企業が目指すべき企業価値経営の方向性について,改めて考えてみたい。 網屋がシステム監査ツール
レイヤ7に対応できなければ大きな技術革新は生まれない――米ConSentry社長
Interopに出展される最も優れた製品に与えられる「Best of Show Award」。このセキュリティソリューション部門において、2006年度のグランプリを受賞した「LAN Shield Security Platform」の開発元に話を聞いた。 「LAN Shield Security Platform」は、「Interop Tokyo 2006」において、画期的なセキュリティアプライアンスとして注目を浴びた。その中核となるLANシールドコントローラは、LAN上のあらゆるトラフィックについて、アプリケーションレベルでのインスペクションをギガビットレベルの速度で実施し、ユーザーの可視化やアプリケーションごとのアクセスコントローを行う。開発元である米ConSentry Networks社長兼CEOのトム・バーシ氏に、製品の特徴、今後の展開などについて聞いた。 ITmedia 今回、ど
検疫ソリューションのLockdown、「NACは日本でも定着する」
既存のインフラを変えずに容易に検疫ネットワークを実現するアプライアンスを開発する米Lockdown Networks。同社の副社長、ダン・クラーク氏は「コンプライアンスが重要なのではなく、それを順守させる仕組み作りが大事」という。 米Lockdown Networksの「Lockdown Enforcer」は、既存のインフラを変更せずに検疫ネットワークを実現できる統合型セキュリティアプライアンスだ。ネットワークに接続しようとする端末に対して認証を行ったうえで、その端末がセキュリティポリシーにのっとっているかを検査し、適切なネットワークへアクセスさせる「NAC(Network Access Control)」と呼ばれるソリューションを実現する。同製品は現在、京セラコミュニケーションズ(KCCS)が国内の販売代理店となっている。「Interop Tokyo 2006」で来日したLockdown
1000の質問で内部統制を診断、日立システムが提供開始へ - @IT
2006/5/17 日立システムアンドサービスはアイ・ティ・アール(ITR)と提携し、情報システム部門の内部統制対応を診断する「ITガバナンス診断サービス」を6月1日に始める。日本版SOX法ともいわれる金融商品取引法案の実施基準が未発表のため、企業は具体的な内部統制の構築作業を始めにくい状況。しかし、日立システムは「先行してITガバナンスの整備を進めないと日本版SOX法の適用が始まる2009年3月期には間に合わない」としていて、既存顧客を中心に利用を呼びかける考えだ。 診断サービスはITRが開発し、提供中。診断サービスは、日立システムが10月に提供開始予定の「ITガバナンス強化コンサルティング」の一部で、先行して提供する。診断サービスの対象はIT全般統制。「戦略マネジメント」「リスクマネジメント」などITRが定義する9項目と、内部統制にかかわる「体制」「手順化」「文書化」「監視・管理」「評
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
