組織の統制とリスク管理、それに基づいたセキュリティ
ISO/FDIS ISO 9001 の主要な変更点 1. 附属書 SL の適用 2. 組織の状況の理解と QMS の適用範囲の決定 3. プロセスアプローチの適用向上それを支援する PDCA サイクルとリスクに基づく考え方 4. リーダーシップの強化 5. 組織の意図した結果 顧客満足の向上 パフォ
... • 2008年版では、変更に対して,レビュー,検証及び妥当性確認を適切に行う ことが要求されていたが、改正版では変更を「…レビューし,管理しなければ ならない。」とされ、 検証及び妥当性確認については明示的に要求されてい ない 。ただし、「管理」に含まれていると考え、必要な場合、検証及び妥当性 確認を行う必要がある。 ...
54
はじめに 本情報セキュリティ対策のしおりは これから情報セキュリティ対策を実施していこうと考えている企業 ( 組織 ) の経営者 ( 運営者 ) 管理者 従業員の方を対象と想定しています 本しおりの内容は 既に理解しているとおっしゃる方には 情報セキュリティ対策の見直し 委託先や子会社に対するセキュ
... CD や DVD に関しては、割ってしまうのが基本ですが、媒体を構成する反射層と 呼ばれる薄い層が割るときに散らばってしまうので止めたほうがいいという意見も あります。そこで、メディアシュレッダー等で細断(破砕)する方法がお勧めとなりま す。もっと手頃な方法としては、読み取りができないように媒体に傷をつける方法も ...
112
目 次 〇はじめに 利用方法 3 〇宿泊施設用チェックリスト 4 1.Wi-Fi のセキュリティ対策 4 2. ホームページのセキュリティ対策 6 3. 重要システム ( 客室管理システム 予約システム等 ) のセキュリティ対策 8 4. 組織のセキュリティ対策 9 〇用語集 11 2
... HTML に不正に混入し得る欠陥となることがある。この 欠陥を攻撃されると、cookie の値を盗まれてセッションハイジャックされるほか、画面の内 容を改ざんされるなどの被害が生じ得る。このような欠陥は一般に「クロスサイトスクリプテ ...
13
内容 企業における課題と情報リスク管理の提案統合ログ管理 RSA envision 概要 RSA envision による効果的なセキュリティ インシデント管理セキュリティ インシデントに対するRSA envision 活用例 RSA envision とRSA DLPの連携によるさらに効果的なセキ
... 退職した元管理者が同僚の IDとパスワードを使って不正アクセスを試み 個人情報を持ち出そうとした – 元従業員は、管理者権限を持つ元同僚の “bell” のIDとパスワードを知っていた – 退職後に、個人情報が保持されているメールサーバーが搭載されている ...
34
セキュリティを重視したサブドメインの運用・管理
... できる。サブドメインの管理・運用は、大学の情報セキュリティポリシーに基づき、そのドメインを 管理するグループの責任で行うことになる。従って、外部からサブドメインへの不当なアクセスや攻 ...
6
セキュリティ対応組織の教科書 第2版
... D-3. インシデント分析 受け付けたインシデント情報を、 「 A-2 トリアージ基準管理」に則り、対応可否および 優先度を判断する。判断の材料が少ない場合には、 「 B-3 トリアージ情報収集」と連携す る。トリアージ基準に該当しないような判断を行った場合には、 「 A-2 トリアージ基準管 ...
59
セキュリティ侵害のリスクの現状・動向
... 米国のCERT/CCや日本のJPCERT/CCなどが公共的なCSIRTだが、CSIRTとは企業や自治体などでのみ活動 するといった、業務範囲が限られた組織といったとらえ方が多い。 CSIRT設置に当たってはどのような問題が起きる可能性があるのかを洗い出す事前調査から、障害発生時に際し ...
22
金融コングロマリットのリスク管理と資本規制 : 銀行業と保険業の統合を中心に
... 局の検証,第三の柱は市場規律)に,リスク分断の法的メカニズム強化を目的 とする四本目の柱である法的ファイアー・ウォールを加えた「3+1」アプロー チを提唱している。しかしながら,そのような規制対応を行ったとしても,基 ...
26
agenda 最近のセキュリティリスクの傾向 標的型攻撃にみる攻撃の構造例 サプライチェーン攻撃で鉄壁の守りも突破 ビジネスメール詐欺の被害拡大 サイバーセキュリティ経営ガイドライン 攻撃の組織化とCSIRT CSIRTによるインシデント対応 1
... 窃取 6位 ウェブサービスからの個人情報の窃取 3位 5位 情報モラル不足に伴う犯罪の 低年齢化 7位 IoT 機器の脆弱性の顕在化 8位 8位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位 10位 IoT 機器の不適切管理 9位 サービス妨害攻撃によるサービスの ...
32
継続的業務改革につなげる内部統制評価組織設計
... 日本企業のグループ本社の経営企画部門 と比較した場合、GEのCASの方が、各事 業の中身に積極的に関与していると考えら れる。GEキャピタルリーシングのコント ローラーの一人である久下宗彦氏も、 ...
14
視点 2010 年 2 月号 為替オーバーレイを活用したリスク管理手法 目次 Ⅰ. はじめに Ⅱ. 為替オーバーレイとは Ⅲ. 為替オーバーレイマネージャーの類型 ( 超過収益追求型 / リスク管理型 ) Ⅳ. 為替オーバーレイを活用したリスク管理手法 Ⅴ. 日本における役割と期待 Ⅵ. おわりに
... (2)アクティブヘッジ(機動的ヘッジ) ① ダイナミックヘッジ(価格変化に基づくヘッジ操作) ヘッジ比率を為替変動に伴って機動的に変更することにより円高リスクを抑制 するヘッジ戦略。一般的には為替予約を使い、広く知られるブラックショールズ モデルに従ってオプションの複製を行う。理論上、運用開始時のヘッジ率は 50%。 ...
13
第 9 回情報セキュリティマネージャー ISACA カンファレンス in Tokyo 企業 組織を取り巻くリスクは COVID-19 を受けこの 1 年で大きく変化しました テレワークの浸透 クラウドの本格利用といった業務形態の変化だけでなく サイバー脅威状況も刻々と変わりつつあり 情報セキュリティ
... 近年、経営として取組むセキュリティの重要性が指摘されていますが、単に、経営者がISMSを理解することを 求めているに思われます。しかし、経営者の責務は経営でありセキュリティではありません。経営者がセキュリ ティを理解することを期待するよりは、CISOをはじめとするセキュリティ担当者が経営陣の一員として、セキュ ...
7
セキュリティとコンプライアンスのためのテストデータ管理
... IT 組織はデータマスキング方針の作成、維持、適用を行い、 テストや運用環境において機密データを保護し、不正な社外流出を防ぐことができます。この拡張可能な データマスキングソフトウエアは、データベース、プラットフォームを問わず、多様なデータベース、マ スキングテスト、運用環境データから作成された開発環境において、他に類を見ない企業全体にわたる拡 ...
12
組織の特徴に応じた内部統制の留意点 ― 財務報告・ディスクロージャーの観点から―
... と考えられている。そこで、行政監査においては、行政事務の経済性・効率性・ 有効性の監査に徹することになると考えられている 137 。 このほか、監査委員は、住民、議会、知事等から要求がある場合には、監査 することが求められる。具体的には、住民の直接請求に基づく監査(75 条)、住 ...
86
電子マネー・システムにおけるセキュリティ対策:リスク管理に焦点を当てて
... イ . 暗号処理用のデバイスの安全性 暗号処理用のデバイスの安全性に関する研究動向をみると、1990 年代後半、デバ イスの消費電力等を測定することによってデバイス内の暗号鍵を推定するサイドチャ ネル攻撃が提案されたほか(Kocher [1996]、 Kocher, Jaffe, and Jun ...
40
GENES 導入メリット 早期に導入導入 活用可能 データセンターで保持する多機能なアプリケーションを活用 多額な投資と時間のかかるシステム開発は不要です 万全のセキュリティとのセキュリティと運用管理 優れた耐震性を備えた建物内にデータセンターを設置 設備機器 ネットワークの万全な運用管理で 安定し
... 大事 なデータはセキュアな なデータはセキュアな なデータはセキュアな なデータはセキュアな環境 環境 環境で 環境 で で利用 で 利用 利用 利用 ビジネスmoperaアクセスプロ環境下でのデータやり取りとなる為、セキュアな 環境で情報伝達、情報共有が図れます。 ドコモ基地局 データセンター ...
12
81 内部統制とリスクマネジメント 東京海上日動リスクコンサルティング ( 株 ) 所属リスクコンサルティング室情報グループ主任研究員長嶋潔 1. はじめに 2005 年 7 月 13 日 企業会計審議会内部統制部会より 財務報告に係る内部統制の評価及び監査の基準 ( 公開草案 ) が公表された こ
... ソ といいます。)が、1992年に「内部統制-総合的フレームワーク」という報 告書を発表した。この報告書はその名の通り内部統制の総合的な枠組みを示しており、 この考え方は、その後全世界に広まった。例えば、 1998年に国際決済銀行(B ...
9
個人のセキュリティリスク認知に関する研究
... 1. はじめに 近年インターネットが身近なものとなり,企業や組織のシステムや個人が所有する情報 機器のセキュリティ対策の重要性は高まっている.なかでも、情報セキュリティ対策を推 進するうえで,経営者による情報セキュリティ対策導入や個人のセキュリティ対策実施な ...
15
セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」
... 共通的な処理で情報を発信したり、活用したりすることができないという課題がある。ま た、共有された情報の信頼度をどのように可視化するかも真剣に考えなければならない。 情報は絶えず変化するものであり、時間経過により無効化するものもある。さらに、悪意 ...
21
危機管理論 リスクとクライシスのマネジメント
... 種類に分類されますので、接種後は一旦、体の中でワクチン用 に弱められた風疹ウイルスが増えます。その時に妊娠している と胎内の赤ちゃんに感染する可能性があるから、2カ月間の避 妊をお願いしています。なお、妊娠していることに気づかずに ...
17