セキュリティ対策は進んでいるが、J-SOXへの対策に遅れ

中堅中小企業のセキュリティ対策は進んでいるが、J-SOXへの対策に遅れ–IDC Japan

 IDC Japanは7月10日、2008年2月に実施した国内中堅中小企業ユーザー調査のうち、セキュリティ・コンプライアンス分野のユーザー動向調査の結果を発表した。

発表によると、2008年度における情報セキュリティ関連のIT投資予算について、中堅中小企業の約30%が「増加させる」という回答をした。
「横ばい」を含めると約90%となり、引き続き投資に積極的な姿勢が浮き彫りになったとのこと。投資対象としては、ウイルス対策やスパムメール対策、ファイアウォール、VPNなどの利用が比較的進んでおり、特にウイルス対策では中堅中小企業の約70%以上で導入されていることがわかった。

その一方で、投資対効果が分かりにくいIDS、IPS、アイデンティティアクセス管理の導入は進んでいない。しかし、中堅中小企業での情報漏洩の被害が多いことから、徐々にこれらのソリューションも中堅中小企業に拡大するとIDCではみている。またユーザー調査では、情報セキュリティソリューションの新規導入方法としてアウトソーシングサービスの回答率が高く、今後アウトソーシングサービスの利用が増加することが見込まれるとしている。

コンプライアンス推進活動においては、個人情報保護法対策を中心に、中堅中小企業でも組織体制整備が進んでいる。一方で、金融商品取引法(日本版SOX法)に伴う内部統制整備は遅れている。
このため、2010年以降に中堅中小企業において内部統制整備のための投資が本格化していくことが予測されるという。また、2011年6月までに会計基準を国際基準に統一する「会計コンバージェンス」の影響は、非上場の中堅中小企業の制度会計にも及ぶ可能性が高いため、その投資も見込まれるとしている。

なお、ヤフーや楽天、ディー・エヌ・エーといったインターネットモール運営事業者が、自社のモールの出店者の中堅中小企業に対してセキュリティコンプライアンスソリューションをASPなどで提供しており、有力なサービス提供者となりつつあるとのことだ。

大学教授がパソコン紛失

今度は大学教授がパソコンを紛失したというニュース。
(http://www.yomiuri.co.jp/national/news/20080708-OYT1T00319.htm)

名古屋大准教授が大学講義室にPCを持参して講義をしたが、講義後そのまま置き忘れてしまったらしい。

パソコンには名刺データ1300人分などが入っていたが、パソコンのパスワードの設定などはされていなかったとのこと。

私が学生の頃は研究室以外にはパソコンは置いておらず、講義をパソコンで行うクール(?)な教授なんていませんでした・・・。

講義といえばOHPですよ。OHP。そんなことはどうでも良いですが、こうも盗難がつづくと、やっぱり暗号化は必要なんでしょうね。(その前にログオンパスワードも設定していなかったのかもしれませんが)

ただ、暗号化してしまっていると、トラブったときに、自力でなんとかするのは困難ですね。

そういえば弊社で行っている復旧サービスでも暗号化PCとか、暗号化対応のUSBメモリの復旧依頼がふえてるようです。

もしもの場合はこちらにお電話を・・。

医師が患者の個人情報含むパソコンを盗難される

群馬大学医学部付属病院の医師が、6月に同院や以前務めた勤務先の患者情報など593人分を盗まれていたことがわかった。
(http://www.tokyo-np.co.jp/article/gunma/20080705/CK2008070502000150.html)

車上荒らしの被害に遭ったそうです。パソコンや外付けハードディスクを持ち去られたという。盗まれたパソコンは6月末に回収されたものの、外付けハードディスクは依然所在不明で犯人も捕まっておらず、病状など含む個人情報が外部へ流出するおそれがある。

同院では、暗号化対策や個人情報の持ち出しの禁止など対策を進めていたが、同医師は無許可で持ち出していたという。同院では関連する患者に対して謝罪を行っている。

これは対岸の火事ではない。すべての企業がこのリスクを持っている。

群馬大学医学部付属病院

NOVA猿橋元社長を逮捕 社員積立金3億円流用

NOVA猿橋元社長が逮捕されたという。社員の積立金3億円を流用していた。個人資産が数億円あるのに社員の積立金を流用していたというのは、まったく論外だが、この行為自体、立派な背任行為にあたるだろう。

われわれにフォレンジック調査依頼が来る中で、社員や役員の背任行為に関するフォレンジック調査というのは、もっとも多い事例のひとつである。日常業務の中で、デジタルデータのやりとりがほとんどとなった現在、現職の役員や社員の調査を行う場合、コンピュータ・フォレンジックの出番となる。取引業者とのやりとり、不正な情報漏洩などの証拠を見つけ出す必要がある。限られた時間の中で、「デジタル証拠」を見つけることを求められることが多いのもこの種の依頼に共通している。

情報漏えい時、疑わしいイベントがログに残っているケースは82%。

情報漏えいの82%のケースで、事件発生前に怪しいログが残っていると、米Verizon Communications社はレポートしています。

日常の継続的なログ調査を行うことが重要、ということですが、逆に考えるとほとんどのケースにおいて、フォレンジックにより足がついてしまうとも言えます。

同社は情報漏えいに関する500件以上の案件を4年間実施したとのことで、このほかにも

・外部からの犯行が73%、内部が18%
・情報漏えいの事実に外部からの指摘を受ける前に気づいた企業は14%

などの興味深いデータの報告、インシデント・レスポンスのプランニングが必要であることも書かれています。

より詳しい情報は以下をご参考にして下さい。
http://newscenter.verizon.com/press-releases/verizon/2008/verizon-business-releases.html
また、インシデント・レスポンス、フォレンジック調査依頼はこちらまでどうぞ。