会議名：日本システム監査人協会九州支部　第１５７回例会
日時：平成１５年８月２３日（土）　１５：００〜１７：００
場所：福岡市NPOボランティア交流センター　会議室
参加者：１４名

［発表事項］

（１）「コンピュータウィルス「ＭＳブラスター」について」（福田 啓二氏）

８月１２日に発表してから８月２２日までに、２，４００件の届け（ＩＰＡ）
Ｗｉｎｄｏｗｓ　ＲＰＣのセキュリティ脆弱性（ＭＳ０３−０２６）を攻略す
る新種のワーム。７月１７日に脆弱性を発表してから、１ヶ月以内にウィルスに　感染し、ワクチン開発が後手になっている。

• ブラスターは、DCOM（１３５番ポート）から侵入するため、ウィルス対策ソフトだけでは、侵入検知できない点が、被害を拡大させた原因。
• 一般利用者へ「ウィルスチェックの教育が必要」
• 自己責任において・・・個人まかせになっているが、一般ユーザへのセキュリティ教育、啓蒙など課題が多い。
• ブラックボックスであるWindowsからオープンソース（Linuxなど）への移行の動きが拡大しつつある。
• 一般の製造業であれば、製造物責任法の対象となってもおかしくない
• メーカ、セキュリティベンダ、インターネットサービスプロバイダ、PC販売店などで系統立った対策を行う制度の確立が必要ではないか。
• 脆弱性公表からウィルス発生まで1ヶ月程度と従来より短期間であることも今回の特徴。今後、脆弱性公表のありかたを検討する時期に来ているのではないか

（２）「住民基本台帳ネットワーク構成図」（行武　郁博氏）

配布の「住民基本台帳ネットワーク図」をもとに問題点の議論を行なった。
●新聞・雑誌等に記載された問題点

• 市町村内部ＬＡＮを経由して住基ネットワークがインターネットに接続されていること。
• 回線にＩＰ−ＶＰＮが使用されていること。
• 市町村同士がネットワークで繋がっており必ずしも国、都道府県、市町村のピラミッド型の接続ではないこと。

●議論・意見等

• 市町村同士の直接接続はないのではないか。
• 市町村の既存システムは各市町村によって使用コンピュータも異なっておりシステムも複雑多岐に亘っている。
• 既存システムがインターネットと接続している場合等、ファイアウォールの防御機能・性能が重要である。
• システム監査の実施は市町村の自由意思に任せられている。内部監査、外部監査がどの程度実施されているのか、余り期待できないのではないか。
• 外部監査については、平成１４年１１月７日に地方自治情報センターが、監査を希望する１００市町村（全市町村の３％程度に過ぎない）を対象に、監査法人の斡旋を行なうという通達をだしている程度である。
• システム監査の実施について、より強力な行政措置等が必要ではないのか。

（３）「ＮＨＫアーカイブス」（秀嶋　弘行氏）

映像情報メディア学会誌　Vol.57,NO.8より紹介
2003年２月、埼玉県川口市に世界最大の収容能力約１８０万本がオープン
アーカイブスの役割「伝える・活かす・公開する」
番組公開ライブラリー（テレビ番組約2,000本、ラジオ約200本）
全国の拠点放送局で視聴可能の予定

（４）「情報セキュリティマネジメントにおけるリスク分析（概念編）第２回目」（福田　啓二氏）

０．はじめに
１．リスクおよびリスクマネジメントの定義
　（１）リスクの定義
　（２）リスクマネジメントの定義
２．規格、標準にみるリスク分析手法
　（１）BS7799-2　2002
　（２）JIS　X5080　2002
　（３）BS7799認証に向けたガイドライン：PD3000シリーズ
　（４）ＧＭＩＴＳにみるリスク分析手法
３．リスク分析の位置付け
４．ＩＳＭＳガイドでのリスク分析、リスクアセスメント
５．資産、脅威、脆弱性の評価

付記１　ＯＥＣＤセキュリティガイドライン2002
付記２　OCTAVE（CERT/CC　・・　CMU)について
付記３　JISＱ2001「リスクマネジメントシステム構築のための指針」の概要
付記４　JRMS（Jipdec Risk　Managwment　System）の概要

以上