会議名:日本システム監査人協会九州支部 第157回例会 日時:平成15年8月23日(土) 15:00〜17:00
場所:福岡市NPOボランティア交流センター 会議室
参加者:14名
[発表事項]
- (1)「コンピュータウィルス「MSブラスター」について」(福田 啓二氏)
- 8月12日に発表してから8月22日までに、2,400件の届け(IPA)
Windows RPCのセキュリティ脆弱性(MS03−026)を攻略す
る新種のワーム。7月17日に脆弱性を発表してから、1ヶ月以内にウィルスに 感染し、ワクチン開発が後手になっている。
- ブラスターは、DCOM(135番ポート)から侵入するため、ウィルス対策ソフトだけでは、侵入検知できない点が、被害を拡大させた原因。
- 一般利用者へ「ウィルスチェックの教育が必要」
- 自己責任において・・・個人まかせになっているが、一般ユーザへのセキュリティ教育、啓蒙など課題が多い。
- ブラックボックスであるWindowsからオープンソース(Linuxなど)への移行の動きが拡大しつつある。
- 一般の製造業であれば、製造物責任法の対象となってもおかしくない
- メーカ、セキュリティベンダ、インターネットサービスプロバイダ、PC販売店などで系統立った対策を行う制度の確立が必要ではないか。
- 脆弱性公表からウィルス発生まで1ヶ月程度と従来より短期間であることも今回の特徴。今後、脆弱性公表のありかたを検討する時期に来ているのではないか
- (2)「住民基本台帳ネットワーク構成図」(行武 郁博氏)
- 配布の「住民基本台帳ネットワーク図」をもとに問題点の議論を行なった。
●新聞・雑誌等に記載された問題点
- 市町村内部LANを経由して住基ネットワークがインターネットに接続されていること。
- 回線にIP−VPNが使用されていること。
- 市町村同士がネットワークで繋がっており必ずしも国、都道府県、市町村のピラミッド型の接続ではないこと。
●議論・意見等
- 市町村同士の直接接続はないのではないか。
- 市町村の既存システムは各市町村によって使用コンピュータも異なっておりシステムも複雑多岐に亘っている。
- 既存システムがインターネットと接続している場合等、ファイアウォールの防御機能・性能が重要である。
- システム監査の実施は市町村の自由意思に任せられている。内部監査、外部監査がどの程度実施されているのか、余り期待できないのではないか。
- 外部監査については、平成14年11月7日に地方自治情報センターが、監査を希望する100市町村(全市町村の3%程度に過ぎない)を対象に、監査法人の斡旋を行なうという通達をだしている程度である。
- システム監査の実施について、より強力な行政措置等が必要ではないのか。
- (3)「NHKアーカイブス」(秀嶋 弘行氏)
- 映像情報メディア学会誌 Vol.57,NO.8より紹介
2003年2月、埼玉県川口市に世界最大の収容能力約180万本がオープン
アーカイブスの役割「伝える・活かす・公開する」
番組公開ライブラリー(テレビ番組約2,000本、ラジオ約200本)
全国の拠点放送局で視聴可能の予定
- (4)「情報セキュリティマネジメントにおけるリスク分析(概念編)第2回目」(福田 啓二氏)
- 0.はじめに
1.リスクおよびリスクマネジメントの定義
(1)リスクの定義
(2)リスクマネジメントの定義
2.規格、標準にみるリスク分析手法
(1)BS7799-2 2002
(2)JIS X5080 2002
(3)BS7799認証に向けたガイドライン:PD3000シリーズ
(4)GMITSにみるリスク分析手法
3.リスク分析の位置付け
4.ISMSガイドでのリスク分析、リスクアセスメント
5.資産、脅威、脆弱性の評価
付記1 OECDセキュリティガイドライン2002
付記2 OCTAVE(CERT/CC ・・ CMU)について
付記3 JISQ2001「リスクマネジメントシステム構築のための指針」の概要
付記4 JRMS(Jipdec Risk Managwment System)の概要
以上
|