情報漏洩対策関連用語
情報漏洩対策関連用語
デジタル・フォレンジック「デジタルフォレンジック」とは、情報漏洩事件が起こった場合にサーバやパソコン内に記録された電子データを法廷に提出する証拠として有効なものとする手段、という意味である。法廷での証拠とは例えば、事業体の会計データに改ざんが加えられていないこと、事業体の内部情報が不正に外部に持ち出されていないことが明らかであることなどを証明する為に使われる。「コンピュータ・フォレンジック」「ネットワーク・フォレンジック」また、ただ単に「フォレンジック」ということもある。
2008年3月期よりいわゆる日本版SOX(Sarbanes‐Oxley Act)法が施行される見通しとなっている。米国のSOX法ではCEO(Chief Executive Officer)とCFO(Chief Financial Officer)に米国証券取引委員へ提出する書類に
"虚偽や記載漏れがないこと"
"内部統制の有効性の評価を開示すること"
などを保証する証明書と署名を添付することを求めている。日本版SOX法においても同様に"虚偽や記載漏れがないこと"を保障する必要がある。
日本版SOX法を遵守する為に、ネットワーク回線上の記録を保存しておき、不正侵入や不正な持ち出し、データの改ざんが行われていないことを証明する必要がある。
[関連リンク]
IT用語辞典e-Words デジタルフォレンジック
内部統制 (Internal Control)
事業体などの内部において、法に遵守し不注意による誤りなどが無く、事業体組織が健全に有効かつ効率的に運営されるよう、各業務における手続きを定め、それに基づいた管理がなされていることを保証すること。また、その保証の信頼性の為に監視活動を行うことを指す。
1994年に米国のトレッドウェイ委員会組織委員会(COSO: Committee of Sponsoring Organization of the Treadway Commission)が『Internal Control - Integrated Framework』という報告書を公表した。この報告書による内部統制の枠組みは「COSOの内部統制フレームワーク」と呼ばれ、内部統制の事実上の世界標準とされている。
従来の内部統制は、ある担当者の作業を別の担当者が確認するといったものであった。今日のIT技術によるERP(Enterprise Resource Planning)、BPM(Business Process Management)やワークフローなどのビジネスプロセス系のソフトウエアを利用すれば、それらのソフトウエアへの入力が業務に必要であることから、業務の記録を残すことも可能となっている。
また、"記録が変更された"という情報そのものも含めた、すべての記録が保管されていることが明確であると証明できなければ有効な内部統制とはなり得ない。この対策として不正アクセスや情報漏えいなどを防止するセキュリティ製品やアクセス制御システム、内部統制の診断や管理を行う専用ソフトウェアがある。
COSO キューブ
トレッドウェイ委員会組織委員会(COSO:Committee of Sponsoring Organization of the Treadway Commission)による内部統制は
| 1. | 業務の有効性と効率性 |
| 2. | 財務報告の信頼性 |
| 3. | 関連法規の遵守 |
の3つの範疇に分けられる目的を達成するために、合理的な保証を提供することを意図した事業体の取締役会、経営者及びそのほかの構成員によって遂行されるプロセスである、と定義されている。これは3つの目的カテゴリーと呼ばれている。
また、COSO内部統制には下記の5つの構成要素がある。
| 1. | 統制環境 (control environment) |
| 2. | リスクの評価 (risk assessment) |
| 3. | 統制活動 (control activities) |
| 4. | 情報と伝達 (information and communication) |
| 5. | モニタリング (monitoring activities) |
以上のCOSO内部統制の3つの目的カテゴリーと5つの構成要素を含んでいるものがCOSOキューブであり、これを下図に示す。
COSO内部統制フレームワークを発展し継承したものとして、2003年7月に『Enterprise Risk Managemet Framework (事業体における危機管理の枠組み) 』の公開草案が公表された。
これは Pricewaterhouse Coopers のホームページ上で公開されている。
COSOキューブへの影響としては下記のようなものがある。
| 1. | 目的カテゴリー |
| 従来の3つの目的カテゴリーに「Strategic (戦略)」が追加され目的カテゴリーが4つとなっている。 | |
| 2. | 構成要素 |
| 従来の5つの構成要素に加えて「Objective Setting (目的設定)」、「Event Identification (事象確認)」、「Risk Response (危機対応)」の3つが追加され、構成要素が8つとなっている。 | |
コンプライアンス (compliance)
「(要求・希望などに)従うこと、承諾」という意味の英語の名詞である。米国内での独占禁止法違反事件、インサイダー事件などにおいて法務用語として使われたため、しばしば「法令遵守」という意味で使われる。法令は勿論のこと社会的規範なども遵守して企業活動を行うことを指す。
最近はこの意識が高まり、個人情報保護法や日本版SOX法などに至っている。
IT技術の面からこれを実現する為には、情報漏洩、不正アクセス、不正侵入、ウイルスへの感染、ネットワーク上のデータの改ざんや覗き見を防ぐことが必要になる。
SOX (Sarbanes - Oxley Act) 法
米国において、 大企業による巨額の粉飾決算事件を受けて2002年7月に制定された法案である。法案を連名で提出したポール・サーベンス(Paul Sarbanes)上院議員、マイケル・G・オクスリー(Michael G.Oxley)下院議員の名にちなんで、『Sarbanes‐Oxley Act(サーベンス・オクスリー法)』と呼ばれるが、正式名称は『Public Company Accounting Reform and Investor Protection Act of 2002(上場企業会計改革及び投資家保護法)』である。
SOX法では上場企業に対して、会計監視審議会の設置、監査人の独立性、財務ディスクロージャーの拡張、内部統制の義務化、経営者による不正行為に対する罰則強化、証券アナリストなどに対する規制、内部告発者の保護などが規定されている。
日本版 SOX 法
ライブドアや村上ファンドによる株式のインサイダー取引や、カネボウや西武鉄道の粉飾決算などの事件が多発していることから証券取引法を改正した金融商品取引法が先の通常国会で成立した。2008年3月期(2008年決算期)から適用される見通しとなっている。
この金融商品取引法は金融商品のあらゆる取引を対象とする法律である。その中に、主に株式公開会社とその連結子会社を対象とした内容開示制度の規定も含まれており、その規定の中のひとつとして内部統制報告書とその監査証明を提出することが法的に義務付けられることになった。これが『日本版SOX法』と呼ばれているものであり、内部統制報告書の内容に虚偽の記載があった場合は、個人に対しては5年以下の懲役または500万円以下の罰金、法人に対しては5億円以下の量罰規定が課されることになる。
金融庁による内部統制のフレームワークの基準は、COSOキューブに下記が追加されたものとなっている。
| 1. | 目的カテゴリー |
| COSOキューブの3つの目的カテゴリーに 「資産の保全の正当性」 が加わり目的カテゴリーが4つとなっている。 |
|
| 2. | 構成要素 |
| COSOキューブの5つの構成要素に 「ITシステムへの対応」 が加わり構成要素が6つとなっている。 |
|
「ITシステムへの対応」とは、今日の事業体の活動はITシステムが無くてはならないものとなったことに依るものである。例えば、財務報告書を作成する場合に、ITシステム全体が報告書に記載するデータを適切に収集し、そのデータを適切に処理する仕組みになっていなければ、その財務報告書の信頼性は保証できないことになる。よって、内部統制を有効なものとする為にはITシステムが適切に運用されているかどうかを評価する仕組みが必要になる。
財務諸表が有効な内部統制の下に作成されたかどうかの評価は、その事業体の財務諸表を監査する監査人が行うことになる。
[参考]
独立行政法人 情報処理推進機構 セキュリティセンター 対策のしおり
詳細は下記リンクをご覧ください
■GigaPcap
■GigaPcapベンチマーク
■Snortの高速化(Snort+GigaPcap)
■NetFlowの高速化(NetFlow+GigaPcap)
■Etherealの高速化(Ethereal+GigaPcap)
■GigaPcap 情報漏洩対策
■情報漏洩対策ニーズ
■内部統制における記録のニーズ