SAAJK

ようこそ!NPO日本システム監査人協会近畿支部サイトへ

本サイトは近畿支部からの情報発信、活動報告、会員間の情報共有を目的として、ITサービスグループによって運営されています。(2009年~)
※協会本部サイトについては、こちらをご参照下さい。

IT-BCP体験セミナー 開催結果報告(報告者:荒町 弘)

Clip to Evernote

会員番号 1709 荒町 弘

1.セミナー名称 : IT-BCP体験セミナー
2.開催日時   : 2016年7月30日(土)13:00~17:00
3.開催場所   : 大阪市ICT戦略室内 研修室
4.当日参加者  : 受講者 16名
 スタッフ 荒町、尾浦、金子、松井、伊藤(BCP研究プロジェクト) 福本、三橋

 

5.開催報告

bcp_20160730_01本セミナーは大阪市ICT戦略室からの実施依頼に基づき開催しました。大阪市ではICT-BCPの策定を今年度実施するにあたり、幹部職員を中心とするメンバーに対して意識付けを行うための研修を行いたい、という意向から当協会のセミナーグループに相談を頂戴しました。近畿支部BCP研究プロジェクトでは、今回、「個別セミナー」でのBCP体験セミナー実施を検討し、開催の運びとなりました。
受講者にはあらかじめ当日の演習で用いるA社に関する情報を事前配布資料として提供し、事前学習のうえ、体験セミナーに臨んでいただきました。
カリキュラムは3つの講義と演習2題から成っており、オリエンテーションの後に講義1、続いて演習2題を実施した後、講義2講義3を行っていただきました。演習課題では大規模災害発生時の企業IT部門担当者の立場で初動対応について検討いただきました。16名の受講者は3つのグループに分かれてグループ討議を行いリーダーが検討結果を発表するという流れで、8つの課題を限られた時間の中で検討し、結果をチームごとに発表するというものであり、緊張感のある体験演習を行っていただきました。チーム単位での検討結果の発表後は、講師講評を踏まえて受講者全員で成果の共有を図りました。bcp_20160730_02

5.1 オリエンテーション(担当:荒町氏)

セミナー開催にあたり、オリエンテーションとして以下の説明からスタートしました。
・SAAJ近畿支部BCP研究プロジェクトの活動概要
・IT-BCPの普及状況や東日本大震災の教訓としての災害時における初動の重要性
・当セミナーの目的とするところについて

5.2 講義1:「自治体ICT-BCPの現状と想定外への対応」(担当:松井氏)

1つ目の講義として、 と題した講義を行いました。講師自らが経験してきたBCPの実効性を高めるための取組みの紹介に続き、ISOや各種ガイドラインが推奨している事項について触れました。ISO22301では、策定したBCPの実効性を検証する要求事項として「演習およびテスト」を、実効性を高める取組みとして「意識・能力の向上、および訓練プログラム」が推奨されています。経済産業省ガイドラインにおいては、BCPの有効性を確認する手段として「テスト」を、BCPの維持を確認する手段として「監査」が言及されており、総務省のガイドラインでは「簡易訓練」「定期的な訓練」の実施が必要不可欠であると述べられています。
BCP訓練の必要性が述べられている一方で、実際にはBCP訓練が行えない組織が多い。「負担の少ない訓練・演習の方法」「本番環境に影響を与えない訓練・演習の方法」を周知することで、訓練・演習を実施する組織を増やすことができるのではないか、そのための取組みとして「実機訓練」と「机上訓練」がある。
bcp_20160730_03「実機訓練」と「机上訓練」の双方から得られた気付きと成果や注意点に関すること、それぞれの比較について解説を行いました。比較の結果、本番環境への影響が少ない「机上訓練」からの取り組みを行い、予備機を用いた訓練、本番機を用いた訓練へと段階的に取組みを進めることで訓練の限界を広げていくのが良いのではないか、という提案もありました。
最後に、想定外への備えについてICT部門としてどのように認識し、どのような準備が必要で、どのような対応がとれるのか、という問題提起とともに、訓練を段階的にステップアップする方法の紹介をもって講義を終了しました。

5.3 グループ演習 (担当:金子氏/尾浦氏(講評担当))

受講者には、近畿圏で30店舗の運営を行う中堅流通業を営む企業A社のIT部門担当者の立場で、大規模災害が発生した直後に起こる8つのシーンに対してどのような初動対応を行うのかということについて検討し、グループで共有・討議のうえリーダーに発表してもらうという流れで演習に取り組んでもらいました。bcp_20160730_04

①8つの課題を10分間自分自身で考え、対応内容を記した付箋を貼り付ける (所要時間10分)
②グループメンバ全員の付箋を模造紙に貼り・共有・討議し、意見をまとめる(所要時間20分)
③グループごとに検討結果を発表する(所要時間5分)
演習では、検討課題に対して意図的にタイトな時間設定とし、限られた時間内で多数の案件を一度に迅速に意思決定する重要性に気付いていただく狙いで、インバスケット研修の手法を採用しました。

(1)演習1(災害発生直後の初動対応)

災害発生直後に起こる社内各部署からの問い合わせ等に対して、IT部門としてどのように判断・対応するべきかを検討していただきました。
・優先順位付け、どの部署の誰にどのように指示を行うか等bcp_20160730_05

(2)演習2(IT-BCPのポイント検討)

 IT部門として、何を事前に準備・計画していればより適切な対応が可能であったかを検討していただきました。
・行動計画/ルール、危機対応時に有効な文書/資料、ダメージを少なくする事前対策等

(3)講師講評/演習の解説 (担当:尾浦氏・金子氏)

 各チームの発表内容に対し、講師側から実務体験も踏まえて講評を行いました。また、8つのシーンの設定の背景と初動対応、及びIT-BCP策定のポイントについて解説しました。

5.4 講義2:「自治体のための演習補講」~地防計・全庁BCPとIT-BCP~ (尾浦氏)bcp_20160730_06

2つ目の講義は、グループ演習の補講として、そして地域防災計画・全庁BCPとIT-BCPという視点での講義を行いました。グループ演習の補講としては、演習課題のいくつかのシーンをモデルに、その状況が発災に関して「覚知」の段階なのか、「情報収取・分析」あるいは「災害対策本部設置 BCP発動」のどの段階にあると想定されるか、といった課題提起からはじまり、タイムラインを意識したBCP対策の必要性等について事例を交えての講義を行いました。
発災後の経過時間ごとにフェーズを4段階で分け、部局ごとに異なるBCP対象業務があり、応急対策を要する業務と通常業務との区分に応じた対応の考え方などについて、講師ご本人の経験も踏まえて解説しました。

5.5 講義3:「組織のBCPを確実に動かすために必要なもう一つの準備」

~職員の参集率と家族の危機管理~(伊藤氏)
bcp_20160730_07大規模災害発生直後には職員の安否確認や参集可否などの確認が行われ、組織の復旧への行動や市民の生命・財産を守るための行動が行われます。この際、職員自身がいち早く職務に専念できるためには、自らの家族の安否確認ができていることが前提になると考えられます。このように、危機管理に必要な要素として、家族の危機管理も大きな部分を占めると考えられ、家族の危機管理が(事前準備と災害直後の対応)ができてこそ、組織の危機管理・地域への貢献ができるものと考えられ、「公助の限界」を大きく広がられるヒントがあるものと思われます。
本講義では家族の危機管理に対する考えや、災害発生直後の行動基準を定め公表している自治体の事例紹介、民間企業でのBCP策定・実践例などの紹介を行いました。
講義後、勤務時間中に巨大地震発生によりインフラサービス停止(停電発生)した場合、何に困るか、その事象は事前対策可能なものか、その後の判断により対応を取らなければならない事象なのか、についてグループでディスカッションいただき、グループ発表を行っていただきました。

6.受講された皆様の感想

受講された皆様からは、以下のようなご意見をいただきました。(アンケートから抜粋)
・これまでに総務省の資料を読むなどしてわかったつもりになっていても、制約された時間の中で発想すると、わかっていなかったことに気づくことができた
・今日の目的がBCPの早期作成であるため・発災時にしなくてはいけない事/判断しなくてはいけないことの気づきがありました。
最後の自組織の課題検討は課題が少しバクっとしていて取り組みにくかった
・普段はあまり考えない状況について検討する機会となった。
・テンションが上がった
・時間がない中で判断していく難しさと重要性が実感できた。
・BCPを作成するための気づきになり有意義でした。
・IT-BCP策定に向けて基礎的な知識を得ることができた。
・初動対応時にすべき行動を考えると なかなか思いつかず、事前の対応が必要であることに気づいた。
・ICT-BCPの着眼点が明確に解説していただいている。

7.感想

今回はBCP研究プロジェクトとしても初めての「出前セミナー」でありました。受講者も政令指定都市のICT-BCPの策定と運用を担う方々ということもあり、スタッフ一同もいつも以上に緊張して臨んだセミナーでありました。受講いただきました皆様には、グループ演習を通じて、ICT-BCP策定のために役立つ「気づき」を幾分か得ていただけたのではないかと思います。
大阪市ICT戦略室として、災害発生時の初動の判断や、災害が発生した際に被害を最小限にするための備えは何なのか、事前に決めておくべきルール・計画は何なのか、ということについて整理する機会を持たれる際に本セミナーでの「気づき」がお役に立てれば幸いと考えます。
受講者の皆様、スタッフ/関係者の皆様、ご協力ありがとうございました。

以上

   

SAAJ近畿支部第160回定例研究会報告 (報告者: 是松 徹)

Clip to Evernote

会員番号 0645 是松 徹

1.テーマ 「医療情報システム監査の意義と今後の情報部門の役割について」
〜病院間相互監査&ワークショップセミナーの取り組みを通して~
2.講師 池田市地域活性課 課長 藤本 智裕 氏
(前:市立池田病院経営企画室 室長)
3.開催日時 2016年7月15日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師は、今年の春まで市立病院の経営企画室長の立場で、長年、経営企画から診療支援、診療情報管理、情報システム等に至るまで、幅広く病院運営に携わってこられてきた。その中で医療情報システムの監査にも取り組まれており、これらのご経験を踏まえ、今回の講演では、医療情報システム(電子カルテ等)の動向、医療情報システムの安全対策と監査及び課題、病院相互監査の取組み、監査ワークショップセミナーの取組み等についてお話しいただいた。

<講演内容>

(1) 医療情報システム(電子カルテ等)

医療情報システムは、医事会計システムを皮切りにオーダリングシステム、電子カルテシステム、地域電子カルテシステムと進化してきており、ゲノム・再生医療、診断支援DSS、臨床研究、ビッグデータ、地域SNSとの関わり等の高度化が期待されている。昨今、他医療機関からの電子カルテ参照が可能となり、他施設・他職種連携の時代へと向かっている。医師と患者間の「情報の非対称性」が言われる中で、医療情報システムには高度な専門性を背景とした多様な要求への対応と安全性が求められている。

(2) 医療情報システムの安全管理

診療録の記載・電子保存の面では、「医師法24条」「歯科医師法23条」「e-文書法」に準拠し、真正性、見読性、保存性確保への留意が必要である。加えて、医療に関わる情報を扱うすべての情報システムとそれらの導入、運用、利用、保守及び廃棄に関わるすべての組織を対象とした「医療情報システム安全管理ガイドライン」が厚労省から公表されており、電子的な医療情報を扱う際の責任のあり方や情報の相互利用と標準化、情報システムの基本的な安全管理、電子保存の要求事項、運用管理についての指針が示されている。

(3) 医療情報システム安全管理評価制度(PREMISs)

「医療情報システム安全管理ガイドライン」を適用指針として、(財)医療情報システム開発センター(MEDIS-DC)が技術面、運用面の観点から客観的にその安全性を評価する制度である。本制度は、安全性の担保力を客観的に評価する事、及び安全性と利便性・効率性、経済性とのバランスをとる事を目的としている。 受審側は、自己評価をした上で書類審査と現地審査を受け、合否判定と合格レベルとして3段階評価が下され、認定証を受領する運びとなる。本制度の活用としては、外部監査としての利用(システム導入済)と導入時の検収ツールとして利用(システム導入予定)が考えられる。

(4) 病院情報部門が抱える課題

講師の所属組織が加入している某ベンダのユーザ会で、情報部門が抱える課題の把握のためにアンケート等から課題を抽出し分析を行った。課題を以下の7分野に分類し、それぞれに①機能改善、②運用ノウハウ、③教育・セミナー、④営業支援、の優先度から解決策を検討した。
【課題】:1.経営、2.企画導入・レベルアップ、3.調達、4.運用管理、5.データ分析・活用
6.ガバナンス、7.コンピテンシー
結果、運用管理に関する課題が全体の約6割を占め、その解決策としてはコンテンツの拡充が多数提示された。開発⇒導入⇒運用⇒改善のサイクルにおいて、運用⇒改善から開発にフィードバックして機能改善につなげる流れが必要であり、運用管理ノウハウとして職人技から仕組みへ、暗黙知から形式知へと移行する「運用管理規定」の重要性が改めて認識された。

(5) 病院間相互監査(内部監査)の取組み

公的認定を受けた専門知識や経験を有する監査員等が、互いの病院をPREMISsに準拠した共通の仕組みの下に内部監査を行い、継続的改善を図る取り組みである。監査結果は病院長に報告し、組織を巻き込むことに留意している。公的認定資格には、講師が保有する公認医療情報システム監査人(MISCA)、上級医療情報技師等がある。「医療情報システム安全管理ガイドライン」を根拠指針とし、医療情報安全管理監査人協会が公表している「監査実践ガイド」を参考とした内部監査の手順に則り、監査計画書の作成、監査の実施と講評会開催、監査報告書の作成・提出、監査対象部門から提出される改善報告書等を踏まえたフォローアップ監査を実施する。

(6) 医療情報システム監査ワークショップの取組み

 近年のパッケージ化・ネットワーク化により運用管理に関する課題が多様化し、運用管理規定の重要性が高まっていることを背景に、「医療情報システム監査ワークショッププログラム」を開発し、継続的改善を図ることとした。複数病院(2施設)でグループとなり、監査対象側と監査側を交代して持参した運用管理規定を相互監査する進め方で実施した。ワークショップは、2013年度の福岡での試行を皮切りに、2014年度に東京(11施設17名)、名古屋(11施設19名)、札幌(10施設14名)と計3回開催した。
受講後のアンケートからは、単に知識の習得だけでなく、多様なワークショップの実践により実際の改善行動につなげることができたとの結果が読み取れた。課題が複雑化する中、人財教育の在り方として、座学だけではないワークショップの有効性が示唆されたと考えている。

6.所感

重要性を認識しつつも接点のなかった医療情報システムの動向と運用側の医療機関の取り組み実態を改めて知ることができた。また、医療情報システムに求められる3原則(真正性・見読性・保存性)と利便性のバランスは所謂攻めと守りの話であり、医療分野に限らずセキュリティ面での共通の課題と考
える。今回のご講演では、説明の合間に随所でなされた講師の勤務先・池田市の紹介が効果的であった。その中で「呉春」が池田市の地酒と知ったことは、左党の私にとってこれまた有益であった。

以上

   

SAAJ近畿支部第159回定例研究会報告 (報告者: 近藤 博則)

Clip to Evernote

会員番号 2591 近藤 博則

1.テーマ 「事例に学ぶ情報漏えい事故とそのセキュリティ対策〜情報セキュリティ監査のポイント」
2.講師 NTT西日本ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ 主査 粕淵 卓 氏
3.開催日時 2016年5月20日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師はNTT西日本にてセキュリティの専門家として活躍され、またIT関連の資格を多数保有されており、各種メディアへの記事を執筆されている。今回は講師の実施したセキュリティに関する実験、IPAが公開した2016年セキュリティの10大脅威、日本年金機構の情報漏えい事件、自治体情報セキュリティ対策を題材にそれぞれの脅威・対策について講演いただいた。会場からの質疑応答も活発に交わされた。

<講演内容>

(ア) 10の疑問を試して解明 セキュリティ大実験室

講師が実施し雑誌の記事としてまとめられた、10の疑問を試して解明 セキュリティ大実験室から、8個の実験を取り上げ解説いただいた。

① ウイルス対策ソフトは無料でも十分か?

577個の検体について、有料版、無料版を用いてどれくらい検出できるかを実験した。有料版は8割の検出率、無料版は4割の検出率となり、予想通りの結果であった。また、同様の実験をUTM製品でも行った。UTM製品では検出率にばらつきが出たが、これは製品の特性によるもので、高検出率のものはパフォーマンス(通信速度)を犠牲にしていることがあるため、一概に検出率が高いものがよいとはならないとの事であった。

② 圧縮や暗号化されたウイルスを検知可能?

圧縮や暗号化した10種のウイルスを通信経路上に配置したUTM製品で検出できるかを実験した。結果、製品や圧縮形式により検出率が異なったが、いずれの製品でも6階層のフォルダーに入れてLZH圧縮した物、AESで暗号化した物は検出できなかった。ウイルス対策は通信経路上のみでなく、端末でも行う事が重要であるとの事であった。

③ Excelのパスワード保護は有効か?

Microsoft Excelが備えるパスワード保護機能を使用して暗号化したファイルを用いて、パスワード解析にどれくらいの時間がかかるか実験した。解析には総当たりでパスワードを試す自作ツールと市販ツールを使用した。自作ツールでは数字4桁のパスワードは7分弱、市販ツールでは1分弱で解析可能であった。一般に必要と言われる英数記号を組み合わせた8桁のパスワードは、市販ツールの予測では4コアCPUの端末で解析に13万年以上かかるとされ、パスワードの強度はある程度保たれているとの事だった。

④ 無線LANのSSIDを隠すのは効果ある?

SSIDを隠蔽する設定(ステルスモード)に設定したAPを用いて、正常に通信できる端末と解析ツールを導入した端末を用意し実験した。APに誰も接続していない状態であれば、SSIDを見る事はできなかったが、正規ユーザがAPに接続すると、正常に通信できる端末からSSIDが送信されるため、解析ツールにSSIDが表示された。SSIDの隠蔽によるセキュリティ向上は限定的であり、端末側の電池の持ちが悪くなる等デメリットもあるとの事であった。

⑤ セキュリティワイヤーは頑丈か?

複数のセキュリティワイヤーと入手しやすい工具を用いて実験した。セキュリティワイヤーは、ワイヤー径2.2mm、4mm、5.5mmの物、工具は、108円のニッパー、家庭用のペンチ、ワイヤーカッターであった。ワイヤーカッターを使用すれば、どれも切断する事が可能であった。セキュリティワイヤーには、心理的な抑止効果、持ち去りに対する盗難対策として一定の効果があるが、工具を使えば切断できるため長時間の盗難対策とするのは不十分である。長時間保管するには鍵のかかるキャビネットや引き出しがよいとの事であった。

⑥ スマホの顔認証は正確か?

スマホに搭載されている顔認識機能について、メガネをかけたり、ひげをつけたりする変装をしても認識するか、本人の写真を本人と認識するか、双子の一方がもう一方になりすます事が可能かについて実験した。また、今回の試験にあたっては、まばたき設定(認証の際にまばたきをする必要がある)は無効にして行った。結果、メガネ、ひげの有無、写真でも高確率で認証を突破できた。また、二卵性の双子であっても認証を突破できた。スマホの顔認証は安全性の高い認証方式ではないとの事であった。

⑦ SSLでURLフィルタリングは機能するか?

プライバシー保護のため通信が暗号化されるHTTPSを用いるWebサイトが増えている。これらのサイトへの通信に対してURLフィルタリングが機能するかについて実験した。実験には一般によく利用されるプロキシサーバとUTMを用意した。結果、プロキシサーバではドメイン単位でのフィルタリングは可能であったが、ディレクトリ単位ではフィルタリングできなかった。UTMではデフォルト設定の場合、ドメイン単位でもフィルタリングできなかったが、HTTPS通信を復号化する機能を有効にしたところ、ディレクトリ単位でのフィルタリングも可能であった。しかし、HTTPS通信を復号化するには機器のリソースを多く必要とするため通信に対するパフォーマンスは低下するとの事だった。

⑧ パスワードの別送に意味はある?

重要なファイルをメールで送付する場合ファイルを暗号化し、パスワードは別メールでの送付する事を義務付けている企業がある。一見安全そうに見えるこの対応であるが、ネットワークを盗聴できる攻撃者であれば、ファイルを添付したメールもパスワードが記載されたメールも盗聴でき、暗号化ファイルを簡単に復元できるはずであるため実験し確認した。結果、パケットキャプチャを行えば、メールを復元し暗号化したファイルとパスワードから復号化したファイルを入手する事ができた。この事から、特に重要なファイルをメールで送付する際には、パスワードを別メールではなく電話等別の手段で通知する等の対応が必要だろうとの事だった。

(イ) 2016年セキュリティの10大脅威

IPAが公開した2016年セキュリティの10大脅威から4つを取り上げ解説いただいた。

① インターネットバンキングやクレジットカード情報の不正利用

ウイルス感染やフィッシングサイトから不正入手した情報から、個人になりすまし不正送金や利用が行われている。フィッシングの手口はどんどん巧妙になってきており、ぱっと見では正規のサイトと見分けがつかなくなっている。個人でできる対策としては、OS・ソフトウェアの更新、サイトへアクセスした際にSSL通信になっている事の確認等があるとの事であった。

② 標的型攻撃による情報流出

メールの添付ファイルやWebサイトを利用してPCをウイルスに感染させ、そのPCを遠隔操作する事で組織や企業の重要情報を搾取する攻撃が後を絶たない。攻撃者は対象の組織、企業を徹底的に調べ上げ攻撃手法を検討し実施してくる事から、侵入を許す事も少なくない。対策としては、OS・ソフトウェアを常に最新の状態に保つこと。また、侵入されない事を目標とするのではなく、侵入される事を前提とし、侵入に早く気づく、情報資産を外部送信させない等の対策により多層防御する事が重要であるとの事だった。

③ ランサムウェアを使った詐欺・恐喝

データを人質に取り、金銭を要求する被害が増えている。侵入経路としてはメール添付やWebサイトからであり、これまでは不自然な日本語のものが多かったが、流暢な日本語によるものも登場しており、より注意が必要となっている。対応としては、バックアップからの復元が主な物となるため定期的なバックアップが重要であるとの事だった。

④ ウェブサービスへの不正ログイン

他のWebサービスと同じパスワードの使い回しや、推測できるパスワードを設定していた為に、Webサービスを不正利用されてしまう被害が増えている。対策としては、パスワードは使い回さない、長く複雑なパスワードをしようする等があるとの事だった。

(ウ) 日本年金機構の情報漏えい事件

日本年金機構からの125万件の個人情報漏えい事件について、原因と対策を解説いただいた。ここでは日本年金機構に届いたとされる不審メールの特徴について紹介があり、不審メールはフリーメールサービスを利用して送信されていた。仕事上よくありそうな件名のメールであっても、フリーメールから送付されてきたメールであれば、慎重に取り扱う必要があるとの事だった。

(エ) 自治体情報セキュリティ対策

本年よりマイナンバーの利用が開始されることに伴い、自治体では抜本的なセキュリティ対策我も止められており、その内容について解説いただいた。ポイントとしては、マイナンバー利用事務系のネットワークと他のネットワークを分離し、ここの端末に対しては情報の持ち出し不可設定や二要素認証(パスワード+生体認証、ICカード認証)を用いる事。LGWAN環境とインターネットメールとの通信経路を分割し、両システム間で通信を行う場合には、メールを無害化するとの事だった。

(オ) セキュリティ監査における私の考え方

講師が実施する事があるセキュリティ監査において、意識しているポイントとして、次の事をあげられていた。セキュリティ対策においては、やるべき事柄は山のようにあるため、技術的対策・物理的対策・人的対策が完璧に実施できている所はまずない。このため、できていない事を細かく指摘しても、被監査部門から疎まれるだけで実効性のある監査はとはならない。指摘事項とすべきは、受容レベルを大きく超える物や、セキュリティ対策の弱い状態で公開さているサーバがあった場合であるとの事だった。また、監査において一番重要なポイントは、被監査部門との信頼関係であるとの事だった。

6.所感

本講演ではセキュリティに関する話題を一通りおさらいする事ができ、筆者個人、とても有意義だった。また、所々に挟まれる講師の経験に基づいた一言からたくさんの気付きを得る事ができた。特に長くて複雑なパスワードを記憶する方法として紹介された、手帳にキーワードを書き、残りを記憶しておくやり方はすぐ実生活で取り入れた。本講演の途中、ブレイクとして紹介された錯視が印象に残ったので紹介させていただく。錯視とは、見た情報が実際とは異なって知覚される現象のとこをいい、ものの形や大きさ、明暗、色、動きなど、ものの見かけ全般にわたり現れる錯覚のことである。簡単に錯覚してしまう脳を持つ者として、巧妙な攻撃者からの攻撃をかわすためには、とっさの対応に頼るだけでなく、日頃からのOS・ソフトウェアの最新化が重要であると認識を新たにした次第である。

以上

   

研究論文、研究成果、コラム&エッセイ、活動報告等のコーナー

Clip to Evernote

日本システム監査人協会近畿支部では、支部会員を始め各研究プロジェクト等で活発な研究活動を行っています。このコーナーでは、発表者の許諾をいただき研究論文研究成果活動報告などを掲載しています。

New!
「事例に学ぶ情報漏えい事故とそのセキュリティ対策~情報セキュリティ監査のポイント」

コンテンツの一覧表が表示されていない場合は、ここをクリックしてください。

   

発表資料

Clip to Evernote

タイトルをクリックするとドキュメントを閲覧できます。

公開日 区分 タイトル(リンク) 発表者 発表日 更新/備考
2016年06月21日 発表資料 事例に学ぶ情報漏えい事故とそのセキュリティ対策~情報セキュリティ監査のポイント 粕淵 卓 2016年5月20日 SAAJ近畿支部第159回定例研究会にて発表
2016年04月25日 発表資料 システム監査の多様性について 林裕正 2016年1月15日 SAAJ近畿支部第157回定例研究会にて発表
2016年04月25日 発表資料 標的型攻撃をはじめとするサイバー攻撃の現状と対策 植垣雅則 2015年11月20日 SAAJ近畿支部第155回定例研究会にて発表
2016年04月25日 発表資料 ツールが無くてもここまでできる SAP ERP内部統制監査 浦上豊蔵
梅谷正樹
下田あずさ
木ノ原真由美
中川昭仁
2015年09月18日 SAAJ近畿支部第154回定例研究会にて発表
2015年07月21日 発表資料 ソフトウェア著作権監査のためのツールと監査手法 荒牧裕一 2015年07月17日 SAAJ近畿支部第153回定例研究会にて発表
2015年05月17日 発表資料 失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介 松井秀雄 2015年05月15日 SAAJ近畿支部第152回定例研究会にて発表
2015年01月28日 発表資料 IT-BCPの実効性を高める訓練・演習とその監査 松井秀雄 2015年01月16日 SAAJ近畿支部第150回定例研究会にて発表
2014年12月05日 発表資料 システム監査の勘所 ~ITストラテジストとシステム監査~ 林裕正 2014年09月20日 JISTAオープンフォーラム2014in関西にて発表
2014年12月05日 発表資料 クラウドソーシングによる災害対策 吉田博一 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年12月02日 発表資料 BCP研究プロジェクト2014年度活動報告(IT部門の初動対応をモデルとした演習の紹介) 金子力造 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年09月20日 発表資料 情報通信技術者が知るべき著作権(基礎編)-「著作権のシステム監査」の実践のために- 松田貴典 2014年09月19日 SAAJ近畿支部第148回定例研究会にて発表
2014年07月19日 発表資料 暗号通貨ビットコインの脆弱性と可能性 荒牧裕一 2014年07月18日 SAAJ近畿支部第147回定例研究会にて発表
2014年04月22日 発表資料 ソフトウェア資産管理とシステム監査 松井秀雄 2014年04月19日 SAAJ近畿支部第41回定例勉強会にて発表
2013年08月22日 発表資料 J-SOXへの取組みと内部監査の考え方 是松徹 2008年11月21日 SAAJ近畿支部第110回定例研究会にて発表
2013年08月12日 発表資料 コンプライアンスのシステム監査について 雜賀努 荒牧裕一 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年08月12日 発表資料 クラウドコンピューティングのシステム監査 深瀬仁 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年04月10日 発表資料 マネジメントシステム規格の統合的な利用と効果的な認証審査 吉谷尚雄 2013年03月15日 SAAJ近畿支部第139回定例研究会にて発表
2012年11月21日 発表資料 BCP研究会報告(ITを中心とするBCP策定支援の実践 荒町弘 2011年11月19日 SAAJ 西日本支部合同研究会にて発表
2012年11月21日 発表資料 近畿支部サイトWG活動報告 金子力造 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年08月25日 発表資料 ASP・SaaSに対する情報セキュリティ監査をふまえたクラウドコンピューティングに対する一考察(プレゼン発表用) 佐々木志津香 古江健一 鬼松嵩 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年06月30日 発表資料 「システム監査の法的義務化」等のIT政策提言 田淵隆明 横山雅義 中田和男 神尾博 2012年06月16日 SAAJ近畿支部第32回システム監査勉強会にて発表
2012年05月14日 発表 資料 セミナーWG平成23年度活動報告 三橋潤 2011年11月25日 SAAJ近畿支部2011年度研究大会にて報告した資料より作成

 

   

カレンダー

2016年10月
« 9月    
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

日本システム監査人協会 近畿支部では、システム監査に従事されている方、システム監査にご興味のある方、また支部活動を支援して下さる方を広く募集しております。

詳しくは、こちらよりお問合せください。


[counter 2010.01~]
本日アクセス数:191
累計アクセス数:115350
本日訪問者:16
累計訪問者:13697