...

コンプライアンスのための 情報セキュリティ対策技術と

by user

on
Category: Documents
14

views

Report

Comments

Transcript

コンプライアンスのための 情報セキュリティ対策技術と
付
録
2
コンプライアンスのための
情報セキュリティ対策技術と効果に関する調査
報告書
平成19年3月
株式会社三菱総合研究所
�� � �
��� ������ ........................................................................................................ � 1
� ���� ����� ..................................................................................................... � 1
� ���� ������ ...................................................................................................� 2
�
���� �������������������������� ...............................� 3
� ���� �������� SOX ����� .................................................................� 3
� ���� ����������� ...............................................................................� 14
���� ���������������������������������� .� 20
� ���� ��� SOX ���������� ...............................................................� 20
� ���� ���������������� ................................................................. 33
���� ������ SOX ������� ...................................................................� 36
� ���� SOX ����������� .......................................................................... 36
� ���� ����������� SOX ������������������ ......� 40
� ���� ���� ........................................................................................................� 51
���� �������������������� ...................................................�
� ���� ������������������������������
� � � � � ������������ ............................................................................�
� ���� ������������������������������
� � � � � ������������ ............................................................................�
� ���� ������������������������ .................................�
52
52
67
74
���� ��� ................................................................................................................� 75
� ���� ��������������������������� ......................� 75
� ���� ���������������������............................................� 76
���
� ������������������ ......................................................................� i
� ����������������� .............................................................................ii
� �����������������������������������
������� � ................................................................................................ � iii
� ��������������������������������������
�
� � ................................................................................................................. � iv
�� �
�����
���� ����
2005 � 4 �����������������������������������
����������������������������������������
����������������������������������������
������������������������
���������������������������������������
�������������������������������������SOX ��
������������������������������������� SOX �
������������������������������ IT ���������
���������������������������������������
���������������������������������������
����������������������������������������
����������������
������������JEITA ������������������������
����������������������������������������
����������������������������������������
������������
�� 0-1� ������������������
��������������������������3 ����
�����������goo ����
�� 3 � �������������������������(2006 � 3 ��
1
1
���� �����
���������������� 0-2��������
����������������������������������������
�������������
����������������������������������������
������������������������������������
��������������������������
����������������������������������������
������������������������������������
������������������������������������
������������� � � � � � � � � � � � � � � � � � � � �
������������������ SOX �������������������
�����������
���
������������
��������������������������
����������������JEITA �����������������
���������������
�� 0-2� �������
2
2
�� �� �
�������������������������
���� �������� SOX ����
����������
���������������������������������������
����������������������������������������
���������������2005 �������2006 �������������
������������������ SOX ��������������������
����������������������� 1-1 ���������������
����������
�� 1-1� �������
��� http://www.moj.go.jp/HOUAN/houan33.html ����������
�
3
3
���������������������������������������
2005 � 2 �������������������������������
�����
��������������������������������������
���������������������
��������������� 2006 �
2 ������������������������ IT��������������
���������������� 2007 � 2 ���������������
����������������� 3 ����������
�� 1-2� �������������������������
��
�����
���
���
��
�����
��
�����
������
��������������
��������������
��������������
���
�������������
��������������
��
�����
��
�����
��
�������������
���������
����������������������������������1������
�����������
�����������������������������
���������������������������������2�
��������������� 4 �����(1)������������(2)����
�����(3)���������������(4)������������������
����������������������6 ��������(1)�����(2)��
��������(3)�����(4)������(5)�������(6)IT ��������
�����
����������������������������������������
�
����������������������������������������������
������
���������������������������������������������������������������������
����������������������������������������������
�������������������������������������������
���
�
�������������������������������������������
�����������������������������������
�����������������������������������������������������������
4
4
�����������3�
� � (1)�����������
� � � �������������������������������
� � (2)��������
� � � �����������������������������������
� � ����
� � (3)��������������
� � � ��������������������������
� � (4)�����
� � � �������������������������������������
� � � �����
��� 4 ����� 6 ���������1992 ������������������
��4��������������� COSO ������������������
COSO ���������������(1)������������(2)���������
(3)���������������������������������������
���������������������COSO �������(1)�����(2)��
��������(3)�����(4)������(5)������� 5 �����������
����������������������IT �����������������
���
���������������������������������������
�������5�
�
�������������������������������������������
�����������������������������������
�
�������������������������������������������������������������������������
��������������������������������������������������������������������������
����������������������������������������������
���������������������������������������������
�����
�
���������������������������������������������
5
5
�� 1-3� ��������������
����
(1)���� �����������������������������
����������������������������������
������������������������
����������������������������������
��������
(2)���� ����������������������������������
���
����������������������������������
��
���������������������������������
����������������������������������
����������������������������������
�����������������������������
(3)���� ����������������������������������
����������������������������������
�������������������
(4)���
��
����������������������������������
�������������������������������
����������������������������������
�����������
(5)���
����������������������������������
���
����������������������������������
������������������������������
����������������������������������
����������������������������������
������
(6)IT ��
������������������ IT ��������������
��
����������� IT ���������������������
����������������������������������
����������������������������������
�������������������������������
����������������������������������
����������������������������������
�����������������������������������������
�2007 � 2 � 15 ��
��������������������������
6
6
������������������������������������
����������������������������������������
������������������������� 1-4��
�� 1-4� ������������������
���
�������������������
������������������������������������
�����������������������������������
����
����������������������
��������������������������������������
������
���
�������
��������������������������������������
�������������������������
�����
�������������������������������������
���������������������������������������
����������������
�����
���������
��������������������������������������
��������������������������������������
��
���������������������������������������
���������
�������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
�������������������������������������
� � 2 �������������������������������������
�����������������������������
��������������������������������
� � 3 ������
����������������������������������������
����������������������������������������
��������������������������������
� ���������������������
��������������������
����������������������������������������
����������������������������������������
7
7
�����������������������������������������
�������
����������
� ������
��������������������������� 348 � 4 ���
362 � 4 � 6 ���� 5 ���������� 98 ��� 100 ������������ 24
�� 4�� 193 �� 2 � 2 ����������������������������
���������������������������
�������� SOX �����������������������������
����������������������������������������
�� SOX ������������������������� 1-5��
�� 1-5� �������������������
���������������������������������������
���6������������ 5 �������� 200 ��������������
����������������������������������������
��������������������������� 1-6��
�
�������������������������������������������
�������������������������������������������
��������������������������������������������
8
8
�� 1-6� ������������
���������������������������������������
��
�A)� ���
������������� 2 �������������������������
��������������������������2005 � 6 � 29 �����2006
� 5 � 1 ������������������������������������
�����������������������
�� 1-7��
�� 1-7� ������
�������
���
������
������
�����
�������
�����
���������
���
��������
���
�����
��������
��
��������
��������
��������
����������
�������
���������
������
��������
���
������
���������
����
���������
�������
��������
��
��������
��������
��
���
�����
�����������������
�http://www.moj.go.jp/HOUAN/houan33.html������
9
9
������������������������������������7�
�������
� 348 � 4 �
� � ��������������������������������������
-> ��� 4 �
����������������������������������������
�������������������������������������
����������
� 362 � 4 � 6 �
(1)���������������������������������
(2)������������������������������������
� -> ��������������2006 � 2 � 7 ����� 100 � 1 �
� � � � ����������������������������
� � � � ����������������������
� � � � ���������������������������������
� � � � �����������������������������������
� � � � ������������������������������������
������������
��������������� 3 ����������
��������
� 362 � 5 �
���������������������������������������
�����������
�B)� �������
���������2006 � 6 � 7 �����2008 � 4 ��������������
������������������������������������(1)���
�(TOB)������������(2)����������������������(3)
������������������� 3 ��������������������
�������������������� 1-8��
�
�����������������������������������������������
10
10
図表 1-8
金融商品取引法の構成
資料:「証券取引法の一部を改正する法律案の概要」(金融庁)
(http://www.fsa.go.jp/houan/162/hou162_02a.pdf)を参考に作成
金融商品取引法における内部統制(体制の整備等)の具体的条文は、以下のとおりである8。
第 24 条の 4 の 4
財務計算に関する書類その他の情報の適正を確保するために必要なものとして内閣府令
で定める体制、内部統制報告書、有価証券報告書の提出
第 193 条の 2 第 2 項
内部統制報告書に公認会計士等による監査証明
第 24 条の 4 の 2
有価証券報告書の記載内容が金融商品取引法令に基づき適正であることを確認した旨を
記載した確認書の提出
第 24 条の 4 の 7
四半期報告制度の整備
金融商品取引法の罰則は、有価証券届出書の虚偽記載及び風説の流布・偽計、相場操縦
等に対する法定刑について、以前は、5 年以下の懲役または 500 万円以下の罰金、法人 5
億円以下の罰金であったが、10 年以下の懲役または 1000 万円以下の罰金、法人 7 億円以
下の罰金に引き上げられた。
(3)内部統制と IT
実施基準では、「IT への対応」、すなわち、「組織目標を達成するために予め適切な方針
及び手続きを定め、それを踏まえて、業務の実施に置いて組織の内外の IT に対し適切に対
応すること」9が内部統制の基本的要素の一つとして組み込まれた。「IT への対応」とは、
下図のとおり、「IT 環境への対応」と「IT の利用及び統制」から成る。
8
http://law.e-gov.go.jp/announce/H17HO086.html
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監
査に関する実施基準の設定について(意見書)」(2007年2月15日)
9
11
�� 1-9� IT ����
����������������
���IT�������������
�������IT��������
���������IT�������
����������������
�����������
��������
�����������������
����������������
IT���������������
�����������������
�����������IT�����
�����������������
�����������������
�����������������
�
���������
�����������������������������������������
��������������������������2007�2�15�������
���IT ������� 2 ����10�
(1)����
���������������������������������������
��������������������
� ��������������������������������������
������������������������������
(2)������������������
���������������������������������������
���������������������� IT ��������
�������������������������������������
��������������������������������������
������������
���IT ����������������������������������� �
���������� IT �������������IT ��������� 2007 � 3 �
30 �������������11�������������������������
������������������������������������� IT ��
����������������������������������������
�������������������������������IT ��������
��
������������������������������������������
�����������������������������������
��
����������������������������������������������������������
�������������������������������������������������������������������
12
12
����������������
�� 1-10� IT ����������
������������� ���� �������� IT ���������
��� 19 � 3 � 30 ��������
IT ��������������COBIT�ITIL�ISO17799�ISMS ���������
��������������������������������
�� 1-11� COBIT � ITIL � ISO17799 � ISMS ���
��� “COBIT Versus Other Frameworks: A Road Map to Comprehensive IT
Governance” by Craig Symons, Forrester Research, January 5, 2006 ������
�������������������������2.1 ������
13
13
���� ����������
�������������
���������������������������������������
����������������������������������������
����������������������2005 � 4 � 1 ������������
�� 5 �����������12
� ���������������������
� �������������������������
� ��������������������
� ���������������������
� ������������������������������������
������������������������������������
����
���������������������������������������
����������������6 ���������� 30 ������������
����������������������������������������
�����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
�������������������
���������������������
�������������� 2 ������������������������
���������������������� JIS Q 15001 ������������
�����������������2006 � 6 � 5 ���������� 4,154 ����
����������������������������������������
����������������������������������
���NRI ���������������13� 2006 ���������������
������������������������������������2005 ��
��� 54.8��� 80.3���������
��
������������������������������������������������������������������������
���������������������������������������������������������������
������������������������������������������������������
�������������������������������������������������
�������������
��
14
14
�� 1-12� �������������
����� 4 �������������������������
���������
��������������������������
���������������
������83.3��������
���������������������������������������
���������������������������������
�����������
�����������������
��� 16 � 4 � 2 ��������������
����������������������������������������
�������������������������������������2005 �
���������������������������� 1,556 ���������
���������������������������500 ����������
71.6���������������������������������
������
�������������� 76.2�������������������� 23.0��
������
������������������������������������
��������� 78.7�����������������
�������������
������ 10 ��
����������� 1,184 �����������������
�������
����������������������������235 �����
���������������������������������������
��������������������������������� IT ������
����������������������������������������
����������������������������������������
�����������������������
������������������
����������������������������������������
���������
15
15
�������������������
�����������������������������������2006 ��
�������14���������������������������������
�������3 �������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
���������
�� 1-13� �������������������,�����
�������������������������������������������������������������������������������������������������������������
�������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
����������
�
����������������������
��
��
��
��
��
��
����
����
����
����
����
�
����
�
����
����
��������
����
����
��������������������
����
����
�������
����
����
����
����������
����
�������
����
����
�������
����
����
����
��������������
����
����
���
���
���
���
����
�����
���������������
����
����
���������������
���
����
���
���
����������������������������
���������������������������������
����
�������������
����
�������
�����
��
����
����
�������
����������
��
��
�
��������
��������������
��
����
���������������
���������������
��
����
��������������������������������������������������������������������������
16
16
���
2005 �������������������������������������
�������� 14,028 �����2006 � 5 � 31 ����������������
�������������� 81.1�������������������������
���������������������������������� 4,046 ���
�� 28.8������������������ 5,375 ��� 38.3����������
������������������ 6,691 ����� 47.7������������
������������� 3,434 ��� 24.5����������������� 2,194
��� 15.6���������15�
������������������������
���������������������������������������
� 19 � 3 �������������������������������22 ���
��� 35 ����������������
��
��
�� 1-14� �������������������������
��
���������
������
��
��
��
��
(1)�������������������� �� 16 � 12
��� ���������������������� � 24 �
�� 18 � 4 �
21 ����
(2)�������������������� �� 16 � 12
������������������
� 27 �
(3)�������������������� �� 17 � 3 �
���������
31 �
(4)�������������������� �� 17 � 4 �
�������������������
1�
��
��
(1)�������������������� �� 16 � 12
��� �����
� 28 �
��
(2)����������������
��� (3)�������������������
��
���
(�)
��
�
��
��
��
���
��
(4)����������������
(5)�������������������
����
���
(1)��������������������
��������
(2)��������������������
���������������������
����
�� 16 � 12
� 28 �
�� 18 � 7 �
3�
�� 16 � 12
�6�
�� 17 � 1 �
6�
��������������������������������������������������������������������������
17
17
��
��
��
��
���
��
��
���
��
���
����
��
���
��
��
��
��
���
��
��
���
��
���
��
���
��
���
��
���
��
���
��
��
���
��
��
���
��
���
�����
�� 16 � 12
� 17 �
�� 18 � 10
� 16 ����
��������������������� �� 16 � 8 �
���������
31 �
�� 17 � 10
� 17 ����
�������������������� �� 16 � 8 �
����
31 �
�� 19 � 3 �
28 ����
��������������������� �� 16 � 10
�������������������
� 22 �
�� 19 � 3 �
30 ����
��������������������� �� 16 � 12
���������������������� � 17 �
��������������������� �� 16 � 7 �
��������������������� 1 �
�����
��������������������� �� 16 � 10
��������������������� � 29 �
��
��������������������� �� 16 � 9 �
��������������������� 29 �
��������
��������������������� �� 16 � 10
��������������������� � 29 �
�����
��������������������� �� 17 � 3 �
�������������������
29 �
��������������������� �� 18 � 5 �
���������
25 �
��������������������� �� 16 � 10
��������������������� � 29 �
��
��������������������� �� 16 � 12
���������
� 16 �
�� 18 � 1 �
11 ����
��������������������� �� 17 � 3 �
���������������������� 25 �
��������������������� �� 16 � 11
� 25 �
���������������
��������������������� �� 16 � 11
��������������������� � 11 �
����������
��������������������� �� 16 � 11
� 30 �
�����������������
��������������������� �� 16 � 11
��������������������� � 4 �
���������������������
���������������������
���������������������
���������������������
������������
18
18
�� �� �
�������������������������
��������
���� ��� SOX ���������
���������������������������������������
����������������������������������������
���������� IT Governance Institute (ITGI)���SOX ������� IT ��
�����”ITControl Objectives for Sarbanes-Oxley”
16���
COBIT for SOX����
����������SOX ������� IT �������������������
����������������������������������������
����������������������������������������
SOX �������������������������������������
2-1 ������������������2007 � 3 � 30 ���������� IT ��
������������IT ���������������������������
����
�������4(2)�� c�17������������������������
����������������������������������������
����������������������������������������
��������� SOX ������� IT ��������������������
���������� 2-2 �����IT ����������������������
�����������
�� 2 ������������������������������������
��� SOX ����������������������������������
��
������������������������������������������������
���� ������������������������������������������
�������������������������������������������������
�������������������������������� ������������
����������������������������������������������
�������������
��
�������������������������������������������
�������������������������������������������
�������������������������������������������
�������������������������������������������
��������������������������������������������
20
20
�� 2-1� ��� SOX ��������������� (1/6)
���������
�
����
�����
���
�������
������
�����������������
����������
�����������
�����������������
��������
�����
���
�����
�����������
�������� ���������������������������������
�������� ������������������������������ ���������������������������������������������� ���
���������������������������������������������
�����������������������
����
�����
�������������������������������������������
��
����������������������������������� �����
����������
����������
��������
���������������������������������������������
��������� ������������������������������ ��������������������������������������������� �����
�����
������� ��
���������������������������������
�������
���
�������������������������������
������������������������������������������������ �����
�������������������������������
������������������
�����
�������������������������������
�����
������������������������������
������������������������������������������
������
��������
�������������������������������� ����������������������������������������������
���
�����������
�����������������������������������������
�������� �������������������������������� ����������������������������������������������
�������� ��������������������������������� ���������������������������������������������� ���
��
��������������
�����
����������
��������
��������
�����
����������
��������������������������������
�����������������������������������������������
���������������������������������
�����
���������������������������������������������
�����
���������������������������������������������
���������������������������������
�����
���������������������������������������������
����������������������������������
�������������������������������� ���������������������������������������������
�������������������������
������������
�����
���������
������
��������������������������������������������
�����������������������������������������
���������������������������������������������
�������������������������������
�����������������������������������������������
��������������������������������
��������������������������������������������
�������������������������������
��������
�������������������������������������
�����
�����
�����
�����
�����
�����
������
�����
�����
�����
������������������������������
�����
������������
�������������������������������������������������
�����
�����
�����
������
����������������
���������������� �����������
�������������
�������������
�����������
�����������������
�����������������
���������
�����������
����������������
��������
���
�����������
����������������� ������������
�����������
�����������
��
���������������� �����������
����������
����������
�������
��������������
��������
��������������������������������������������
�������������������������������
�������������������������������
��������������������������������
���������������������������
����������������������������������������������
���������������������������������������������
���������������������������������������������
���������������������������������������������
�����������������������������������������������
����������������������������������
�����
�����
�����
�����
���������������������������������������������
��������
������� �������������������������������� ����������������������������������������������
���������������������������������������������� �����
�
��������
��������������������������������������������
�����������������������������
����������
���������
���������������������������������������������
��������� ������������������������������� ��������������������������������������������
�����
�������� ���������������������
����������������������������������������������
�������
���������������������������������
���������
�����
���������������������������������������������
��������������������������������������������
��������������������������������������������
������������������������������� ���������
�����
����������������
������������������������������������������������
����������������������������������������������
��������������������������������������
2-23
�����������������
��������
�������
����������������
����������������� �����
���������������
�������������
�����������
�������
����������������� �����������
������
�������
����������������
�����������
�������
21
�� 2-1� ��� SOX ��������������� (2/6)
���������
�
����
�������
��������������������������������������������
�������
��������������������������������������������
��������������������������������������������
����
���������������������������������
�������������������������������
�������������������������������������������
�������������������������������
���������������������������������������������
��������������
�������������������������������������������������
��������������������������
���������������������������������������������
�������������������������������
���������������������������������������������
���������������������
����
�����
���
���������
������
�����
�����
�����
�����
�����
�����
�����
������
������
���������
�
����������������� ������
����������
�
����������
������������������������������
��������������������������������������������
�����������
�������������������������������
�����
�����������������������������
������������������������������������
������
���
���������������������������������������������
���������������������������������������������
��������������������������������������������
����������������������������
���������
�
����������
�
���������������������������������������������
����������������������������� ��������������������
���������������������������������������������
�����������
����������������������������������
��������� ��������������
����������������
�
��������� ���������������
�����
������
����������������
�����
���������������� �����������
����
����
�����������������
���������
����������
�������������������������������
��������������������������������
��������������������������������������������� �����
��������������������������������������������� �����
�����������������������������������
�����
������������������������������������������
��������������������������������
���������������������������������
����������������������������������������������
����������������
���������������������������������������������
������������������������������ ����������������������
�����������������������������������������������
����������
������
�����������������������������������������������
�������
���������������
������
�����
�����
�����
�����
��������� �����������������
����������
�
��������
�������
������
����������
�
��������������������������������
����������������������������������
��������������������������������������������
������������
�����
����������������������������������������������
�����
���������
������������������������������������
������������������������������
�����������
�����������������
�����������
�����
�
������������������������������
���������������������������
������������
����������������
������������������ �������
�����
�������������������������
�����
�������������������������������������������� �����
�����
�������
���
�������������������������������������������
��������������������������
��������������������������������������������
������������������������������
����������������������������������������
�����
������������������������������
�������������
��������������������������������������������
������������������������
������������������������������
�������� �������������������������
�������
��������������������������������������������
����������������������������������
�����
�������������������������������������������������������
���
�����������������������
��������������������
��������������������������������
������������������������������ ����������������������������������������������
������������������������������� ����������
�����
������������������������������ ���������������������������������
���������������������������������������������
����������������������������
���������
���������������������������������������������
��
�������������������������������
�����������������������������������������������
������������������������������
������������������������
����������������������������������
����������������������������������������
�����
���������
��������������������������������������
������������������������������
���������������������������������������������������������
����
2-24
�����������������
������
�������
����������������
�����������������
����������
����������������
���������
����������������
��
������������������
������������������ �������
����������������
����
�������
�������������������
������������������
����������
������������������
���
�����������������
��
22
�� 2-1� ��� SOX ��������������� (3/6)
���������
�
����
�����
���
�������
���������
������
����������
������
�����������������
���������
��������������������������������������
���������������������������������
������������������������������ �����������������������
���������
�����������������������������������
��������������������������������������������
���
�����������������������������
�����
�����
�����
�����������������
������������
����������
���������������������������������������������
��������������������������������������������
��
���������������
������
���������������
��������������������
��������������
����������������
��������������
�������������������������������
���������
�������������������������������������
�����
�����
����������������� ����������
����������
��
�����
�����������
������������������ �����������
�����������
���������
����������
�������������������������
���������������
���������
���������
��������������������
��������������
�����������������
���������������
������������
���������������
�������
���������
������������
�������� ����������������������������
�����
�������������������������������
����������������������
��������������������������������������������
�������������������
���������������������������������������������
�����
���������
������������������������������
�������������������������������������������
�������������������
�����
�����������������������������������������������
��
���������������������������������������������� ������������������������������������
���������
������������������������������������������������
������������������������������
�����
���������������������������������������������
���������������������������
�����
�����������������������
�������������������������������������������
��������������������
��������������������������������������������
������������������������������� ��������
������������������������������ ������������������
�����
�������������������������
���������������������������������������������
��������������������������
����������������������������������������
��������������������������������������������
����������������������
2-25
�����������������
���������
��������� �����������������
��������
���������������
�
������������
��������� �����������������
��
���������
���������
����������
�����������
�
�����������
�
���������
������������
���������
����������
�����������
�
�����������
�
���������
������������
���������
����������
�����������
�
�����������
�
���������
������������
�����������������
�����������������
��������������
�����������������
�������
����������������
��������
�����������
����
��������
��������
�����������������
�����
�����������
������������������
��
�����������������
���������
����������������
�����
�����������������
����
�����������������
������������������
���
����������������
����������������
������������
�����������
��
���������
�����������
��������� ����������������� ���������
��������� �����������������
�
��������������
����������
������������������
�
��������������������
�����������������
��
23
�� 2-1� ��� SOX ��������������� (4/6)
���������
�
����
�����
���
�������
���������������������������������������������
������������������������������ ����
�����
�������������
��������������������������������������
���������������������������������������
������
������������������������������
�������������������������������������������
��
�����������������������������
��������������
��
��������������������
�������������������������������
���������������������������������������������
�������
��������������������������������������������
�����������������������
��������������������������������������������
������������������������������ ������
�������������������������������
���������
������
��������������������������������� ����������������������������������������������
������������
����������������
��������
���������
���������
������
��������������������������������������������
�����������������
��������������
���������������������������������������������
�������������������������������
���������������
����������
���������
�����������
��������
�����������������
����������
��������
�������������������������������������������
�����������
�����������������
���������
����������������
�
���������
��������������������������������������������� �����
���������������
�����
�����������
�����������������
����
��������� ����������������
��������
����������
��������
�����������������������������������������������
�������������������������
������������������������������
���������
�����������������������������������������
������
������
������
������
���������
�������������������������������������������
��������������������������������������������
�������������������������������� ������������������������������������������
�����
��������
���������������������������������������������
��
��������������������������������������������
���
�����
�������������������������������
�����
��������������������������������
���������������������������������������������
������
������������������������
����������
����
������
�����������
��
���������
�����������
����������������
��������� ������������
�����������
����������
����������������� ����������
�������
�����
����������� ���������
������������� �������������������
��������� �����������������
��������� ����������������
����������������
��������������
���������������������������������
�������������������������������� ��������������������������������������������
�����
������������������������������ �������������������������������������
��
������������������������������
������������������������
����������
�����������������
���������
��������������
����������
����������� ����������������
����������
��������� ����������������
��������� ����������
�
����������������
���������� �����������
�
�����������������
�������
�
�����������������
��������
���������
�����������
���������������� ����������
���������������� �����������
������
�������
�����
����������������� �����������
���������
��������������
������������
����������������� �����
�����
�����������������
��������
���������
�����������
����������
�������
�����������
����������� ����������������� ��������
�����������������
�������������
��������� �������
���������
����������������������������
����������������
������������������������������
�����
�������������������������������� ��������������������������������
�������������������
��������������������������������������������
�����������
��������������������������������
��������������������������������
�����
��������������������
�����������������������������������������������
�������
�������������������������������� ������������������������������������������������ �����
������������������
��������������������
�����
2-26
��������� ����������������
�����������
�
������
��������
�������
�����������������
����
���������
����������������
����
�����������������
������������������
�����
����������������
�����
�����������
���������
������������
�����
�����������
��������
24
�� 2-1� ��� SOX ��������������� (5/6)
���������
�
����
�����
���
�������
���������
������
��������������������������������������������
��������������������������������� ������������������������������������
������������������������������
����������������������������������������������������������
�����������������������������
��������������������������������� ���������������������������������������������
������������������������������� ��
�������������������������������
�����������������
������������������������������������������������������������������
������
����������������
�������
���������
������
����������
��������������� ��������
���������������� ������
����
���
��������
����
������������������������������ ����������������������������������������
��������������������
��������������������������������������
������
�����������������������������������������
�������������������������������������������� ��������������������������������������������
�������������
���
�����
�����������������������������
�������������������������������������������� �����
������������������������
������
������
������
���������������������������������������������
��������������������������������������������
�����������������
������������������������������
������
���
�����������������������������������������������������
������
��������������
������
������������������������������������
�������������������������������������������
�������������������������
�����������������������������
�������������������
����������
���������������������������������������������
������
������������������������������������
�����������������
���������
����
�
�����������
����������
������
�
���������
���������
���������
������
����������������� �����������
�
��������
����������������
������������
����������������
�����������������
�������
������������
������������
����������� ���������������
�������������
�������������� ����������������
���������� �
�����������
�������
��������
������������
��
���������
�����������
���������
������������
�����
�������
������������������
�����
�����������������������������������������������
��������������������������������� ��������������������������������������������
������������������������������ ����������������������������
������
���������������
��������������������������������������������
���������������������������������������������
�������
������������������������������
���������
��������������������
����������������������������������������������
���������������������������������������������� ������
�������������
����������������������������������������������
���
������������������
���������������������������������
������������������������������ ��������������������������������������������
���������������������������������������������
���������
��������
������
������������������������������ ��������������������������������������������
���
������������
������������
����������������
������
�����������
��������
����������������� �����������
�����������
���������
���������������
������������
��������
������
������������
�
�����������
��
����������������������������������������������
������������������������
���������������������������������
�������������������������������� �����������������������������������������������������������
�����������������������������
������
������
��������������������������������������
��������������������������������������������
�������������������������������������������
����������������������������������������������
��������
��������������������
��������
�
��������������������������������
�������������������������������������������
������������������������������
�����������������������������������������
�������
������
��������������������������������������������
�������������������������������
��������������������������
��������������������������������������������
2-27
������
������
������������������
��������
������������
��������� ����������������
���������
�
��������������
����������������
���������
������������
�����������
�����������������
�
��
���������
����������������
�����������
�����������������
���
��
25
�� 2-1� ��� SOX ��������������� (6/6)
���������
�
����
�����
���
�������
����������������������������������������������
�������������������������������� �����������������������������
�����������������������������
�����������������������������������������������������������
����������������������������������� ������
������������������������������
��������
�������
�����
����������������������������������������������
���������
������������������������������������������
�������������������������������
���������������������������������
�����������������������������
����������������������������������������������
���������
���������������������������������������������
���������
������
����������
������
��������
����������������� �����������
���������������� ����
��������
��
��������
������������������ ������������
������
�
���������������������������������������������
�����
�������������������������������
���������� ��������������
�������
�������
��������
������ ��������������������������������
���
������������������������
����������������������������������
�����������������
�����������
������������
�������������������������������������������
��������������������������������������������
���������������������������������������������
�����������������������������
��������������������������������
��������������������������������������������
������������������
��������
�����������������������������������������������
��������������������������������
��������������������������������������������
������������
������������������������������ ��������������������������������������������
���������������������
�����������������
���������������������������������������������
�������������
�����������
���������� ����������������
�������
�����������
�������������
���������
����������
��������� ����������������
�����������
���������
�����
�����������
����������������
����������������
���������������
���������������� �����������
���������������� ���������
�����
�����
�����������
����������������
������
���
������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������������������������������
������
���������������������������������������������������������������
�����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
���������������������������������������������������
�������������������������������
���������������������������������������������������������������������������������
���������������������������������
��������������������������������������
2-28
26
�����
����
����
����
����
��
���
��
���
��
���
��
���
��
���
���������������������
��
���������������������
�������������������
���������������������
������
���������������������
������������
���������������������
���
���������������������
���������������������
�����������
�� 16 � 11
�4�
�� 17 � 3 �
25 �
�� 16 � 10
�1�
�� 16 � 12
�2�
�� 17 � 1 �
14 �
�� 16 � 11
�9�
������������������������������
����������������������
���������������������������������
�http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html�
����������������
� ���������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
2006 � 3 ������������������������������������
�����������������������������������������
����� 10 �������������
� �����IT ���������������������������������
���������������������������� IT �����������
����������������������������������������
������������������IT ���������������������
������������IT ���������������������������
������������������������
19
19
�� 2-2
IT ���������������������
���������������
����
�������
�������������
�����������
������
����
27
�������������
�������������
������������
�������������
�������������
��������������������
��������������������
��������������������
���������
��������������������
�������
�������
������� ����������
��������
�
�IT ��������
����������
�����������
���������
�������
��������
�������������������� �������
��
��������������
�������������������� �������
�������������������� ���
�������
������
�
�������������������� �����
� PKI����
�������������
��������� PC ��������� ����
�������������������� �������
��
������������������
�
�ID �����
����
�������
����
��������������������� �������
��������������������� ��
29
������
�������
���
����������
������
�����������
�����������
����������
�����
�����������
�����
�������
�������
�
�����������
���������
�������
������
�������
��
�������
����
�������
��
�������
���
�������
����
�����������
������
�����������
����������
����������
�����������
������� ID ��
�����������
�������
�����������
��������
�����������
����������
����������
����������
�����������
�����
�������
��Web ���
�������
�������
�������
�(IDS)����
� � � � �
�IPS��VPN�
�������
�������
�����������
����������
��
�����������
����������
��������
�����������
����������
�����
�����������
�������
���
�����
��������������������
��������������������
��������������������
�
��������������
��������������������
��������������������
������
�
��������������������
������������������
�������
���
�������
�����
� PKI����
����
�������
��
�ID �����
����
�������������
�������������
�������������
������
��������������������
��������������������
��������������������
��������������������
�������������������
���
��������������������
��������������������
�
�����������������
�
��������������������
����� ���������������
��������������������
���������������
��������������������
�������������������
���
��������������������
��������������������
�������������
28
������������
�������������
��������
�������������
�������������
�������������
�������������
�������������
�������������
������������
�������������
��
30
�������
������
�������
��
�������
����
����
����������
����������
����������
����������
����������
����������
����������
�����������
����
�����������
����������
����������
���������
��������������������
��������������������
��������������������
��
�������
��
�������������
�������������
�������������
�������������
�������������
��� ID ���������������
���������������
��� ID ���������������
��������������������
� ����������������� �
��������������������
��������������������
�������������������
��������������������
��������������������
������
�
�
�����������
�����������
����
������ ID ���
�������
IC ������
�������
�����
�����������
����
29
�������������
�������������
������������
�������������
�������������
�� ID ��������
��
31
�������
�������
�
�������
�
�������
�
����
�������
�������
�������
�������
�������
��
�����
�����������������
����
�������
30
�������������
�������������
�������������
���
�������������
������������
��� ����������
�������������
�������������
�������������
����
�������������
�������������
����� ��������
�������� �����
�������������
����������
��������������������
��������������������
� ����������� �������
���
��������������������
��������������������
��������������������
��������������������
�������������������
���
����������� ���������
����������� ���������
��������������������
��������������������
����������������
��������������������
��������������������
��������������������
��������������������
��������
�������
��������
�������
����
�������
�����
�������
����
�������
�����
�������
��
�������
���
����������
������
����������
�����������
����������
����
�����������
����������
�
����������
�������
�
������
�����������
�������
�����������
��������
�����������
����������
����
�����������
����������
����������
����
�����
�������
��
������
�������
���
�������
�
������
� ������������������
���������� ����������� IT ��������
�
��� 19 � 3 � 31 ���������������
�
32
���� ���������������
���������������������������������������
����������������������������������������
����������������������������������������
���� ISMS ����(Ver.2.0)�2003 � 4 ��������������������
����������������������������������������
����������������� 2005 � 3 �������������������
����������������������������������������
����������������������������JIS Q 15001CP ������
ISMS �����Ver.2.0������������������������������
���������������������������������� A�������
����������� B�������������������� C�� 3 ������
�������������������������������� C �������
��������������
��������� 2-3 ����������������������������
���������������
�������������
������
��������
������������������������
33
31
�� 2-3� ��������������������� (1/2)
��������
��
����
�������������
����������������
�
�����
�
������
����� �������
�����
�����
�����
�����
�������������������������������
�������������������������������������
�������������������������������
��������������������������������������������
���������������������������
��������������
�������������������������������
�������������
�����������������
��������������������������������������������������
�����������������������
����������������������������������������������
�����������������������������
�
��������
����������������������������������������������
�����������������
������������������������������������
�����������������
����������������������������������
���������������������������������������������
������������������������������
����������������������������������
������������������������������
����������������������������������������������
��
����������������
���������������������������������������������
������������������������������ �������������������
���������������������������
����������������������������������������
�����������������������������������
��������������������������������������
������������������������������
���������������������������������������������
���������������������������
��
�����������������������������
����������������������������� ���������������
���������������������������� ������������������
��������������� �����������
������������������������������� ���������������
�������������������
��������������������������������
�����������������������������������������������
����������������������������
����������������� ������������������� �����������������������������
�����
���������������������������������������
�����������
�
���
����
�����������������������������
���������������������������������������������
����������������������������������������������
�
�����������������������������������������
�������������������������������������������������
����������������
������������������������������ �����������������������������������������������
����������������
�
��������������
�����������������������������������������������
�����
�������������������������������
������������������������������ ����������������������������������������������
�������������
������������������������������ ������
������������������
������������������������������ ���������������������������������������������
�����
��������������������������
���������������������������������
������������������� ������������������������������� ���������������������������������������������
���
������������������������
������������������������������
������������������������������ ����������������������������������
��������������
������������������������������ ��������������������
������������������������������
�������������
��������������
���������������
�������������
�������
��
������������������
����������������������
��
����������
���������������
��������������������������
���������
����������������������
������������������������
���������������� ������������������� ��������������������������������
����������������������������������
���
�������
��������������������
������������������������������������������
����������������
�������������
������
�����
�������������
����������
����������������������������
���������
����������������������������
�����������
34
������������������������
����������������������������������
��������������������������������������������
���������
���������������������������������������������
������
������������������
�����������������������������
��
��
��
��
��
���
��
�
�
�
�
���
�
��
��
�
���
�
���
���
��
��
��
�
���
�
���
���
���
��
�
�
��
���
��
��
��
��
��
���
���
���
�
���
���
���
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
33
図表 2-3
情報漏えいの原因
事例
ファイル交
換ソフト
多数
(Winny等)
個人情報保護法と情報セキュリティ対策の整理 (2/2)
要求事項
具体的対策
9(4)③外部から接続する利用者の認
9(4)ネットワークのアクセス制御
遠隔地からの利用者のアクセスには、認証を行うこと
証
●許可していない接続を防ぐために、クライアントの端末やIPアドレスを識別しているか
●ログオン手順は、不正アクセスや誤ったアクセスに対して配慮された方法を採用しているか
●アクセス者が誰であるかが分かるように、個人毎に利用者IDを割り当てているか
●止む無くグループIDを複数人で共用使用する場合は、その管理を厳重にするための規定を定めてい
るか
9(8)移動型計算機処理及び遠
9(8)①移動型計算処理
隔作業
9(8)②遠隔作業
10(3)暗号による管理策
13(3)②暗号化
移動型計算処理の設備を用いた作業、特に保護されていない環境
における作業のリスクから保護するために、正式な個別方針を持 ●モバイルコンピューティングや在宅作業などにおいて、外部から社内の情報システムをアクセスする場
ち、適切な管理策を採用すること
合は、登録された端末からの接続かを確認したり、なりすましを防止できる適切な認証方法を採用してい
遠隔作業を認可し及び管理するための個別方針、手順及び標準類 るか
を策定すること
取扱いに慎重を要する又は重要な情報の機密性を保護するため
に、暗号化を用いること
6(1)①セキュリティを職責に含めること
セキュリティの役割及び責任は、組織の情報セキュリティ基本方針
で定められたとおりに、職務定義のなかに文書化すること
6(1)②要員審査及びその個別方針
常勤職員、請負業者及び臨時職員を採用するときは、提出された
応募資料の内容を検査すること
6(1)③機密保持契約
6(1)④雇用条件
データの不
ソフトバンク 等
正持ち出し
9(2)利用者のアクセス管理
9(2)①利用者登録
9(2)④利用者アクセス権の見直し
外注管理ミ
防衛庁 等
ス
複数の利用者をもつ全ての情報システム及びサービスについて、
それらへのアクセスを許可するための、正規の利用者登録及び登
録削除の手続きがあること
特権の割当ては、正規の管理手続きによって統制すること
パスワードの割当ては、正規の管理手順によって統制すること
●許可していない接続を防ぐために、クライアントの端末やIPアドレスを識別しているか
●ログオン手順は、不正アクセスや誤ったアクセスに対して配慮された方法を採用しているか
●アクセス者が誰であるかが分かるように、個人毎に利用者IDを割り当てているか
●止む無くグループIDを複数人で共用使用する場合は、その管理を厳重にするための規定を定めてい
経営陣は、利用者のアクセス権を見直す正規の手順を、定期的に るか
実施すること
7(3)その他の管理策
●5S(整理、整頓、清掃、清潔、しつけ(躾))を情報管理の基本として、クリアデスク(帰宅時に書類を机上
に放置しない)を実施しているか
組織は、情報への認可されていないアクセス、情報の消失及び損
●クリアデスクが適切に実施されているかを、躾面で度々チェックしているか
7(3)①クリアデスク及びクリアスクリー
傷のリスクを軽減するための、クリアデスク方針及びクリアスクリー
ンの個別方針
●受け取った郵便物やFax受信、印刷出力を放置しないようの徹底しているか
ン方針を保つこと
●離席時はクリアスクリーン(画面表示の隠す)を実施しているか
●クリアスクリーンが適切に実施されているかを、躾面で度々チェックしているか
8(1)運用手順及び責任
○
○
○
フィル
タリン
グソフ
ト
フォレ
ンジッ
クツー
ル
○
○
○
○
人又は組織に対する措置が、民事であれ刑事であれ、法律にかか
わるものである場合、提示する証拠は、関連法令又は事件の審理 ●必要な手順を文書化しているか
が行われる特定の法廷の規則に定められた証拠に関する規定に ●規定された運用記録は保管しているか
適合させること。また、容認される証拠を作成するために、公表され ●採取したログは保管しているか
ている標準類又は実践規範に適合すること
12(1)⑦証拠の収集
10(3)暗号による管理策
端末
制御・
監視
ツー
ル/
ログ
管理
●役員及び従業員と当社事業所内で働く派遣者、契約社員、パートタイマ、アルバイト者に対して、業務
上の個人情報保護およびセキュリティについての教育を実施しているか
●また定期的に業務上のルールやその変更内容の最徹底、セキュリティ意識向上について、教育を実
施しているか
12(1)法的要求事項への適合
PC・メディア
多数
の紛失
Web
セ
キュリ
ティア
プライ
アン
ス
雇用条件には、情報セキュリティに対する従業員の責任について記
述してあること
組織の基本方針及び手順について、組織の全ての従業員及び関
6(2)①情報セキュリティの教育および
係するならば外部利用者を適切に教育すること、並びに定期的に
訓練
更新教育を行うこと
9(2)②特権管理
9(2)③利用者のパスワードの管理
セ
キュリ
ティ検
査/
監査
ツー
ル
●従業員のセキュリティの役割及び責任を職務定義の中に文書化して、従業員に周知しているか
●要員の採用の際には、提出された応募資料の内容をよく検査しているか
●役員及び社員、派遣者、契約社員、パートタイマ、アルバイト者に対して機密保持誓約への署名を求
従業員は、入社時の雇用条件の一部として、機密保持契約書に署 めているか
名すること
●雇用契約書又は就業規則に情報セキュリティについての責任を記載してあるか
6(2)利用者の訓練
内部的要因
ファイ
ア
ウォ
ール
/
VPN
○
●取扱いに慎重を要する又は重要な情報の機密性を保護するために、暗号化を用いること
4(2)第三者によるアクセスのセ 4(2)①第三者のアクセスから生じるリ 組織の情報処理施設への第三者へのアクセスに関連付けてリスク ●情報処理施設への第三者アクセスを洗い出し、リスクを認識し、適切なセキュリティ管理策を実施して
キュリティ
スクの識別
アセスメントを実施し、適切なセキュリティ管理策を実施すること
いるか
4(2)②第三者との契約書に記載する 組織の情報処理施設への第三者アクセスにかかわる取決めは、必 ●情報処理施設へのアクセスする可能性のある第三者に対しては、必要なセキュリティ要求事項全てを
含んだ契約書を取り交わしているか
セキュリティ要求事項
要なセキュリティ要求事項全てを含んだ正式な契約に基づくこと
6(1)職務定義及び雇用におけ
るセキュリティ
認証
製品
暗号
/ア
製品
クセス
管理
7(3)②資産の移動
●装置、情報、ソフトウェアの持ち出しの手続きを定めているか
組織に関する装置、情報又はソフトウェアは、管理者による認可な
●持ち出しについては許可を必要とし、その記録を保管しているか
しでもち出しできないこと
●バックアップの外部保管時の移動についても管理しているか
13(3)②暗号化
取扱いに慎重を要する又は重要な情報の機密性を保護するため
に、暗号化を用いること
8(1)⑥外部委託による施設管理
●情報処理業務又は個人情報/データを取り扱う業務を外部委託しようとする場合、委託先選定基準を
作成して、候補の委託先を評価しているか
外部委託による施設管理サービスを利用する前に、そのリスクを識
●情報処理業務又は個人情報/データを取り扱う業務を外部委託する場合、セキュリティ要求事項を契
別し、適切な管理策を請負業者の同意を得て契約に組み入れるこ
約書に記述しているか
と
●情報処理業務又は個人情報/データを取り扱う業務を外部委託した場合、契約で要求した事項の具
体的な取組みについて委託先を指導し、実施状況を確認しているか
●取扱いに慎重を要する又は重要な情報の機密性を保護するために、暗号化を用いること
○
○
○
○
注:網掛部は、組織的な対応が中心となる要求事項を示す。
法的要求事項については、「情報セキュリティマネジメントシステム適合性評価制度 ISMS 認証基準(Ver.2.0)」(財団法人日本情報処理開発協会、2003 年 4 月)、
具体的対策については、
「個人情報保護対策・実践アセスメントガイド」(社団法人電子情報技術産業協会ソリューションサービス事業委員会、2005 年 3 月) を基に作成した。
34
�� �� �
������ SOX ������
���� SOX ����������
����SOX �
� �����2001 ��������� 2002 ��������������������
�����2002 � 7 � 30 ����������������������������
������������
�� 3-1� �� SOX ����
Public Company Accounting Reform and Investor Protection Act of 2002���
��
���������������(Sarbanes-Oxley Act������������
�������������
��
������������
��
���������(SEC)����
��
2002 � 7 � 30 �
�����2004 � 11 � 15 ������������
��
�����2005 � 7 �������������2006 � 7 � (05/3 ���)
�����2006 � 7 ��2007 � 7 � (05/9 ���)
�����������(PCAOB)���
��������
�����
��������������
���������������
��������������������������
��
��������
������
302 ������������������������������(CEO)�
�������(CFO)��������������������������
������������������������������������
������������
404 ����������������������������������
36
35
������������
�������������������������������������
��
100 ����������� 10 ����������������������
���(willfully)���������500 ����������� 20 �����
��������
����SOX ����������
�����SOX ��������������������������������
��������������� Gramm-Leach-Bliley (GLB)� ����������
�FTC��������������������Safeguards Rule��Health Insurance
Portability and Accountability Act (HIPAA) �������Department of Health and
Human Services���������������������Basel(����)II ���
����������������������������������������
��������������������������18��������������
�������������������������SOX �������������
���������������������SOX ������������������
���������������������������������
���������������������� Sun Microsystems ���SOX ���
���������� IT �����������������������������
����������������������������������������
��������Entrust �� Oracle ���� SOX ����������������
�����������������������������
����SOX ���������������������
� SOX �������������������������������������
����������������������������������������
���������SOX �����������������������������
����������SOX ����������������������������
SOX ������������������� 404 �����������������
������������������������������������ SOX ��
����������������������������������������
������ SOX ����� 1 ��������������������������
SOX ���������������������
��
������������������������������������������
�������������������������������������������
������������
37
36
�� 3-2� �� SOX ����������
����
��������
2004 ��� 50 �����������������
SecurityProNews ��
6,285 ������������3 ���������
�����
2006 ����� SOX ������������� 60
AMR Research
���������������������� 22%�
���������
SOX � 404 �������������������
Financial Executives
�SOX ��� 2 ������ 2005 ���
������
International �������
��� 22,786 ������ 11.8%���������� � 274 �����������
�������������������������
���2006 � 3 ��
130 ������� 22.7%�������������
��2 ��� 1 ������������������
�������������
Business Roundtable ������� 52%��SOX �
Business Roundtable ���
���������������� 2006 ������
�Business Roundtable ���
������������ 40%� 1,000 ������27%
���� 160 ��������
� 600 ����� 1,000 ��������� 33%� 100
��
����� 500 �������������
����SOX ����
������������ SOX ��������������������� SOX �
����������������������������������������
�����������������������������SEC ���������
�������������������������������NextCard �����
��� SEC ����������Ernst & Young �������������������
������������������������NextCard ������������
����������SOX ��������������Randy V. Sabett ������
����������������������������������������
�������������������������������� SEC �����
����������������������������������������
��������������������������
38
37
����SEC ��������
���� SOX �� 404 ���������������� SEC ����������
�������PCAOB ������ 2 �������������SEC � 2006 � 12 �
13 ���SOX �� 404 ������������������������19�
SEC �����������������������������������2 �
������������20�
�� ������������������������������������
������������������������������������
������������������������������������
������������������������������������
���������������������
�� ������������������������������������
������������������������������������
������������������������������������
���������������������������������
����������������������������������� SEC ��
����������������������������������������
����������������������������� 4 �����������
a.
�����������������������������
b.
���������������������
c.
���������������������
d.
���
����PCAOB ��������
� PCAOB � 2006 � 12 � 19 ����������� 2 ��������������
����������������������������������������
����21�
����������������
�� ������������������������������������
�� �������(Significant Deficiency�������������������
�������������������������������������
��
�����������������������������������������������
��������������������������������������������
��������������������������������������������������������������
��
�������������������������������������������������
��
�������������������������������������������������������������
39
38
(Material Weakness���������������������������
��������������������������
�����������
���������������
�� ���������������������������(interim materiality)
�������������������(materiality)���������
�� �������������������������
�� �����������(knowledge)������������
�� ����������������������������
�� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �
(multi-location)���������
�� ������������������������������������
��������������������
���� ����������� SOX �����
�������
������������������ SOX ��������������
������2006 � 9 ��2006 � 11 ��
����������������������������������������
��������� ��������� 2 ���������������� 2 ��
����������
��������CIO�CSO�CISO�������������
������
CIO
������ A
CSO
����
CISO
����
������������Information Security Officer�
������ B
�����������
������
�����������
����� A
������������Information Security Officer�
�������
�����������
������
�����������
������ B
�����������
�������
� ���������������������������������������
�����SOX ���������������HIPAA �� GLB ����������
40
39
������������������������
��SOX � 404 �������������������
a. SOX � 404 ����������
�
SOX �����������
���� A�B��������� A���
�������������
�
2003 ���
�����2004 ����������
�
2004 ���
���������� B
�����������������SOX ��������������������
������������������������2004 ��2004 ���������
�������������������� SOX �����������������
b. �����������������������������
b-1 �������������������
�
�����
��
�
����������
������� A�B��������� A�B�
�������
����
�� �����CISO �����������������������������
������������������������������������
���
��������10 �� 9 ����SOX ����������������������
�����������������������SOX ���������������
����������� SOX ���������������������������
����������������������������������������
�������
b-2 ���������������������������(RCM)�������
�
RCM ���
���� A�B��������� A�B����
����
�
RCM ���
�����
41
40
����
�� ���� A�������������������������������
�������������������
�� ���� B�SOX ����������������������������
����������������
�� �����RCM �����������������������������
��
RCM ��10 �� 8 ���������
b-3 �����������������������������
�
�����
������� A�B��������� A�B�
�������
�
�����
��
�������������������10 �� 9 ��������������
b-4 IT �����������
�
��������
������� A�B������������ B�
��
�
�����
�� A�����
����
�� ������������ 2002 ����������������������
����
�� ���SOX ������������������������������
�SOX ���������� IT �������������������������
��������
b-5 ������������������������������������
�
CEO
������ A
�
CIO
������������� B
�
CISO(Information Security
���������� B���
Officer ��)
42
41
�
N/A�����)
���� A
SOX �������� CEO�IT ��������������CIO���������
����(CISO)�������������
���������������������
a. SOX � 404 ���������������������������������
���������������
�
�������
��������
�
����
�����������������������������
��������������������������
���� A������������� PC ��������PKI
�������������������
���� B�SOX ����������ID ���������
����������� PC ���������
��� A�ID ������������ ID ���������
��������
�����ID ���������
���������������������HIPAA � SOX �
������
��� B�ID ���������
b. ���������������������
b-1. ID ������
���
���������
���
��������
����
������
���
�����
������
����������
���� A
Computer Associates ����
���
���
��
N/A
�
�
��
Oracle ����
���
���
���� B
Oracle ����
���
�����
��
Sun Microsystems ����
�����
���
43
42
��� A
Sun Microsystems ����
�����
�����
�����
Microsoft ����
���
�����
����
Oracle ����
���
���
��� B
IBM ����
���
�����
��������
���
b-2. �������������
���
��
����
���������������
��
���
���������������
���������������
����������
���� A
N/A
�
�
��
Entrust �����������
��
N/A
���������������
���SOX �������
��
Oracle ����
���
���
���� B
RSA ����������
���
���
��
Sun Microsystems ����
�����
���
��� A
Sun Microsystems ����
�����
�����
�����
Microsoft ����
�����
�����
����
Oracle ����
���
���
��� B
Sun Microsystems ����
���
���
��������
���
b-3. ����������������
���
��
����
���������������
��
�����
�����������
���� A
N/A
�
�
��
���������������
��
N/A
��
N/A
�
�
���� B
N/A
�
�
��
N/A
�
�
��� A
Sun Microsystems ����
�����
���
44
43
�����
EMC ����
�����
�����
����
N/A
�
�
��� B
N/A
�
�
��������
���
b-4. ����������
���
��
����
���������������
���������
���SOX ����������
��������
���������������
����
�����
���������������
������
���� A
N/A
�
�
��
N/A
�
�
��
N/A
�
�
���� B
Oracle ����
���
�����
��
N/A
�
�
��� A
N/A
�
�
�����
N/A
�
�
����
N/A
�
�
��� B
N/A
�
�
����������������ID �����������������������
��������������
c. ����������������
� 10 �����������
��������������������
a. �������������������������������
����
���� A
��
���
COBIT4.0 ����
���
ITIL����
���
ISO17799����
���
ITIL�����
���������
45
44
���
COBIT4.0
���
ISO17799����������
�����
��
COBIT4.0
���
���� B
COBIT4.0
���
��
COBIT4.0 ����
���
ISO17799
�����
COBIT4.0
���
ISO17799
�����
COBIT4.0
�����
ISO17799
�����
����
COBIT4.0
�����
��� B
COBIT4.0 ����
�����
ISO17799
�����
��
��� A
�����
��COBIT4.0 ������� SOX ����������������
����������������������������������������
���COBIT����� 6 ��COBIT �����SOX ��������� 3 ���9 �
� COBIT ������������ISO17799 ����������� 6 �������
������6 ���������������
b. �������������������
����
����������������������
���� A
ID ������
��
��������������������������������
��������������������������
��
ID ����������
���� B
�����������������ID ������������
��
ID ��������������
��� A
ID �����������������������
�����
IT �����������������
����
�������
��� B
���������
46
45
IT �������������������������ID �������������
����
c. IT ����������������
�
�����
�
�
�����
������� A�B������������ A�B����
����
����������������������������������������
����������������
����
�� �������������������� SOX ��������������
�����������������������������COBIT ����
������������������������������������
��� SOX �������������������������������
������������������������������������
���������
d. IT �������������� SAS 70 Type II22������
�
������
�������������������� SOX ������
������������� A����������������
��������������� A�B���
�
�������
��������������������������� B�
�������
6 �� IT �������������� SAS 70 Type II ��������������
��������������������������
�����
a.-e. SOX �������IT ������������������ IT �������
��������
��
���������������������������������������������������
�������������������������������������������
��������������������������������������
47
46
a.SOX �
���
b. IT ��
��
����
��
�����
����
A
����
���
��
2002 ��
����
����
10 ���
����
�����
IT ���
����
����
30 ���
����
�����
��
����
���
����
B
����
��
��
����
20 � �
��
����
���
����
10 ���
���
10 ���
���
20 ���
���
��� A
����
�
����
��� B
c. � � � � �
������
� IT ����
�����
SOX ����
������
������
������
��
SOX ����
������
���
d. � � � �
������
����
e.�������
�
������
�� 20%��
�������
��������
�������
�������
�����
�+�5%�
�
������
������
�� 20%��
�����
������
�����
������
�� 20%��
����
����
���
�����
SOX ����
������
���
������
�����
�+�5%�
SOX �����
��GLB ���
��������
�������
�������
�������
�������
�������
��
ID ������
�������
�������
��������
�������
���
�
�����
�+�5%�
�
�����
������
����
����
���
��
������
�����
������
�� 20%��
������
�� 10%��
ID � � � � �
��
ID ������
��������
��
��
������
�� 20%��
������
�� 20%��
�������
���
ID ������
��
����
�� ��� �������������������� 2 ������������
������������������������������������
���������SOX �������������������������
�������
�� SOX �������� 4 �������������������������
48
47
�� 10 ��������������������20 �����������
�������
�� SOX ���� IT ��������
���������������������
��������������������������� IT ��������
����������������������
�� ������������������������� 20�����������
��������������������������� 10%��������
��
������+-5%���������������������������
������������������������������������
����������������������������ID �������
���������������������������
f. ���������������������
SOX ������
����
���� ����
���� ����
����
N/A
25
N/A
���� A N/A
0
0
��
SOX ���������� N/A
N/A
������4 ������
�������������
������������
100 �����������
�������������
�������
��
SOX ���������� N/A
N/A
�������������
������ 3 ������
���������
���� B N/A
0
0
��
������������� N/A
N/A
���������5 ���
�������� 1 ����
��� A
N/A
10
N/A
6
N/A
� � � � N/A
�
����
N/A
3
N/A
��� B
N/A
10
N/A
SOX ������
���� ����
���� ����
10
N/A
0
0
N/A
N/A
N/A
N/A
0
N/A
0
N/A
6
3
N/A
N/A
3
3
N/A
10
������������ SOX �������������������������
�������������������������� SOX ������������
���������������������������� SOX ����������
����������
49
48
�����������
a. SOX ���������������������������������b. ��
�����������������������
����
���� A
��
��
���� B
��
��� A
�����
����
��� B
������
������������������
������������������
������������������
������������������
�������������
SOX ���������������
���SOX ������������
����������������SOX
�����������������
��������������
�����������������
������������������
�������������
SOX ���������������
�����������������
����������
SOX ���������������
������������������
��������
�����������������
������������
�����������������
�������������
ID ������� ID ��������
�����������������
�������
�����������������
������SOX �� HIPAA ����
������������������
����������������
������������������
�����������������
������������
���������
���������������
��������������
��������������
��������������
������������ID �
���������
�������������
��������������
�������������
ID ������������
�������������
��������������
���������������
��������������
�������
ID �������������
����������
�������ID ������
��������
���������������
��������������
���
�����������������������������
�� ������������������������������������
�������������������
�� ����������������������������� ID ��(identity
theft)����������
���������������������������
50
49
�������������
1. ���� 2. � �
���
���
��
���
����
���� 47,000
160 �
����
A
��
��
����
B
��
��� A
����
�
����
��� B
3. �����������
PC ���
����
�����
� PC �
4. ��������
��
���
��
30,000
N/A
N/A
15,000
25
15
6,000
10.35 �
UNIX:800
Windows:
2,000
10,000
5,000
6,000
� 56,000
10.3 �
6.5 �
118 �
1,000
500
80,000 ��
5,000
1,200
� 50,000
12
11
87
35
0
85
31,485
32,700
94,000
18 �
192.6 �
340 �
1,000
10,000
4,000
3,000
6,000
1,000
6,970
� 300,000
14.3 �
177.1 �
5,000 ��
10,000 ��
2,700 ��
6,000 ��
N/A
30 ��
10 ��
���
����
4
140
N/A
48 ��
175 ��
����
���
2
95
���� ���
�����SOX ��������������������������������
����GLB �� FTC ����������������HIPAA ����������
����������������������������������������
����������������������������SOX ������ IT ��
������������������������
SOX �������������������������������������
����������������������������������������
����������������������������������������
ID ����������������������������������������
���������������������� SOX ����������������
��������������������������������������
51
50
�� �� �
�������������������
���� ������������������������������
� � � � �����������
��������
���������������������������������������
����������������������������������������
�����������������������������
��������������������
������Web ������������������
������2006 � 11 � 22 ��26 �
�����������������������������
� � � � � � ����� 50 ������������
�����500 �
������
-
�������������PC ������ SOX ������ ��
-
����������������
-
����������� SOX ���
-
��������������
-
�������������
-
����������������
-
�����������
�������
���������������������������������������
����������������������
�� ��������������������������
�� ������������������������������������
������
�� ������������������������������������
������������������������
� �������������������������������������
52
51
A���������
� ����� IT �����
�500 ������ 15.5%������
�1000 ���5000 ��
���� 13.9%��������Q11��IT ���������������������
�5-10%���� 14.2%����������Q12������������������
���������������41.0%���������������������20.4%�
����1/4 �����������
���������������������������������������
���������������������������������
�� 4-1� ����������������
��
�������
���
��������
���
�������
���
��������
�������
���
��������
�������
���
���
����
���
���
���
���
����
����
����
���
����
���
���
����
����
����
���
���
���
���
����
����
����
��� ���
���
��� ���
����
���
����
�������������
�������
�������
���������
�����
���������������
����������
�����������������
������������
�� 4-2� �����������������
�������
��������
�������
��
���
��� ��� ���
��������
�������
���
��������
�������
���
���
���
����
���
���
���
����
����
���
����
����
���
��� ���
����
���� ��� ���
����
���
����
����
����
��� ���
����
��������
����
��������
������
�����
53
52
������
�����
�������
����
�� 4-3� ���������������������
��
�������
��������
�������
���
���
���
���
����
���
���
����
����
����
���
��������
�������
���
����
���
����
����
���
��������
�������
���
����
���
����
����
���
������������������
������������������
������������������
������������������
����������
�����
B����������
����������������������� 42.0%���������� 56.8%
��������Q14-1��������������������� 47.7%������
�������������� 42.7%����������Q14-2��
������������������������ 64.1%������� 59.2%��
����������� 66.6%��������������������������
������Q15-1��������������������������������
������������ 1/3 ��������������������������
��� 47.2%����������
�����������������������������������
�� 4-4� ����������������
�������
��
���
��������
�������
���
���
����
��������
�������
��������
�������
���
����
����
����
����
����
������
������
54
53
����
����
����
�������
����
�� 4-5� ����������������
�������
��
���
���
��������
�������
���
���
����
��������
�������
���
����
��������
�������
����
����
����
����
����
������
����
����
������
�������
�� 4-6� ���������������������
��
�������
���
���
���
���
����
����
����
��������
�������
����
���
����
����
����
����
��������
�������
���
����
����������
����������
����������
���
�������
����
����
��������
�������
����
���
����
�� 4-7� ���������������������
�������
��
���
���
���
���
����
��������
�������
����
����
���
����
����
��������
�������
����
����
���
����
����
��������
�������
����
����
���
����
55
54
����������
����������
����������
���
�������
����
�� 4-10� ��� SOX ��������������
�������
��
���
��������
�������
��������
�������
��������
�������
���
����
����
���
���
����
����
����
����
����
����
���
����
����
����
����
���
���
������
������
���
����
����
�������
�� 4-11� ����������� SOX �������
�������
�����
�����
����
�����
�����
����
������
���
�������
������
D�������������������
� ��������������������������������
��������
���������������78.9%������������VPN ����������
�68.0%����������
�����������
�51.5%��
������������
�49.6%��
�web ����������������
�49.4%��
�����
��������
�46.8%������������������
�������
�������������
�40.4%���������������������32.7%����
����IC �����
�������������������������������������41.3%��
��������������������������31.8%�������������
��������32.5%�������������������������
� ���������������������������������������
�� 10%������������������������������������
�����
� �����������������������������������8�9 ��
��������������
57
56
�� 4-12� ������������������
�����Q21 ����
�������
��
���
����������������
���
����
�����
����
�����
������������������ ����
����
�����
����������������
�����
����
�����
�����
����
�����
�����
�����
�����
�����
����
�����
���������������������
����
�����
����������������
������������������
�����
������������������
�����
�����
�����
����
�����
���� ����� ����
�����
��������������������
����
�����
����
�����
�����
�����
�����
�����
�����
�����
���������
����
�����
����
�����
����
������������������� ����
���������������
���
����
�����
����������������
���
������������������������
�����
�����
�����
�����
����������
�����
�����
�����
�����
�����������������
���������������������
����������������������
����������������������������
��������
�������
����
�����
����
����� �����
�����
���
58
57
�����
����
����
�����
�����
����
�����
����������������
�����
�����
�����
������������������������
�����
�����
�����
�����
�����
�����
����
�����
�����
�����
�����
�����
����
�����
�����������������������
�����
����
�����
�����
�����
����
�����
�����
����
�����
�����
�����
�����
�����
���������
��������������������
�����
�����
�����
�����
�����
�����
�����
�����
���������������������������������������
���������������������������
����������
�74.1%��
�����������
�73.0%��
��������������������
�68.2%��
��
����������61.0%��������������������������56.0%��
��������������53.0%�����
�� 4-13� ���������������������������������
�����Q22 ����
��
���
���
���
���
���
���
���
�����
�����������������������
�����
�����������������������
�����
�������������������������
�����
����������������������
�����
������������������������
����������������������
�����
����������������������������
�����
�����
�����������������������
�����
���������������������������
�����
�������������������������
�����
�������������������������
�����
����������������
�����
�������������������������������
�����
�����������������
�����
������������������������
�����
����������������
�����
���������������������������
�����
���������������������������
�����
����������������������������
�����
�����������������������������������
�����
������������������������������
�����
�������������������������������
�����
�����������������������
�����
������������
�����
��������������
�����
��������������
�����������
59
58
���
�����
���������������� SOX ���������������������
������������������������
�����������������
����
�92.9%��
��������������������
�83.3%��
���������
�76.6%��
����������IC �����
�72.4%��
��������
��������
���IC �����
�72.1%�����������������������������
��������������������
����
�������������������������
�54.8%��
�������
������������������������52.3%���������������
����������
�52.8%��
������������
�50.0%�����������
����
�� 4-14� ����������������� SOX ����������
�����Q24 ����
��
��� ��� ��� ��� ��� ��� ��� ��� ��� ����
�����������������������
�����
�����
����������������������
�����
�������������������������
�����
���������������������
�����
������������������������
����������������������
�����
�����
����������������������������
�����
�����������������������
�����
���������������������������
�����
�������������������������
�����
�������������������������
�����
����������������
�����
�����
�������������������������������
�����������������
�����������������������
�����
�����
����������������
�����
��������������������������
�����
���������������������������
�����
����������������������������
�����
����������������������������������
�����
������������������������������
�����
�������������������������������
�����
����������������������
�����������
�����
�����
��������������
�����
�������������
�����������
60
59
�����
E������������������
����������������������ID ��������ID �������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
�������������������������������������
F������������ SOX �������
������������������������������������67.8%��
�USB ���� CD-R ������������������������64.9����
������Q23�������������� 2 �������������������
��������
�USB ���� CD-R �����������������������
�86.3%��������������� PC ��������������������
������������������������
�� 4-15� ����������������������
�������
��
���
���
���
���
����
����
����
����
����
��������
�������
�����������
���
���
����
����
����
����
��������
�������
����
����
��������������
������������
������
���������������
�������
������������
������
���
����
����
����
����
��������
�������
����
����
���
����
61
60
��������������
������������
���������
���
����
�40.5%����
��� SOX ����������
�����������������
�����������������������37.6%����������������
�34.8%���������Q30��
����������������������������������������
����������������������������������������
���������
����������������������
�����������
������������������
�� 4-16� ��� SOX ������������������
��
���
���
���
���
����
����
����
����
����
����
��������
������
���������������
��������������������
������������
��������������������
����
����
����
����
���
����
����
������������
���
����
����
�����������������
����
����
���������������������
�����
������������������
����
����
��������
������
����
����
����
����
����
�������������������
�������
�����������������
����
���
�����������������
���
���
����
����
����
��������
������
���
����
����
����
��������������������
�������������
���
�����������
����
����
�����
����
����
���
����
����
G����������������������� SOX ����
� ���������������������� SOX ������
���������
�27.0%�����������54.5%������8 ����������������
��Q29�������������������������������������
��
���������
��������������������������
�����
���������� 2 ������
62
61
�� 4-17� ���������������������� SOX �����������
�������
��
���
��������
�������
���
���
����
���
����
����
���
��������
�������
����
����
��������
�������
����
����
����
����
���
����
���
�������
������
���������
�����
H������������������������
�12.1%��
� �����������������������
��������������
�����������������43.6%���������������������
��������Q31-1������������������������������
�������CSR �����������������������
� ���������������������������������������
��������������������
�� 4-18� ������������������������������
�������
��������
�������
��
���
���
����
��������
�������
����
��������
�������
���
���
���
����
����
����
����
����
����
������������
�������������
����
���
����
����
��������������
��������
� ���������������������������������������
�����������������14.1%������������41.5%�������
�������������
� ���������������������������������������
����������������������������������������
63
62
����������������������������������������
�����
� ���������������������������������������
�������������� 6 �������������������������
�� 4-19� ������������������������������
��
�������
���
��������
�������
��������
�������
��������
�������
���
����
���
����
����
���
���
����
����
����
����
�������
���
����
����
�����������
����
��������
����
���������
�� 4-20� ������������������������������
��
�������
���
���
���
����
������������������
���
����
����
���
���
���������������������
����
����
����
���
�������������������� ���
���������������
���
�����������
����
����
����
����
����
�������
����
��������
���������
�������������������
� ������������������������5.1%�����������45.3%�
�����������������������������������������
� 13.7%���������Q32-1��
� ����������������� 7 ���������������������
������ 4 �����������
64
63
�� 4-21� ������������������������
��
�������
��������
�������
��������
�������
���
���
���
���
���
����
���
����
����
����
����
����
�����
���
����
����
�������� ���
�������
����
����
����
�����
� ���������������������������
����������
�58.2%�
������������������50.0%�����������������49.3%��
�49.3%��
�������������
�47.5%���������
�����������
���������
� ������������������������������
�����������
� 2 �����������
����������������������������
����������������������������������������
����������������������������������
�������
�������������������
�� 4-22� ����������������������������������
�������
��
���
���
���
���
����
����
����
��������
������
����
����
��������
����
����
���������
����
���
����
����
����
����
��������
������
����
�����������
����
����
���������
���
���������
����
���
�������
����
����
����
����
��������
�������
���
���
����
65
64
����
����
�����������
����
���
����
�� 4-8� ��������������������������
��
�������
���
���
���
���
����
����
��������
�������
����
����
���
����
����
��������
�������
����
����
���
����
����
��������
�������
����������
����������
����������
���
�������
����
����
���
����
C������������ SOX �������
������������ 59.6%��������14.9%������������ 3/4
��������������������Q17��
��� SOX ���������������28.1������������������
� 13.0%�
������ 18.3%���������Q17�������������
����
��� 20.3%������� 27.3%���������� 32.3%������������
����������������������������������������
�����������������������������
��������������������������������� SOX ����
���������
�� 4-9� ��������������������
�������
��
���
���
��������
�������
���
����
��������
�������
��������
�������
���
���
����
����
���
����
������
56
55
������
����
�������
��� ���
���
���
����
����
����
����
����
���
���
������
� ���������������������������������������
�����������������������������������������
����������������
�� ����������������IT ��������������������
���������������������
�� �������������� 3/4 ��������������� SOX ���
����������������������������
�� ������������������������������������
���������������������������
�� ������������������������������������
��������������
�� ��� SOX �������������������������������
������������������������������������
��������������������������
�� ������������������������������������
�������������
�� ���������������������8 ������� SOX �����
������������������������������������
�����
�� ������������������������������������
������������������������������������
������������������������������������
������������������������������������
����������������������������������
�� �������������������
�������������������
������������������������������������
������������������������������������
������������������������������������
����������������������������
� ���������������������������������������
������������������������ SOX ��������������
����������������������������������������
����������������������������������������
��������������������������� SOX �����������
���������������������������������������
66
65
� ���������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
���������
���� ������������������������������
� � � � �����������
��������
� ���������������������������������������
� SOX ��������SOX ��������������������������
����������������������������������������
�������������
� ��������������������������
�
�����������������
������2006 � 12 � 8 ��12 ��13 ������
��������������������������������
�������������������� SOX ������������ SOX ���
����������������������������������
������������������������������
������
� � (1)� ����������������� SOX ��������
� � (2)� ��� SOX �������������������
� � (3)� ��� SOX ��������� IT ��������������������
� � (4)� ��� SOX �������������������������������
��
� � (5)� ��� SOX �����������������������
� � (6)� �����������
67
66
��������
� ���������������������������������������
������������������
�
����� 1�����������������������
����
����
����
��
��
������
������
��
��
�������
������
����
23
SOX �����
�������
�������
�����
IT ������
�������
�������
�������
�������
����
���
�2006 ������
����������
���
����������
����������
� � �� �� � � �
� � �� �� � � �
���
���� SOX ���
� � �� �� � � �
���������
����������
����������
�������
�SOX ������
�������
�2006 � 8 ����
� � �� �� � � �
� � �� �� � � �
����������
����������
����������
��������
���
����
����������
����
����������
���
���
���������� �SOX ������
���������
����������
� � � � �� � � � ���
��������
����������
���������� �������
����
� � � � �� � � �
��ISMS ������
�SOX ������
����������
����������
����������
� � � � �� � � �
��
�SOX ������
�������
����������
����������
�������
����������
����
����������
����������
� � � � �� � � �
������
����������
�������
�������� ID ����������
���
���
�USB ������
� � � � �� � � �
� � � � �� � � �
����������
� � � � �� � � �
����������
��������
��
����������
� � � � �� � � �
SOX ��������
����������
�SOX ������
�������
��� 2 ������
PC ��������
����������
����������
�� SOX �����
�������
�DRP24����
����������
e ���������
����������
����������
����������
����������
������� SI �
����������
�������
����������������1,000���������300����1,000�������
��300��������
��
�DRP�Disaster Recovery Plan���������
68
67
�������
���������� ���������� � � � � �� � � �
���������� �� 3 ������� ����������
���������� ������
�����
������
� � � � � � � ���������
���������� ����������
�������
�������
����������
��
� � � � �� � � �
���������
� � � � � � � � � �� �� � � � ���������� ����������
�������
��
���������� ����������
���������� � � � � �� � � � ����������
� � �� �� � � � ���������� ����������
�������
� � � � �� � � � ����������
���������� ����
���
����������
� � �� �� � � �
���������
�������� ���
���
�����
�
���������� ���������� ����������
� � �� �� � � � � � � � �� � � � � � � � �� � � �
�����
����
���
���
� � � � �� � � �
��
69
68
�������������������������������
��� E
��� F
��� G
����
��� D
��
��
������� ���
���
���
��
��
��
����� �
�����
������
�������
�
����
���
���
���
���
SOX �����
������� ������� ������� �2007 � 4 ��
�������
����
���
�������
���� ISMS
�����
� � � � � � � � � � � � � ������
�������� �������
� � � � � � � �������
������� ��������
�����
�������
������� �������
�������
������� ��
�������
�������
�������
��/SOX ���
IT ������ ������� ������� ������� �������
� � � � � � � ���
���
���
���
�������
���� 1 �� ������� ��� PC �� �������
�� IC ��� ������� ��� USB � �����IC �
� � � � � � ���
������� �������
������ PC
PC ����� ���
������
������� ����� PC
��
��
�������
�������
������� � � � � � �
�������
� � � � � � ��PC ���
������
��
�����
�������
������� N/A
�������� �������
�������
������
�������
������
��
� � � � � � � ������� ������� ������
�������
������� �
�
��
��
� � � � � � � ������� ������� ������� �������
� � � � � � � ������� ������� ������� �������
����
� � � � � � ����
����� PC�
������� �������
�������
������� �������
������
������� �������
��
�������
������
�������
� � � � � � � �SOX ���� ������� ������� �������
�������
������� ������� ������� �������
��
PC ����� � � � � � � �������
������� ������ PC ������� �������
������� ����
������� �������
������
������� ���
�������
���
�������
�������
������� ��
70
69
�������
�������
�FAX ����
�������
�������
���
�������
�������
���
�������� ���
�
�������
������
�������
�������
�������
�������
�������
�������
�������
�������
�������
�����
�������
����
� Windows �
Linux ����
���
�����
�������
�������
�������
�������
������
�����������������������������
����
��� H
��� I
��� J
��
��
���
��
���
��
��
����
������� ����
������� �
������
����
���
���
���
SOX �����
������� �SOX ���� �SOX ����
������� ����
�����
������� ������� �ISMS ��� 3
������� ����
�������
���
�������
�������
�����
�����
IT ������
�������
�������
�������
�������
����
�������
�������
�������
�������
�������
�������
�������
�������
�����
�������
�������
������
�������
�������
�������
����SOX �
�������
������� ��������
������� �������
� � � � � � �������
��
�������
� PC � HDD
����USB �
�����
�e �����
���
�������
������
��������
�������
71
70
�����
�������
��� K
���
�������
�
���
�������
�������
�������
SOX �����
�������
�������
�������
���
�����
�������
�������
���
�������
�������
�����
����� IDC
����
��������
PW �����
�������
�������
����SOX �
�������
�������� �����
�������
�������
��
�������
��
�������
��
�������
������
�������
�������
�������
�������
�������
�����
� � � � � � � �������
�������
�������
�����
�SOX ����
�������
�����
�������
�������
��� PC�
�������
�������
����
��������
�
�����
�������
�������
�������
������
��
�������
��
�����
����� PW
�������
�������
�������
�������
�����
��������
�������
������
�������
��� PC ��
�������
�������
�������
�������
���
�������
�������
�������
�����
�������
����
�����
�����
������� �SOX ����
������� �������
������� �������
������
�������
�������
������
�������
�������
�������
������
�������
�������
�����
�������
������
� � � � SOX
�������
����
�������
�������
��������
�������
�������
�������
�������
������
�����
�
�������
�������������������������������SOX ������
����SOX �������������������������SOX �������
����������������������������������������
���������
��������SOX �����������������������������
�����������������������������������������
SOX �������������������������������
���� 1�����������������������������������
����������������������������������������
��BCM�Business Continuity Management�������������������
���������� PC �������������������������DRP �
72
71
����������������������������������������
������������������������ SOX ��������������
�����������������������������������������
������� SOX ��������������������������������
������ SOX ��������������������������������
���������������� PC �����������������������
����������������������������������������
������������������������SOX ��������������
�����������������������������������������
����������������������������������������
������������������������ iDC ��������������
����������
���������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
������������������ SOX ��������������������
���������������������������
���������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
������
������������������������������������� SOX
��������������������������� SOX �����������
����������������������������������������
�����������������������������������������
SOX ��������������������������������������
����������������������������������������
����������������������������������������
�������������������������
73
72
���� �����������������������
���������������������������������������
���������������
���� SOX ��������������������������������
����������������������������������������
���������������������������SOX �����������
����������������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
������
���������� SOX ���������������������������
����������������������SOX ����������������
����������������������������������� SOX ���
����������������������������������������
SOX ��������������������������������������
����������������������������������������
�����������������������������������SOX ���
��������������������������������������� SOX
����������������������������������������
������������������������������
74
73
�� �� �
��
���� ��������������������������
��������� 1 ��� 2 �������������������������
����������������������������������������
���������������������� SOX ����������������
����������������������������������������
����������������������������������������
������
���� 3 ��� 4 ������������������������������
������������������������������������SOX ��
����������������������������������������
����������SOX ����������������������������
����������������������������������������
����������������������������� SOX ���������
���������� SOX ����������������������������
����������������������
���������������������������������������
���������������������������SOX �����������
����������������������������������������
���������������������SOX ������ IT ���������
����������������������������������������
�����������������������������������������
���SOX ����������������������������������
����������������������������������������
����������������������������������������
����������������������������������������
���������������������������������
75
74
���� ���������������������
���������������������������������������
����������������������������������������
������������������������ IT ���������������
����������������������������������������
�������������������������������� SOX ������
�������������������������������� IT �������
����������������������������������������
��������������������
������������������������������������� IT �
����������������������������������������
����������������������������������������
���25�����������
JEITA ����������IT �������������������������
�����������������������������������������
���������������������������������������
������������
������ SOX �������������������������������
��������� IT ������������������������������
����������������������������������������
����SOX �����������������������
�
��
������������������������������������������
��������������������������������������������
�����������������������������������������������
�����������������������
76
75
付
録
1.カーネギーメロン大学日本校
視察結果
2.京都大学高倉弘喜助教授による講演
3.
「コンプライアンスのための情報セキュリティ対策に関する
アンケート調査」 単純集計結果
4.
「コンプライアンスのための情報セキュリティ対策に関する
アンケート調査」 調査票
���� �������������� ����
���������������������� ����� �������
�� ���������������������������������������
������������� CISO �����������������������
����������������������
�� ������������������������������ CMU � CERT/CC
���������������������������������������
�������������
�� CMU ������������������������������������
���������������12 �����������
�� ��� 700 ���CMU ����������������������������
�����������������������������������
���������
� ������������Fundamentals of Telecommunication Network��
� ��������������
���CMU ������������������������������������
�� �������������������CMU �������� CMU ������
��2005 � 8 ��������
�� �������� CyLab ��������������������������CMU
���������������������������������������
������������
�� ���������������������
�� ���������������������������������������
���������������������������������������
���������������������
�� ����CERT ��������������������������������
�������������������������
�� ����������������
�� ���������������������������������������
��������������������������������������
�����
�� �������������������������
�� ����������������������������
�� ��������������
i-1
i-1
�����������������������
�����������������������������
� � �������������������������
�� �����������������������
�������
�������
�Prof. Nicolas Christin
�Prof. Justin Zhan
�����������������
�Daver Pishva ����
�����
�� ��������������
� ���������1/3�1/4 �����������������������
�������������������������������� SOX ��
������������������������������������
�������������������������������
�� ������������������
� ������������������������������������
����������������������� 1 �������������
���������������� 1 ��������
�� �������������������
� ������������������������������������
������������������������������������
������������������������������������
������������������������������������
ad-hoc ���������������������������������
������������������������������������
������������������������������������
��������������������������
�� ��������������
� ������������������������������ 9 ��2 �� 8
�������������������������� 15-30 ��
�� ���������������
� ��� 9 ���� 7 ���������������������������
�������������������
i-2
i-2
���� ����������������
����������������������������������������
����
��������������
�� ���������������������������������������
���������������������������� 1/100 ��������
����������
�� ���������������������������������������
���������������� 100%��������������������
������������
�� ���������������������������������������
����
�� ��������������������������
�� ���������������������������������������
�����
��������
�� ��������������������
�������������������������������������
�������������
�� ������������� �� ����������
�� P2P �������������� �� ���������
� � P2P ����������������������������������
�Firewall�IDS�IPS����
�� FW/IDS �����������������
�� FW
� � �������������
� � �� �������������������
� � �� ���������������
�� IDS�IPS�
� � �������������
� � �� ������������������
� � �� IPS ��������
� � �� ����������
iii-1
i-1
�� ������������������������������IPS �������
���������������������������
� �����������������������������������
�����
�� WinOS ������������������PC ����������������
�����
������������
�� wmf �����������2005/12 ���
����
Windows �����������������������������������
���������������������1 �����������������100
���������� 1 ����������������������������
��������
����
� 12 ����IDS ���� HTML �����������
� 12 ����������������
� 1 �����������
� � ��������������������������
�������������� Web ��������
�
���������������������������������������
��
�Honeypot ��������
�� �� Honeypot �������2004 � 12 ��
samba �����������������IDS �������
� Honeypot ���������Not malicious �������������������
������
������������
�� TCP/445 �����������MD5 ������
�� �� IDS ���������������������������������
�� ���������������������������������������
���������������������������������������
�����������
�TCP ����������������
� UDP ������������������������������
����������������
�� ���������������������������������������
�����������������������������
�� ��������� embedded OS
� Linux,BSD,windows � OS ���
OA������������
� ���TV,VTR,���,����� ������������
� � ���������
� ������������� OS ��������������������
� � ������������������
iii-2
i-2
� � ex������������ 2 � OS ���������������������
���������������
�Embedded OS ������
�� �������������������� embedded OS ������������
���
�� Embedded OS + Freeware/Shareware ���������������������
Freeware ��������
�� ���������������������������������������
�������������������������������������
�� ������� OS ��������������
����
�� ��������������������FAX�����������������
������Windows ����������������������������
����������
�� �������������������������������������
WinCE �����������������������������������
��������������Windows ��������������������
�����������������������������IC ��������
�����������������
�� ����������� Windows �����������������������
���������������������������������������
�����������������������
�� ���������������������������� 2,3 ���������
������������������
�����
�� �����������������������������������
� ������������������������������������
������������������������������������
����������������������������
�� �������������������
� ������������������������������������
������������������������������������
������������������������������������
������������������������������������
�������������������������������IDS ���
������ 10�100 ������������� 2,000 ����������
������������������������������������
iii-3
i-3
���� ���������������������������
��������� ������
�����
Q1-1� ����������������������
�������
�������
�����
�����
����
������
����������������������
����������������
�������
�������
����
����
�����
������
����������������������
����������������
Q1-2� ���������������������������
�������
�����
����
����
����
�����
����
������
����
�������
�-1
iii-1
������
Q2� ��
�������
��
�����������
���
���
�������������
���
������
�������
������
����
�����
���������
��������������������
���������������
�����
��������
���
���
���
����
�����
�����
����
����
�����
����
�����
����
����
����
�����
�����
����
����
����
Q3� ����
�������
��
���
���
���
�����
�����
�����
��������
��������
�����
�����������
�����
�����������
����
�����
��������
Q4� ���
������� �����
�����
�����
�����
�����
����������
�������
����
���������
������������
�-2
iii-2
���
Q5� ��������
�������
����
�����
�����
�����
�����
�����
������������
��������
����������
��������������
Q6� ������������������������
�������
����
�����
�����
�����
�����
���������
������
�������
�����
��������
Q7� �������������������������������������
�������� � � � � � � � � � � � � � � � � � ����������
�������
��
���
���
��
��
�����
��
���
�����
����
�����
�����
�����
��������
�����
�����������
����
�����������
��������
����
�-3
iii-3
���
����
��������
����
���
�����
�������
����
��������
��������
�����
�����
�������
��������
��
��
����
�����
�����������
�������
���
����
��
�����������
���
����
����
Q8� ��������������������������������������
����������������
�������
��
���
���
���
����
������
�����������
����
����������
����
����������
����
����������
����
�����������
����
�������������
����
��������������
���������������
���
����
����
��������
����
�����
�����
���������
Q9� ��������������������������
����������������� � � � � ��������������
�������
�������
�����
�����
�����
�����
�����
�����
������������
������������
��������������
������������
������������
��������������
�-4
iii-4
Q10� ��������������������������������������
����������
�������
��
���
���
���
������������
���� ���������
����
���� ����� ����
�����
�����
����������
����
����
�����
��������
����
���� ���������
����
�����
������������
����������
���
����
����
�����
����� ����
�����
����
����
���������
���� ����� ����
�����
��������
�����
����
�����
�����
����
�����
����
����
����������������
�����������������
�����
�����������������������������
�����
�����������
����
����
�����
�����
�����
����
����
�����
�����
����
�����
�����
����
����
�����
����
�������
�����
����������
�����
�������������������
�����
�������������
������������
���������������������
�������������
�����
�����
�����
������
�����
������
�����
���������������
�-5
iii-5
�����
����
����
����
����
�����
����
�����
����
�����
�����
����
����
����
����
����
����
�����
����
�����
�����
�����
�����
�����
����
�����
����
�����
����
������ �����
����
�����
�����
�����
Q11� ����� IT ������������������������������
�������
��
��
���
���
���
���
���
����
����
�����
�������
�����
��������������
�����
���������������
����
������������
����
���������
����
����������
����
������������
����
�������
�����
�����
Q12� ��� IT �������������������������
�������
��
���
����
���
���
����
������
����
�����
������
�����
�������
�����
��������
�����
���
����
����
��������
���
����
����
�����
�����
Q13� �������������������
�������
��
���
������������������
���
���
���
���
����
������������������
�����
����������
�����
������������������
����
������������������
����
�����
�����
�-6
iii-6
Q14� �����������������������
Q14-1� ����
�������� � � � � � � � � � � � � � � �������
�������
�������
�����
�����
�����
�����
�����
�����
������
������
�������
������
������
�������
Q14-2� ����
�������� � � � � � � � � � � � � �������
�������
�������
����
�����
����
�����
�����
�����
�����
�����
������
�����
�����
������
������
�-7
iii-7
�����
�����
������
Q15� ����������������������
Q15-1� ����
����������
�������
��
��� ��� ��� ��� ���
�����
����������
�����
����������
�������������
��������������
���
�����
����
�����
�������
��������
�������
��
��� ��� ��� ��� ���
�����
����������
�����
����������
�������������
��������������
���
�����
����
�����
�������
��������������
�������
�� ��� ��� ��� ��� ��� ���
�����
����������
����������
�����
�������������
��������������
�����
���
����
�������
�-8
iii-8
�����
Q15-2� �����������������
����������
�������
�����
�����
�����
�����
������
�����
�����
������
��������
�������
�����
�����
����
�����
������
�����
�����
������
��������������
�������
�����
����
�����
�����
������
�����
�-9
iii-9
�����
������
Q16� ����������������������������
Q16-1� ����
����������
�������
��
���
���
���
���
�����
����������
�����
����������
�������������
��������������
���
�����
����
�����
�������
���������
�������
��
��� ��� ��� ��� ���
�����
����������
�����
����������
�������������
��������������
�����
����
���
�����
�������
��������������
�������
��
��� ��� ��� ��� ���
�����
����������
�����
����������
�������������
��������������
���
�����
����
�������
�-10
iii-10
�����
Q16-2� �����������������
����������
�������
�����
�����
�����
�����
������
�����
�����
������
���������
�������
�����
�����
�����
�����
������
�����
�����
������
��������������
�������
�����
����
�����
�����
������
�����
�����
�-11
iii-11
������
Q17� �����������������������������
����������
�������
����
����
�����
�����
�����
����
������
���
�������
������
����� Sarbanes Oxley ��SOX ��
�������
�����
�����
�����
�����
�����
����
������
���
�������
������
������ SOX �
�������
�����
�����
�����
�����
�����
����
������
���
�������
�-12
iii-12
������
Q18� ����������������
Q18-1� ����
����������P ����� � � � � � � � ���ISMS �������
�������
�������
�����
�����
�����
�����
�����
�����
�����
�����
����
�����
����
�����
�����
������
�����
������
�����������������
Q18-2� ����
����������P ����� � � � � � � � ���ISMS �������
�������
�������
����
�����
�����
�����
�����
�����
�����
�����
�����
�����
��������
������
������
�����
������
��������
������
�-13
iii-13
������
�����
������
Q19� ISO/IEC15408 (��������������) ���������������
�������������
�������
�����
�����
�����
�����
������������������
��������������
��������������
������������
Q20� �������������������
�������
��
���
���
���
���
���������
�����
�����
�����
�����
����������������������
�����
�����
�����
�����
����������������������
������������
�����
�����
�����
�����
�����
�����
�����
�����
���������������������
�����
�����
�����
�����
����������������
�����
�����
�����
�����
���
�����
�����
���� ����
������ ������
�-14
iii-14
�������
�����
����
�����������
Q21-1� ��������������������
�������
��
���
����������������
���
����
�����
����
�����
������������������ ����
����
�����
����������������
�����
����
�����
�����
����
�����
�����
�����
�����
�����
����
�����
���������������������
����
�����
����������������
������������������
�����
������������������
�����
�����
�����
����
�����
���� ����� ����
�����
��������������������
����
�����
����
�����
�����
�����
�����
�����
�����
�����
���������
����
�����
����
�����
����
������������������� ����
���������������
���
����
�����
����������������
���
������������������������
�����
�����
�����
�����
����������
�����
�����
�����
�����
�����������������
���������������������
����������������������
����������������������������
�����������������������
�����
��������
�������
����
�����
����
����� �����
�-15
iii-15
�����
����
�����
���
�����
����
�����
�����
�����
�����
����
�����
�����
�����
�����
����
�����
�����
�����
�����
����
�����
�����
�����
�����
�����
����
�����
�����
�����
����
�����
�����
�����
����
�����
������������������������
����������������
�����
�����
�����
���������
��������������������
�����
�����
�����
�����
�����
�����
�����
�����
Q21-2� ����������������������������
��
���
���
�����
�����������������������
�����
�����������������������
�����
�������������������������
���
���
����
���� ����
���� ����
����� ����
����������������������
�����
��������
������������������������
�����
��������
�����
����������������������
�����
����������������������������
�����
�����������������������
�����
���������������������������
�������������������������
�����
�������������������������
�����
���� ����
����
����
����
����
����
����
��������
��������
����������������
�����
����
����
�������������������������������
�����
����
����
�����������������
�����
��������
������������������������
�����
��������
����������������
�����
��������
�����
���������������������������
�����
����� ����
����������������������������
�����
����
����
��������
�����������������������������������
�����
��������
������������������������������
�����
��������
���������������������������
�������������������������������
�����
�����������������������
�����
����
����
��������
������������
�����
��������
��������������
�����
���� ����
��������������
�����
���� ����
�����
�����
�-16
iii-16
�����
�������������
Q22� ���������������������������������������
������������
��
���
���
���
���
���
���
���
���
�����
�����������������������
�����
�����������������������
�����
�������������������������
�����
����������������������
�����
������������������������
����������������������
�����
����������������������������
�����
�����
�����������������������
�����
���������������������������
�����
�������������������������
�����
�������������������������
����������������
�����
�������������������������������
�����
�����
�����������������
�����
������������������������
�����
����������������
�����
���������������������������
�����
���������������������������
�����
����������������������������
�����
�����������������������������������
�����
������������������������������
�����
�������������������������������
�����
�����������������������
�����
������������
�����
��������������
�����
��������������
�����
�����������
�-17
iii-17
Q23� �����������������������������
�������
��
��� ��� ��� ��� ��� ��� ��� ���
��������������
�����
������������������������
��������
�����
��������������������������
�����
�����
�����
�������������������
�����������������������
�������������
���
�����
����
�����
�������
���� SOX �������
Q24� ����������������� SOX ������������������
�����������������
��
��� ��� ��� ��� ��� ��� ��� ��� ��� ����
�����������������������
�����
�����
����������������������
�����
�������������������������
�����
���������������������
�����
������������������������
����������������������
�����
�����
����������������������������
�����
�����������������������
�����
���������������������������
�����
�������������������������
�����
�������������������������
�����
����������������
�����
�����
�������������������������������
�����������������
�����������������������
�����
�����
����������������
�����
��������������������������
�����
���������������������������
�����
����������������������������
�����
����������������������������������
�����
������������������������������
�����
�������������������������������
�����
����������������������
�����������
�����
�����
��������������
�����
�������������
�����������
�-18
iii-18
�����
Q25� ����������������������� SOX ������������
Q25-1� ���ID ������
������
�� ID �����������12 ��
�� ������������6 ��
�� �������������5 ��
�� ������������������������������������
����������� ��
Q25-2� ����������������
������
�� ������������������������������������
�����11 ��
�� �����������4 ��
�� ����������������2 ��
Q25-3� �����������������������
������
�� �������4 ��
�� ��������4 ��
�� ���3 ��
�� ����3 ��
�� �����2 ��
Q25-4� �����������
������
�� ���������������8 ��
�� �����2 ��
�� ������������������������������������
����������������������� ��
�-19
iii-19
Q26� ��� SOX �������������������������
�������
��
���
���
���
�����
�������������������
�����
����������������
�����
�����������������
����
����������������
����
�������������
��������
����
��������
����
����
����������
����
�����������������
����
����������
�����������
���
���
����
����
Q27� ��� SOX ��������������������������������
���
�������
��
���
���
�����
������������������
�����
����������������
������������������
��
��������
���
�����
�-20
iii-20
���
�����
����������������
������������������
���
����
����
����
����
�����
Q28-1� ��� SOX ��������������������
���COBIT 4.0�COBIT 3.0
�������
�����
�����
�����
�����
���������
��������
���������
�������
���ISO2000�ITIL
�������
�����
�����
�����
�����
���������
��������
���������
�������
���ISO27001�ISO17799�ISMS
�������
�����
�����
�����
�����
���������
��������
���������
�������
�-21
iii-21
������
�������
����
����
�����
�����
���������
��������
���������
�������
Q28-2� �����������������
���COBIT 4.0�COBIT 3.0
������
����
����
�����
����
�����
�������
�����
�������� �����
�����
���ISO2000�ITIL
������
���� ���� ����
�����
�����
�������
��������
�����
�����
�����
�-22
iii-22
���ISO27001�ISO17799�ISMS
������
�����
���� ����
�����
�����
�������
��������
�����
�����
�����
������
�����
����
�����
�����
�������
��������
�����
�����
�����
Q29� ���������������������� SOX ����
�������
����
�����
�����
�����
�������
���������
������
�����
�-23
iii-23
Q30� ��� SOX ��������������������������������
�����
�������
��
���
���
���
���
�����
���������������
��������������������
������������
��������������������
�����
�����
�����
������������
�����������������
����������������������
����
������������������
��������������������
������
�����������������
�����������������
���������������������
������������
���
���
�����
�����
�����
�����
�����
�����
����
����
�����������
�����
����
����
������������������������������
Q31-1� ������������������������������������
�����
�������
�����
�����
�����
�����
������������
��������������
�������������
��������
Q31-2� �����������������������
������
�� ���������159 ��
�� IR�������������� ��11 ��
�� CSR ����4 ��
�-24
iii-24
Q31-3� ������������������������������������
�������
�������
�����
�����
�����
�����
�����������
��������
�������
���������
Q32-1� �������������������������������
�������
����
�����
�����
�����
�����
����
����
�����
Q32-2� �Q32-1 ��������������������������
�������
��
���
���
���
���
���
���
�����
��������
�����
���������
�����
����
�����
�����������
���������
�����
���������
�����
�������
����
�����
���������������
���
���
����
Q33� ��������������������������������������
������
�-25
iii-25
���� ������������������������������������ ���
�
�
�
�����������������������������
�����������������������������������
������������������������������������������������������
����
�����������������������������������������������������
��������������������
��������������������
�����
�����������������������������������������������������
�������������������������������
�
����
� ��
�����
日本市場
米国市場
�
�
������� �
上場している
��������� �������������� �
3年以内(2008年度まで)に上場予定である
����������������� �
これらの市場には、上場していない
�����
������������������������������������������������
������ �
��� � �� �
�������� �
�������� �
��������� �
���
������������������������������������
������������� �
����� �
����� �
��������������� �
����� �
�������� �
��������� �
�������� �
������ �
������� �
����������� �
���������������������� �
�-1
iv-1
����������������� �
������� �
���������� �
�����
�
�
���
�����������������������������������
��� ���� �
�������� �� �
�������� �� �
����� ������ �� �
����� ������ �� �
������ ���� �
�
���
����������������������������������
�� ����� �
�� ���� ����� �
�� ����� ����� �
��� ������ ����� �
���� ����� �
�
���
���������������������������������������
�� ����� �
�� ����� ����� �
��� ������ ����� �
���� ������� ����� �
����� ����� �
�
���
�������������������������������������������������������
�� ��������� �
���� ��� �
����� ��� �
������� ��� �
���� ����� �
���
������������������������������������������������������
�������������
�
サーバ系
クライアント系
�����
��������
� ��
�
�
なし
��� �
1� ��
台 �
�-2
iv-2
� ��� �� �
���
� �
2���台~
9 ��
台��
����
��
������
����
10台~99台
�������
�������
100~299
台 ��
������� ��
��
�������
��
300~999
台 � �� �
���� ������
����
��
1000
台~4999台
���� ������
������
�� ��
����
5000
台~9999台
�����������
���� ��� �
����� ����
10000
台以上 �
�
�
���
���
������������������������������������������������������
������������������������������������������������������
�������������������������������������������������������
�������������������������������������������������������
���������
���������
���� ���� �
����
���� ����
��� �� ����� �
����
��� �� �����
����� ��
�� ����
��
�� ����
���� �� �����
����� ��
�� ����
���� �� �����
����� ��
��
��
����
�
�� ���� �������
������ �
��
�����
� �
�������
������
���
�����
���
��������
�������
��������
������ �
���� ����
���� ���
����
���������
������ �
����
����
����
����� ����� � ����� �
�����
�����
�������
� �
������� �
�
�
�����������������������
�����������������������
���������
���������
���
���
�������������������������������������������������
��������������������������������������������������
�
�������
専門の部署/
兼任の部署/
部署/責任者は
������
�������
責任者を設置
責任者を設置
設置していない
�������
�������
������
�������
� ��
�
�
�
�������
������������������
��
������
�������
�
�
�
(1)情報セキュリティ専門の部署 �
�����������������
�
��������������� �
(2)情報アキュリティ責任者
��������������� �
�
�
���������������
���������������
����
����
�����������������������������������������������������
�����������������������������������������������������
�
�
����
���
規定が
規定は、
����
���
����
����
あり、
あるが、
規定を
規定は
わからない
����
����
�����
����
����
���
施行されて �����
施行されて
作成中
ない
いる
いない
�����
�����
����
����
���
� ��
���
����
���
���
�
�
�
�
�
�����������������
��
���
����
����
���
���
�
�
�
�
�
�
(1)機密情報管理に関する規程 �
����������������
��
���������������� ��
(2)個人情報管理に関する規程
����������������
�
�
�������������� �
(3)文章管理に関する規程
��������������
�
�����������������������
�
(4)パソコン利用規程(外部持ちだし、暗号化、
�����������������������
�
BIOSパスワード設定等の情報漏えい対策)
�-3
�-3
iv-3
���� ������������������ �
����������������� メモリ等の情
������
(5)外部記憶媒体利用規程(USB
報漏えい対策)
�������� �
�
�����������������������
(6)ウイルス対策規程(ウイルス対策ソフト、感染
時の対応等)
�������� �
������������������������
(7)電子メール利用規程(暗号化、転送禁止等)
�������������������� �
(8)情報へのアクセス管理に関する規程
(9)情報システムの内部監査に関する規程
��������������������� �
�����������������������
(10)システムへのアクセスログ・操作ログの取
得・監査に関する規程
����������� �
����������������������
(11)外部公開サーバ管理規程(脆弱性検査、
公開審査等)
������� �
����������������������
(12)サーバ管理規程(設置場所、アクセス制
限、パッチ、バックアップ等の情報保護)
�������������������� �
����������������������
(13)サーバルーム利用規程(利用者申請、入退
室記録)
������ �
�
����������������������� �
(14)情報セキュリティ教育実施に関する規程
�����������������������
(15)外部委託先管理に関する規程(選定基準、
監督等)
����� �
����������������� �
(16)外部要員管理に関する規程
������������������������
(17)セキュリティインシデント(事件・事故)規程
(発生時の対応、組織、手順等)
���������������� �
�����������������������������������
(18)災害復旧計画(Disaster
Recovery Plan) �
�������������������������������������
(19)事業継続計画(Business
Continuity Plan) �
�������������
����
����� �� �����������������������������������
�
�
�
�
�
�
�
�
�
�
����� �
��� ����� �
��� ������� ����� �
���� ������� ����� �
���� ���� ����� �
� ���� ����� �
� ����� ����� �
�� ������ ����� �
��� ����� �
������ �
�
����
��� �� �������������������������������������������������
������ �
������ �
�������� �
�������� �
��������� �
�-4
iv-4
���������� �
���������� �
������� �
������� �
����
������������������������������������������������������
�����
�������������������� �
�������������������� �
������������ �
�������������������� �
�������������������� �
������� �
���������
������
������������������������������������������������������
�����������������������
�
�������
�������
� ��
�������
実施している
実施を準備中
実施していない
�
�
�
�������� �
(1)外部監査
�������� �
(2)内部監査
������
�������������������������������������������
�
まだ �1 ���
回のみ
数年に� 1� 回
年に� �1 ��
回
���
�
�1 ��
� ��
��
�
年に複数回
�1 �����
�
(1)外部監査
�������� �
�������� �
(2)内部監査
���������
������
�����������������������������������������������
�
� ��
セミナー ・
講習の開催
������
�����
�
e- ラーニング
の実施
�������
����
�
�������
テキストや冊子
の配布
����
<セミナー講習
��������
で配布される
�������
ものを除く>
������
�
����������� �
(1)一般従業員向け
��������� �
(2)経営層向け
��������������� �
(3)情報システム担当者向け
実施して
いない
�����
���
�
その他
����
�
������
����������������������������������������������
�����������������������������
�
�-5
iv-5
�
��������� �
��������������� �
�
������
����������������������������������������������
�����������������������������
�
�-5
���
�
�1 ��
�
��
まだ �1 ���
回のみ
数年に� 1� 回
年に� �1 ��
回
�
����������� �
(1)一般従業員向け
��������� �
(2)経営層向け
�1 �����
年に複数回
�
��������������� �
(3)情報システム担当者向け
�
������
�����������������������������������������������������
�
� ��
�������
テキストや冊子
����
の配布
e- ラーニング
<セミナー講習
��������
の実施
で配布される
������� �������
ものを除く>
����
������
�
�
� セミナー ・
講習の開催
������
�����
�
����������� �
(1)一般従業員向け
��������� �
(2)経営層向け
��������������� �
(3)情報システム担当者向け
実施して
�����
いない
���
�
その他
����
�
�
������
����������������������������������������
�����������������������������
�
� ��
��
まだ �1 ���
回のみ
�
���
数年に
回
� �1 �
�1 ��
年に� �1 ��
回
�1 �����
年に複数回
�
����������� �
(1)一般従業員向け
��������� �
(2)経営層向け
��������������� �
(3)情報システム担当者向け
���������������������
����
����������������������������������������������������
�������������
� ��
�����
対応済み
�
���
対応中
�
������
対応を検討中
�
�������
�������
対応予定なし
法律を知らない
�
�
����������� �
(1)
����� Sarbanes
��������������
(2)米国
Oxley �
法
���� 法)
��� �
(SOX
������ ���
(3)日本版
SOX �������
法(金融商品取
������� �
引法の一部
���� �������������� ����� ���������������������������������������
�����������������������������������������������������
������������� �
������
����������������������������������������������
�
iv-6
� ��
����������� ����� �
����
�
�����
�
������
�
������
�
�����������������������������������������������������
������������� �
������
����������������������������������������������
�
取得済み
����
�
� ��
取得準備中
�����
�
取得検討中
������
�
取得予定なし
������
�
(1)プライバシー(P
����������� マーク)
����� �
(2)ISMS
������� 適合性評価制度
�������� �
�-6
������
������������������������������������������
�
2003
年度以前
���� ����
�
� ��
2004
年度
���� ����
2005
���� �年度
���
2006
���� �年度
���
わからない
�����
�
����������� マーク)
����� �
(1)プライバシー(P
������� 適合性評価制度
�������� �
(2)ISMS
�
����
������������������������������ ������������������������������
����������������������
�������������������� �
���������������� �
���������������� �
�������������� �
�
�����������������
����
�������������������������������������������������
������������������������������������
� ��
�����
加入している 加入を検討中
������
��
�
�
�����
加入して
いない
����
�
わからない
�����
�
������������� � �
(1)個人情報漏えい補償
�������������������������� �
(2)サイバー攻撃(不正アクセス等)による損失補償
�������������������������� �
(3)ハード・ソフト損壊・データ消失による損失補償
���������������� �
(4)地震・火災による損失補償
������������������������ �
(5)セキュリティ対策ソリューション一体型保険
�������������������� �
(6)製品一体型(ウイルス対策等)保険
(7)その他
�������
�
��������������������������
������
�����������������������������������������������������
������������������������������������������������������
�
� ��
����
�
����������������� �
� ���� ���� �
� �������� �
� �����������
��������������� �
iv-7
�����
�
����
�
�����
�
�������������������� �
�������
�
��������������������������
������
�����������������������������������������������������
������������������������������������������������������
�
� ��
�����
導入検討中
�
����
導入済み
�
����
未導入
�
�����
わからない
�
(執務室への)入退室管理システム
����������������� �
A:IC
� ���� カード
���� �
B:監視カメラ
� �������� �
C:バイオメトリクス
� �����������
(従業員の)端末認証システム
��������������� �
� ���� カード
���� �
A:IC
�-7
� �����������
B:バイオメトリクス
情報漏えい対応複写機・プリンタ
���������������� �
ファイアウォール/VPN
������������ 製品・運用サービス
���������� �
侵入検知ツール・侵入監視サービス
����������������� �
��������������������� �
ウイルス対策ツール・ウイルス監視サービス
��� フィルタリングツール・サービス(ウイルス対策製品等の
��������������������������
web
簡易機能を除く)
��������� �
������������������� �
メールフィルタリングツール・サービス
����������������������������
アンチスパイウェア(ウイルス対策ツールの簡易機能を除く)
セキュリティ(脆弱性)検査/監視ツール・サービス
������������������������� �
���������������������������
端末監視・制御ツール(端末の資産管理、ソフトウェア更新
状況等の管理)
�������� �
����������������������������
ドキュメント・コンテンツ管理ツール(印刷・画面コピーの制
限、改ざん検知、タイムスタンプ等)
������������������ �
�
���������� �
データ暗号化ツール
���������� �
認証用製品・ツール
������������ �
A:シングルサインオン
������������� �
B:ワンタイムパスワード
C:PKI/デジタル証明書
�������������� �
��������������������
D:アイデンティティマネジメントツール
(従業員の
����� ID
�� 付与・アクセスなどの統合的管理)
����������������
������������������������ �
データ・アプリケーションへのアクセス管理ツール
������������������������ �
データバックアップ・保管(ストレージ)サービス
����������������� �
データ消去/破壊ツール・サービス
����������������������������
検疫ツール(セキュリティポリシー適合端末の識別、隔離)
��������� �
シンクライアント
��������
フォレンジクス
������������������������� �
(データ保全・ログ解析、通信トラヒックの記録等)
������
������������������������������������������������������
��������������������������������������
�
� ��
�
�����
����������������� �
� ���� ���� �
� �������� �
� ������������ �� �
��������������� �
iv-8
�
������ �
�
�����
��������
������������������������� �
������
������������������������������������������������������
��������������������������������������
�
� ��
�
有用である
�����
�
有用でない �
������
�
わからない
�����
(執務室への)入退室管理システム
����������������� �
� ���� カード
���� �
A:IC
� �������� �
B:監視カメラ
� ������������ �� �
C:バイオメトリクス
��������������� �
(従業員の)端末認証システム
� ���� カード
���� �
A:IC
� ������������� �
B:バイオメトリクス
���������������� �
情報漏えい対応複写機・プリンタ
������������ 製品・運用サービス
���������� �
ファイアウォール/VPN
����������������� �
侵入検知ツール・侵入監視サービス
��������������������� �
ウイルス対策ツール・ウイルス監視サービス
��� フィルタリングツール・サービス(ウイルス
��������������������
web
対策製品等の簡易機能を除く)
��������������� �
�-8
������������������� �
メールフィルタリングツール・サービス
���������������������
アンチスパイウェア(ウイルス対策ツールの簡
易機能を除く)
�������� �
����������������������
セキュリティ(脆弱性)検査/監視ツール・サー
ビス
��� �
���������������������
端末監視・制御ツール(端末の資産管理、ソフ
トウェア更新状況等の管理)
�������������� �
�����������������������
ドキュメント・コンテンツ管理ツール(印刷・画面
コピーの制限、改ざん検知、タイムスタンプ等)
�����������������������
���������� �
データ暗号化ツール
���������� �
認証用製品・ツール
� ������������ �
A:シングルサインオン
� ������������� �
B:ワンタイムパスワード
� �������������� �
C:PKI/デジタル証明書
� ����������������������
D:アイデンティティマネジメントツール(従業
員の
付与・アクセスなどの統合的管理) �
�� ID
�� �����������������
����������������������
データ・アプリケーションへのアクセス管理ツー
ル
�� �
������������������������
データバックアップ・保管(ストレージ)サービス
����������������� �
データ消去/破壊ツール・サービス
���������������������
検疫ツール(セキュリティポリシー適合端末の
識別、隔離)
������� �
��������� �
シンクライアント
����������������������
フォレンジクス(データ保全・ログ解析、通信ト
ラヒックの記録等)
���������� �
�
������������������������
����
������������������������������������������������������
�������������
iv-9
�����������������
�� ���� ���� �
�� �������� �
����������������������
���������� �
�
������������������������
����
������������������������������������������������������
�������������
�����������������
�� ���� ���� �
�� �������� �
�� ������������� �
���������������
�� ���� ���� �
�� ������������� �
����������������� �
������������� ���������� �
������������������ �
���������������������� �
���� ����������������������������������� �
�������������������� �
������������������������������ �
�������������������������� �
������������������������������������ �
�-9
�����������������������������������������������
�
����������� �
����������
�� ������������ �
�� ������������� �
�� �������������� � � � � � � �
�� ������������������������ �� ����������������� �
������������������������� �
������������������������� �
������������������ �
����������������������������� �
���������� �
��������������������������������� �
������ �
����
�������������������������������������������������������
����������������
���������������� �
���� ���� ���� ���������������������� �
����� ������������ ���������������� �
����� �� �������������� �
���� ���� ��� ��������������������������� �
�����
��������� �
�
�
������� ��� ���������������
��� ����� ��� ����������������������������
iv-10
����
��� ��������������������������� ��� �����������������������
�����������������
�����
��������� �
�
�
������� ��� ���������������
��� ����� ��� ����������������������������
����
��� ��������������������������� ��� �����������������������
�����������������
�����������������
�� ���� ���� �
�� �������� �
�� ������������� �
���������������
�� ���� ���� �
�� ������������� �
����������������� �
������������� ���������� �
������������������ �
���������������������� �
���� ����������������������������������� �
�������������������� �
������������������������������ �
�������������������������� �
������������������������������������ �
�-10
����������������������������������������������� �
����������� �
����������
�� ������������ �
�� ������������� �
�� �������������� � � � � � � � � � � � � � � � � � �
�� ������������������������ �� ����������������� �
������������������������� �
������������������������� �
������������������ �
����������������������������� �
���������� �
��������������������������������� �
������ �
�
��� ������������������������ ��� ������������������������
����� �������
�
�����������������
�
������������������������
�
������������
�
iv-11
�����������������
�
������������������������
�
������������
�
�
����
��� ��� �������������������������������������������������
��������������������� �
������������������ �
������������������� �
������������������ �
��������������� �
���������� �
���������� �
������������ �
������������������� �
������������ �
������������� �
�����
����
�-11
��� ��� �����������������������������������������������
��������
������������������ �
�������������������� �
������������������ �
�������������������� �
���������������������� �
���������� �
�����
������� �
�
��� ��� ����������������������������
������
���������� ��� ���������������������������������������
�����������
��������������������������������������
� ��
������
全部参考に
している
����
�
������
一部参考に
している
����
�
������
参考に
していない
���
�
�����������������������
(1)COBIT
4.0、COBIT 3.0 �
���������������� �
(2)ISO2000、ITIL
�������������������������� �
(3)ISO27001、ISO17799、ISMS
�������
(4)その他
������
iv-12
�����������������������������������������������
�
�����
指標を
知らない
���
�
�������������������������� �
�������
������
�����������������������������������������������
�
������
����
������
あまり有用で
大変有用
有用である
有用でない
わからない
� ��
��
��
������
�����
���
ない
である
�
�
�
�
�
�����������������������
�
(1)COBIT 4.0、COBIT 3.0
(2)ISO2000、ITIL
���������������� �
��������������������������
(3)ISO27001、ISO17799、ISMS
(4)その他
��������� �
����
����������������������������� ��� ���������������������
�������������������
��������� �
�������� �
����������� �
������� �
����
��� ��� �����������������������������������������������
�����
����������������� �
���������������������������������� �
�-12
���������������������� �
�������������� �
������������������� �
��� ������������������������� �
�������������������� �
���������������������������� �
������������������� �
������������������� �
�������������������������� ��������� �
�����
������������� �
������� �
�
�
�����������������������������������������
�������������������������������
������
������������������������������������������������������
����������������������������
�������������� �
���������������� �
��������������� �
���������� �
������
�����������������������������������������
iv-13
�
������
���������������� �
��������������� �
���������� �
������
�����������������������������������������
�
������
�����������������������������������������������������
����������������������������
������������� �
��������� �
���������� �
����������� �
���������������������������������������������
������
������������������������������������������������������
�������������
������� �
������ �
������ �
������� �
������
���������������������������������
�-13
���������� �
����������� �
������ �
������������� �
����������� �
����������� �
��������� �
����������������� �
�����
�
�
����
������������������������������������������������������
�
iv-14
Fly UP