コンプライアンスのための情報セキュリティ対策技術と

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download コンプライアンスのための情報セキュリティ対策技術と

Transcript

コンプライアンスのための情報セキュリティ対策技術と

付
録
２
コンプライアンスのための
情報セキュリティ対策技術と効果に関する調査
報告書
平成１９年３月
株式会社三菱総合研究所
��
�� ........................................................................................................ � 1
� �� ..................................................................................................... � 1
� �� ...................................................................................................� 2
�
�� ...............................� 3
� �� SOX �� .................................................................� 3
� �� ...............................................................................� 14
�� .� 20
� �� SOX �� ...............................................................� 20
� �� ................................................................. 33
�� SOX �� ...................................................................� 36
� �� SOX �� .......................................................................... 36
� �� SOX �� ......� 40
� �� ........................................................................................................� 51
�� ...................................................�
� ��
� � � � � �� ............................................................................�
� ��
� � � � � �� ............................................................................�
� �� .................................�
52
52
67
74
�� ................................................................................................................� 75
� �� ......................� 75
� �� ............................................� 76
��
� �� ......................................................................� i
� �� .............................................................................ii
� ��
�� ................................................................................................ � iii
� ��
�
� � ................................................................................................................. � iv
��
��
��
2005 � 4 ��
��
��
��
��
��SOX ��
�� SOX �
�� IT ��
��
��
��
��
��JEITA ��
��
��
��
�� 0-1� ��
��3 ��
��goo ��
�� 3 � ��(2006 � 3 ��
1
1
��
�� 0-2��
��
��
��
��
��
��
��
��
��
�� SOX ��
��
��
��
��
��JEITA ��
��
�� 0-2� ��
2
2
��
��
�� SOX ��
��
��
��
��2005 ��2006 ��
�� SOX ��
�� 1-1 ��
��
�� 1-1� ��
�� http://www.moj.go.jp/HOUAN/houan33.html ��
�
3
3
��
2005 � 2 ��
��
��
��
�� 2006 �
2 �� IT��
�� 2007 � 2 ��
�� 3 ��
�� 1-2� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��1��
��
��
��2�
�� 4 ��(1)��(2)��
��(3)��(4)��
��6 ��(1)��(2)��
��(3)��(4)��(5)��(6)IT ��
��
��
�
��
��
��
��
��
��
�
��
��
��
4
4
��3�
� � (1)��
� � � ��
� � (2)��
� � � ��
� � ��
� � (3)��
� � � ��
� � (4)��
� � � ��
� � � ��
�� 4 �� 6 ��1992 ��
��4�� COSO ��
COSO ��(1)��(2)��
(3)��
��COSO ��(1)��(2)��
��(3)��(4)��(5)�� 5 ��
��IT ��
��
��
��5�
�
��
��
�
��
��
��
��
��
�
��
5
5
�� 1-3� ��
��
(1)��
��
��
��
��
(2)��
��
��
��
��
��
��
��
(3)��
��
��
(4)��
��
��
��
��
��
(5)��
��
��
��
��
��
��
��
(6)IT ��
�� IT ��
��
�� IT ��
��
��
��
��
��
��
�2007 � 2 � 15 ��
��
6
6
��
��
�� 1-4��
�� 1-4� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� � 2 ��
��
��
� � 3 ��
��
��
��
� ��
��
��
��
7
7
��
��
��
� ��
�� 348 � 4 ��
362 � 4 � 6 �� 5 �� 98 �� 100 �� 24
�� 4�� 193 �� 2 � 2 ��
��
�� SOX ��
��
�� SOX �� 1-5��
�� 1-5� ��
��
��6�� 5 �� 200 ��
��
�� 1-6��
�
��
��
��
8
8
�� 1-6� ��
��
��
�A)� ��
�� 2 ��
��2005 � 6 � 29 ��2006
� 5 � 1 ��
��
�� 1-7��
�� 1-7� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�http://www.moj.go.jp/HOUAN/houan33.html��
9
9
��7�
��
� 348 � 4 �
� � ��
-> �� 4 �
��
��
��
� 362 � 4 � 6 �
(1)��
(2)��
� -> ��2006 � 2 � 7 �� 100 � 1 �
� � � � ��
� � � � ��
� � � � ��
� � � � ��
� � � � ��
��
�� 3 ��
��
� 362 � 5 �
��
��
�B)� ��
��2006 � 6 � 7 ��2008 � 4 ��
��(1)��
�(TOB)��(2)��(3)
�� 3 ��
�� 1-8��
�
��
10
10
図表 1-8
金融商品取引法の構成
資料：「証券取引法の一部を改正する法律案の概要」（金融庁）
(http://www.fsa.go.jp/houan/162/hou162_02a.pdf)を参考に作成
金融商品取引法における内部統制（体制の整備等）の具体的条文は、以下のとおりである8。
第 24 条の 4 の 4
財務計算に関する書類その他の情報の適正を確保するために必要なものとして内閣府令
で定める体制、内部統制報告書、有価証券報告書の提出
第 193 条の 2 第 2 項
内部統制報告書に公認会計士等による監査証明
第 24 条の 4 の 2
有価証券報告書の記載内容が金融商品取引法令に基づき適正であることを確認した旨を
記載した確認書の提出
第 24 条の 4 の 7
四半期報告制度の整備
金融商品取引法の罰則は、有価証券届出書の虚偽記載及び風説の流布・偽計、相場操縦
等に対する法定刑について、以前は、5 年以下の懲役または 500 万円以下の罰金、法人 5
億円以下の罰金であったが、10 年以下の懲役または 1000 万円以下の罰金、法人 7 億円以
下の罰金に引き上げられた。
（３）内部統制と IT
実施基準では、「IT への対応」、すなわち、「組織目標を達成するために予め適切な方針
及び手続きを定め、それを踏まえて、業務の実施に置いて組織の内外の IT に対し適切に対
応すること」9が内部統制の基本的要素の一つとして組み込まれた。「IT への対応」とは、
下図のとおり、「IT 環境への対応」と「IT の利用及び統制」から成る。
8
http://law.e-gov.go.jp/announce/H17HO086.html
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監
査に関する実施基準の設定について（意見書）」（2007年2月15日）
9
11
�� 1-9� IT ��
��
��IT��
��IT��
��IT��
��
��
��
��
��
IT��
��
��IT��
��
��
��
�
��
��
��2007�2�15��
��IT �� 2 ��10�
(1)��
��
��
� ��
��
(2)��
��
�� IT ��
��
��
��
��IT ��
�� IT ��IT �� 2007 � 3 �
30 ��11��
�� IT ��
��
��IT ��
��
��
��
��
��
��
12
12
��
�� 1-10� IT ��
�� IT ��
�� 19 � 3 � 30 ��
IT ��COBIT�ITIL�ISO17799�ISMS ��
��
�� 1-11� COBIT � ITIL � ISO17799 � ISMS ��
�� “COBIT Versus Other Frameworks: A Road Map to Comprehensive IT
Governance” by Craig Symons, Forrester Research, January 5, 2006 ��
��2.1 ��
13
13
��
��
��
��
��2005 � 4 � 1 ��
�� 5 ��12
� ��
� ��
� ��
� ��
� ��
��
��
��
��6 �� 30 ��
��
��
��
��
��
��
��
�� 2 ��
�� JIS Q 15001 ��
��2006 � 6 � 5 �� 4,154 ��
��
��
��NRI ��13� 2006 ��
��2005 ��
�� 54.8�� 80.3��
��
��
��
��
��
��
��
14
14
�� 1-12� ��
�� 4 ��
��
��
��
��83.3��
��
��
��
��
�� 16 � 4 � 2 ��
��
��2005 �
�� 1,556 ��
��500 ��
71.6��
��
�� 76.2�� 23.0��
��
��
�� 78.7��
��
�� 10 ��
�� 1,184 ��
��
��235 ��
��
�� IT ��
��
��
��
��
��
��
15
15
��
��2006 ��
��14��
��3 ��
��
��
��
��
�� 1-13� ��,��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
�
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
16
16
��
2005 ��
�� 14,028 ��2006 � 5 � 31 ��
�� 81.1��
�� 4,046 ��
�� 28.8�� 5,375 �� 38.3��
�� 6,691 �� 47.7��
�� 3,434 �� 24.5�� 2,194
�� 15.6��15�
��
��
� 19 � 3 ��22 ��
�� 35 ��
��
��
�� 1-14� ��
��
��
��
��
��
��
��
(1)�� 16 � 12
�� 24 �
�� 18 � 4 �
21 ��
(2)�� 16 � 12
��
� 27 �
(3)�� 17 � 3 �
��
31 �
(4)�� 17 � 4 �
��
1�
��
��
(1)�� 16 � 12
��
� 28 �
��
(2)��
�� (3)��
��
��
(�)
��
�
��
��
��
��
��
(4)��
(5)��
��
��
(1)��
��
(2)��
��
��
�� 16 � 12
� 28 �
�� 18 � 7 �
3�
�� 16 � 12
�6�
�� 17 � 1 �
6�
��
17
17
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� 16 � 12
� 17 �
�� 18 � 10
� 16 ��
�� 16 � 8 �
��
31 �
�� 17 � 10
� 17 ��
�� 16 � 8 �
��
31 �
�� 19 � 3 �
28 ��
�� 16 � 10
��
� 22 �
�� 19 � 3 �
30 ��
�� 16 � 12
�� 17 �
�� 16 � 7 �
�� 1 �
��
�� 16 � 10
�� 29 �
��
�� 16 � 9 �
�� 29 �
��
�� 16 � 10
�� 29 �
��
�� 17 � 3 �
��
29 �
�� 18 � 5 �
��
25 �
�� 16 � 10
�� 29 �
��
�� 16 � 12
��
� 16 �
�� 18 � 1 �
11 ��
�� 17 � 3 �
�� 25 �
�� 16 � 11
� 25 �
��
�� 16 � 11
�� 11 �
��
�� 16 � 11
� 30 �
��
�� 16 � 11
�� 4 �
��
��
��
��
��
18
18
��
��
��
�� SOX ��
��
��
�� IT Governance Institute (ITGI)��SOX �� IT ��
��”ITControl Objectives for Sarbanes-Oxley”
16��
COBIT for SOX��
��SOX �� IT ��
��
��
SOX ��
2-1 ��2007 � 3 � 30 �� IT ��
��IT ��
��
��4(2)�� c�17��
��
��
�� SOX �� IT ��
�� 2-2 ��IT ��
��
�� 2 ��
�� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
20
20
�� 2-1� �� SOX �� (1/6)
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
2-23
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
21
�� 2-1� �� SOX �� (2/6)
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
�
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
2-24
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
22
�� 2-1� �� SOX �� (3/6)
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
2-25
��
��
��
��
��
�
��
��
��
��
��
��
��
�
��
�
��
��
��
��
��
�
��
�
��
��
��
��
��
�
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
�
��
��
��
23
�� 2-1� �� SOX �� (4/6)
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
�
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
2-26
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
24
�� 2-1� �� SOX �� (5/6)
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
�
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
2-27
��
��
��
��
��
��
��
�
��
��
��
��
��
��
�
��
��
��
��
��
��
��
25
�� 2-1� �� SOX �� (6/6)
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
2-28
26
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� 16 � 11
�4�
�� 17 � 3 �
25 �
�� 16 � 10
�1�
�� 16 � 12
�2�
�� 17 � 1 �
14 �
�� 16 � 11
�9�
��
��
��
�http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html�
��
� ��
��
��
��
��
��
��
2006 � 3 ��
��
�� 10 ��
� ��IT ��
�� IT ��
��
��IT ��
��IT ��
��
19
19
�� 2-2
IT ��
��
��
��
��
��
��
��
27
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
�IT ��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
� PKI��
��
�� PC ��
��
��
��
�
�ID ��
��
��
��
��
��
29
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� ID ��
��
��
��
��
��
��
��
��
��
��
��
��Web ��
��
��
��
�(IDS)��
� � � � �
�IPS��VPN�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
�
��
��
��
��
��
��
� PKI��
��
��
��
�ID ��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
�
��
��
��
��
��
��
��
��
��
��
28
��
��
��
��
��
��
��
��
��
��
��
��
30
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� ID ��
��
�� ID ��
��
� ��
��
��
��
��
��
��
�
�
��
��
��
�� ID ��
��
IC ��
��
��
��
��
29
��
��
��
��
��
�� ID ��
��
31
��
��
�
��
�
��
�
��
��
��
��
��
��
��
��
��
��
��
30
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
� ��
�� IT ��
�
�� 19 � 3 � 31 ��
�
32
��
��
��
��
�� ISMS ��(Ver.2.0)�2003 � 4 ��
��
�� 2005 � 3 ��
��
��JIS Q 15001CP ��
ISMS ��Ver.2.0��
�� A��
�� B�� C�� 3 ��
�� C ��
��
�� 2-3 ��
��
��
��
��
��
33
31
�� 2-3� �� (1/2)
��
��
��
��
��
�
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
�
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
34
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
�
�
�
��
�
��
��
�
��
�
��
��
��
��
��
�
��
�
��
��
��
��
�
�
��
��
��
��
��
��
��
��
��
��
�
��
��
��
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
33
図表 2-3
情報漏えいの原因
事例
ファイル交
換ソフト
多数
（Winny等）
個人情報保護法と情報セキュリティ対策の整理 (2/2)
要求事項
具体的対策
9(4)③外部から接続する利用者の認
9(4)ネットワークのアクセス制御
遠隔地からの利用者のアクセスには、認証を行うこと
証
●許可していない接続を防ぐために、クライアントの端末やＩＰアドレスを識別しているか
●ログオン手順は、不正アクセスや誤ったアクセスに対して配慮された方法を採用しているか
●アクセス者が誰であるかが分かるように、個人毎に利用者ＩＤを割り当てているか
●止む無くグループＩＤを複数人で共用使用する場合は、その管理を厳重にするための規定を定めてい
るか
9(8)移動型計算機処理及び遠
9(8)①移動型計算処理
隔作業
9(8)②遠隔作業
10(3)暗号による管理策
13(3)②暗号化
移動型計算処理の設備を用いた作業、特に保護されていない環境
における作業のリスクから保護するために、正式な個別方針を持 ●モバイルコンピューティングや在宅作業などにおいて、外部から社内の情報システムをアクセスする場
ち、適切な管理策を採用すること
合は、登録された端末からの接続かを確認したり、なりすましを防止できる適切な認証方法を採用してい
遠隔作業を認可し及び管理するための個別方針、手順及び標準類るか
を策定すること
取扱いに慎重を要する又は重要な情報の機密性を保護するため
に、暗号化を用いること
6(1)①セキュリティを職責に含めること
セキュリティの役割及び責任は、組織の情報セキュリティ基本方針
で定められたとおりに、職務定義のなかに文書化すること
6(1)②要員審査及びその個別方針
常勤職員、請負業者及び臨時職員を採用するときは、提出された
応募資料の内容を検査すること
6(1)③機密保持契約
6(1)④雇用条件
データの不
ソフトバンク　等
正持ち出し
9(2)利用者のアクセス管理
9(2)①利用者登録
9(2)④利用者アクセス権の見直し
外注管理ミ
防衛庁　等
ス
複数の利用者をもつ全ての情報システム及びサービスについて、
それらへのアクセスを許可するための、正規の利用者登録及び登
録削除の手続きがあること
特権の割当ては、正規の管理手続きによって統制すること
パスワードの割当ては、正規の管理手順によって統制すること
●許可していない接続を防ぐために、クライアントの端末やＩＰアドレスを識別しているか
●ログオン手順は、不正アクセスや誤ったアクセスに対して配慮された方法を採用しているか
●アクセス者が誰であるかが分かるように、個人毎に利用者ＩＤを割り当てているか
●止む無くグループＩＤを複数人で共用使用する場合は、その管理を厳重にするための規定を定めてい
経営陣は、利用者のアクセス権を見直す正規の手順を、定期的にるか
実施すること
7(3)その他の管理策
●５Ｓ(整理、整頓、清掃、清潔、しつけ(躾))を情報管理の基本として、クリアデスク(帰宅時に書類を机上
に放置しない)を実施しているか
組織は、情報への認可されていないアクセス、情報の消失及び損
●クリアデスクが適切に実施されているかを、躾面で度々チェックしているか
7(3)①クリアデスク及びクリアスクリー
傷のリスクを軽減するための、クリアデスク方針及びクリアスクリー
ンの個別方針
●受け取った郵便物やＦａｘ受信、印刷出力を放置しないようの徹底しているか
ン方針を保つこと
●離席時はクリアスクリーン(画面表示の隠す)を実施しているか
●クリアスクリーンが適切に実施されているかを、躾面で度々チェックしているか
8(1)運用手順及び責任
○
○
○
フィル
タリン
グソフ
ト
フォレ
ンジッ
クツー
ル
○
○
○
○
人又は組織に対する措置が、民事であれ刑事であれ、法律にかか
わるものである場合、提示する証拠は、関連法令又は事件の審理 ●必要な手順を文書化しているか
が行われる特定の法廷の規則に定められた証拠に関する規定に ●規定された運用記録は保管しているか
適合させること。また、容認される証拠を作成するために、公表され ●採取したログは保管しているか
ている標準類又は実践規範に適合すること
12(1)⑦証拠の収集
10(3)暗号による管理策
端末
制御・
監視
ツー
ル／
ログ
管理
●役員及び従業員と当社事業所内で働く派遣者、契約社員、パートタイマ、アルバイト者に対して、業務
上の個人情報保護およびセキュリティについての教育を実施しているか
●また定期的に業務上のルールやその変更内容の最徹底、セキュリティ意識向上について、教育を実
施しているか
12(1)法的要求事項への適合
PC・メディア
多数
の紛失
Web
セ
キュリ
ティア
プライ
アン
ス
雇用条件には、情報セキュリティに対する従業員の責任について記
述してあること
組織の基本方針及び手順について、組織の全ての従業員及び関
6(2)①情報セキュリティの教育および
係するならば外部利用者を適切に教育すること、並びに定期的に
訓練
更新教育を行うこと
9(2)②特権管理
9(2)③利用者のパスワードの管理
セ
キュリ
ティ検
査／
監査
ツー
ル
●従業員のセキュリティの役割及び責任を職務定義の中に文書化して、従業員に周知しているか
●要員の採用の際には、提出された応募資料の内容をよく検査しているか
●役員及び社員、派遣者、契約社員、パートタイマ、アルバイト者に対して機密保持誓約への署名を求
従業員は、入社時の雇用条件の一部として、機密保持契約書に署めているか
名すること
●雇用契約書又は就業規則に情報セキュリティについての責任を記載してあるか
6(2)利用者の訓練
内部的要因
ファイ
ア
ウォ
ール
／
VPN
○
●取扱いに慎重を要する又は重要な情報の機密性を保護するために、暗号化を用いること
4(2)第三者によるアクセスのセ 4(2)①第三者のアクセスから生じるリ組織の情報処理施設への第三者へのアクセスに関連付けてリスク ●情報処理施設への第三者アクセスを洗い出し、リスクを認識し、適切なセキュリティ管理策を実施して
キュリティ
スクの識別
アセスメントを実施し、適切なセキュリティ管理策を実施すること
いるか
4(2)②第三者との契約書に記載する組織の情報処理施設への第三者アクセスにかかわる取決めは、必 ●情報処理施設へのアクセスする可能性のある第三者に対しては、必要なセキュリティ要求事項全てを
含んだ契約書を取り交わしているか
セキュリティ要求事項
要なセキュリティ要求事項全てを含んだ正式な契約に基づくこと
6(1)職務定義及び雇用におけ
るセキュリティ
認証
製品
暗号
／ア
製品
クセス
管理
7(3)②資産の移動
●装置、情報、ソフトウェアの持ち出しの手続きを定めているか
組織に関する装置、情報又はソフトウェアは、管理者による認可な
●持ち出しについては許可を必要とし、その記録を保管しているか
しでもち出しできないこと
●バックアップの外部保管時の移動についても管理しているか
13(3)②暗号化
取扱いに慎重を要する又は重要な情報の機密性を保護するため
に、暗号化を用いること
8(1)⑥外部委託による施設管理
●情報処理業務又は個人情報/データを取り扱う業務を外部委託しようとする場合、委託先選定基準を
作成して、候補の委託先を評価しているか
外部委託による施設管理サービスを利用する前に、そのリスクを識
●情報処理業務又は個人情報/データを取り扱う業務を外部委託する場合、セキュリティ要求事項を契
別し、適切な管理策を請負業者の同意を得て契約に組み入れるこ
約書に記述しているか
と
●情報処理業務又は個人情報/データを取り扱う業務を外部委託した場合、契約で要求した事項の具
体的な取組みについて委託先を指導し、実施状況を確認しているか
●取扱いに慎重を要する又は重要な情報の機密性を保護するために、暗号化を用いること
○
○
○
○
注：網掛部は、組織的な対応が中心となる要求事項を示す。
法的要求事項については、「情報セキュリティマネジメントシステム適合性評価制度 ISMS 認証基準(Ver.2.0)」（財団法人日本情報処理開発協会、2003 年 4 月）、
具体的対策については、
「個人情報保護対策・実践アセスメントガイド」（社団法人電子情報技術産業協会ソリューションサービス事業委員会、2005 年 3 月）を基に作成した。
34
��
�� SOX ��
�� SOX ��
��SOX �
� ��2001 �� 2002 ��
��2002 � 7 � 30 ��
��
�� 3-1� �� SOX ��
Public Company Accounting Reform and Investor Protection Act of 2002��
��
��(Sarbanes-Oxley Act��
��
��
��
��
��(SEC)��
��
2002 � 7 � 30 �
��2004 � 11 � 15 ��
��
��2005 � 7 ��2006 � 7 � (05/3 ��)
��2006 � 7 ��2007 � 7 � (05/9 ��)
��(PCAOB)��
��
��
��
��
��
��
��
��
302 ��(CEO)�
��(CFO)��
��
��
404 ��
36
35
��
��
��
100 �� 10 ��
��(willfully)��500 �� 20 ��
��
��SOX ��
��SOX ��
�� Gramm-Leach-Bliley (GLB)� ��
�FTC��Safeguards Rule��Health Insurance
Portability and Accountability Act (HIPAA) ��Department of Health and
Human Services��Basel(��)II ��
��
��18��
��SOX ��
��SOX ��
��
�� Sun Microsystems ��SOX ��
�� IT ��
��
��Entrust �� Oracle �� SOX ��
��
��SOX ��
� SOX ��
��
��SOX ��
��SOX ��
SOX �� 404 ��
�� SOX ��
��
�� SOX �� 1 ��
SOX ��
��
��
��
��
37
36
�� 3-2� �� SOX ��
��
��
2004 �� 50 ��
SecurityProNews ��
6,285 ��3 ��
��
2006 �� SOX �� 60
AMR Research
�� 22%�
��
SOX � 404 ��
Financial Executives
�SOX �� 2 �� 2005 ��
��
International ��
�� 22,786 �� 11.8%�� 274 ��
��
��2006 � 3 ��
130 �� 22.7%��
��2 �� 1 ��
��
Business Roundtable �� 52%��SOX �
Business Roundtable ��
�� 2006 ��
�Business Roundtable ��
�� 40%� 1,000 ��27%
�� 160 ��
� 600 �� 1,000 �� 33%� 100
��
�� 500 ��
��SOX ��
�� SOX �� SOX �
��
��SEC ��
��NextCard ��
�� SEC ��Ernst & Young ��
��NextCard ��
��SOX ��Randy V. Sabett ��
��
�� SEC ��
��
��
38
37
��SEC ��
�� SOX �� 404 �� SEC ��
��PCAOB �� 2 ��SEC � 2006 � 12 �
13 ��SOX �� 404 ��19�
SEC ��2 �
��20�
��
��
��
��
��
��
��
��
��
�� SEC ��
��
�� 4 ��
a.
��
b.
��
c.
��
d.
��
��PCAOB ��
� PCAOB � 2006 � 12 � 19 �� 2 ��
��
��21�
��
��
�� (Significant Deficiency��
��
��
��
��
��
��
��
��
��
39
38
(Material Weakness��
��
��
��
�� (interim materiality)
��(materiality)��
��
�� (knowledge)��
��
��
(multi-location)��
��
��
�� SOX ��
��
�� SOX ��
��2006 � 9 ��2006 � 11 ��
��
�� 2 �� 2 ��
��
��CIO�CSO�CISO��
��
CIO
�� A
CSO
��
CISO
��
��Information Security Officer�
�� B
��
��
��
�� A
��Information Security Officer�
��
��
��
��
�� B
��
��
� ��
��SOX ��HIPAA �� GLB ��
40
39
��
��SOX � 404 ��
a. SOX � 404 ��
�
SOX ��
�� A�B�� A��
��
�
2003 ��
��2004 ��
�
2004 ��
�� B
��SOX ��
��2004 ��2004 ��
�� SOX ��
b. ��
b-1 ��
�
��
��
�
��
�� A�B�� A�B�
��
��
�� CISO ��
��
��
��10 �� 9 ��SOX ��
��SOX ��
�� SOX ��
��
��
b-2 ��(RCM)��
�
RCM ��
�� A�B�� A�B��
��
�
RCM ��
��
41
40
��
�� A��
��
�� B�SOX ��
��
�� RCM ��
��
RCM ��10 �� 8 ��
b-3 ��
�
��
�� A�B�� A�B�
��
�
��
��
��10 �� 9 ��
b-4 IT ��
�
��
�� A�B�� B�
��
�
��
�� A��
��
�� 2002 ��
��
�� SOX ��
�SOX �� IT ��
��
b-5 ��
�
CEO
�� A
�
CIO
�� B
�
CISO(Information Security
�� B��
Officer ��)
42
41
�
N/A��)
�� A
SOX �� CEO�IT ��CIO��
��(CISO)��
��
a. SOX � 404 ��
��
�
��
��
�
��
��
��
�� A�� PC ��PKI
��
�� B�SOX ��ID ��
�� PC ��
�� A�ID �� ID ��
��
��ID ��
��HIPAA � SOX �
��
�� B�ID ��
b. ��
b-1. ID ��
��
��
��
��
��
��
��
��
��
��
�� A
Computer Associates ��
��
��
��
N/A
�
�
��
Oracle ��
��
��
�� B
Oracle ��
��
��
��
Sun Microsystems ��
��
��
43
42
�� A
Sun Microsystems ��
��
��
��
Microsoft ��
��
��
��
Oracle ��
��
��
�� B
IBM ��
��
��
��
��
b-2. ��
��
��
��
��
��
��
��
��
��
�� A
N/A
�
�
��
Entrust ��
��
N/A
��
��SOX ��
��
Oracle ��
��
��
�� B
RSA ��
��
��
��
Sun Microsystems ��
��
��
�� A
Sun Microsystems ��
��
��
��
Microsoft ��
��
��
��
Oracle ��
��
��
�� B
Sun Microsystems ��
��
��
��
��
b-3. ��
��
��
��
��
��
��
��
�� A
N/A
�
�
��
��
��
N/A
��
N/A
�
�
�� B
N/A
�
�
��
N/A
�
�
�� A
Sun Microsystems ��
��
��
44
43
��
EMC ��
��
��
��
N/A
�
�
�� B
N/A
�
�
��
��
b-4. ��
��
��
��
��
��
��SOX ��
��
��
��
��
��
��
�� A
N/A
�
�
��
N/A
�
�
��
N/A
�
�
�� B
Oracle ��
��
��
��
N/A
�
�
�� A
N/A
�
�
��
N/A
�
�
��
N/A
�
�
�� B
N/A
�
�
��ID ��
��
c. ��
� 10 ��
��
a. ��
��
�� A
��
��
COBIT4.0 ��
��
ITIL��
��
ISO17799��
��
ITIL��
��
45
44
��
COBIT4.0
��
ISO17799��
��
��
COBIT4.0
��
�� B
COBIT4.0
��
��
COBIT4.0 ��
��
ISO17799
��
COBIT4.0
��
ISO17799
��
COBIT4.0
��
ISO17799
��
��
COBIT4.0
��
�� B
COBIT4.0 ��
��
ISO17799
��
��
�� A
��
��COBIT4.0 �� SOX ��
��
��COBIT�� 6 ��COBIT ��SOX �� 3 ��9 �
� COBIT ��ISO17799 �� 6 ��
��6 ��
b. ��
��
��
�� A
ID ��
��
��
��
��
ID ��
�� B
��ID ��
��
ID ��
�� A
ID ��
��
IT ��
��
��
�� B
��
46
45
IT ��ID ��
��
c. IT ��
�
��
�
�
��
�� A�B�� A�B��
��
��
��
��
�� SOX ��
��COBIT ��
��
�� SOX ��
��
��
d. IT �� SAS 70 Type II22��
�
��
�� SOX ��
�� A��
�� A�B��
�
��
�� B�
��
6 �� IT �� SAS 70 Type II ��
��
��
a.-e. SOX ��IT �� IT ��
��
��
��
��
��
47
46
a.SOX �
��
b. IT ��
��
��
��
��
��
A
��
��
��
2002 ��
��
��
10 ��
��
��
IT ��
��
��
30 ��
��
��
��
��
��
��
B
��
��
��
��
20 � �
��
��
��
��
10 ��
��
10 ��
��
20 ��
��
�� A
��
�
��
�� B
c. � � � � �
��
� IT ��
��
SOX ��
��
��
��
��
SOX ��
��
��
d. � � � �
��
��
e.��
�
��
�� 20%��
��
��
��
��
��
�+�5%�
�
��
��
�� 20%��
��
��
��
��
�� 20%��
��
��
��
��
SOX ��
��
��
��
��
�+�5%�
SOX ��
��GLB ��
��
��
��
��
��
��
��
ID ��
��
��
��
��
��
�
��
�+�5%�
�
��
��
��
��
��
��
��
��
��
�� 20%��
��
�� 10%��
ID � � � � �
��
ID ��
��
��
��
��
�� 20%��
��
�� 20%��
��
��
ID ��
��
��
�� 2 ��
��
��SOX ��
��
�� SOX �� 4 ��
48
47
�� 10 ��20 ��
��
�� SOX �� IT ��
��
�� IT ��
��
�� 20��
�� 10%��
��
��+-5%��
��
��ID ��
��
f. ��
SOX ��
��
��
��
��
N/A
25
N/A
�� A N/A
0
0
��
SOX �� N/A
N/A
��4 ��
��
��
100 ��
��
��
��
SOX �� N/A
N/A
��
�� 3 ��
��
�� B N/A
0
0
��
�� N/A
N/A
��5 ��
�� 1 ��
�� A
N/A
10
N/A
6
N/A
� � � � N/A
�
��
N/A
3
N/A
�� B
N/A
10
N/A
SOX ��
��
��
10
N/A
0
0
N/A
N/A
N/A
N/A
0
N/A
0
N/A
6
3
N/A
N/A
3
3
N/A
10
�� SOX ��
�� SOX ��
�� SOX ��
��
49
48
��
a. SOX ��b. ��
��
��
�� A
��
��
�� B
��
�� A
��
��
�� B
��
��
��
��
��
��
SOX ��
��SOX ��
��SOX
��
��
��
��
��
SOX ��
��
��
SOX ��
��
��
��
��
��
��
ID �� ID ��
��
��
��
��SOX �� HIPAA ��
��
��
��
��
��
��
��
��
��
��
��ID �
��
��
��
��
ID ��
��
��
��
��
��
ID ��
��
��ID ��
��
��
��
��
��
��
��
�� ID ��(identity
theft)��
��
50
49
��
1. �� 2. � �
��
��
��
��
��
�� 47,000
160 �
��
A
��
��
��
B
��
�� A
��
�
��
�� B
3. ��
PC ��
��
��
� PC �
4. ��
��
��
��
30,000
N/A
N/A
15,000
25
15
6,000
10.35 �
UNIX:800
Windows:
2,000
10,000
5,000
6,000
� 56,000
10.3 �
6.5 �
118 �
1,000
500
80,000 ��
5,000
1,200
� 50,000
12
11
87
35
0
85
31,485
32,700
94,000
18 �
192.6 �
340 �
1,000
10,000
4,000
3,000
6,000
1,000
6,970
� 300,000
14.3 �
177.1 �
5,000 ��
10,000 ��
2,700 ��
6,000 ��
N/A
30 ��
10 ��
��
��
4
140
N/A
48 ��
175 ��
��
��
2
95
��
��SOX ��
��GLB �� FTC ��HIPAA ��
��
��SOX �� IT ��
��
SOX ��
��
��
ID ��
�� SOX ��
��
51
50
��
��
��
� � � � ��
��
��
��
��
��
��Web ��
��2006 � 11 � 22 ��26 �
��
� � � � � � �� 50 ��
��500 �
��
-
��PC �� SOX ��
-
��
-
�� SOX ��
-
��
-
��
-
��
-
��
��
��
��
��
��
��
��
��
� ��
52
51
A��
� �� IT ��
�500 �� 15.5%��
�1000 ��5000 ��
�� 13.9%��Q11��IT ��
�5-10%�� 14.2%��Q12��
��41.0%��20.4%�
��1/4 ��
��
��
�� 4-1� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� 4-2� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
53
52
��
��
��
��
�� 4-3� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
B��
�� 42.0%�� 56.8%
��Q14-1�� 47.7%��
�� 42.7%��Q14-2��
�� 64.1%�� 59.2%��
�� 66.6%��
��Q15-1��
�� 1/3 ��
�� 47.2%��
��
�� 4-4� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
54
53
��
��
��
��
��
�� 4-5� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� 4-6� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� 4-7� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
55
54
��
��
��
��
��
��
�� 4-10� �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� 4-11� �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
D��
� ��
��
��78.9%��VPN ��
�68.0%��
��
�51.5%��
��
�49.6%��
�web ��
�49.4%��
��
��
�46.8%��
��
��
�40.4%��32.7%��
��IC ��
��41.3%��
��31.8%��
��32.5%��
� ��
�� 10%��
��
� ��8�9 ��
��
57
56
�� 4-12� ��
��Q21 ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
58
57
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�74.1%��
��
�73.0%��
��
�68.2%��
��
��61.0%��56.0%��
��53.0%��
�� 4-13� ��
��Q22 ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
59
58
��
��
�� SOX ��
��
��
��
�92.9%��
��
�83.3%��
��
�76.6%��
��IC ��
�72.4%��
��
��
��IC ��
�72.1%��
��
��
��
�54.8%��
��
��52.3%��
��
�52.8%��
��
�50.0%��
��
�� 4-14� �� SOX ��
��Q24 ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
60
59
��
E��
��ID ��ID ��
��
��
��
��
��
F�� SOX ��
��67.8%��
�USB �� CD-R ��64.9��
��Q23�� 2 ��
��
�USB �� CD-R ��
�86.3%�� PC ��
��
�� 4-15� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
61
60
��
��
��
��
��
�40.5%��
�� SOX ��
��
��37.6%��
�34.8%��Q30��
��
��
��
��
��
��
�� 4-16� �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
G�� SOX ��
� �� SOX ��
��
�27.0%��54.5%��8 ��
��Q29��
��
��
��
��
�� 2 ��
62
61
�� 4-17� �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
H��
�12.1%��
� ��
��
��43.6%��
��Q31-1��
��CSR ��
� ��
��
�� 4-18� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� ��
��14.1%��41.5%��
��
� ��
��
63
62
��
��
� ��
�� 6 ��
�� 4-19� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� 4-20� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� ��5.1%��45.3%�
��
� 13.7%��Q32-1��
� �� 7 ��
�� 4 ��
64
63
�� 4-21� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� ��
��
�58.2%�
��50.0%��49.3%��
�49.3%��
��
�47.5%��
��
��
� ��
��
� 2 ��
��
��
��
��
��
�� 4-22� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
65
64
��
��
��
��
��
��
�� 4-8� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
C�� SOX ��
�� 59.6%��14.9%�� 3/4
��Q17��
�� SOX ��28.1��
� 13.0%�
�� 18.3%��Q17��
��
�� 20.3%�� 27.3%�� 32.3%��
��
��
�� SOX ��
��
�� 4-9� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
56
55
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� ��
��
��
�� IT ��
��
�� 3/4 �� SOX ��
��
��
��
��
��
�� SOX ��
��
��
��
��
�� 8 �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
� ��
�� SOX ��
��
��
�� SOX ��
��
66
65
� ��
��
��
��
��
��
��
��
��
��
��
��
��
� � � � ��
��
� ��
� SOX ��SOX ��
��
��
� ��
�
��
��2006 � 12 � 8 ��12 ��13 ��
��
�� SOX �� SOX ��
��
��
��
� � (1)� �� SOX ��
� � (2)� �� SOX ��
� � (3)� �� SOX �� IT ��
� � (4)� �� SOX ��
��
� � (5)� �� SOX ��
� � (6)� ��
67
66
��
� ��
��
�
�� 1��
��
��
��
��
��
��
��
��
��
��
��
��
23
SOX ��
��
��
��
IT ��
��
��
��
��
��
��
�2006 ��
��
��
��
��
� � ��
� � ��
��
�� SOX ��
� � ��
��
��
��
��
�SOX ��
��
�2006 � 8 ��
� � ��
� � ��
��
��
��
��
��
��
��
��
��
��
��
�� SOX ��
��
��
� � � � ��
��
��
��
��
� � � � ��
��ISMS ��
�SOX ��
��
��
��
� � � � ��
��
�SOX ��
��
��
��
��
��
��
��
��
� � � � ��
��
��
��
�� ID ��
��
��
�USB ��
� � � � ��
� � � � ��
��
� � � � ��
��
��
��
��
� � � � ��
SOX ��
��
�SOX ��
��
�� 2 ��
PC ��
��
��
�� SOX ��
��
�DRP24��
��
e ��
��
��
��
��
�� SI �
��
��
��1,000��300��1,000��
��300��
��
�DRP�Disaster Recovery Plan��
68
67
��
��
�� 3 ��
��
��
��
� � � � � � � ��
��
��
��
��
��
� � � � ��
��
� � � � � � � � � ��
��
��
��
��
� � ��
��
� � � � ��
��
��
��
� � ��
��
��
��
��
�
��
� � ��
��
��
��
��
� � � � ��
��
69
68
��
�� E
�� F
�� G
��
�� D
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
SOX ��
�� 2007 � 4 ��
��
��
��
��
�� ISMS
��
� � � � � � � � � � � � � ��
��
� � � � � � � ��
��
��
��
��
��
��
��
��
��
��/SOX ��
IT ��
� � � � � � � ��
��
��
��
��
�� 1 �� PC ��
�� IC �� USB � ��IC �
� � � � � � ��
��
�� PC
PC ��
��
�� PC
��
��
��
��
��
��
� � � � � � ��PC ��
��
��
��
��
�� N/A
��
��
��
��
��
��
� � � � � � � ��
��
��
�
��
��
� � � � � � � ��
� � � � � � � ��
��
� � � � � � ��
�� PC�
��
��
��
��
��
��
��
��
��
� � � � � � � �SOX ��
��
��
��
PC ��
�� PC ��
��
��
��
��
��
��
��
��
��
70
69
��
��
�FAX ��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� Windows �
Linux ��
��
��
��
��
��
��
��
��
��
�� H
�� I
�� J
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
SOX ��
�� SOX �� SOX ��
��
��
�� ISMS �� 3
��
��
��
��
��
��
��
IT ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��SOX �
��
��
��
� � � � � � ��
��
��
� PC � HDD
��USB �
��
�e ��
��
��
��
��
��
71
70
��
��
�� K
��
��
�
��
��
��
��
SOX ��
��
��
��
��
��
��
��
��
��
��
��
�� IDC
��
��
PW ��
��
��
��SOX �
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� � � � � � � ��
��
��
��
�SOX ��
��
��
��
��
�� PC�
��
��
��
��
�
��
��
��
��
��
��
��
��
��
�� PW
��
��
��
��
��
��
��
��
��
�� PC ��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� � � � SOX
��
��
��
��
��
��
��
��
��
��
��
�
��
��SOX ��
��SOX ��SOX ��
��
��
��SOX ��
��
SOX ��
�� 1��
��
��BCM�Business Continuity Management��
�� PC ��DRP �
72
71
��
�� SOX ��
��
�� SOX ��
�� SOX ��
�� PC ��
��
��SOX ��
��
��
�� iDC ��
��
��
��
��
��
�� SOX ��
��
��
��
��
��
��
��
��
��
��
��
�� SOX
�� SOX ��
��
��
SOX ��
��
��
��
73
72
��
��
��
�� SOX ��
��
��SOX ��
��
��
��
��
��
�� SOX ��
��SOX ��
�� SOX ��
��
SOX ��
��
��SOX ��
�� SOX
��
��
74
73
��
��
��
�� 1 �� 2 ��
��
�� SOX ��
��
��
��
�� 3 �� 4 ��
��SOX ��
��
��SOX ��
��
�� SOX ��
�� SOX ��
��
��
��SOX ��
��
��SOX �� IT ��
��
��
��SOX ��
��
��
��
��
75
74
��
��
��
�� IT ��
��
�� SOX ��
�� IT ��
��
��
�� IT �
��
��
��25��
JEITA ��IT ��
��
��
��
�� SOX ��
�� IT ��
��
��SOX ��
�
��
��
��
��
��
76
75
付
録
１．カーネギーメロン大学日本校
視察結果
２．京都大学高倉弘喜助教授による講演
３．
「コンプライアンスのための情報セキュリティ対策に関する
アンケート調査」単純集計結果
４．
「コンプライアンスのための情報セキュリティ対策に関する
アンケート調査」調査票
��
��
��
�� CISO ��
��
�� CMU � CERT/CC
��
��
�� CMU ��
��12 ��
�� 700 ��CMU ��
��
��
� ��Fundamentals of Telecommunication Network��
� ��
��CMU ��
�� CMU �� CMU ��
��2005 � 8 ��
�� CyLab ��CMU
��
��
��
��
��
��
�� CERT ��
��
��
��
��
��
��
��
��
i-1
i-1
��
��
� � ��
��
��
��
�Prof. Nicolas Christin
�Prof. Justin Zhan
��
�Daver Pishva ��
��
��
� ��1/3�1/4 ��
�� SOX ��
��
��
��
� ��
�� 1 ��
�� 1 ��
��
� ��
��
��
��
ad-hoc ��
��
��
��
��
� �� 9 ��2 �� 8
�� 15-30 ��
��
� �� 9 �� 7 ��
��
i-2
i-2
��
��
��
��
��
�� 1/100 ��
��
��
�� 100%��
��
��
��
��
��
��
��
��
��
��
��
�� P2P ��
� � P2P ��
�Firewall�IDS�IPS��
�� FW/IDS ��
�� FW
� � ��
� � ��
� � ��
�� IDS�IPS�
� � ��
� � ��
� � �� IPS ��
� � ��
iii-1
i-1
�� IPS ��
��
� ��
��
�� WinOS ��PC ��
��
��
�� wmf ��2005/12 ��
��
Windows ��
��1 ��100
�� 1 ��
��
��
� 12 ��IDS �� HTML ��
� 12 ��
� 1 ��
� � ��
�� Web ��
�
��
��
�Honeypot ��
�� Honeypot ��2004 � 12 ��
samba ��IDS ��
� Honeypot ��Not malicious ��
��
��
�� TCP/445 ��MD5 ��
�� IDS ��
��
��
��
�TCP ��
� UDP ��
��
��
��
�� embedded OS
� Linux,BSD,windows � OS ��
OA��
� ��TV,VTR,��,��
� � ��
� �� OS ��
� � ��
iii-2
i-2
� � ex�� 2 � OS ��
��
�Embedded OS ��
�� embedded OS ��
��
�� Embedded OS + Freeware/Shareware ��
Freeware ��
��
��
�� OS ��
��
�� FAX��
��Windows ��
��
��
WinCE ��
��Windows ��
��IC ��
��
�� Windows ��
��
��
�� 2,3 ��
��
��
��
� ��
��
��
��
� ��
��
��
��
��IDS ��
�� 10�100 �� 2,000 ��
��
iii-3
i-3
��
��
��
Q1-1� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q1-2� ��
��
��
��
��
��
��
��
��
��
��
�-1
iii-1
��
Q2� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q3� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q4� ��
��
��
��
��
��
��
��
��
��
��
�-2
iii-2
��
Q5� ��
��
��
��
��
��
��
��
��
��
��
��
Q6� ��
��
��
��
��
��
��
��
��
��
��
��
Q7� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-3
iii-3
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q8� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q9� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-4
iii-4
Q10� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-5
iii-5
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q11� �� IT ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q12� �� IT ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q13� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-6
iii-6
Q14� ��
Q14-1� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q14-2� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-7
iii-7
��
��
��
Q15� ��
Q15-1� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-8
iii-8
��
Q15-2� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-9
iii-9
��
��
Q16� ��
Q16-1� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-10
iii-10
��
Q16-2� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-11
iii-11
��
Q17� ��
��
��
��
��
��
��
��
��
��
��
��
��
�� Sarbanes Oxley ��SOX ��
��
��
��
��
��
��
��
��
��
��
��
�� SOX �
��
��
��
��
��
��
��
��
��
��
�-12
iii-12
��
Q18� ��
Q18-1� ��
��P �� ISMS ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q18-2� ��
��P �� ISMS ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-13
iii-13
��
��
��
Q19� ISO/IEC15408 (��) ��
��
��
��
��
��
��
��
��
��
��
Q20� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-14
iii-14
��
��
��
��
Q21-1� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-15
iii-15
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q21-2� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-16
iii-16
��
��
Q22� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-17
iii-17
Q23� ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�� SOX ��
Q24� �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-18
iii-18
��
Q25� �� SOX ��
Q25-1� ��ID ��
��
�� ID ��12 ��
�� 6 ��
�� 5 ��
��
��
Q25-2� ��
��
��
��11 ��
�� 4 ��
�� 2 ��
Q25-3� ��
��
�� 4 ��
�� 4 ��
�� 3 ��
�� 3 ��
�� 2 ��
Q25-4� ��
��
�� 8 ��
�� 2 ��
��
��
�-19
iii-19
Q26� �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q27� �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-20
iii-20
��
��
��
��
��
��
��
��
��
��
Q28-1� �� SOX ��
��COBIT 4.0�COBIT 3.0
��
��
��
��
��
��
��
��
��
��ISO2000�ITIL
��
��
��
��
��
��
��
��
��
��ISO27001�ISO17799�ISMS
��
��
��
��
��
��
��
��
��
�-21
iii-21
��
��
��
��
��
��
��
��
��
��
Q28-2� ��
��COBIT 4.0�COBIT 3.0
��
��
��
��
��
��
��
��
��
��
��ISO2000�ITIL
��
��
��
��
��
��
��
��
��
�-22
iii-22
��ISO27001�ISO17799�ISMS
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q29� �� SOX ��
��
��
��
��
��
��
��
��
��
�-23
iii-23
Q30� �� SOX ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q31-1� ��
��
��
��
��
��
��
��
��
��
��
Q31-2� ��
��
�� 159 ��
�� IR�� 11 ��
�� CSR ��4 ��
�-24
iii-24
Q31-3� ��
��
��
��
��
��
��
��
��
��
��
Q32-1� ��
��
��
��
��
��
��
��
��
��
Q32-2� �Q32-1 ��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
Q33� ��
��
�-25
iii-25
��
�
�
�
��
��
��
��
��
��
��
��
��
��
�
��
� ��
��
日本市場
米国市場
�
�
��
上場している
��
３年以内（2008年度まで）に上場予定である
��
これらの市場には、上場していない
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-1
iv-1
��
��
��
��
�
�
��
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
�
サーバ系
クライアント系
��
��
� ��
�
�
なし
��
1� ��
台 �
�-2
iv-2
� ��
��
� �
2��台～
9 ��
台��
��
��
��
��
１0台～99台
��
��
100～299
台 ��
��
��
��
��
300～999
台 � ��
��
��
��
1000
台～4999台
��
��
��
��
5000
台～9999台
��
��
��
10000
台以上 �
�
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
� �
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
� �
��
�
�
��
��
��
��
��
��
��
��
�
��
専門の部署／
兼任の部署／
部署／責任者は
��
��
責任者を設置
責任者を設置
設置していない
��
��
��
��
� ��
�
�
�
��
��
��
��
��
�
�
�
（１）情報セキュリティ専門の部署 �
��
�
��
（２）情報アキュリティ責任者
��
�
�
��
��
��
��
��
��
�
�
��
��
規定が
規定は、
��
��
��
��
あり、
あるが、
規定を
規定は
わからない
��
��
��
��
��
��
施行されて ��
施行されて
作成中
ない
いる
いない
��
��
��
��
��
� ��
��
��
��
��
�
�
�
�
�
��
��
��
��
��
��
��
�
�
�
�
�
�
（１）機密情報管理に関する規程 �
��
��
��
（２）個人情報管理に関する規程
��
�
�
��
（３）文章管理に関する規程
��
�
��
�
（４）パソコン利用規程（外部持ちだし、暗号化、
��
�
ＢＩＯＳパスワード設定等の情報漏えい対策）
�-3
�-3
iv-3
��
�� メモリ等の情
��
（５）外部記憶媒体利用規程（USB
報漏えい対策）
��
�
��
（６）ウイルス対策規程（ウイルス対策ソフト、感染
時の対応等）
��
��
（７）電子メール利用規程（暗号化、転送禁止等）
��
（８）情報へのアクセス管理に関する規程
（９）情報システムの内部監査に関する規程
��
��
（１０）システムへのアクセスログ・操作ログの取
得・監査に関する規程
��
��
（１１）外部公開サーバ管理規程（脆弱性検査、
公開審査等）
��
��
（１２）サーバ管理規程（設置場所、アクセス制
限、パッチ、バックアップ等の情報保護）
��
��
（１３）サーバルーム利用規程（利用者申請、入退
室記録）
��
�
��
（１４）情報セキュリティ教育実施に関する規程
��
（１５）外部委託先管理に関する規程（選定基準、
監督等）
��
��
（１６）外部要員管理に関する規程
��
（１７）セキュリティインシデント（事件・事故）規程
（発生時の対応、組織、手順等）
��
��
（１８）災害復旧計画（Disaster
Recovery Plan） �
��
（１９）事業継続計画（Business
Continuity Plan） �
��
��
��
�
�
�
�
�
�
�
�
�
�
��
��
��
��
��
� ��
� ��
��
��
��
�
��
��
��
��
��
��
��
�-4
iv-4
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
� ��
��
実施している
実施を準備中
実施していない
�
�
�
��
（１）外部監査
��
（２）内部監査
��
��
�
まだ �1 ��
回のみ
数年に� 1� 回
年に� �1 ��
回
��
�
�1 ��
� ��
��
�
年に複数回
�1 ��
�
（１）外部監査
��
��
（２）内部監査
��
��
��
�
� ��
セミナー・
講習の開催
��
��
�
e- ラーニング
の実施
��
��
�
��
テキストや冊子
の配布
��
＜セミナー講習
��
で配布される
��
ものを除く＞
��
�
��
（１）一般従業員向け
��
（２）経営層向け
��
（３）情報システム担当者向け
実施して
いない
��
��
�
その他
��
�
��
��
��
�
�-5
iv-5
�
��
��
�
��
��
��
�
�-5
��
�
�1 ��
�
��
まだ �1 ��
回のみ
数年に� 1� 回
年に� �1 ��
回
�
��
（１）一般従業員向け
��
（２）経営層向け
�1 ��
年に複数回
�
��
（３）情報システム担当者向け
�
��
��
�
� ��
��
テキストや冊子
��
の配布
e- ラーニング
＜セミナー講習
��
の実施
で配布される
��
ものを除く＞
��
��
�
�
� セミナー・
講習の開催
��
��
�
��
（１）一般従業員向け
��
（２）経営層向け
��
（３）情報システム担当者向け
実施して
��
いない
��
�
その他
��
�
�
��
��
��
�
� ��
��
まだ �1 ��
回のみ
�
��
数年に
回
� �1 �
�1 ��
年に� �1 ��
回
�1 ��
年に複数回
�
��
（１）一般従業員向け
��
（２）経営層向け
��
（３）情報システム担当者向け
��
��
��
��
� ��
��
対応済み
�
��
対応中
�
��
対応を検討中
�
��
��
対応予定なし
法律を知らない
�
�
��
（１）
�� Sarbanes
��
（２）米国
Oxley �
法
�� 法）
��
（SOX
��
（３）日本版
SOX ��
法（金融商品取
��
引法の一部
��
��
��
��
��
�
iv-6
� ��
��
��
�
��
�
��
�
��
�
��
��
��
��
�
取得済み
��
�
� ��
取得準備中
��
�
取得検討中
��
�
取得予定なし
��
�
（１）プライバシー（P
�� マーク）
��
（２）ISMS
�� 適合性評価制度
��
�-6
��
��
�
2003
年度以前
��
�
� ��
2004
年度
��
2005
�� 年度
��
2006
�� 年度
��
わからない
��
�
�� マーク）
��
（１）プライバシー（P
�� 適合性評価制度
��
（２）ISMS
�
��
��
��
��
��
��
��
�
��
��
��
��
� ��
��
加入している加入を検討中
��
��
�
�
��
加入して
いない
��
�
わからない
��
�
��
（１）個人情報漏えい補償
��
（２）サイバー攻撃（不正アクセス等）による損失補償
��
（３）ハード・ソフト損壊・データ消失による損失補償
��
（４）地震・火災による損失補償
��
（５）セキュリティ対策ソリューション一体型保険
��
（６）製品一体型（ウイルス対策等）保険
（７）その他
��
�
��
��
��
��
�
� ��
��
�
��
� ��
� ��
� ��
��
iv-7
��
�
��
�
��
�
��
��
�
��
��
��
��
�
� ��
��
導入検討中
�
��
導入済み
�
��
未導入
�
��
わからない
�
（執務室への）入退室管理システム
��
A：IC
� �� カード
��
B：監視カメラ
� ��
C：バイオメトリクス
� ��
（従業員の）端末認証システム
��
� �� カード
��
A：IC
�-7
� ��
B：バイオメトリクス
情報漏えい対応複写機・プリンタ
��
ファイアウォール／VPN
�� 製品・運用サービス
��
侵入検知ツール・侵入監視サービス
��
��
ウイルス対策ツール・ウイルス監視サービス
�� フィルタリングツール・サービス（ウイルス対策製品等の
��
web
簡易機能を除く）
��
��
メールフィルタリングツール・サービス
��
アンチスパイウェア（ウイルス対策ツールの簡易機能を除く）
セキュリティ（脆弱性）検査／監視ツール・サービス
��
��
端末監視・制御ツール（端末の資産管理、ソフトウェア更新
状況等の管理）
��
��
ドキュメント・コンテンツ管理ツール（印刷・画面コピーの制
限、改ざん検知、タイムスタンプ等）
��
�
��
データ暗号化ツール
��
認証用製品・ツール
��
A：シングルサインオン
��
B：ワンタイムパスワード
C：PKI／デジタル証明書
��
��
D：アイデンティティマネジメントツール
（従業員の
�� ID
�� 付与・アクセスなどの統合的管理）
��
��
データ・アプリケーションへのアクセス管理ツール
��
データバックアップ・保管（ストレージ）サービス
��
データ消去／破壊ツール・サービス
��
検疫ツール（セキュリティポリシー適合端末の識別、隔離）
��
シンクライアント
��
フォレンジクス
��
（データ保全・ログ解析、通信トラヒックの記録等）
��
��
��
�
� ��
�
��
��
� ��
� ��
� ��
��
iv-8
�
��
�
��
��
��
��
��
��
�
� ��
�
有用である
��
�
有用でない �
��
�
わからない
��
（執務室への）入退室管理システム
��
� �� カード
��
A：IC
� ��
B：監視カメラ
� ��
C：バイオメトリクス
��
（従業員の）端末認証システム
� �� カード
��
A：IC
� ��
B：バイオメトリクス
��
情報漏えい対応複写機・プリンタ
�� 製品・運用サービス
��
ファイアウォール／VPN
��
侵入検知ツール・侵入監視サービス
��
ウイルス対策ツール・ウイルス監視サービス
�� フィルタリングツール・サービス（ウイルス
��
web
対策製品等の簡易機能を除く）
��
�-8
��
メールフィルタリングツール・サービス
��
アンチスパイウェア（ウイルス対策ツールの簡
易機能を除く）
��
��
セキュリティ（脆弱性）検査／監視ツール・サー
ビス
��
��
端末監視・制御ツール（端末の資産管理、ソフ
トウェア更新状況等の管理）
��
��
ドキュメント・コンテンツ管理ツール（印刷・画面
コピーの制限、改ざん検知、タイムスタンプ等）
��
��
データ暗号化ツール
��
認証用製品・ツール
� ��
A：シングルサインオン
� ��
B：ワンタイムパスワード
� ��
C：PKI／デジタル証明書
� ��
D：アイデンティティマネジメントツール（従業
員の
付与・アクセスなどの統合的管理） �
�� ID
��
��
データ・アプリケーションへのアクセス管理ツー
ル
��
��
データバックアップ・保管（ストレージ）サービス
��
データ消去／破壊ツール・サービス
��
検疫ツール（セキュリティポリシー適合端末の
識別、隔離）
��
��
シンクライアント
��
フォレンジクス（データ保全・ログ解析、通信ト
ラヒックの記録等）
��
�
��
��
��
��
iv-9
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-9
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
�
��
��
iv-10
��
��
��
��
��
�
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-10
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�
��
��
�
��
�
��
�
��
�
iv-11
��
�
��
�
��
�
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-11
��
��
��
��
��
��
��
��
��
��
�
��
��
��
��
��
� ��
��
全部参考に
している
��
�
��
一部参考に
している
��
�
��
参考に
していない
��
�
��
（１）COBIT
4.0、COBIT 3.0 �
��
（２）ISO2000、ITIL
��
（３）ISO27001、ISO17799、ISMS
��
（４）その他
��
iv-12
��
�
��
指標を
知らない
��
�
��
��
��
��
�
��
��
��
あまり有用で
大変有用
有用である
有用でない
わからない
� ��
��
��
��
��
��
ない
である
�
�
�
�
�
��
�
（１）COBIT 4.0、COBIT 3.0
（２）ISO2000、ITIL
��
��
（３）ISO27001、ISO17799、ISMS
（４）その他
��
��
��
��
��
��
��
��
��
��
��
��
��
�-12
��
��
��
��
��
��
��
��
��
��
��
��
�
�
��
��
��
��
��
��
��
��
��
��
��
iv-13
�
��
��
��
��
��
��
�
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
��
�-13
��
��
��
��
��
��
��
��
��
�
�
��
��
�
iv-14

コンプライアンスのための 情報セキュリティ対策技術と

Comments

Description

Transcript

コンプライアンスのための情報セキュリティ対策技術と