ディザスタリカバリ、4回に1回は失敗

@ITの記事「ディザスタリカバリの復旧作業は4回に1回は失敗」からです。

日本と世界における災害対策（ディザスタリカバリ）に関する調査の結果です。
（2009年5月から6月にかけて実施。全世界1650社（うち日本企業50社）からの回答）
以下、記事からの抜粋。

　これまでに経験したことのある災害の種類では、コンピュータシステムエラーが最も多く日本で88％、グローバルで79％、ウイルスやハッカーなどの外部からの脅威が同78％／71％、停電や電力障害が同68％／59％と続いた。

　ディザスタリカバリ委員会への参加者では、CIO／CTO／ITディレクタが最も多く日本が70％、グローバルも70％だった。2番目に多かったのは、部門または部署のIT管理者で同64％／49％だった。

　また、ディザスタリカバリの予算は、日本において今後6カ月は減少が14％、横ばいが36％、増加するが50％だが、今後12カ月以降は徐々に増えていく傾向になった。

　IT予算に対するディザスタリカバリへの割合は、日本が22.5％、グローバルが30％で、日本がグローバルに比べて低い数値となった。予算の内訳は、ローカルリカバリへのバックアップやアーカイブが一番多く日本で15％、グローバルで20％、ディザスタリカバリ用のバックアップが同10％／15％、継続的なデータ保護が同10％／14％となった。また、ディザスタリカバリにかかる時間は、基幹業務の復旧が日本が6時間、グローバルが3時間、大部分のバックアップと実行が同6時間、4時間、通常業務の100％の回復が同6時間、4時間とすべての項目で、日本はグローバル平均より2時間以上多くかかることが分かった。

　また、ディザスタリカバリのテストに関しては、クリティカルなデータやアプリケーションを目標復旧時間や目標復旧ポイント内に回復できる確率が、日本が77.5％、グローバルが70％となり、日本・グローバルともに3～4回に1回は失敗していることが判明した。失敗の理由は、「担当者が想定どおりに実施できなかった」が一番多く、日本は54％、グローバルが44％、「プロセスが不適切だった」が同50％／36％、「DRサイトのITインフラが十分でなかった」が同46％／29％となった。

　日本と世界との差が、かなりくっきり出た調査結果です。
　残念ながら、DRでも日本は世界から後れをとっていると言えそうです。

「情報セキュリティガバナンス導入ガイダンス」公表

正式版がリリースされてました。
週明けにでも、じっくり読んでみます。（ナナメ読みはしてますが）

「情報セキュリティガバナンス導入ガイダンス」等の公表について～経営者のリーダーシップによる情報セキュリティ対策の推進を目指して～

●本件の概要
「産業構造審議会情報セキュリティ基本問題委員会（委員長：寺島実朗　株式会社三井物産戦略研究所会長、以下「基本問題委員会」）」では、企業の経営陣が責任とリーダーシップを持って情報セキュリティ対策を実施すること、すなわち「企業における情報セキュリティガバナンスの確立」について普及・促進を図ることを目的とした「情報セキュリティガバナンス導入ガイダンス」等をとりまとめましたので、公表します。

●発表資料名
・「情報セキュリティガバナンス導入ガイダンス」等の公表について～経営者のリーダーシップによる情報セキュリティ対策の推進を目指して～

・「情報セキュリティガバナンス導入ガイダンス」

・「情報セキュリティ関連法令の要求事項集」

・「アウトソーシングに関する情報セキュリティ対策ガイダンス」

・「情報セキュリティ格付を実施する各種機関の運営に関する一般要求事項」

「2008年度情報セキュリティインシデント調査報告書」

JNSAのHPで「2008年度情報セキュリティインシデント調査報告書」が公開されています。

情報漏えいインシデントの報告書としては、もう定番ですね。
2009年度からは、情報漏えい以外のインシデントも調査するとか・・・
期待しちゃいます。

「2008年度情報セキュリティインシデント調査報告書」

＜報告書「始めに」より抜粋＞
JNSAセキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故（以降「インシデント」という）の調査分析は今回で7回目となる。2007年と同様に2008年も2003年に確立した調査方法を踏襲した。
JNSAセキュリティ被害調査ワーキンググループでは、2007年と同様に、2008年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント（以下、インシデントという）の情報を集計し、分析を行った。
この調査データにもとづいた、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの情報の分類、JOモデル（JNSA Damage Operation Model for Individual Information Leak）を用いた想定損害賠償額などを分析した結果を報告書にまとめた。このような結果をもたらした原因分析も含め、以下に2008年のインシデントの集計・分析結果、及び過去5年間の蓄積されたデータを元にした経年変化の分析結果を報告する。

・「2008年度情報セキュリティインシデントに関する調査報告書Ver.1.0」

「平成21年度春期情報処理技術者試験」合格発表

IPAのHP「「平成21年度春期情報処理技術者試験」（応用情報技術者試験及び高度試験）の合格発表について」からです。

情報セキュリティスペシャリストは、2,580名誕生したということですね。

●合格発表概要
(1)応用情報技術者試験は、応募者数が56,141名、受験者数が36,653名、合格者数が9,549名で、合格率は26.1％でした。

(2)プロジェクトマネージャ試験は、応募者数が16,241名、受験者数が9,372名、合格者数が1,187名で、合格率は12.7％でした。

(3)データベーススペシャリスト試験は、応募者数が18,538名、受験者数が11,887名、合格者数が1,912名で、合格率は16.1％でした。

(4)エンベデッドシステムスペシャリスト試験は、応募者数が5,875名、受験者数が4,080名、合格者数が689名で、合格率は16.9％でした。

(5)情報セキュリティスペシャリスト試験は、応募者数が25,377名、受験者数が16,094名、合格者数が2,580名で、合格率は16.0％でした。

(6)システム監査技術者試験は、応募者数が5,313名、受験者数が3,271名、合格者数が455名で、合格率は13.9％でした。

　今回の結果は「旧試験制度下での最終実施と比較し、全ての試験区分で合格率が上昇しました」とのことでした。

しかし、「合格率」が上がるかどうかは、個人的には重要なことではないと思っています。
どういう人（質）をどれだけ（量）育てるか、そちらのほうが重要ですよね…
その目標（あるべき「質と量」）に対して、どうなのでしょう。
特に「量」は、十分とは思えません。

「セキュアデザインパターン」（日本語版）、公開

JPCERT/CCのHPで「セキュアデザインパターン」（日本語版）が公開されました。

英語版はすでに公開されていましたが、さすがに読む気になれず…
日本語版が出て、良かった。

「ソフトウェア設計工程における脆弱性低減対策～セキュアデザインパターン（日本語）版」

●目次
1 序文
1.1 セキュアデザインパターンについて
1.2 本書の目的
1.3 対象範囲
1.4 形式と規則

2 アーキテクチャレベルのパターン
2.1 Distrustful Decomposition（信頼なしの分解）
2.2 PrivSep（Privilege Separation：特権の分離）
2.3 Defer to Kernel（カーネルに委任）

3 設計レベルのパターン
3.1 Secure State Machine（セキュアステートマシン）
3.2 Secure Visitor（セキュアビジター）

4 実装レベルのパターン
4.1 Secure Directory（セキュアディレクトリ）
4.2 Pathname Canonicalization（パス名正規化）
4.3 Input Validation（入力検査）
4.4 Resource Acquisition Is Initialization（RAII：リソースの確保は初期化時に行う）

5 結論と今後の作業
5.1 結論
5.2 今後の作業

参考文献

デザインパターンは、アーキテクチャレベル、設計レベル、実装レベルに分類されているのですね。
なるほど。かなり参考になります。

「スマート・クラウド研究会」、7月にも立ち上げ

日経NETの記事「「クラウド」官民研究会、総務省が7月にも立ち上げ」からです。

　総務省は、ネットワーク経由でソフトやサービスを提供する「クラウドコンピューティング」事業の国内での拡大に向け、7月にも民間企業などとともに研究会を立ち上げる。この分野では米グーグルや同アマゾン・ドット・コムなどが独走し、日本の利用者は米国勢に取り込まれている。クラウド事業を育成していくことで、国内通信関連企業などの事業拡大を後押しする。

　「スマート・クラウド研究会」の座長には、大阪大学の宮原秀夫名誉教授が就く。日本IBMの大歳卓麻会長や、インターネットイニシアティブの鈴木幸一社長などもメンバーに入る予定だ。

日本でも、ついにというか、やっとというか、とにかく始まるようですね。

ところで、この記事で「クラウドコンピューティング事業の国内での拡大」がこの研究会の立ち上げ目的に見えますけど、ほんとにそれだけじゃないでしょうねぇ？
「セキュリティ」入ってますよね？？

ちょっと、心配になってきました・・・

＜関連記事・このブログ＞
・「Cloud Security Alliance」が近く発足

CIOの業務内容

CIO Onlineの記事「「CIO実態調査2009」に見る米国CIOの実像」からです。

いろいろな実態調査の結果が出ていますが、特に「CIOの業務内容」という項目が気になりました。

■CIOの業務内容

1．ITとビジネスの目標を調整
2．ITとビジネスのパートナーシップを育成
3．ITオペレーションとシステム・パフォーマンスの改善
4．リーダーとして変革を推進
5．新しいシステムとアーキテクチャの導入
6．業務革新の推進
7．ビジネス・プロセスの刷新
8．ITコストの抑制
9．ビジネス戦略の策定
10.競合他社との差別化
11.ITの危機管理
12.セキュリティ管理
13.ベンダーとの交渉
14.事業戦略と技術の開発
15.市場動向と顧客ニーズの調査

なるほど･･･

さらに、ITリーダーの最も重要な資質として、「長期的な戦略思考／プランニング」を挙げた回答者が、70%（前回は56%）ということです。

ということで、やはり「ITガバナンス」「エンタープライズアーキテクチャー（EA）」というようなところが落とし所になるのでしょうね。

「セキュア・ジャパン2009」正式公表

「セキュア・ジャパン2009 ～すべての主体に事故前提の自覚を～」が、すでに公表されていましたね。

さて、どうすれば自覚できるのか、自覚してくれるのか、それが問題だ…

＜関連資料＞
資料1-1 「セキュア・ジャパン2009（案）」に対する意見募集の結果の概要について 
   
資料1-2  「セキュア・ジャパン2009（案）」に対する提出意見の概要及び御意見に対する考え方
   
資料1-3  「セキュア・ジャパン2009（案）」の概要について 
   
資料1-4  「セキュア・ジャパン2009（案）」

金融庁が三菱UFJ証券に業務改善命令

ITmediaの記事「三菱UFJ証券、情報漏えいの再発防止について表明」からです。

今回、金融庁が三菱UFJ証券に出した業務改善命令は、以下のような内容です。

●業務改善命令の内容
1.情報が流出した顧客などの保護や被害拡大の防止に向けて、必要な措置を講じること
2.大量の顧客情報などを流出させ、顧客などに被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
3.今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
4.例えば以下の観点から、情報セキュリティ管理態勢の充実、強化を図ること。「部門間の牽制機能の確保」「外部委託先を含めた各種手続の運用実態の検証とその実効性の確保」「不正行為を可能とする一連の権限などの特定職員への集中状況の検証と、当該権限などの分断または幅広い権限などを有する職員への管理、牽制の強化」「不正行為の隠ぺい防止」
5.不正行為の未然防止に向けて、人事管理などの改善を図ること。特に、職業倫理の強化などを図る観点から教育、研修のあり方を見直し、適切に実施すること
6.3ないし5への対応状況を含めた情報セキュリティ管理などのあり方について、内部監査の充実、強化や外部監査の活用などにより検証し、その結果を踏まえてさらなる改善を図ること
7.1ないし6への対応状況について、2009年7月3日までに（および必要に応じて随時）に、書面で報告すること。併せて、これらの対応状況について、顧客などへの周知を図る観点から、その概要を公表すること。

●個人情報保護法律に基づく勧告内容
1.個人データの安全管理のための実効性のある措置を確保すること
2.個人データの安全管理を図るための従業者に対する監督を徹底すること
3.1および2への対応として行った措置について、2009年7月3日までに、書面で報告すること

逮捕された元社員が特権を持ちながら監視対象外だったというのが、「内部管理態勢が不十分」の最大の理由ということになるのでしょうね。

今までの報道記事などからの個人的な意見と感想ですが、「業務改善」以前に「組織改革」が必要な気がします。

＜関連記事＞
「三菱UFJ証券の元部長代理を逮捕　5万人分の顧客情報売却」～ITmedia

「「内部管理態勢が不十分」、金融庁が三菱UFJ証券に業務改善命令」～日経ITpro

「弊社元社員の逮捕について」～三菱UFJ証券株式会社 プレスリリース（2009.6.25）

「金融庁による行政処分について」～三菱UFJ証券株式会社 プレスリリース（2009.6.25）

「三菱ＵＦＪ証券株式会社に対する行政処分について」～金融庁

「組込みシステムのセキュリティへの取組みガイド」公開

IPAのHPで「組込みシステムのセキュリティへの取組みガイド」が、公開されています。

最近、「組込みシステム」「制御システム」のセキュリティが重要視されていますね。
（数年後には「組込みシステム」などという用語は使われなくなっていくような気がしていますけど）

●概要
　近年、産業機器や家電製品等は、これらの機器を制御するために機器の内部に組み込まれたコンピュータシステム、「組込みシステム」によって、高機能化や、ネットワークへの接続がなされています。このため、これらの機器に利用される組込みシステムもパソコンと同様、不正な利用を試みる第三者の攻撃ターゲットになりつつあります。
　しかし、組込みシステムの開発現場では、市場競争の激化による開発期間の短縮化やリソースの不足、開発途中での要求仕様や制約条件の変更等のために、セキュリティへの対応が後回しにされやすい現状があります。開発の最前線にいるエンジニアをはじめとして、責任者や経営陣がセキュリティに対してどのように取り組んでいくべきかが課題となっています。
　そこでIPAでは、開発プロジェクトの開発者・開発責任者・意志決定者（経営層）を対象として、組込みシステム開発関係者のセキュリティ意識向上と、よりセキュアな組込みシステムの実装を行うことを狙いとした、「組込みシステムのセキュリティへの取組みガイド」をまとめました。
　
【組込みシステムのライフサイクルにおける課題、対策等】
　本ガイドでは、組込みシステムのライフサイクルを「企画」、「開発」、「運用」、「廃棄」の4つのフェーズに分けると共に、組織としてライフサイクルを確実に実施するための重要な要素を「マネジメント」フェーズとして、それぞれについて説明しています。組込みシステムは製造メーカーにより企画・開発され、小売業者を経てユーザの手に渡り実際に運用されたのち、リサイクル業者等によって廃棄されます。組込みシステムに対する脅威は、運用フェーズだけでなく、その他のフェーズにおいても存在するため、それらのセキュリティ課題はあわせて解決しなければなりません。
　また、ライフサイクルの各フェーズにおける脅威と対策について述べるだけでなく、経営層・現場の双方が組込みシステムに関わる脅威を正しく認識し、「何をすべきか」を具体化するため、各フェーズにおけるセキュリティへの取組みの方針と、詳細な取組み内容を提示しています。

　具体的な項目は、以下の通りです。
１．マネジメント：セキュリティルール，セキュリティ教育，セキュリティ情報の収集
２．企画：予算
３．開発：設計，開発プラットフォーム選定，ソフトウェア実装，
　　　　　開発の外部委託における取組み，セキュリティ評価テスト・デバッグ，
　　　　　ユーザーガイド，工場生産管理
４．運用：セキュリティ上の問題への対応，ユーザへの通知方法と対策方法，
　　　　　脆弱性情報の活用
５．廃棄：機器廃棄方法の周知

・「組込みシステムのセキュリティへの取組みガイド」