情報セキュリティ・マネジメント研究会

AISM


セキュリティ・マネジメントに関する問題の把握、その問題への対応方法などの研究、また企業の情報セキュリティに関する啓蒙的な活動を目的に、企業の情報システム部門や、団体、教育機関などの有志が中心になって2001年5月25日に設立された団体の名称。事務局は日本経営科学研究所内に設置される。米国のNCES(National Center for Education Statistics)は2003年3月31日に、教育関連のセキュリティ・レポート「Weaving a Secure Web Around Education: A Guide to Technology Standards and Security 」を公開した。米国のRSA Securityは2003年4月15日に、Opinion Research社が実施したこの意識調査によるセキュリティ問題に関する消費者意識調査の結果を発表した。詳細情報はURL(http://www.rsasecurity.com/japan/news/data/200304151.html)で知ることができる。経済産業省は2003年5月14日に、業構造審議会情報経済分科会の下に、「情報セキュリティ部会」を設置し、現在まで進めてきた「情報セキュリティ政策」を総括し、今後、政府としてどのような指針を示し、施策を遂行していくべきかという全体戦略についての検討を開始することを報告した。詳細情報はURL(http://www.meti.go.jp/kohosys/press/0004022/)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年6月24日に、米国国防総省(DOD/Department Of Defence)に所属する米国情報セキュリティ・ディレクターRobert F. Daceyが実施した実験から法で定めた完全な情報セキュリティ手段の必要性を訴えた報告書「Information Security: Continued Efforts Needed to Fully Implement Statutory Requirements, by Robert F. Dacey, director, information security, before the Subcommittee on Technology, Information Policy, Intergovernmental Relations, and the Census, House Committee on Government Reform. GAO-03-852T」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-852T)で知ることができる。米国のGAOは2003年7月24日に、Robert F. Daceyの情報セキュリティ実証実験の調査報告書「 Information Security: Further Efforts Needed to Implement Statutory Requirements in DOD, by Robert F. Dacey, director, information systems security, before the Subcommittee on Terrorism, Unconventional Threats, and Capabilities, House Committee on Armed Services. GAO-03-1037T」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-1037T)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年7月31日に、コンピュータを利用したインターネットのペイメント・システムにおける情報セキュリティに関するレポート「Information Security: Computer Controls Over Key Treasury Internet Payment System. GAO-03-837」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-837)で知ることができる。米国のNSF(全米科学財団/National Science Foundation)は2003年8月18日に、CRA(Computing Research Association)によるユビキタス環境のセキュリティなど基礎技術開発に関する調査レポートを公開した。詳細情報はURL(http://www.nsf.gov/od/lpa/news/03/tip030818.htm)で知ることができる。経済産業省は2003年10月10日に、産業構造審議会情報セキュリティ部会、情報セキュリティ総合戦略策定研究会にて、我が国全体の「情報セキュリティ総合戦略」を、内閣官房、内閣府、警察庁、防衛庁、総務省などの関係省庁も参加して策定した「情報セキュリティ総合戦略」の公表について、「情報セキュリティ総合戦略の策定について」を公開した。詳細情報はURL(http://www.meti.go.jp/kohosys/press/0004590/)または、URL(http://www.meti.go.jp/policy/netsecurity/strategy.htm)で知ることができる。米国国土安全保障省(DHS/the Department of Homeland Security/Homeland Security Department)は2003年9月30日にIT関連のセキュリティ確保に向けた計画案「Initial National Response Plan」を公開した。米国のNIST(National Institute of Standards and Technology/米国立標準技術研究所)も2003年10月にIT関連のセキュリティ確保に向けた案内書「Guide to Selecting Information Technology Security Products」を公開した。詳細情報はURL(http://www.dhs.gov/interweb/assetlibrary/Initial_NRP_100903.pdf)または、URL(http://csrc.nist.gov/publications/nistpubs/800-36/NIST-SP800-36.pdf)で知ることができる。米国下院政府改革委員会(House of Representatives' Committee on Government Reform)は2003年12月9日に、米国政府全体のコンピュータ・セキ ュリティ調査したレポート「Computer Security Report Card 2003」を発表し、全体では2002年の落第点「F」から1ランク上げて「D」と判定した。ただし、「DoE(Department of Energy/エネルギー省)」「DoJ(Department of Justice/法務省)」「DoHaH(Department of Health and Human Services/健康生活福祉省)」「DoI(Department of the Interior/内務省)」「DoA(Department of Agricukture/農務省)」「DoHUD(Department of Housing and Urban Development/住宅都市開発省)」 「DoS(Department of State/国務省)」「DoHS(Department of Homeland Security国土安全保障省)」は「F」と落第点であった。詳細情報は URL(http://reform.house.gov/TIPRC/Hearings/EventSingle.aspx?EventID=652)で知ることができる。「学校法人岩崎学園」は 2003年11月27日に文部科学省の設置認可を得て、日本初の情報セキュリティ専門の大学院大学「情報セキュリティ大学院大学」を2004年4月開設する、と発表した。定員は1学年49人で、学費は初年度150万円(入学金30万円を含む)で2003年12月24日に説明会が開催された。詳細情報はURL(http://www.iwasaki.ac.jp/iisec/index.html)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2002年12月18日に、米国の各省庁がリーダーシップを持ってIT環境の構築に努力する必要性を訴えた「Information Technology: Leadership Remains Key to Agencies Making Progress on Enterprise Architecture Efforts. GAO-04-40」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-40)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2002年12月19日に、IT技術の安全保護に求められる時間と共に進化する考え方を訴え、ペンタゴンが不確実(Inaccuracies)なITを有効にするにはUS$16億($1.6B)が必要になるとレポートした「Information Technology: Improvements Needed in the Reliability of Defense Budget Submissions. GAO-04-115」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-115)で知ることができる。進化が止まると同時に退化が始まり、それまでに投資された資金は無駄になるという考え方は、セキュリティだけではなく、全ての現象に当てはまることである。これはまた同時に、ITを最優先に考え、政府がITという言葉に振り回され過ぎると、確実性のないITに経済全体がゆがめられ、資本主義の根幹まで破壊する可能性も残している。経済産業省は2003年12月27日に、「平成16年度政府予算案(情報セキュリティ関連予算:経済産業省分)の概要について」を公開した。詳細情報はURL(http://www.meti.go.jp/policy/netsecurity/H16Fy_Draft_Budget2.pdf)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年1月15日に、政府関連省庁などにおけるパブリック・キーを活用した情報セキュリティの調査レポート「Information Security: Status of Federal Public Key Infrastructure Activities at Major Departments and Agencies. GAO-04-157」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-157)で知ることができる。RSA Securityは2004年2月23 27日に開催されたRSA Conferenceで、第2回目となる2004年のインターネット危険度指数「Internet Insecurity Index」を発表した。詳細情報はURL(http://www.rsasecurity.com/company/news/releases/pr.asp?doc_id=3389)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年3月16日に、情報セキュリティに関するレポート「Information Security: Technologies to Secure Federal Systems. GAO-04-467」とRobert F. Daceyによる実証実験レポート「Information Security: Continued Efforts Needed to Sustain Progress in Implementing Statutory Requirements, by Robert F. Dacey, director, information security, before the Subcommittee on Technology, Information Policy, Intergovernmental Relations, and the Census, House Committee on Government Reform. GAO-04-483T」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-467)または、URL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-483T)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年3月16日に、情報セキュリティに関するRobert F. Daceyの未来に向けた実証実験レポート「Information Security: Further Efforts Needed to Sustain Progress in Implementing Statutory Requirements, by Robert F. Dacey, director, information security, before the Subcommittee on Technology, Information Policy, Intergovernmental Relations, and the Census, House Committee on Government Reform. GAO-04-483T」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-483T)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年3月29日に、米国の刑事事件に関する歴史的動向を調査したレポート「National Criminal History Improvement Program: Federal Grants Have Contributed to Progress. GAO-04-364」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-364)で知ることができる。米国のNARA(National Archives and Records Administration/米国国立公文書館/米国国立資料館)が公開している、1993年からのISOO(Information Security Oversight Office/情報セキュリテー管理局)アニュアル・レポートはURL(http://www.archives.gov/isoo/reports/isoo_reports.html)で読むことができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年5月7日に、未来に向けた国防と米国国防総省(DOD/Department Of Defence)の透明性の改善に関するレポート「Future Years Defense Program: Actions Needed to Improve Transparency of DOD's Projected Resource Needs. GAO-04-514」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-514)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年5月28日に、Federal Deposit Insurance社が管理する情報システムのセキュリティに関するレポート「Information Security: Information System Controls at the Federal Deposit Insurance Corporation. GAO-04-630」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-630)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年7月28日に、情報保護に関してオペレーションのためにAuthorizingシステムズの一貫したプロセスを実行する必要性を訴えたレポート「Information Security: Agencies Need to Implement Consistent Processes in Authorizing Systems for Operation. GAO-04-376」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-376)で知ることができる。経済産業省は2004年7月29日に、外郭団体である独立行政法人情報処理推進機構(IPA)が2004年7月28日に、韓国情報保護振興院(略称:KISA)と、情報セキュリティに関する協力関係を締結したと報告した。詳細情報はURL(http://www.meti.go.jp/policy/it_policy/press/0005450/index.html)で知ることができる。Secunia Researchは2004年10月21日に、「Safari」「Netscape」「Opera」にダイアログ・ボックスから悪意のあるウェブサイトによって利用することができる脆弱が発見され、「Mozilla / Mozilla Firefox / Camino」「Microsoft Internet Explorer」でも2つの脆弱が発見され、一般にはあまりなじみのない組込型の「Avant Browser」や「Konqueror Tabbed Browsing」「Maxthon Tabbed Browsing」にも脆弱が発見され、2004年10月22日になって、Mac版のInternetExplorer「Internet Explorer 5.x for Mac」にもやっぱり脆弱が発見され、ブラウザがほぼ全滅状態と報告した。経済産業省やIPAは、ウイルス情報や脆弱情報を公開していますが、これではまるで政府が国民の血税を使って、ソフトハウスのアシスタントか、サポートセンターのようで、バグが有るのは仕方がないとして、対応が悪いのは被害拡大の大きな要因であり、犯罪に値することから、いい機会だから、どこが最初に対応したかのできレースでも掲載し、対応が遅いところを告発するか、社長を呼びだして警告するくらいは必要かもしれない。詳細情報はURL(http://secunia.com/advisories/12892/)または、URL(http://secunia.com/advisories/12714/)または、URL(http://secunia.com/advisories/12713/)または、URL(http://secunia.com/advisories/12889/)または、URL(http://secunia.com/advisories/12712/)または、URL(http://secunia.com/advisories/12889/)または、URL(http://secunia.com/product/2678/)または、URL(http://secunia.com/multiple_browsers_dialog_box_spoofing_test/)または、URL(http://secunia.com/secunia_research/2004-10/)で知ることができる。Edmund Tadrosがthe Ageで2004年10月26日に、クィーンズランド工科大学(Queensland University of Technology)のウイリアム・ケリエ教授(Professor William Caelli)が、Australian Institute of Professional Intelligence Officersで、本当に安全なソフトウェアを作成した商用ソフトウェア・メーカーが責任を「改廃」し、コンピューター・システムはサイバー 攻撃に弱くなっているセキュリティ「ぞっとした」と、報告した。詳細情報はURL(http://www.theage.com.au/articles/2004/10/25/1098667678959.html)で知ることができる。情報セキュリティ欠陥のため、ユーザーは何US$10億も浪費させられているが、問題は開発会社の設計が悪いからで、欠陥住宅は建設会社の責任で修復させ、被害が出たときは建設会社に請求するのが当然であり、Bruce Schneierの発言は実に正当で常識といえる。日本経済団体連合会は2005年3月15日に、「企業の情報セキュリティのあり方に関する提言」を発表した。詳細情報はURL(http://www.keidanren.or.jp/japanese/policy/2005/015/index.html)で知ることができる。経済産業省は2005年3月31日に、企業経営における情報セキュリティガバナンスのあり方を整理・分析し、企業の情報セキュリティガバナンス確保のために求められる対策を検討・提示することを目的として、「企業における情報セキュリティガバナンスのあり方に関する研究会の報告書」を公表した。詳細情報はURL(http://www.meti.go.jp/press/20050331004/20050331004.html)で知ることができる。独立行政法人情報処理推進機構(IPA/Information-technology Promotion Agency)は2005年3月31日に、「コンピュータ・セキュリティ 2004年の傾向と今後の対策 」を公開した。詳細情報はURL(http://www.ipa.go.jp/security/vuln/20050331_trend2004.html)で知ることができる。経済産業省は2005年5月3日に、産業構造審議会第5回情報セキュリティ部会を2005年6月1日に非公開で開催すると発表した。詳細情報はURL(http://www.meti.go.jp/committee/notice/0002874/0002874.html)で知ることができる。経済産業省商務情報政策局情報セキュリティ政策室は2005年8月4日に、企業の情報セキュリティ対策の取組状況を「可視化」するための指標である「情報セキュリティ対策ベンチマーク」について、Web上で自動的に結果が得られるシステムをIPA(独立行政法人情報処理推進機構)が公開したと報告した。詳細情報はURL(http://www.meti.go.jp/press/20050804005/20050804005.html)または、URL(http://www.ipa.go.jp/security/benchmark/index.html)で知ることができる。経済産業省商務情報政策局情報セキュリティ政策室は2005年9月12日に、情報セキュリティに関する普及・啓発活動の一環として、企業等の情報セキュリティ担当者及び責任者を対象とした「情報セキュリティセミナー」及び、家庭や学校からインターネットにアクセスする一般利用者を対象とした「インターネット安全教室」を開催すると報告した。詳細情報はURL(http://www.meti.go.jp/press/20050912003/20050912003.html)で知ることができる。Statewatchは2005年9月15日に、TEUのTitle VIによって備えられた刑事問題への警察と司法協力のデータ保護活動に関する提案書「EU: Data protection and data retention proposals」の全文を公開した。詳細情報はURL(http://www.statewatch.org/news/2005/sep/com-data-protection-prop.pdf)で知ることができる。IDC Japanは2006年6月15日に、2005年の国内セキュリティソフトウェア市場の規模は、前年比21.9%増の1324億円に達すると、調査レポートを発表した。詳細情報はURL(http://www.idcjapan.co.jp/Press/New/20060615Apr.html)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2006年10月31日に、連邦政府のサイバー・セキュリティ研究開発と、そのコーディメート体制のレポート「Information Security: Coordination of Federal Cyber Security Research and Development. GAO-06-811」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-06-811)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2007年4月19日に、情報安全保障問題と技術下院委員会でGregory C. Wilshusenが行った情報セキュリティ証言「Information Security: Persistent Weaknesses Highlight Need for Further Improvement, by Gregory C. Wilshusen, director, information security issues, before the Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology, House Committee on Homeland Security. GAO-07-751T」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-07-751T)で知ることができる。


GAOが2001年8月3日に公開した情報システムのセキュリティとリスク
米国のGAOが2001年7月25日に公開したセキュリティ・レポート
FBIとSANS Instituteが2001年10月2日に発表したInternet Security Top20
Infomation Security Magazineが2001年10月1日に公開した2001 Industry Survey
NCESが2003年3月31日に公開した、教育関連のセキュリティ・レポート
「情報セキュリティ総合戦略」策定の検討開始について
FDICによる情報セキュリティとリスクに関するレポート
Robert F. Daceyが訴えた法で定めた情報セキュリティ手段の必要性報告書
Robert F. Daceyの情報セキュリティ実証実験の調査報告書
GAOのInternet Payment Systemにおける情報セキュリティ・レポート
「情報セキュリティ総合戦略」の公表について
報道発表資料
情報セキュリティ総合戦略の概要
情報セキュリティ総合戦略
関連資料集
米国国土安全保障省が2003年9月30日公開したInitial National Response Plan
NISTのGuide to Selecting Information Technology Security Products
GAOが2003年11月17日に公開した「大学の実態調査報告」
Hon. Putnam Federal Computer Report Card Press Statement
Computer Security Report Card 2003
Overall Federal Computer Grade and Bar Graph
Federal Computer Security Grades 2000-2003
Computer Security Grade Criteria
GAOが2003年12月18日に公開した各省庁のITリーダーシップ努力要請レポート
GAOが2002年12月19日に訴えた、IT技術の安全保護と進化レポート
平成16年度情報セキュリティ関連予算:経済産業省分の概要について
政府関連省庁などのパブリック・キー情報セキュリティ調査レポート
2004年のインターネット危険度指数「Internet Insecurity Index」
GAOが2004年3月16日に公開した情報セキュリティ・レポート
Robert F. Daceyによる情報セキュリティ実証実験レポート
情報セキュリティに関するRobert F. Daceyの未来に向けた実証実験レポート
GAOが2004年3月29日に公開した米国の刑事事件に関する歴史的動向を調査したレポート
2001年ISOOアニュアル・レポート
2002年ISOOアニュアル・レポート
2003年ISOOアニュアル・レポート
GAOが2004年5月7日に公開した、未来に向けた国防と米国国防総省の透明性改善レポート
Federal Deposit Insurance社が管理する情報システムのセキュリティ
GAOが2004年7月28日に訴えた、情報保護とAuthorizingシステムズのレポート
IPAがKISAと情報セキュリティに関する協力関係を締結した報告
NCESの米国政府における1980年 2003年の教育経済支援のレポート
米国政府のセキュリティ・レポート「Secrecy Report Card: Quantitative Indicators of Secrecy in the Federal Government」
日本経団連が2005年3月15日に公開した、「企業の情報セキュリティのあり方に関する提言」概要
日本経団連が2005年3月15日に公開した、「企業の情報セキュリティのあり方に関する提言」本文
企業における情報セキュリティガバナンスのあり方に関する研究会報告書
IPAが2005年3月31日に公開した「コンピュータ・セキュリティ〜2004年の傾向と今後の対策〜」
経済産業省情報セキュリティ政策室の情報セキュリティ対策ベンチマークシステムの公開について
経済産業省が2005年9月12日に公開した「情報セキュリティに関する普及啓発活動について」
EU: Data protection and data retention proposals
GAOが2006年10月31日に公開した、連邦政府のサイバー・セキュリティ研究開発と、そのコーディメート体制のレポート
GAOが2006年11月20日に公開した情報セキュリティに関するセキュリティ・テスト・レポート
GAOが2007年4月19日に公開した、Gregory C. Wilshusenの情報セキュリティ証言