ken703

皆さまの会社では在宅勤務時にBYOD（Bring Your Own Device：私用端末の業務利用）の使用は許可されているのでしょうか？一般的にはBYODは情報漏えい等のリスクが大きいので在宅勤務の場合でも会社貸与のPCを持ち出し利用することが多いです。しかし、会社の事情により（PCのリース/レンタル代等の費用削減、BYODは普段使い慣れているなどのため）BYODを利用している会社もあります。 今回は、このようにBYODを利用する際のリスクとその対策を考えてみたいと思います。 環境等の前提条件 BYOD ...

はじめに 読者の会社でもいろいろな協力会社を利用されていると思います。 ここで言う協力会社とは、・業務委託先（コンサルティングやシステムの開発の委託先など）・物品の仕入先・供給元（製品の販売元、ソフトウェアを供給するベンダーなど）・サービスの提供元（クラウドサービスの提供企業）他にもあると思いますが、自社が代金を支払い、自社に必要な物やサービス等の提供の依頼をしている会社を指します。 協力会社には、代金を支払って製品やサービスの提供を受けるため機密情報等を提供しており、自社としては協力会社の情報セキュリテ ...

◆経営者向け　10月30日（水）13：00～14：00　説明会　　　　　　　　14：00～14：30　アンケートご記入、質問・相談 ◆実務担当者向け　10月30日（水）15：00～16：30　説明会　　　　　　　　16：30～17：00　アンケートご記入、質問・相談 ◆場所はいずれも、　〒925-0054　羽咋市千里浜町カ1-20　羽咋勤労者総合福祉センター　２F研修室 参加ご希望の方は以下の事項を記入し、keniwaki703@gmail.com　までご連絡ください 会社・組織名：参加者の役職：　　　　 ...

これまでのサイバー攻撃対策 皆様の会社では、どういうサイバーセキュリティ対策を実施されているでしょうか？ 境界型防御 一昔前はどの会社も「境界型防御」といわれる仕組みを構築していました。具体的には、インターネットと社内ネットワークの境界にファイヤーウォールなどの装置を設置し、社内ネットワークへの通信の入りと出のそれぞれを制御するものです。※さらに、「多層防御」として、多くの企業ではPCにアンチウィルスソフトを導入しています 従来のファイヤーウォールはデータのヘッダー情報のみをチェックするだけのもので、イン ...

今回は内部監査について解説したいと思います。 まずは三様監査について 三様監査とは、内部監査、監査役監査、外部監査の3つを指します。 内部監査 内部監査というのは、組織体の経営目標の効果的な達成に役立つことを目的として、合法性と合理性の関連から校正かつ独立の立場で、経営諸活動の遂行状況を検討・評価し、これに基づいて意見を述べ、助言・勧告を行う監査業務、及び特定の経営諸活動の支援を行う診断業務であると定義されています。つまり、企業自体による自社における業務の有効性や効率性の状況などを確認し経営者に報告する監 ...

AIの進化スピード 今朝の報道番組にソフトバンクグループの会長兼社長の孫正義氏が出演されていました。 ここで、面白いことを言われていたのでその話を引用し、その話を聞いていて筆者は情報セキュリティへの対策へと思いがつながりましたので、今回のコラムとして書きたいと思います。 孫氏は、新幹線のスピード（時速300㎞にしましょう）は自転車のスピード（時速15㎞にしましょう）の約20倍だが、20倍違えば、全く別の乗り物になるということを仰っていました。確かに、スピードの差自体は285㎞ですが、何倍かということでは2 ...

第三回目の今回は、Part3の「組織としての対策」について説明します。 Part3　組織としての対策 21．個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか ①個人所有端末の業務利用を許可制にし、利用時のルールを決める通常は、従業員が使用するPCは会社から貸与しますが、特殊事情により、従業員が個人用に使用しているPCを業務利用せざるを得ない場合があります。そのような時は、業務利用するときの使用ルールを明確にし、従業員に周知する必要があります。特に、業務が終了した時のファイルの管 ...

第二回目の今回は、Part2の「従業員としての対策」について説明します。 Part2　従業員としての対策 ６．電子メールの添付ファイルや本文中のURLリンクを介したウィルス感染に気をつけていますか ①不審な電子メールは安易に添付ファイルを開いたり、URLリンクにアクセスしない怪しいと思われるメールが届いた場合は、添付ファイルの開封やURLをクリックせず、管理者に相談したり、メールの送信元に確認してください。このようなメールによるウィルス感染は非常に多いです②不審な電子メールの情報を社内で共有する怪しいメー ...

読者のみなさまは、IPA（情報処理推進機構）が公表している「SECURITY ACTION」をご存じでしょうか？ 「SECURITY ACTION」とは これは、会社が「SECURITY ACTION」で求められていることを自己点検し、自社で宣言する制度です。情報セキュリティの基本的な要件が含まれていますので、情報セキュリティの認証（ISO27001など）を取得していない中小の企業において、情報セキュリティに積極的に取り組んでいるということをアピースするのに良い制度だと思っています。これにより獲得したマー ...

最後の今回は、「内部統制の評価」について説明します。 内部統制の評価 内部統制の評価について、大きく２種類あります。 一つは、先のコラムでご紹介しました「全社的内部統制」のような「チェックリスト」の評価です。 これは、「金融商品取引法対応の内部統制構築と評価ポイント：全社的内部統制の構築・評価の完全ガイド」で説明していますのでご覧ください。 今回ご紹介するのは、３点セットを構築したプロセスの評価方法です。 ・決算財務報告プロセス・IT全般統制・その他業務プロセスの３つについて、作成した３点セットをどのよう ...