22 December

コソコソっと

　通信・ネットワークの深層　第32回　日本版SOX法の施行に備えて何を準備しておくべきか？という記事がgoogleアラート「フォレンジック」でひっかかってきたのです。
　情報漏洩を防ぐ方策のなかで、(4)すべてのアクセスログを記録し、それらを分析することで不正使用を発見するということをあげ、

(4)のアクセスログには、各アプリケーションが稼働しているすべてのサーバのログ、ファイアウォールやIDS/IPS（侵入検知／防止システム）のログ、さまざまなネットワーク機器のログをすべて集めて格納し、かつそれらを分析して不正使用を発見することを意味している。何かセキュリティ上の問題が発生した場合でも、すべてのログが残っていれば、その影響範囲や原因を追究できる。これにより、万が一問題が発生したとしても、被害を最小限に抑えることが可能となる。また、ログの分析により不正使用の兆候を発見し、実際に問題が起こる前に対処できる可能性もある。このようにすべての情報を残しておくことを、「フォレンジック」と呼ぶ。

としています。
＃丸付き数字は機種依存文字なので修正。私はインターネットに載せる文章にこういう文字を使うことはそもそもネットワークをわかっていないという原理主義者です。

「フォレンジック」じゃ、従来の法科学といわれるものになるだろうという基本的つっこみはおくとして、せめて佐々木先生のデジタル・フォレンジックやコンピュータ・フォレンジックスを読んでから書いて欲しいものです。とりあえず上記の記述と佐々木先生の解説を読み比べてみましょう。

　で、SOX法ってざっぱくにいえば、内部統制(Internal Control)に関して問題にされると思うのです。COSOによると、内部統制の基本概念はつぎのように示されています。

• Internal control is a process. It is a means to an end, not an end in itself.


• Internal control is effected by people. It's not merely policy manuals and forms, but people at every level of an organization.


• Internal control can be expected to provide only reasonable assurance, not absolute assurance, to an entity's management and board.


• Internal control is geared to the achievement of objectives in one or more separate but overlapping categories.

SOX法も結局このなかでいちづけられるのではないでしょうか。そうすると、重要なのはプロセスなんです。おそらくCOSOにおける内部統制は、内部統制のプロセスであり、内部統制の体制であり、内部統制のシステムではないかと思います。なので、内部統制の体制がどうであるかというのは、プロセスの評価であるべきで、ある時点での静的な状態の評価ではないはずです。デジタルフォレンジックにしろ、内部統制にしろ、プロセスの問題をということがなぜか無視されて、吹聴されているような気がするのは気のせいでしょうか。
＃まるちゃんのエントリーも参照してね(^_-)-☆

　日本では、国レベルでもこのプロセスという考えを実質的に排除しているようにみえます。というのは、財務報告に係る内部統制の評価及び監査の規準のあり方についての「統制活動」をみると、

統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう

となっています。「適切に実行されることを確保するため」というのは、前記COSOの内部統制の基本概念であるInternal control can be expected to provide only reasonable assurance, not absolute assuranceに矛盾するかと思うからです。確保ってどう考えてもここで否定されているabsolute assuranceでしょう。プロセスが機能していると、経営者の命令及び指示が適切に実行されることを促進はするでしょう。でも、確保されるわけではないはずです。ここには、どうも体制や制度を整備すればたりるとするアジア的なアプローチがありありなんです。
＃ところで、この金融庁のペーパーはNETWORKWORLDの著者によると「法律」だそうです。関連でもっとつっこむと、HIPAA法は医療保険の継続性、不正使用・濫用の排除、医療保険事務の簡素化等を目的とするもので、医療保険事務の簡素化のために、医療費請求の電子的処理の規則をDepartment of Health and Human Serviceに制定することが求められ、そのなかにプライバシー保護に関するものがあるということです。なので、日本でいえば省令に相当するのではないでしょうか。それに、Portabiltyを図るためのプライバシールールなのです。日本の個人情報保護をめぐる騒動はこの面も忘れている感じです。

　そもそもが、近代の法システム自体がプロセスを中心に形成されているものなのに、どうも日本ではそれが忘れ去られているということが根本の原因かもしれません。

###
COSOやHIPAAは専門外なので間違って我田引水的な理解をしているかもしれません。なので、_-)))コソコソっと。