2015年11月9日月曜日

DHS CDM(2/)

DHS(米国国土安全保障省)/CDM(Continuous Diagnostics and Mitigation)(継続的な診断と緩和)


継続的な診断と緩和(CDM)


DHSはCDMプログラムの目的を以下のように述べています。

CDMプログラム策定の目的

重要な情報の提供、政府サービスへのアクセスの有効化、機密情報の格納/保存など情報通信技術は基本的な政府活動にますます必要不可欠になっています。
社会インフラのコネクティビティ(接続性)の高度化により、政府へのアクセスが改善された一方で、共通のサイバーセキュリティ・リスクの範囲や複雑さもまた増加しています。
米国連邦政府のネットワークへのサイバー攻撃は、より洗練されダイナミックに成長しつづけています。継続的にプライバシー保護、公民権、市民の自由に不可欠なサービス提供し、政府がネットワーク、システムや情報を、不正アクセスから保護することが非常に重要となります。
継続的な診断と緩和(CDM)プログラムは、政府のネットワークとシステムのサイバーセキュリティを強化するためのダイナミックなアプローチです。CDMは継続的にサイバーセキュリティのリスクを特定する機能やツールを連邦省庁や政府機関に提供し、潜在的影響に基づいてこれらのリスクの優先順位を決定し、サイバーセキュリティ担当者が最も重要な問題を緩和できるようにします。
アメリカ連邦議会は、適切でリスク・ベースで費用対効果のよいサイバーセキュリティを提供し、さらに効率的にサイバーセキュリティのリソースを割り当てるために、CDM プログラムを設立しました。
(DHS CDM homeより翻訳引用)


CDMプログラム策定の背景


DHS CDMプログラムのトレーニング資料に記載されている、CDMプログラム策定の背景となる、米国連邦政府ITネットワークシステムにおいて、3日、3か月、3年毎に発生しているイベント紹介します。

毎3日

  • 数兆単位のサイバー・イベントの発生
  • 数億単位のシステム障害の可能性、ハードウェア、ソフトウェア、およびアカウントの変更
  • インターネットスピードにおける数百万単位のサイバー攻撃
  • 数千単位の新規障害/脆弱性/欠陥の告知
  • 数百単位のサイバー攻撃の成功

毎3ヶ月

  • 10,000以上のサイバー攻撃が成功
  • これらの攻撃に対しての修復の数は未知数
  • テラバイト単位のデータの盗難
  • 7,200以上のレポート作成
  • 何百もの労働時間が浪費

毎3年

  • 数千のアセスメント等の様々なレポートが作成され発行
  • ITシステム修復に3から9ヶ月は必要
  • レポートが印刷された時点では時代遅れ

コスト

我々のコスト見積の結果、マニュアルのプラン、レポートと監査のコストは1年で$600Mから$1.9B、1ページあたり1400ドルとなります。
We estimate that these manual plans, reports, and audits cost between $600M and $1.9B a year, at a cost of $1,400 per page.
(DHS CDM Training Manualより引用)

DHS CDM Training Manualより



DHS US-Cert CDM home:
CDM(Continuous Diagnostics and Mitigation)


---

2015年11月8日日曜日

SOX-サーベンス・オクスリー法

上場企業会計改革および投資家保護法(Public Company Accounting Reform and Investor Protection Act of 2002:サーベンス・オクスリー法、企業改革法、SOX法)


2000年代に入ってから続発したエンロン事件(2001)やワールドコム事件(2002)等の巨額の粉飾決算事件を機に、投資家に対する不信感に陥った証券市場に対して信頼を回復するために、米国で2002年に策定された、投資家保護を目的とした企業会計の不正対処のため、上場企業の財務報告と、そのプロセスに関して厳格に規制を定義した法律です。

名称からも分かるように、投資家保護を最大の目的として、企業会計の不正に対処するため、上場企業の財務報告と、そのプロセスに関して厳格に規制した法律です。
  • コーポレート・ガバナンス(企業統治)の強化
    • 企業の内部牽制(コンコンプライアンス)を行う仕組みや不正行為防止する機能
  • 正確な財務情報の提供
    • 最高経営責任者であるCEOと最高財務担当責任者であるCFOは、自社の財務情報に関する開示が適正であることを宣誓する。(302条)
  • 会計監査制度の改革
    • 独立した外部の公認会計士や監査法人は、財務情報の監査だけでなく、内部統制に関する監査も要求可能。(404条)

監査人の独立性(201~209条)、財務ディスクロージャーの強化(401~409条)、証券アナリストの独立性と行動規範(501条)、 ホワイトカラー犯罪に対する規制強化(901~906条)などの規定があります。


---

Basel III

Basel III(バーゼル3)


バーゼル3とは、バーゼル銀行監督委員会が2010年に発表した、グローバルな銀行の自己資本比率や流動性比率等に関する国際統一基準のことです。

  • 1988年: バーゼル合意
    • 銀行の自己資本比率に関する規制
  • 2004年: バーゼル2
    • バーゼル合意の内容を見直しと金融機関のリスクを反映
  • 2004年: バーゼル3
    • グローバルに業務を展開している銀行の自己資本の質と量の見直
バーゼル3では、2008年-2009年の世界的な金融危機を教訓に、仮に銀行が経営危機に見舞われても、返済不要の普通株などによる資金を十分に 持っていれば、損失を穴埋めできて危機を回避できるという考え方となっている。

バーゼル銀行監督委員会


G10諸国の中央銀行総裁会議をもとに、現在では日本を含む27の国・地域の銀行監督当局および中央銀行により構成された、
銀行を対象とした国際金融規制を議論する委員会(第1回会合は1975年)です。

財務省: 国際金融規制(バーゼル規制)


---

DHS CDM(1/)

DHS(米国国土安全保障省)/CDM(Continuous Diagnostics and Mitigation)(継続的な診断と緩和)

米国政府により、2002年に策定された、FISMA(FISMA:Federal Information Security Management Act of 2002(連邦情報セキュリティマネジメント法)と呼ばれる法律を策定し、それにしたがNIST(米国国立標準技術研究所: National Institute of Standards and Technology)が、「FISMA導入プロジェクト (The FISMA Implementation Project)」 を立ち上げ、情報セキュリティに関連する様々な標準規格(FIPS)、ガイドライン(SP800シリーズ)の策定を行いました。

CDM(Continuous Diagnostics and Mitigation)(継続的な診断と緩和)とは、DHS(米国国土安全保障省)が、それらの成果物を活用し米国政府のサイバーセキュリティ問題に対してプロアクティブな対策を施すことが目的で2013年に策定された、FISMAに適合した米国連邦および関連組織に対してのサイバー・セキュリティ・対策プログラムです。

多くのサイバー攻撃は、ITシステムの基本的な脆弱性(Vulnerability)に着目して攻撃を行います。CDMプログラムは、この点に着目して一時的な脆弱性診断レポートを行うことで対策をするのではなく、継続的に脆弱性診断を行い、その対策を常に継続し続けることを目的としています。

DHSとGSA(米連邦調達局)は、CDMプログラムを連邦政府機関に導入するために多大な予算を計上し、最終的には、何十億ドルという規模で州や地方の公共機関に展開する目標を掲げています。

DHS CDM サイトより


DHS US-Cert CDM home:
CDM(Continuous Diagnostics and Mitigation)

DHS CDM(2/)

---