当局検査と監査の違い
監査の検証の基本は、監査人が被監査部門の協力のもと事実・実態を自ら確認することであり。当局検査は、被監査部門が当局検査官の要請で自ら事実・実態を確認し説明する責任がある。この基本的な検証方法の違いは、被監査部門との力関係が全く違うことが根本にあると思うが、何かフェアーでないように感じるのは非国民なのだろうか。
内部からの情報漏洩ホール(5)
(2)情報端末(Bloomberg等)
金融機関のフロント部門ではBloomberg,Rueters,Quick等情報ディリング端末が必須である。しかしながら情報漏洩の観点からは、そのセキュリティーホールのコントロールが必要となる。特にメール機能、チャット機能に対する漏洩対策が肝要。
対策1:
Metaframe等により重要情報がある社内LANと情報端末接続用LANを分離し、両LAN間のファイル移動を厳重に管理することにより社内重要情報を含むファイル漏洩を遮断。
弱点 :
セグメント分離に多大なコスト必要。ファイル移動の管理負担大。
対策2:
情報端末のログインIDを管理(誰が、どのIDを使用しているかを管理する)。不要IDの削除実施。対策3のモニタリングでこのID管理が必要。弱点 :
管理負担。
対策3:
情報端末ベンダーよりメール・チャットのアーカイブを定期的に入手し、モニタリングを実施。
弱点 :
解析の効率性・有効性に疑問。
結論 : 対策1、2,3の併用が必要。
(その6)につづく
金融機関のフロント部門ではBloomberg,Rueters,Quick等情報ディリング端末が必須である。しかしながら情報漏洩の観点からは、そのセキュリティーホールのコントロールが必要となる。特にメール機能、チャット機能に対する漏洩対策が肝要。
対策1:
Metaframe等により重要情報がある社内LANと情報端末接続用LANを分離し、両LAN間のファイル移動を厳重に管理することにより社内重要情報を含むファイル漏洩を遮断。
弱点 :
セグメント分離に多大なコスト必要。ファイル移動の管理負担大。
対策2:
情報端末のログインIDを管理(誰が、どのIDを使用しているかを管理する)。不要IDの削除実施。対策3のモニタリングでこのID管理が必要。弱点 :
管理負担。
対策3:
情報端末ベンダーよりメール・チャットのアーカイブを定期的に入手し、モニタリングを実施。
弱点 :
解析の効率性・有効性に疑問。
結論 : 対策1、2,3の併用が必要。
(その6)につづく