風にころがる企業ホーマー(入居作業中)

企業法務や経営に関することについて、情報発信していきまーす!

2010年06月

「isologue」「CFOのための最新情報」などで既に取り上げられていますが、昨日来、私も思うところをtwitterで少しつぶやいたりしています。

何の話かというと、日本証券業協会
『新規公開前に行われる不適切な自己募集を規制するための 「有価証券の引受け等に関する規則」等の一部改正について(案)』
と題する規則改正案のパブリック・コメント募集の件。

これまで全くスルーしていましたが、磯崎先生のつぶやきを発端にこちらのBlogを拝読し、「これはとんでもない話だ」と気づいた次第です。

思い切り簡単にいうと、
「ベンチャー企業が赤の他人に出資してもらったら、原則としてIPOできなくなる」
という、ちょっと驚いてしまうような改正案なのです。

未公開株詐欺事件を防止するための解決策としては下の策と言わざるを得ません。
というよりも、そもそも「解決策」と呼ぶべきものではないように思います。


ご存知の方も多いかと思いますが、金融商品取引法上、50名以上に対して出資を募った場合には「募集」というものに該当し、有価証券届出書の提出が要求されます。
そうすると「継続開示会社」という扱いを受け、それ以後ずっと、有価証券報告書の提出義務が生じてしまいます。
有価証券報告書を提出するには監査法人の監査を受ける必要がありますので、当然多大な費用がかかるわけで、非上場の会社にとっては、増資時や場合によっては新株予約権発行にあたり、被勧誘者が50名を超えることがないよう非常に気を使うところでもあります。
しかしこのような50名以上に出資を募った場合は、発行会社は有価証券届出書を提出しているはずですので、今回の規制の適用が除外されます。

今回の改正案は、50名未満への勧誘、つまり「私募」につき、個人投資家に出資をしてもらった会社の株式公開を原則禁止としてしまおうというものです。
「その他本協会が第1号から第3号(注:有価証券報告書・有価証券届出書を提出していた場合や、役員とその家族などが出資した場合)に準ずると認めたとき」には適用が除外されるので、実運用上はここで篩にかける腹づもりなのではないかと思います。
しかしこれでは必要なときに個人投資家からの出資を受けることが難しいのは明白です。

ところで、今回の日本証券業界のリリース冒頭には、以下のような文言があります。


新規上場を予定している発行会社においては、通常、上場前に個人投資家に対して自己の発行する株券の勧誘行為を行うことはないものと考えられる



この文言にも疑問があります。
私が知る限りにおいても、設立時や設立直後のベンチャー企業が、個人投資家に出資してもらうケースは数多くあります。
客観的なデータを持っているわけではありませんが、「ないものと考えられる」というのは明らかに事実を誤認しています。

また磯崎先生も指摘しているように、「未公開株詐欺」というのは「もうすぐ上場する会社の株式を買いませんか?」と言って騙すものなので、本気で上場しようとしている会社に規制をかけても何の意味もないわけです。
さらに言えば、既に個人投資家からの出資を受けている会社は当然、「出資者の方には上場して恩返しをしたい」と考えているわけで、上場の道が閉ざされるとそれこそ「詐欺」みたいなことになってしまいます。

そのようなわけで、全く理解できない今回の規則改正案。
ベンチャー企業に関わる一会社員としても、断固反対したいと思います。


------
(追記)
大杉先生のブログにおいても、この問題が取り上げられています。
このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

弁護士や司法書士の先生方は、「職務上請求書」というものを使って、他人の住民票や戸籍(正確には住民票の写しや戸籍謄抄本ですね)を取得することができるのは皆さんご存知のとおり。

特に司法書士などは相続登記を受託すると、全国津々浦々の役所から古い戸籍を取り寄せたりする機会が多くあります。

しかしこの「職務上請求書」で住民票や戸籍を取得すること自体を商売にしてはいけないことになっています。
あくまで業務上必要な場合に限定して取得が許されているわけです。

ところが一部の司法書士などが、住民票や戸籍を取得して対価を受け取るという商売をしていたことが問題となり、「職務上請求書」の取扱いが7~8年前から随分と厳しくなっています。
更に個人情報保護法の施行の影響もあり、一部の地域では「職務上請求書」を使って戸籍や住民票を取得した場合、取得された人に対して役所から「あなたの住民票が取得されましたよ」という通知が行く措置が採られるようになったりしています。


さて、その「職務上請求書」とは別ルート、弁護士でも司法書士でもない一般人や企業が、第三者の戸籍や住民票を取得する方法があることをご存知の方も多いかと思います。

例えば住民基本台帳法第12条の3


自己の権利を行使し、又は自己の義務を履行するために住民票の記載事項を確認する必要がある者



或いは戸籍法第10条の2


自己の権利を行使し、又は自己の義務を履行するために戸籍の記載事項を確認する必要がある場合 権利又は義務の発生原因及び内容並びに当該権利を行使し、又は当該義務を履行するために戸籍の記載事項の確認を必要とする理由



これを根拠に第三者の住民票や戸籍を取得するのです。
一般的なのは債権者が債務者の住民票や戸籍を取得するときの根拠になる条文ですね。

これらの取扱いは最近どうなっているのかと思ったのですが、特段厳しくなったということもないようです。
対象者(債務者)に対する債権の存在を疎明する資料を提出すれば、思いのほかあっさりと住民票が取れてしまいます。
提出する資料は例えば契約書や請求書などですが、原本を見せることもなく、コピーを提出するだけでも取れてしまいます。(もちろん「疎明」できなければダメなので、場合によっては原本を見せろと言われることもあるかも知れません)

さてこの手法、BtoCビジネスで個人相手に債権を有していて、その個人の住民票や戸籍を取得するというのはよくある話ですが、実はBtoBビジネスで法人相手に債権を有している場合でも、案外使える手法なのです。

例えば債務者である会社に宛てて内容証明郵便で請求をしても会社はもぬけの殻で返送されてくる。
仕方がないので登記簿に記載されている代表者の住所に宛てて内容証明郵便を送っても転居先不明で返送されてくる。

そんなときには、代表者の住民票を取得してしまえば、現住所を確認することができる可能性があります。
もちろん本気で逃げているような人は、住民登録の変更をきっちりすることなどないので、「登記簿と同じ古い住所のまま」ということもよくあります。
しかし案外これで居所が掴めることもあるので、法人相手の債権回収の手法の一つとして試してみる価値はあります。

ちなみに住民登録は変更していないけど、転居届だけはしっかりと郵便局に出している脇の甘い人もいます。
そうすると返送されてきた郵便物に、転居先住所のシールが貼られたりしているので、住んでいる場所がわかることがあります。

そんなわけで、債権回収のちょっとした豆知識でした。
このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

このBlogの右端にドーンといつも表示されている、電子書籍【「ITエンジニアのための『契約入門』~9つのストーリーで学ぶ契約書のはなし】ですが、おかげさまで予想をはるかに超える売れ行きを記録しております。
お買い上げ下さった皆様には、この場を借りて御礼申し上げます。


さて、タイトルが長いので「契約入門」と呼んでしまいますが、先週金曜日に「契約入門」の共著者の皆さんと打ち上げをしました。
「はやぶさ」が地球に帰還するという時期に、われわれは「打ち上げ」などしていていいのだろうか、ということはさておき、とても楽しい時間を過ごすことができました。

私はここ数年ほど、「ビールは2杯まで」と決めているので、たいして酔っ払ったりはしなかったのですが、何を話したのかすっかり忘れてしまいました。

ただ一つだけ、強烈に頭に残っていて、「これだけは忘れてはもったいない」という話があったので、ここに記しておこうと思います。

------
どういういきさつだったのか忘れましたが、長野県のことを皆で話していました。
そして、「長野と言えばリンゴだよね」というような、小学校の社会科レベルの知識を披露したりしていました。
さらにしばらく話しているうちに、いつの間にか話題は「長野県民の訛りについて」になっていました。

「長野の方は、単語の一番最初にアクセントを置くことが多い」とkataさんが言いました。
いくつか例を挙げられていましたが、全部忘れました。
ともかく、「単語の一番最初にアクセントを置くことが多い」ということをkataさんは主張していました。

たまたまその時、目の前にkataさんのiPadがあったので、kataさんは「アイパッド」と言いました。
私は「いやいや『iPad』は抑揚なしで『アイパッド』でしょう」と、何の根拠もなくkataさんの発言を全面的に否定しました。

そうしたところtacさんが、「でもSteve Jobsは『アイパッド』って発音してますよね」と、誰にも反論できないことをおっしゃいました。
これは決定的です。
iPadを作った会社のトップがそう発音するんだったら、福岡出身の私がゴチャゴチャ言っても仕方ありません。

そこで私は、「あぁ、スティーブ・ジョブズはそういえば長野県民でしたよね」と、テキトーなことを言って逃げようとしました。

しかしそこで、dtkさんを含め、皆の目がキラリと光りました。

皆の頭の中にある図式が浮かんだのは明白です。

ジョブズ→長野県民→リンゴ→apple


思わぬところでapple社の社名の由来がわかってしまった夜でした。

--------

そのようなわけで、ダウンロードして下さった皆様のお陰で、くだらなくも楽しいひと時を過ごすことができました。今後ともご愛顧頂ければ幸いです。

ダウンロードするとランダムに、dtkさん・kataさん・tacさんのブロマイドが付いてくるというキャンペーンをやったら、皆さん何度もダウンロードしてくれるかな、などと考えている今日この頃です。
このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

今日は、私の尊敬する方で、「この方には一生アタマが上がらない」という方に、

「hiroさんのメールは長いので、書いている時間がもったいないですよ」

と指摘されました。

「今回のような場合には、メールでは簡単に用件を伝えて、会った時とか電話なんかで話した方が効率がいいですよ」とも。

私としては「その方の貴重な時間を取っては申し訳ない」という気持ちと、「より正確に伝えたい」という気持ちから、長いメールを書いていたのです。
ですので何となく違和感を感じながらも、「いやいや確かにそうですね。ごめんなさい」とその場ではお答えしました。


でも後になってもう一度よく考えてみました。
「時間がもったいない」
「効率が悪い」
この言葉がとても引っ掛かっていたのです。


そしてしばらくして、ようやくその方の助言が腹に落ちました。

「今までの自分のやり方は、単なるスピードアップだった」
ということに気付いたのです。

というのも、私はこと仕事においては、時間管理をきちんとしているつもりでいました。
そして「やる必要のないこと」は、可能な限り排除しているつもりでした。
つまり「効率をしっかり考えて仕事をしている」と思っていたわけです。

だから「ほとんど残業もなく、それなりの結果もきちんと残している」と、少し自分自身を過大評価していました。

しかしそれが単なる思い込みだということにハタと気づいて、頭を殴られたようなショックを受けたのです。


もちろん「ちょっとした時間短縮法」(≒スピードアップ)の有用性は否定しません。
また、緊急度合いを横軸に、重要度合いを縦軸にしたよく見るマトリックスを頭に浮かべつつ、「今やるべきことと、今やるべきでないこと」を考えたりもしていました。

だけど仕事で最もよく使うメールに関して、「一球入魂」とばかりに、長文化してしまう傾向があることには気付きませんでした。
振り返ってみると、取締役会資料や重要な報告書のような、若干クドいメールを書いていることがあります。
とはいえ、「メールで全てを完結する必要がある場合」というのもあるので、そこは使い分けが必要でしょうが、むやみやたらと、長文を書いてしまうのは時間の無駄だな、と気付いた次第です。

さらにいえば、これは一つの象徴的な傾向で、ほかにも「時間のムダ」が多くある気がしてきました。
質の高い仕事を継続的に行うには、本当に時間をかけるべきところと、そうでないところをはっきりさせることが必要だ、ということにあらためて気付かされたのです。
そのようなことをバシッっと言ってくださる方というのも、会社内で立場が上がるにしたがってなかなかいなくなってしまうので、今日のような助言を下さる方は本当にありがたいなぁ、と感謝しているところです。

忙しくなるととかく目の前の仕事をやっつけることに気が急かされてしまい、深く考えることなく余計な仕事までしてしまって、さらに忙しくなる、という悪循環にハマってしまいがちです。
そのようなわけで、自分の時間の使い方については、定期的に見直す必要があると思ったので、忘れないようにここに書いておこうと思います。
このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

私には「情報セキュリティ」の基本的な知識が不足していました。
より正確にいうと、ITまわりの「情報セキュリティ」ですね。

「P2Pソフトによる情報漏洩事件があった」と聞くと、「ああそうなのね」と起こったことは一応理解できるのですが、そもそもP2Pソフトの仕組みがどうなっているのか、というようなことはさっぱりわかりません。
「フィッシング」も"fishing"だと思い込んでいたくらいです(笑)
※正確には"phishing"だそうです。念のため。


会社を守る法務担当者として、
「それじゃダメではないか」
と、いつ誰に突っ込まれるかわかりません。
それにシステム担当者と対等に(少なくともバカにされない程度に)話をするためにも、
「基本的なことは知っておかねば」
と考え、手に取ったのが、この本。

情報セキュリティ読本―IT時代の危機管理入門情報セキュリティ読本―IT時代の危機管理入門
(2009/08)
情報処理推進機構

商品詳細を見る


この本では「情報セキュリティ」を考えるにあたって、
「そもそもどのような危険があるのか」
「その危険はどのようなものか」
「その危険を避けるにはどうすればよいのか」
ということを、懇切丁寧に教えてくれます。

IPA(独立行政法人 情報処理推進機構のHPから、ちょっと長いのですが目次を引用します。


はじめに

第1章 今日のセキュリティリスク
 1 今日のセキュリティリスク
  1 実例1: 狙われるWebサイト - 正規のサイトでも要注意
  2 実例2: 巧妙化するフィッシング詐欺-うっかりしてると騙される?
  3 実例3: 犯罪に使われるインターネット-共犯者募集中
  4 実例4: 増加する金融取引被害-便利と危険は隣あわせ
  5 実例5: P2Pファイル交換ソフトを介した情報漏えい-知らない間に情報漏えい
 2 危険の認識と対策
  1 インターネットに潜む危険
  2 メールに潜む危険
  3 日常業務に潜む危険
  4 危険への対処法
     コラム ハッカーとクラッカー

第2章 情報セキュリティの基礎
 1 情報セキュリティとは
  1 情報セキュリティの基本概念
  2 情報資産とリスク・インシデント
 2 外部のリスク要因
  1 マルウェア
  2 外部からの侵入(不正アクセス)
  3 サーバーへの攻撃(サービス妨害)
 3 内部のリスク要因
  1 情報システムの脆弱性
  2 組織に内在する脆弱性
 4 情報リテラシーと情報倫理
     コラム SPAM(スパム)とWinny(ウィニー)



第3章 見えない脅威とその対策 -個人レベルのセキュリティ対策-
 1 マルウェア -見えない化が進む
  1 マルウェアとは?
  2 マルウェアに感染するとどうなるか?
     コラム キーロガー
  3 マルウェア感染の原因
     コラム マルウェアのタイプあれこれ
 2 共通の対策
  1 脆弱性の解消
  2 ウイルス対策ソフトウェアのインストールと更新
  3 パーソナルファイアウォールの活用
  4 Webブラウザのセキュリティ設定
  5 ネットサーフィンの危険性とその対策
     コラム セキュリティの設定
  6 メールソフトのセキュリティ設定
  7 不審な添付ファイル、迷惑メールの取り扱いに対する注意
  8 その他の注意点
  9 いざ、という時のために
     コラム サイバークリーンセンター(CCC)
 3 標的型攻撃と誘導型攻撃への対策
  1 標的型攻撃とその対策
  2 誘導型攻撃とその対策
 4 フィッシング詐欺への対策
  1 フィッシング詐欺とは
  2 フィッシング詐欺への対策
  3 ますます巧妙化するフィッシング詐欺
 5 ワンクリック不正請求への対策
  1 ワンクリック不正請求とは
  2 ワンクリック不正請求への対策
  3 スパイウェアによる不正請求
 6 無線LANに潜む脅威とその対策
  1 無線LANの危険性
  2 無線LANのセキュリティ対策
  3 無線LANの設定は難しい



 第4章 組織の一員としての情報セキュリティ対策
 1 組織のセキュリティ対策
  1 計画(Plan)-体制の整備とポリシーの策定
  2 実行(Do)-導入と運用
  3 点検(Check)-監視と評価
     コラム 情報セキュリティ対策ベンチマーク
  4 処置(Act)-見直しと改善
 2 従業員としての心得
     コラム セキュリティ対策ソフトの押し売り?
 3 気を付けたい情報漏えい
     コラム ソーシャルエンジニアリングに注意
 4 終わりのないプロセス



第5章 もっと知りたいセキュリティ技術
 1 アカウント,ID,パスワード
  1 パスワードの重要性
  2 パスワードクラッキング
  3 パスワードを保護するための対策
  4 さまざまな認証方式
 2 攻撃手法
  1 事前調査
  2 権限取得
  3 不正実行
  4 後処理
 3 脆弱性を悪用する攻撃
  1 ポートと脆弱性
  2 脆弱性を悪用する攻撃
 4 ファイアウォール
  1 ファイアウォールとは?
  2 パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
  3 ネットワークアドレス変換技術(NAT)
  4 DMZ(DeMilitarized Zone:非武装地帯)
  5 ファイアーウォールの落とし穴
  6 パーソナルファイアーウォール
 5 暗号とディジタル署名
  1 暗号技術とは?
  2 ディジタル署名とは?
  3 認証局とは?
     コラム ハッシュ関数とメッセージダイジェスト
  4 身近に使われている暗号技術



第6章 情報セキュリティ関連の法規と制度
 1 情報セキュリティの国際標準
  1 情報セキュリティマネジメントの国際標準27000シリーズ
  2 セキュリティ製品の評価認証のための国際標準ISO/IEC15408
  3 OECD情報セキュリティガイドライン
 2 情報セキュリティに関する法律
  1 刑法
  2 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
  3 電子署名及び認証業務に関する法律(電子署名法)
  4 個人情報の保護に関する法律(個人情報保護法)
 3 知的財産を守る法律
  1 著作権法
  3 不正競争防止法
 4 迷惑メール関連法
 5 情報セキュリティ関連制度
  1 ISMS適合性評価制度
  2 ITセキュリティ評価及び認証制度
  3 暗号モジュール試験及び認証制度
  4 プライバシーマーク制度
  5 情報セキュリティ監査制度
  6 コンピュータウイルス及び不正アクセスに関する届出制度
  7 脆弱性関連情報に関する届出制度



第7章 IPAセキュリティセンターの活動

資料1 情報セキュリティ関連URL集
資料2 用語集
索引
資料3 ウイルスのタイプ一覧



このあたりの知識が豊富な方にとっては退屈な内容かも知れませんが、そうでない方にとっては非常に興味をそそられる目次じゃないでしょうか。

そしてこの本の何がいいって、「資料2 用語集」という名の索引がしっかりしている点。
この索引が非常にしっかり作られているところが素晴らしい。
「用語集」というだけあって、それぞれの用語の簡単な解説もついているし、本編との紐付けもしっかりしているので、索引としても用語集としても秀逸な仕上がりになっています。

ほんの100ページちょっとの薄い「小冊子」なのですが、情報セキュリティに関しての「とっかかり」には最高の一冊ではないかと思います。


とはいえ、この一冊を読んだだけでは、
「じゃあ、情報セキュリティのためにウチの会社は何をすんべか?」
ということは全くわかりません。

そこで姉妹本の登場。

情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
(2009/03)
情報処理推進機構土居 範久

商品詳細を見る


こちらは一気にレベルが上がって、じっくり腰を据えて読まないと(少なくとも私には)ちんぷんかんぷんなレベルです。
ただ、気になったところを拾い読みをするだけでも、「セキュリティポリシー」とは何ぞやというところから、「セキュリティポリシーの一般的な構成」、さらには「こんな感じでどうでしょ?」というところまで理解できます。
途中からえらくややこしい話になってくるので、法務担当者としては「お腹いっぱい」になってしまうかも知れません。
しかし「これからの法務担当者は、このくらいのことは知っておかなきゃイカンのかもなあ」と、若干ひとごとのようですが、感じています。
特に私の場合、内部監査も担当しているので、知らないでは済まされないようにも思います。

そんなわけで、とっても長いのですが、やはり目次を引用しておきます。


目次

「情報セキュリティ教本 改訂版」の発刊によせて

1章 はじめに
1.ITと情報セキュリティ
 1.増大する脅威と情報セキュリティの重要性
 2.情報セキュリティのガイドライン
 3.本書の使い方
2.緊急事態発生!
 1.エピソード1【ファイル交換ソフトで情報漏えい】
 2.エピソード2【Webサイトから情報漏えい】
 3.エピソード3【ノートパソコンの紛失・盗難】
 4.エピソード4【敵は内部にいた!】
3.基本的な考え方
 1.全体を見通してみる
 2.情報資産と情報セキュリティ
 3.情報セキュリティの定義と情報セキュリティの3要素
4.情報セキュリティマネジメントシステムとPDCAサイクル
 1.ISMSとPDCAサイクル
 2.PDCAとプロセスアプローチ
 3.情報セキュリティ対策実施の成功要因

2章 情報セキュリティの組織
1.情報セキュリティの組織と体制づくり
 1.情報セキュリティ対策推進のポイント
 2.経営者の役割
 3.管理体制の構築
 4.情報セキュリティ委員会と専門家による助言
 5.情報セキュリティの推進体制
 6.違反と例外措置
2.情報セキュリティの組織と体制の例

3章 情報セキュリティポリシーのつくり方
1.情報セキュリティポリシーとは
 1.情報セキュリティポリシーの文書構成
 2.ガイドラインと実施手順
 3.適用対象範囲や規程類との関係
 4.情報セキュリティポリシー策定の流れ
2.情報セキュリティ基本方針
 1.情報セキュリティ基本方針の概要
 2.情報セキュリティ基本方針の項目例
3.情報セキュリティ対策基準
 1.管理策集(JIS Q 27002:2006)
 2.政府機関の情報セキュリティ対策のための統一基準(政府機関統一基準)
 3.地方公共団体における情報セキュリティポリシーに関するガイドライン
 4.JNSA「情報セキュリティポリシー・サンプル0.92a版」
 5.対策基準の構成と策定のポイント
4.情報セキュリティ実施手順
 1.情報セキュリティ実施手順の概要と策定の観点
 2.政府統一基準における対策基準と実施手順・ガイドラインの関係
5.情報セキュリティポリシー策定のポイント

4章 情報の分類と管理
1.情報資産の洗い出しと管理責任者の決定
 1.情報資産の洗い出し
2.情報資産洗い出しの手順
 3.情報資産のグループ分け
 4.情報資産管理台帳
 5.情報の管理責任者
2.情報資産の分類と格付け
 1.情報の分類と格付けのための基準
 2.格付けと取扱い制限の明示
 3.情報の利用者とNeed to knowの原則
3.情報のライフサイクルとその取扱い(情報の管理)
1.情報のライフサイクル
 2.情報の作成と入手
 3.情報の利用
 4.情報の保存
 5.情報の移送
 6.情報の提供
 7.情報の消去
 8.情報のライフサイクルと個人情報保護対策
4.情報の分類と管理のポイント

5章 リスクマネジメント
1.リスクマネジメントとリスクマネジメントシステム
 1.リスクとは
 2.リスクマネジメントとリスクマネジメントシステム
 3.リスクマネジメントに関する規格類
2.リスクアセスメント
 1.情報資産価値の評価
 2.脅威(threat)
 3.脆弱性(vulnerability)
 4.リスクの算定
 5.リスク評価
3.GMITSに見るリスク分析手法
 1.ベースラインアプローチ
 2.非形式的アプローチ
 3.詳細リスク分析
 4.組合せアプローチ
4.リスク対応
 1.リスクの低減(適切な管理策の採用)
 2.リスクの保有
 3.リスクの回避
 4.リスクの移転
 5.リスクの受容
 6.リスクコミュニケーション
 7.リスクマネジメントの記録
5.リスクマネジメントの例
 1.ISMSユーザーズガイドに見るリスクマネジメント
 2.政府機関統一基準に見るリスクマネジメント
 3.NISTガイドラインに見るリスクマネジメント
6.リスクマネジメントのポイント

6章 技術的対策の基本
1.技術的対策における基本的機能と脅威
 1.情報セキュリティにおける基本機能
 2.情報セキュリティにおける脅威
2.主体認証
 1.主体認証とは
 2.主体認証の方法
 3.主体認証に関する管理策
3.アクセス制御
 1.アクセス制御とは
 2.任意アクセス制御と強制アクセス制御
 3.アクセス制御に関する管理策
4.権限管理
 1.権限管理とは
 2.特権ユーザと最小権限
 3.権限管理に関する管理策
5.証跡管理(ログの管理)
 1.証跡とは
 2.ログの取得
 3.ログの保存と管理
 4.ログの点検、分析および報告
5.ログ管理に関する管理策
6.暗号と電子署名
 1.暗号と電子署名の概要
2.暗号の危殆化
 3.鍵管理
7.パソコン上のデータ保護
 1.パソコン上のデータ保護について
 2.USBメモリの暗号化について
 3.ノートパソコン上のデータの暗号化について
8.セキュリティホール対策(脆弱性対策)
 1.セキュリティホール(脆弱性)とは
 2.脆弱性対策
9.不正プログラム対策
 1.不正プログラムとは
 2.不正プログラム対策
10. サービス不能攻撃対策(DoS/DDoS攻撃対策)
1.サービス不能攻撃とは
 2.サービス不能攻撃対策
11.技術的対策の基本:まとめ

7章 セキュリティ製品とセキュリティサービス
1.セキュリティ製品の導入にあたって
2.ネットワークセキュリティ製品
1.ファイアウォール
 2.WAF(Webアプリケーションファイアウォール)
 3.IDS(侵入検知システム)とIPS(侵入防止システム)
4.VPN(Virtual Private Network)
5.検疫システム
3.認証製品
 1.PKI関連製品
2.認証サーバ
 3.ワンタイムパスワード
 4.ICカード/スマートカード
5.バイオメトリック認証(Biometric Authentication)
6.シングルサインオン(Single Sign-On)
4.データセキュリティ関連製品
 1.情報漏えい防止ソリューション
 2.メールセキュリティ
5.ウイルスなどの不正プログラム、スパム、フィッシング゙対策
1.ウイルス対策ソフトウェア、スパイウェア対策ソフトウェア
 2.スパムフィルタリングソフトウェア
 3.フィッシング対策ソフトウェア
6.その他
 1.UTM(Unified Threat Management:統合脅威管理)
2.コンテンツフィルタリングソフトウェア
 3.完全性チェックツール
 4.フォレンジックツール
7.セキュリティサービス
 1.コンサルティングサービス、セキュリティ教育など
 2.セキュリティ監視、検知、運用管理サービス
 3.電子認証サービス
 4.タイムスタンプサービス
8.製品の選定と購入

8章 導入と運用
1.導入と運用にあたって
 2.情報セキュリティポリシーの周知と徹底
  1.告知
  2.情報セキュリティ教育
3.従業員の管理と外部委託先の管理
1.従業員の管理
2.外部委託先の管理
3.ソフトウェア開発の委託
 4.事業継続管理、緊急時対応、インシデント対応
  1.緊急時対応に関する諸計画
  2.事業継続計画
  3.ケーススタディ:パソコン紛失時の対応
  4.インシデント対応:原因究明と証拠保全
  5.平時における準備
5.情報システムの導入と運用
  1.情報システムの設定と運用開始
  2.施設と環境(物理的および環境的セキュリティ)
  3.ホストセキュリティ(サーバ・端末・通信装置等に関する対策)
  4.ネットワークセキュリティ(通信回線との接続)
  5.アプリケーションセキュリティ(電子メールやWebに関する対策)
  6.バックアップ

9章 セキュリティ監視と侵入検知
1.セキュリティ監視
 1.セキュリティ監視とは
 2.脆弱性検査と侵入検知の概要
2.脆弱性検査
 1.脆弱性検査のポイント
 2.Webサイトの脆弱性検査
 3.チェックリストによるWebサイトの脆弱性検査
 4.脆弱性検査ツール
3.侵入検知
 1.侵入検知ツール
 2.Webサイトの監視・検知

10章 セキュリティ評価
1.セキュリティ評価とは
 1.セキュリティ評価の目的
 2.誰が誰を評価する?
2.情報セキュリティ対策実施状況の評価
 1.自己点検
 2.情報セキュリティ対策ベンチマーク
 3.情報セキュリティ監査
 4.ISMS適合評価制度
 5.情報セキュリティマネジメントに関する規格類
3.製品調達におけるセキュリティ評価の活用
 1.ITセキュリティ評価及び認証制度
 2.暗号モジュール試験及び認証制度(JCMVP)
4.適合性評価(Conformity Assessment)
 1.適合性評価制度の概要

11章 見直しと改善
1.見直しと改善のプロセス
2.見直しの契機と対応
 1.定期的な見直し
 2.環境の変化に伴う見直し
 3.セキュリティ事件・事故の発生に伴う見直し

12章 法令遵守
1.法蓮遵守と情報セキュリティ
2.情報セキュリティに関連する法律
 1.個人情報の保護に関する法律(個人情報保護法)
2.不正アクセス行為の禁止に関する法律(不正アクセス法)
3.不正競争防止法
4.e-文書法

13章 内部統制と情報セキュリティ
1.コーポーレートガバナンス・リスク管理・内部統制
2.金融商品取引法
3.会社法
4.内部統制に関する基準やガイドライン
5.ITへの対応

付章
1.政府機関統一基準の構成と本書の関係
2.政府機関統一基準第4部と第5部との関係

資料1 JIS Q 27002:2006箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図表出典
索引
情報セキュリティ関連年表



法務担当者としては、社内規程の雛型などが載っていれば、「最高の一冊」になったのではないかと思うのですが、それは他の書籍やWebにあたればよいかと思います。
とはいえ、会社によって情報セキュリティに対する考え方は全く異なるでしょうから、雛型というものがあっても大幅にアレンジする必要があるとは思います。

この点については、「規程や規則で大枠を決め、マニュアルレベルで実運用の細かな点を取り決める」
というのが、現実的かつ機動的なルール策定のポイントになるのではないかと、個人的には思います。
このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

↑このページのトップヘ