« 2006年9月 | トップページ | 2006年11月 »

2006年10月の記事

2006年10月31日 (火)

「CISSP Forum 2006 Autumn」【リマインド】

以前の記事にも書きましたが、今日は「CISSP Forum 2006 Autumn」です。

ホルダーの皆さんは、忘れず遅れず来てくださいね。(私が主催者ではありませんが)
多くの方に会える(「再会」の方も多いのでしょうが)ことを、非常に楽しみにしています

私を見かけましたら、気軽にお声掛けください。(名刺たくさん持っていこう、っと)
ざっくばらんに、気楽に語らいましょう。

| | コメント (2) | トラックバック (0)

2006年10月30日 (月)

情報セキュリティの日功労者表彰について

先日の記事に書いた「情報セキュリティの日」である、2月2日には情報セキュリティ分野における功労者の表彰も行われるようです。

「情報セキュリティの日功労者表彰要綱(案)」

情報セキュリティに関する特に顕著な功績や功労のあった個人または団体を表彰するという制度です。

これに関して、何人かの方と話したり、ネットの書き込みなどを見ましたが、まさに賛否両論。(「否」のほうが意見としては多い気がします)

私の意見としては、この制度の設立そのものは賛成したいと思います。
上記の「情報セキュリティの日功労者表彰要綱(案)」で、その目的には「優れた取り組みを広く普及する」とありますが、それにとどまらず、対象の組織や個人のステイタスや評価の向上につながるようなものであって欲しいと思います。
そうでないと、情報セキュリティの促進や優れた人材の育成や維持にはつながらないと思います。

そういう制度になることを期待して、私の場合は現時点で「賛成する」ということで。

| | コメント (0) | トラックバック (0)

2006年10月27日 (金)

11月から12月のセキュリティイベント

(おそらく)他にもありますが、私がチェックしているものをいくつか。
ちなみに11月分は、以前の記事でも紹介しています。(「NSF2006」など)

データベース・セキュリティ・コンソーシアム・セミナー2006
 日時:2006年11月7日(火) 13:15~17:00
 場所:銀座日航ホテル
 料金:無料

→私は仕事が入っていて参加できそうにありません。

東京国際セキュリティカンファレンス2006
 日時:2006年11月29日(水)~30日(木) 10:00~17:00
 場所:大手町・経団連会館
 料金:無料(申し込み、先着順)
 ※ 11月29日(水)の夕方からは懇親パーティーあり。(別途3,000円)

私も参加予定です。今年から無料になったようですね。スケジュールが空いてて良かった・・・

InternetWeek2006 Security Day
 日時:2006年12月7日(木)
 場所:横浜パシフィコ
 料金:有料

→私は仕事が入っていて参加できません。昨年は、「Webセキュリティのここが危ない!」というセッションで、私ハパネラーを務めさせていただきました。

デジタル・フォレンジック・コミュニティ2006
 日時:2006年12月18日(月)~19日(火)10:00~17:00(展示は、~19:00)
 場所:グランドヒル市ヶ谷
 料金:有料(IDF会員:10,000円、IDF非会員:15,000円)
 ※ 12月18日(月)の夕方からは懇親パーティーあり。(別途1,000円)

私も参加予定です。

| | コメント (0) | トラックバック (0)

2006年10月26日 (木)

「情報セキュリティの日」

「情報セキュリティの日」が2月2日となることが、正式にNISCより公開されました
(会社や学校は休みになりませんよ、念のため・・・)

「情報セキュリティの日」の概要

●「情報セキュリティの日」について(案

この日の前後は、セキュリティイベントが盛りだくさんになりそうですね。(今年だけでなく、来年以降も)

楽しみだけど、忙しくなるかな・・・

| | コメント (0) | トラックバック (0)

COBIT Ver.4 翻訳版 公開延期

10/24(火)付けで、ISACA東京支部のHPで発表されてました。

「COBIT4.0翻訳版公表延期について」

リリースは、12月末になってしまうようです。(翻訳をされている方々、ご苦労様です)

そして10/25(水)付けでは、COBIT Ver.4 基本辞書(見出し語および巻末用語などの翻訳)が公開されています

COBIT Ver.4 基本辞書

中身を見てみると、ISACAとJISの翻訳が違っているものもあります。さらに(ISC)2とも違いそうですが・・・

日本語と英語の違い(過去の記事「日本語と英語の違いによる用語の解釈」を参照ください)さらに運営機関による違い、場合によって定義そのものも違っていたりもして、用語の解釈が大変ですね。

何かこういうことも含めた解説付きの「情報セキュリティ(英和?)辞書」でも欲しくなりますね

| | コメント (2) | トラックバック (5)

CISSPの台頭~ 「『ITセキュリティのお仕事』、主流派に」

 久しぶりに、純粋なCISSPの記事です。(たぶん)

 今日は、ITMediaエンタープライズの10/24の記事「『ITセキュリティのお仕事』、主流派に」からです。

 「かつては一部の人しか関心を持たなかったセキュリティは、今や一般的な話題になった。それにともない、ITセキュリティを担う人材に求められる役割も変化している」という主旨の記事です。(原文は、こちら)

 この中に以下のような内容がありました。

CISSPの台頭

 最も権威のある情報セキュリティ認定資格の1つと考えられているCISSP(Certified Information Systems Security Professional)はこの数年、次第に影響力を拡大している。CISSPは特定のベンダーに依存しない資格であり、(ISC)2(International Information Systems Security Certification Consortium)が管理する。

 マサチューセッツ州ウォバーンにあるITスタッフ派遣サービスプロバイダーのSapphire Technologiesで国内リクルート部門のマネジャーを務めるマット・コラルッソ氏は、「高度なセキュリティ業務ではCISSPの資格が必須とされる中級から上級クラスのITセキュリティプロフェッショナルの間でも、この資格を保有する人が増えてくるだろう。われわれはこれを『中心的スキルセット』と呼んでいる」と話す。

 だがCISSPに対する批判もないわけではない。資格試験に合格することが、セキュリティの脅威を防止するのに必要な洞察力を必ずしも証明するものではないというのである。それでも、セキュリティプロフェッショナルの求人の半数がこの資格を要件としている。 「Dice.comの場合、CISSPの資格を持つプロフェッショナルの募集がシリコンバレー、ニューヨーク、ワシントンの各地域でのネットワークセキュリティの求人件数の50%を占める」とオニール氏は話す。

 日本では、まだまだここまで行ってませんね。やはりホルダーとしては、高度なセキュリティ業務では『必須』、中級から上級クラスのITセキュリティプロフェッショナルの『中心的スキルセット』、というものになっていって欲しいと思います。

 それから「資格試験に合格することが、セキュリティの脅威を防止するのに必要な洞察力を必ずしも証明するものではない」とも。これも、強く同感。格したこと=プロフェッショナルの証明、ではありませんね、絶対に

 CISSPに認定されたあと、何をするのか(できるのか)、これが重要ですね

 そういうことのために、私も今後もずーっと(いろいろと)がんばります。

| | コメント (0) | トラックバック (0)

2006年10月25日 (水)

OJTじゃなくて、メンタリング

10/23の記事で書いた「ITスペシャリスト育成ハンドブック」で紹介されている学習方法についての続きです。

この中に、(2)先輩、上司に学ぶ、(3)OJT、というのがあったわけですが、ここで注目すべき人材育成手法がコーチングやメンタリングだと考えています。このうち、メンタリングについてはITエンジニアを対象にした以下のような記事があります。

NIKKEI ITProの記事より
【上級】メンタリングの進め方 第1回
【上級】メンタリングの進め方 第2回
上級】メンタリングの進め方 最終回

この中で特に取り上げたい要素として

OJTとメンタリングの違い:
OJTは一般的に同じ組織内の上司や先輩が部下や後輩に対して行い,業務の成果を上げることを目指す。メンタリングは組織にとらわれないメンバー間で行われ,キャリア面に加えて社会的,精神的な面での支援を行う。

メンタリング:メンターが守るべき7原則
 (1)徹底して聞く
 (2)反論を許す
 (3)温かい雰囲気を作り,励ます
 (4)学習と成長の実態を把握する
 (5)将来的なキャリア像を示す
 (6)メンティーと価値観を共有する
 (7)自分自身が一生懸命学ぶ

があります。

このような制度やアプローチであれば、技術スキルだけではないヒューマンスキルを兼ね備えたプロフェッショナルが育ちそうですよね。でもここでの最大の課題は、メンターの育成だと思うんですよね。つまり、育成者や教育者となる人材を育てないと、こうはならないってことです。これはメンターだけでなく、「講師」も同じこと。まずこの課題を解決しないとね。

ということで、このあとはしばらく人材育成者や教育者について書いてみようかな。(あくまで予定。気分によって?変更あり)

| | コメント (0) | トラックバック (0)

2006年10月24日 (火)

「ITスキル標準」についての考察

昨日につづいて、IPAのITスキル標準センターのページを訪問しての記事です。

ここでは「ITスキル標準」について、このように紹介しています。

ITスキル標準は、IT業界における人材育成のガイドラインとなるものです。ITベンダーやユーザー企業が自社の人事評価制度や教育研修制度に活用することで、ITスキル標準は大きな効果を発揮します。しかし企業の中には、ITスキル標準の意義や内容は理解したものの、実際にどのように自社の人事・教育制度に取り入れれば良いのか糸口がつかめず、なかなか着手できないという企業も少なくはありません。
そこでITスキル標準センターでは、ITスキル標準を活用する際の拠りどころとしてもらうため、活用指針を提示するとともに、具体的な活用モデルを公表していきます。

「ん?『標準』(standard)なのに『ガイドライン』『指針』??」と、首を傾げてしまいます。
つまり「ITスキル標準」というのが、固有の名称なので仕方ないのかもしれませんが、そろそろこの名称も変更すべきではないかと思います。(もちろん『ガイドライン』『指針』が適切でしょう)

それから、「自社の人事評価制度や教育研修制度に活用することで、ITスキル標準は大きな効果を発揮」としていますが、その効果測定の具体的なモデルや結果などの公表が見当たりません。(何をもって、そう言うのか?)
にもかかわらず「なかなか着手できないという企業も少なくはありません」とは、「つまり、測定してないんじゃない?」と、勘ぐりたくなってしまいます。

その他にも、スキルをビジネススケール(プロジェクトの規模)というものさしで測ってしまうこと(業務実績を「量」や「パフォーマンス」で測るという視点がなく、「質」を「規模」として置き換えているように見える)も、個人的には受け入れにくいのですが。

このあたりの抜本的な見直しも必要ではないでしょうか

※ ここ2日間の記事は、IPAのITスキル標準センターに難癖をつけるための記事ではなく、このようなもののあり方を建設的に検討しようとしているものです。念のため・・・ (そうでなければ、まじめに読みません)

| | コメント (0) | トラックバック (0)

2006年10月23日 (月)

「ITスペシャリスト育成ハンドブック」

人材育成関係の調べ物のため、IPAのITスキル標準センターのページを訪問しました。

(ご存知の方も多いでしょうが)ITSSでは「セキュリティ」は「ITスペシャリスト」に属しています
10/16のニュースリリースを見ると、2006年度の「ITスペシャリスト育成ハンドブック」の公募の結果の公表が行われたようですね。

どんなものが作られるのか、出来上がったらチェックをしてみたいと思っております。

で、この「ITスペシャリスト育成ハンドブック」は過去のものが、IPAのITスキル標準センターのプロフェッショナルコミュニティ-ITスペシャリストコミュニティのページで公開されています

ここでも「プロフェッショナル」と「スペシャリスト」が入り乱れており、その使いわけの基準や尺度がよくわかりません。(しつこい?)

そこで「ITスペシャリスト育成ハンドブック 2005年度版」を、久しぶりに読み返してみました。

スキルレベルを高める方法として、(1)研修と資格取得、(2)先輩、上司に学ぶ、(3)OJT、(4)独学、が挙げられています。
このうち、(1)研修と資格取得、は基礎的な知識や能力を学ぶことが目的とされ、(2)先輩、上司に学ぶ、(3)OJT、(4)独学、が(1)研修と資格取得、で学んだものを応用的にすることを目的にしているようなことが書かれています。

私には、なんだか古典的な技術の伝承みたいな方式(言い過ぎ?!)に見えてしまいます。
こんな方法やアプローチでは、「プロフェッショナル」や「スペシャリスト」が質でも量でも確保できない気がします。

(皆様は、どう思われます?)

だから、私もいろいろ考えたり実践したり、試行錯誤しているわけですけどね・・・

| | コメント (0) | トラックバック (0)

2006年10月21日 (土)

原稿書きはじめました×2

原稿は何度もいろいろと執筆している(目立たないところで・・・)のですが、今回は書籍の原稿です。
それも2タイトルの同時進行になってしまいました。(正直、しんどい)
といってもどちらも共著なので、すべてを私が執筆するわけでなく分担された内容を書くのですが。

どちらも内容は「情報セキュリティ」(まぁ、当然か・・・)で、来年前半に刊行予定です。
もちろん、一般書店に並びます。
経過や詳細は、いづれまた改めて(ちょっと先になるでしょうけど)ここで記事にします。

そのために、最近はいろいろな資料や書籍を読んでおります。
ということで、ちょっと頭がパンクしてます。(「パンク気味」でなく、明らかに「パンク」)

ちなみに今読んでいる(正確には読み直している)のは、NISC公開文書
 「我が国政府の情報セキュリティ問題への取り組み」
 「第1次提言」
 「第2次提言」
 「第1次情報セキュリティ基本計画」

 「セキュアジャパン2006」
あたりです。

これは、2タイトル中一方の執筆のために読んでおります。
もう一方のためには、また別の資料や書籍を読んだり、ネットを検索したりします。

もちろん、ある程度以上の知識は持っている(なかったら書いちゃダメですよね)のですが、さらに情報を収集しているのです。これを整理し、情報の取捨選択をし、想定される読者対象に書いていく、という作業になります。

大変な作業ですが、しばらくの間は平日の夜や休日にコツコツと、いい本になるようにがんばります。
(そうやって、いままでもいくつかのテキストなど書いてきました)

ところで、私が初めて書籍の原稿の執筆をしたかというと、実は大学2年生のときでした
内容的にはクロスワードパズルの書籍でした。(そのときも共著でした。確か3冊くらい書いたような。もうそれらの本は間違いなく絶版・・・)

あれから××年かぁ~、なんだか感慨深いなぁ。
おっと、こんな時間。感慨に浸るより、資料を読むか寝るかにしよう、っと。

| | コメント (0) | トラックバック (0)

2006年10月20日 (金)

Google日本語版ブログ検索サービス公開

Googleが昨日10/19より、日本語版ブログ検索サービスを公開しています

リリース情報は、こちら
更新通知サービスもあるようです。(この機能は、これから使ってみます)

現在私はYahoo!とGoogleの併用ユーザーなのですが、最近かなりGoogleの利用比率が上がってきてます。
Googleデスクトップ(お仕事の効率上がってます)、マップも便利だし、フリーのメールもG-Mail(これも便利)にしたし・・・
(日本語サイトで公開されていないサービスも多いので、これらの日本語版も心待ちにしております)

ただYahoo!もコンテンツが面白いもの(『ネット検定』とか)が増えてきたので、実はちょっと楽しみなんです。ということで、Googleの利用比率は上がるけど、私はこれからも併用ユーザーでしょう。

GoogleもYahoo!も、もっとサービス増やしてくださいね。楽しみにしてます。

| | コメント (0) | トラックバック (0)

2006年10月19日 (木)

『デジタル・フォレンジック事典』欲しい

(これは、今日書いた記事です)

またもですが「フォレンジック」ねたを。

私はソフトウェアプログラマーやハードウェア開発者だったことはないので、段階的にはどうしても設計・開発よりも、運用・保守が中心になってしまいます。(もともと、営業だし)
それもあって、
最近の興味はこのあたり(フォレンジック、監査、インシデントハンドリングetc.)

12月中旬に『デジタル・フォレンジック事典』という書籍が刊行されます
内容を見るとぜひ欲しくなるのですが、価格(20,000円)がちょっと・・・
う~ん、
でもきっと買うでしょうね

■■『デジタル・フォレンジック事典』■■
辻井 重男 監修
萩原 栄幸 編集責任者
特定非営利活動法人デジタル・フォレンジック研究会 編

B5版・400頁(予定)・上製(ハードカバー)・箱入り・予価20,000円+消費税
■デジタル・フォレンジックに関する専門家が体系的に解説!

☆目次 (予定)
第1章 デジタル・フォレンジックの基本
 1.1 デジタル・フォレンジックが必要になった背景
 1.2 体系化の試み
 1.3 企業において訴訟を行うためのデジタル・フォレンジック
 1.4 企業において訴訟に備えるためのデジタル・フォレンジック
 1.5 法執行機関におけるデジタル・フォレンジック
 1.6 本章のまとめと関連技術

第2章 デジタル・フォレンジックの現状
 2.1 欧米にみるデジタル・フォレンジックの運用状況
 2.2 日本におけるデジタル・フォレンジックの運用状況

第3章 デジタル・フォレンジックの歴史
 3.1 技術年表
 3.2 フォレンジックの歴史

第4章 デジタル・フォレンジックの技術
 4.1 デジタル・フォレンジック技術の概要
 4.2 訴訟する側のデジタル・フォレンジック対応の技術の現状
 4.3 訴訟される側のデジタル・フォレンジック技術
 4.4 PC以外の機器のデジタル・フォレンジック対応技術
 4.5 デジタル・フォレンジックの要素技術
 4.6 技術と法の対応
 4.7 システム設計とデジタル・フォレンジック

第5章 デジタル・フォレンジックと法
 5.1 情報および情報セキュリティの法的保護
 5.2 法運用とデジタル・フォレンジック
 5.3 参照条文

第6章 デジタル・フォレンジックと企業
 6.1 企業におけるデジタル・フォレンジック
 6.2 金融機関におけるデジタル・フォレンジック
 6.3 通信事業者におけるデジタル・フォレンジック
 6.4 公認会計士監査とデジタル・フォレンジック

第7章 デジタル・フォレンジックと医療
 7.1 医療の進歩とIT化
 7.2 医療における個人情報の意義
 7.3 プライバシー保護におけるインフォームド・コンセント
 7.4 公益目的の医療情報の活用とプライバシー保護
 7.5 2つのガイドライン
 7.6 医療事故とデジタル・フォレンジック
 7.7 遠隔医療とデジタル・フォレンジック

第8章 デジタル・フォレンジックの実際
 8.1 9.11テロ事件後のフォレンジック調査
 8.2 その他のe-ディスカバリ事例
 8.3 法執行機関の事例
 8.4 デジタル・フォレンジック的一般企業・個人の不正行為事例

第9章 デジタル・フォレンジックツールの紹介
 9.1 ネットワーク・フォレンジックツール
 9.2 証拠保全用ハードウェア
 9.3 調査・解析用ツール(Guidance Software社)
 9.4 調査・解析用ツール(Access Date社)
 9.5 解析専用コンピュータ

第10章 デジタル・フォレンジックの今後と課題
 巻末資料 1.「NPOデジタル・フォレンジック研究会」について
        2.フォレンジック関連情報(研究機関情報・参考URL紹介等)

| | コメント (0) | トラックバック (0)

Security Solution2006より

(昨日10/18に書こうとしてた記事です)

今週はニュースがたくさん発信されていますね。(イベント多いですから)

WPCでのWindows Vistaも気になりますが、やはり「Security Solution 2006」が気になります。

そこで気になった記事が『【Security Solution速報】「あの事件でも」,警察が捜査に利用する情報漏洩・不正アクセス調査ツール』でその中でも「ハードディスク複製装置とデータ解析装置を収めたジュラルミンのスーツケース」ってのがすごい。(画像をご覧ください)

ぜひ見てみたい、触ってみたい

明日、行けるかな・・・(ちょっと、仕事溜まってるので無理そう。残念っ!)

| | コメント (0) | トラックバック (0)

「Security Eye」第5号

ココログが、10/17(火)16:00から48時間メンテナンス(フリーだけ。なんじゃ、そりゃ!)で、更新できませんでした。(その上、障害も発生したり・・・)
「いつまでもフリー使ってないで、せめてベーシックにせんかい!」ってことでしょうか。
う~ん、考えておきます・・・
やっと更新できるようになったので、この3日間の分を今日まとめてアップします
ということで、10/17(つまり、この日のうちに、書こうとしたんですが書けなかった・・・)にJASAで、広報誌の「Security Eye」の第5号をもらってきました。
今回もなかなか内容が濃いですねぇ。

特集では「政府機関統一基準における情報セキュリティ監査」「政府機関統一基準における外部委託と保証型監査」などです。いよいよ、情報セキュリティ監査、しかも保証型監査が本格的に普及してくるという実感が湧いてきました。
そもそも「監査」とは「保証サービス」というのが、世界的な解釈。
日本のように「助言」というと、「コンサルティング」と差異のないサービスと見られてしまうようです。
(このあたりのことは、また別の機会に書きます)
というより、日本では法定監査(会計監査など)以外の任意監査(情報セキュリティ監査、システム監査)では、「保証(assurance)」という考え方が定着していないと思います。
さらに「保証(assurance)」という概念や定義が正しく理解されていない気がします。
(実際にCISSPレビューセミナーの講師、情報セキュリティ監査の講師を務めていてそう思います)
それから「インドの情報セキュリティ監査について」という海外レポートもあり、とても興味深く読みました
「Security Eye」は無料で配布されています。
購読したい方は、
こちらで申し込めます。
(JASA会員、情報セキュリティ監査人資格ホルダー以外でも購読できます

| | コメント (0) | トラックバック (0)

2006年10月16日 (月)

情報処理技術者試験・秋期

昨日実施された、平成18年度情報処理技術者試験・秋期の問題と解答が公開されていますね。

情報セキュリティは、秋期は情報セキュリティアドミニストレータでしたね。
私は今までの宣言通り、受験しておりません。
(ちなみに来年春期も受験予定なし)

とはいえ、職業上の必要から問題をさっと眺めております。
ということで、今日は個人的な印象と意見などを。

午前の問題は例年通りの内容と難易度という感じがします。
毎度のことですが「こんなの出題する必要あるの?」という問題がいくつか。
(50→55問になった意味も良くわからない。合否判定のため、得点分布の拡大を図ったか?)

午後問題もいつも通りという感じですが、時間的に解答が苦しそう。
あとは、「持ち出し管理」と「ノートPC置き忘れ」とか、「情報セキュリティの自己点検」とか「Webセキュリティ」とか、世相を反映してそうな内容の出題ですね。

あとは、春のテクニカルエンジニア(情報セキュリティ)と比較して見てみますと・・・
「開発・設計」寄りか「運用・管理」寄りかの違いは確かにわかるものの、ベンダー向けかユーザー寄りかは、あまりはっきりしていない、という印象でした。

ということで「分けた意味や効果はあったの???」が、率直な感想でした。

●情報セキュリティアドミニストレータ試験

 午前 問題午前 解答

 午後Ⅰ 問題

 午後Ⅱ 問題

| | コメント (0) | トラックバック (0)

2006年10月13日 (金)

CISA受験対策講座

10/10付けでプレスリリースされていました。

ANJOインターナショナルがなくなった後、ISACA開催のレビューセミナーが唯一の講座となっていましたが、このたび開講(「再開」といいたいところですが・・・)されたということです。
(あと残る学習手段としては、レビューマニュアルやサンプル問題集を購入し「独学」という手段だけですね)

CISAを目指される方には、もちろん朗報ですね。

リコー・ヒューマン・クリエイツがCISA(公認情報システム監査人)受験対策講座を開講 
CISA受験・直前要点おさらい研修

| | コメント (0) | トラックバック (0)

2006年10月12日 (木)

日本語と英語の違いによる用語の解釈

今日はちょっとあるところで、検討している話題を。

「監査基準」という用語(情報セキュリティ監査やシステム監査でのお話です)なのですが、これには2つの意味があります。
「一般基準」「実施基準」「報告基準」などの"standard”が1つ目の意味。
2つ目の意味は「評価や判断の尺度」などの"criteria"です。

つまり「基準」には2つの意味があるのです。

このあたりが、どうも講師から受講される皆様に伝わっていないな(特に"criteria")、という検討なのです。
(「テキストでの説明が十分でない」っていうこともありますが・・・)

同様の問題は他にもあります。
具体的な例としては「管理」です。"control"だったり"management"だったり"administration"だったり・・・
更に"control"は「制御」や「統制」とも訳されます。"management"も「経営陣」とも訳されます。

杓子定規に日本語で解釈をしてしまうと、誤った意味で理解してしまう可能性が高くなります。
重要な用語や概念、原則などは、原文(英語)なども確認しながら正しい理解をするようにしておきたいものです。

といいながら、私も英語が得意なわけではなし。
CISSP認定試験でも必須アイテムですが、認定取得後も英和辞書(私の場合は和英もついてます)はお役立ちアイテムです。(特に私は)

| | コメント (0) | トラックバック (0)

2006年10月11日 (水)

御礼、10000アクセス突破

昨夜(10/10、21:00過ぎ)、このブログのアクセス数が10000の大台を突破しました

今年の5/22の開設以来、約4ヶ月半が経過します。この短い期間で、これだけのアクセスをしていただけるとは、正直なところ予想していませんでした。

アクセスしていただいた皆様に、厚く御礼申し上げます

それからもう1つ。「我ながら、よく続いているなぁ」ということ。先代のブログを始めたのが、今年の2/23ですからそれからカウントすると約8ヶ月続いています。

今のところ、ネタが尽きることでブログが続かなくなるという心配はしていないのですが、モチベーションが低下すると続かないかもしれない、とは思っています。

このモチベーションが低下しないのは、このアクセス数と情報セキュリティへの関心だと思っています。それが続く限り、このブログも続けられそうです。

| | コメント (2) | トラックバック (0)

2006年10月10日 (火)

「適応(adjust)能力」

以前の記事の
「使う力」
「『使う力』を更に考える」

で、「知識の量×使う力=結果」であり「知識の量」が多くても、「使う力」がなくては「結果」には現れません、などと書きました。

今回はその続きで、『「長谷川流」使う力』の考え方を書いてみます。
長谷川と言っても私ではなく、元メジャーリーグ投手の長谷川滋利氏(オリックス・ブルーウェーブ→アナハイム・エンゼルス→シアトル・マリナーズ)なんですが。
  「稀代の頭脳派投手」として知られ、クレバーな投球術でメジャーリーグで成功した彼なりの「一流」(自分な「超一流」ではなかったと自書『超一流じゃなくても「成功」できる』などで言ってます)の要因として、「適応(adjust)能力」を挙げています。

これは「自身を周囲の環境に合わせる」ということですが、単に「朱に交わる・・・」的な意味合いではありません。
具体的には「自分を客観的に見る力」。「自分の何が通用するのか。結果が出ない自分には何が不足しているのか」を冷静に分析し、それをクリアするために必要な技術を習得していく、ということだとしています。

この考え方は私も個人的にかなり共感を持っていて、よく使う言葉になっています。
「使う力」を考えるのに、かなり役立つ重要なアプローチだと思います。
皆様も自身の「適応(adjust)能力」を考えて、実践してみませんか。

| | コメント (0) | トラックバック (0)

2006年10月 6日 (金)

「Black Hat Japan 2006」

前回の記事に書いた「Black Hat Japan 2006」に、tksmsmyuさん(お気に入りブログにブックマークつけているブログ「目指せ!SS」のオーナーさん)が参加しているんですね。

うらやましい。それからレポートが見れてうれしいです。

こんな記事を読むと来年ますます参加したくなったが、よく考えると越後湯沢のイベントと日程が重なっているよね。来年も重なっちゃうのかな。重ならなければ、お互いもう少し参加者(対象者は間違いなくかぶってる)が増えているような気がするのですが。どっちかの主催の方、開催日をずらしてくださいね。(私のためにも、業界のためにも)

ところで、さっそく記事を掲載しているサイトもあり。(速っ!!)

「変化する“情報セキュリティ”の意味、防衛庁統合幕僚監部の岡谷氏が講演」

| | コメント (0) | トラックバック (0)

2006年10月 5日 (木)

今日もがんばるぞ

今日(10/5)から、新宿の京王プラザホテルでは「ブラックハット・ジャパン・2006・ブリーフィングス&トレーニング」が始まります。(トレーニングは、10/3~4でした)
そして、新潟県越後湯沢町では「ネットワーク・セキュリティ・ワークショップin越後湯沢」が始まります。

どちらも行きたかったセキュリティイベント(参加された方は、ぜひぜひ情報くださいね!)なんですけど、10/3~4は社内研修、そして今日はCISSPオフィシャルレビューセミナーの講師で参加できませんでした。

今月は、10日間も講師業務があります。今日がその3日目で、かなり疲れ気味+風邪気味です。そこで延べ70名近くの認定試験受験者に講習をするのです。よく考える(考えなくとも)と、責任が大きいですよね。疲れたなんて言ってられないので、今日もがんばって講師してきます。

だから1名でも多くの方、合格してくださいね

| | コメント (0) | トラックバック (0)

2006年10月 4日 (水)

NPOデジタル・フォレンジック研究会(IDF)

先週、NPOデジタル・フォレンジック研究会(IDF)に正会員として入会しました

情報セキュリティの関連団体はいくつかありますが、私も既に参加・活動しているJNSAJASAなどもあるため、「これ以上は、無理だろうなぁ・・・」と思いながらも、自分の専門性を高めるために入会してみることにしました。現在所有している資格(CISSP、公認情報セキュリティ監査人)と、今後の自分の進みたい方向を考え、他の情報セキュリティの関連団体なども含め検討したのですが、その結果としてIDFに入会することにしました。もちろん、入会したからには可能な限り参加しますけど。

IDFには、「技術」、「法務・制度」、「経営・監査」の3つの分科会がありますが、「技術」、「経営・監査」の2つにエントリーしました。

ちなみに、現在の分科会の活動の概要は以下の通り。

①技術分科会
フォレンジックを行う上で重要な基礎知識であるファイル・システムに関してレクチャーし、それらをフォレンジック解析ソフトウェア(フリーツール・商用ツール)で見た場合どのように見えるのかを実習(実演:Windows、Linux、Macにわけて3回行う)等を企画。また、フォレンジックラボ等の見学会も企画します。

②法務・制度分科会
今期は、「刑事」「民事」「コンプライアンス」等、年3回程度開催。
あらかじめ各回毎にテーマを決めて実施する。

③経営・監査分科会
・企業経営、特に、コーポレートガバナンスや内部統制におけるIT及びデジタル・フォレンジック活用方策に係る調査・研究
・SOX法及び日本版SOX法の会社経営に及ぼす影響とフォレンジックに関する調査・研究
・専門家による講演、会員による研究発表を通して、知識を深める
・分科会の開催は、2ヶ月に1回程度

それから、12月には東京・市ヶ谷で下記のようなイベントあり。私は、こちらも参加する予定。

第3回 デジタル・フォレンジック・コミュニティ2006 in TOKYO
「J-SOX時代のデジタル・フォレンジック」~信頼される企業・組織経営のために~

2006年12月18日(月)~12月19日(火)

| | コメント (0) | トラックバック (0)

2006年10月 3日 (火)

「CISSP Forum 2006 Autumn」

「CISSP Forum 2006 Autumn」の開催が発表されましたね。

このイベントは、CISSPホルダー同士のネットワーク拡大のいい機会になるでしょう。もちろん、Trusted CPE対象イベントです。

私も参加予定です。いろいろなホルダーの皆様にお会いできそうです。
会場で見かけたら、どうぞ気軽にお声かけください。
(CISSP取得を目指されている方は「こんなイベントもあるんだ」ということでご覧ください。これも励みになるでしょうか・・・)

ところで、CISSPラベルピンってデザインが変わるんですね。
どんなふうになるんでしょう、ちょっと楽しみです。

セキュリティ・プロフェッショナルのコミュニティ 
CISSP Forum 2006 Autumn 開催のお知らせ!』  

  【(ISC)2 公式サイト】 https://www.isc2.org/japan  
   ☆ 2006年10月31日(火)・センチュリーハイアット東京にて開催! ☆        

(ISC)2 Japanでは、日本在住のCISSP認定保持者の皆様をお招きし、ISSJPの情報提供・CISSP認定保持者からの講演(予定)など、もりだくさんの内容でCISSP Forum 2006 Autumnを開催いたします。
2005年秋にオープンした眺望抜群の27階会場で、軽食をご用意して、皆様をお待ちしております。
なお、ご来場のCISSP認定保持者の方々には、新しいデザインにリニューアルした新CISSPラベルピンをプレゼントいたします。

★★★【開催概要】★★★
▼名称: CISSP Forum 2006 Autumn

▼会期: 2006 年 10月31日(火) 17時30分~19時30分
     ▽受付 17時00分より

▼会場: センチュリーハイアット東京 27階 エクセレンス
     東京都新宿区西新宿2-7-2
     TEL: (03) 3349-0111
          FAX: (03) 3344-5575
     URL: http://www.centuryhyatt.co.jp/access/index.html
  ※新宿駅西口からホテルまではシャトルバスが運行しています。
   時刻表:http://www.centuryhyatt.co.jp/access/timetable.html

▼主催: (ISC)2 Japan

▼対象来場者: CISSP認定保持者
     

| | コメント (0) | トラックバック (0)

2006年10月 2日 (月)

ITガバナンスと情報セキュリティガバナンス

前回の記事で「ITガバナンス協会」の設立の話題をちらりとさせていただきました。
そこで今回は、「ITガバナンス」の定義を「COBIT 4.0」から

なお、COBITの概要については、こちらをご覧ください。

「ITガバナンス」
エグゼクティブマネジメントおよび取締役会の責任(responsibility)であり、組織のITの持続と組織の戦略および目標を保証するリーダーシップ、組織構造およびプロセスから構成される。

では、「情報セキュリティガバナンス」とは何でしょうか?定義を同じく「COBIT 4.0」から。

「情報セキュリティガバナンス」
①情報セキュリティガバナンスの目標
企業として、ビジネス目標に合致し、かつ、適用される法律と規則に適合した、情報セキュリティ戦略に関する保証を提供するためのフレームワークを確立し、維持すること。

②情報セキュリティガバナンスのタスク
・ビジネス戦略・方向性をサポートする、情報セキュリティ戦略の策定
・企業全体の情報セキュリティに対する、経営上層部のコミットメントとサポート
・情報セキュリティガバナンス活動を含めた各自の役割と責任の明確化
・報告と意思疎通のチャネルの確立
・情報セキュリティに及ぼす影響の評価
・情報セキュリティポリシーの確立、維持
・情報セキュリティの手順とガイドラインの制定の保証
・情報セキュリティプログラム投資のサポート

CISMの認定試験では、「情報セキュリティガバナンス」は出題範囲の5つのドメインの中の1つです。
CISSPでも、「情報セキュリティマネジメント」と「エンタープライズセキュリティアーキテクチャー」のドメインが、上記のような内容ですね。

| | コメント (0) | トラックバック (0)

« 2006年9月 | トップページ | 2006年11月 »