« 2007年1月 | トップページ | 2007年3月 »

2007年2月の記事

2007年2月28日 (水)

「CISSP CBKマスター講座」

「CISSPを目指す方、こういう講習もありますよ」って、お話です。

CISSP (Certified Information Systems Security Professional)資格取得のための講座開講のご案内
日程:2007年4月16日(月)~6月25日(月) 毎週月・水曜日 18:30~20:30

これが「CISSPオフィシャル10ドメインレビューセミナー」ですと、5日間で受講しなければなりません。
5日間ぶっ続けのコースか、延べ3週間のコースというどちらかの選択になります。

このコースなら、3ヶ月間かけてじっくりと余裕を持って、学ぶことができます。
もちろん、(ISC)2認定講師が担当します。

実はこの形式のコースは、2回目の開催で前回は2006年10月~12月で開催されました。
そのときは、1回だけ私も講師を担当しました。
(今回も担当するかもしれません。しないかもしれないけど)

5日間ぶっ続けのコース、延べ3週間のコース、3ヶ月間のコース、と3種類。
ご自身の学習プランに合わせて、どうぞ。

| | コメント (0) | トラックバック (0)

2007年2月27日 (火)

社外コミュニティの魅力とは?

日経SYSTEMS3月号の特集記事「社外コミュニティで自分を伸ばす」によると、社外コミュニティの魅力とは、

魅力①同じ課題や悩みに立ち向かう仲間が見つかる
魅力②他社事例について、当事者からナマの話を聞ける
魅力③尊敬でき、何でも相談できる人と出会える


だそうです。


そうなると沸いてくる疑問は「これって社内では実現できないの?」ってこと。
う~ん、まぁ難しいでしょうね・・・
特に縦割り、官僚的な組織においては、情報の共有や交換は至難の業です。
それができるような組織なら、上記のような魅力はそれほど感じないでしょうし、相当ナレッジも溜まっているはず。
そのような実情の裏返しであるような気もします。

あとは上記以外の魅力ですが、私の場合は(上記の3つ以外に)
・自身のスキルの研鑽の場
・(あっちの資格、こっちの資格の)CPE獲得の場

なども魅力ですね
(あとは、個人と所属組織の名前を売る、ってのもありますが)

この2つも社外に出ないと、なかなか果たせないことだと思います。(他にも社外でないとできないことは、いろいろありますが・・・)
特にスキルについては、社内だけという狭い領域で通用するのと、業界で広く通用するのでは相当の差があると考えています。
社外コミュニティには大きく分けて「勉強会」的なものと、「(調査・研究など)成果物作成」の目的の2つがあります。
「成果物作成」のほうは、自分のスキルを研鑽したり、業界で広く通用するかどうかを評価(自己または他人から)できる場でもあります。

そのような場は、社内ではなかなかありませんので、このような場は非常に貴重な機会になります。

とにかく、皆さんもどんどん社外に出ましょう

| | コメント (0) | トラックバック (0)

2007年2月26日 (月)

「セキュリティはなぜやぶられたのか」

現在、読んでいる本です。とにかく、お薦めです
「セキュリティの本質」を知るためには、技術書とか規格の解説書ばかり読むのではなく、その前にこの本や以前(昨年9月)の記事で紹介した 「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」あたりを読んでほしいと思います。

そして「セキュリティの本質」とは、(この本のとおり)に「トレードオフ」を考えること、それには豊かな発想と合理的な思考(論理的な思考とは違う)が必要です。

それにしても、この本は黒と白だけで、怪しげな本に見えてしまいそうです(「ハッカーの教科書・完全版」とか「クラッキングバイブル」みたい・・・)
そのテの本ではありません、念のため・・・(でも、カバーつけて読んでます

「セキュリティはなぜやぶられたのか」 4822283100_01__scmzzzzzzz_v44530244_
●出版社/著者からの内容紹介
テロからカード犯罪まで幅広い攻撃に対応するセキュリティのしくみを一般向けに説いた読み物です。暗号・セキュリティの専門家である著者が、収集した古今の膨大な事件から、攻撃者はどのような手口を使ってくるのかを、テロ、ハイジャック、カード詐欺、ネット犯罪、内部犯罪、窃盗にいたる興味深い実例を多数挙げながら解説します。そのなかで、技術分野でのセキュリティの知識が、社会全体にどのように応用できるかを丁寧に説いていきます。
セキュリティとは、つまるところ効果(リスクの軽減)とコストのトレードオフであり、そのトレードオフを判断するためステップ(5段階評価法)を提示します。「すぐれたセキュリティは、攻撃に対する豊かな想像力からうまれる」ことが実感できる一冊です。

●著者:ブルース・シュナイアー(Bruce Schneier)
BTカウンターペイン社の創業者兼CTO。暗号学者であり、コンピュータセキュリティの世界的権威。共同開発した「Twofish」は、米国立標準技術研究所(NIST)が推進するAESプロジェクトで次世代暗号アルゴリズムの最終候補となった。ネットワーク社会のコンピュータセキュリティの問題に迫った『Secrets and Lies』(邦題『暗号の秘密とウソ』翔泳社)で広く知られ、日本にも多くのフアンをもつ。New York Times、Forbes、Wiredなどでも鋭いセキュリティ論を展開する。毎月、Crypto-Gramというニュースレターを発行。その他の著書に、『暗号技術大全』(ソフトバンククリエイティブ)などがある。

| | コメント (0) | トラックバック (0)

2007年2月24日 (土)

「スピードハックス 仕事のスピードをいきなり3倍にする技術」

ちょっと前に、読んだ本です。
(締め切り対策のため?!)このテの「おしごとHacks(仕事術)」は、かなり関心があります

以前、「TIME HACK!」という本をご紹介しました。
この本同様に、仕事を効率的にし時間を有効に活用するアイディアが満載です。

あとは、そのアイディア(特に自分にな合っているもの)を、どう習慣化し自分のものにする(つまり、具体的に行動しものにすること)か、それが大事です。

「スピードハックス 仕事のスピードをいきなり3倍にする技術」 4534041837_01__aa240_sclzzzzzzz_v4514923
●出版社/著者からの内容紹介
仕事のスピードを上げるには? 速く処理するための「仕組み」をつくり、その仕組みを回し続ける「やる気」を切らさないこと! タスクリストや作業記録のとり方、活用法など、具体的なテクニック(仕組みづくり)から、ちょっとした行動の習慣(やる気づくり)まで、仕事のスピードをいきなりアップさせるコツとアイデア(スピードハックス)を盛り沢山に紹介する。仕事に役立つ便利なデジタルツールとその使い方も満載!

仕事のスピードが早い人とは?

仕事の進め方が確立されている人

そうなるためには……

*仕事を速く処理するための「仕組み」を作り、
*その仕組みを回し続けること
(「スピードハックス」が必要!!)

| | コメント (0) | トラックバック (0)

2007年2月23日 (金)

ブログ1周年

本日2/23は、私がブログ(始まりは、こちらのブログでしたが)を始めてちょうど1年になります。(このブログは9ヶ月です。気が付けば、30000アクセス突破しました。感謝、感謝!)
1年続けば、間違いなく習慣になったのだな、と実感します。

ブログも「情報セキュリティ」というテーマだけで書き続けてきました。
一時趣味関連のブログも始めようとしまし、情報セキュリティのブログも3ヶ月弱の間、2本立てでがんばってましたが、結局はこのブログ1本になりました。

とにかく無理せず続けること、つまり習慣化することが大事、との結論からです。

さて、次は2周年を目指して、無理せず続けるとしますか・・・

| | コメント (0) | トラックバック (0)

2007年2月22日 (木)

監査法人の「実質的解体」で思うこと

「みすず監査法人は実質解体へ、3法人への業務移管を発表」(日経新聞、2/21朝刊)

 大手監査法人のみすず監査法人(旧中央青山)は20日、今年7月をメドに監査業務を新日本、トーマツ、あずさの3監査法人に移管すると正式発表した。監査先企業の不正会計事件が相次ぎ、信用力が低下、監査法人として業務を継続することを事実上、断念した。今3月決算企業などの監査業務は従来通り実施し監査先への影響を抑えるが、企業側は来期以降の監査法人の変更など対応を迫られる。

 都内で会見した片山英木理事長は「社員・職員の全部または一部を移籍させる協議に入ることで、3監査法人と基本合意した」と述べた。監査を含む全業務が対象となる。事実上の解体に踏み切るのは、顧客からの信頼回復が難しいうえ、人材が流出する懸念も高まってきたからだ。

不正な会計処理の顛末として、このような結果になってしまったようです。
米国でもエンロン、ワールドコムの不正会計処理により、アーサー・アンダーセンが事実上破綻しました。
監査業務を行う人には、高い倫理感が求められ規制も厳格であるということです。

とにかく「監査業務」に対する不審感が、これ以上広がらないといいのですが
(「情報セキュリティ監査」も、同じ監査業務ですからね)

それから、監査を行う会計士の数も現状としても不足しているようです。
2009年より内部統制の監査もあるわけですから、このままですと人手不足はさらに深刻な問題になりそうです。
会計監査は法定監査ですから、決められた人=公認会計士だけが監査を実施できます。
つまり絶対数は、公認会計士試験の合格者以上は増えないということです。
(専門家の不足はセキュリティの業界だけでなく、いろんなところで問題になっています)

監査業務に関する規制や不審感、専門家人材の不足とも、この業界と比較するとセキュリティ業界のほうが深刻度は低いように感じられるかもしれません。
しかし個人的には、あまり「人ごと」には思えません。
情報セキュリティも、その重要性と必要性が高まれば、要求される倫理も高まり規制も厳格になると思うからです。

| | コメント (0) | トラックバック (1)

2007年2月21日 (水)

締め切り、過ぎちゃった

締め切り、過ぎてしまいました。
といっても、現在執筆中の原稿のことではありません。
情報処理技術者試験のことです。(昨日2/20の20時が、申し込み締め切りでした)

まず「えっ、受ける気あったの?」と突っ込まれそうですが・・・
すいません、そんな気は全くありませんでした

ということで、今年も「確信的な見送り(常習犯)」です。

受けない理由としては、「使い道がわかりません」ということです。
あるとすれば、講師になるということくらいでしょうか。

そういえば、昨年も同じようなこと書いていたなぁ。
(くわしくは、先代ブログの記事「情報処理技術者試験、見送り」を)

もし受けるとすれば、
テクニカルエンジニア(情報セキュリティ)

システム監査技術者
のどちらかでしょうけど。

そういえば、情報処理技術者試験制度見直しの件、どうなってんだろう?
(こちらは、このブログの12/13の記事「情報処理技術者試験改革のゆくえ」を・・・)

| | コメント (0) | トラックバック (0)

2007年2月20日 (火)

IT資格の難易度2007年2月版

2チャンネルに載っている最新版です。
(相変わらず、このランクの尺度は不明。合格者/受験者=合格率、かな?)

昨年の8月に書いた記事「IT資格の難易度」と比較すると、CISSPは大幅down(64→52)

本当にやさしくなっているのでしょうか?
だったら受験しどきですが・・・

それから難易度が資格自体の価値を示しているわけではない、ということにもご注意。(どの資格ってわけではありませんが)

65:システムアナリスト
64:技術士(情報工学)
63:システム監査技術者、CCIE
62:プロジェクトマネージャ
61:システム管理、上級シスアド、SJC-EA
60:アプリケーションエンジニア
59:ネットワーク、セキュリティ、データベース、エンベデッド
58:RHCE、SJC-D、Oracle Platinum
57:MCDBA、MCSE2003、.Com Master☆☆☆
56:CCNP、MCSD、RHCT
55:情報セキュアド、ソフ開、MCSE
54:PMP、MCAD、XML Professional
53:UML-advanced、VBAエキスパートプロフェッショナル
52:CCDA、SCNA 、CISSP
51:MCSA2003 、Oracle Gold(旧Platinum)、LPIC Level2
50:基本情報技術者、SJC-WC、SJC-BC、SJC-WS、SJC-MA、P検1級、UML-intermediate 、日商PC(データ)1級
49:CCNA、Oracle Silver(旧Gold)、SJC-P、Security+、.Com Master☆☆、UMTP-L2
48:Oracle Silver Fellow(旧Silver)、MCDST、UMTP-L1、P検準1級、SCSA、MCA Master、Network+ 、日商PC(文書)1級
47:初級シスアド、MCP、LPIC Level1、Linux+
46:XML Basic、SJC-A、UML-fundamental、i-NET+、J検プログラマ認定、J検システムエンジニア認定
45:MCA、MOT、A+
44:P検2級、.Com Master☆
43:J検情報活用1級
42:VBAエキスパートスタンダード、日商PC(データ)2級
41:MOSマスター、日商PC(文書)2級
40:J検情報活用2級、IC3
39:MOS Expert、MOS Specialist(Access)
38:MOS Specialist(Access以外)

| | コメント (0) | トラックバック (5)

2007年2月19日 (月)

「講習」と「講演」、どちらが好きか?

私の場合は自分で話すのが「講習」、聴くのが「講演」ということが圧倒的に多いですね。
ですが先週はめずらしく、「講演」を自分でするほうが2日続きました
だいたい「講習」は1日という単位で実施します。長ければ丸一週間という場合も。
「講演」は、短ければ15~20分、長くても2時間ですね。(休憩を挟んでまで、というのは滅多にないので)

ということで、「講演」のほうが楽そうなのですが(実際、楽なことが多いですけど)私の場合は「講習」のほうが好きです。
「講習」は、「何か覚えていただくぞ」「(認定試験に)合格してもらうぞ」と、こちらの身の入り方も違います。
集中力も達成感もちがうんですよね。それだけにかなり疲れますけど

ちなみに今週は「講習」だけです。(水曜と木曜)
1名でも多くの方に合格していただきたいですので、今週もがんばります!

| | コメント (0) | トラックバック (0)

2007年2月17日 (土)

アメリカに行くつもりが、カメルーンに到着?!

1週間前のITmediaの記事「『.com』のつもりが『.cm』、カメルーンのGoogleサイトに要注意」

からです。

つまり『.com』のつもりがタイプミスとかキーの空打ち(私は、たまにやってしまいます)をしてしまって『.cm』になると、米国のサイトのつもりがカメルーンのサイトに行ってしまうということです。

リアルな世界では、飛行機に乗り間違えてもこんなことはありません。
でもバーチャルなネットの世界では、こんなこともあるっていうことですね

カメルーンは、サイバー犯罪の捜査などに協力してくれませんし、そのスキルもないようですから、ここにフィッシングサイトを置かれたり、リレーされたりすると大変なことです。

「ところで、カメルーンにCISSPはおるんかい?」ってことで調べてみました
すると・・・

おっ、1人いるじゃないか。この人で何とかならないのかな・・・」

ちなみに、日本は720名になってますね

| | コメント (0) | トラックバック (0)

2007年2月16日 (金)

【事業継続計画・BCP】お役立ちリンク集

このカテゴリーで記事を書くのは、実に久しぶりです。

本日の日経ITproの記事に「『事業継続』の理解に役立つリンク集」というのがありました。

BCPドメインの学習やスキル向上のため、ぜひお役立てください

あとは、私からの追加ということで、以下のリンクもどうぞ

BCI Japan Alliance

(財)情報処理相互運用技術協会(INTAP)
「平成16年度ビジネス継続性技術調査報告書」

NPO 事業継続推進機構(BCAO)

こちらも、ぜひお役立てください。

| | コメント (0) | トラックバック (1)

2007年2月15日 (木)

IT業界の「3K」とは?

ここ2年ぐらい、いろんなところで「IT業界3K」話が出ます。

もともと「3K」とは、いわゆるブルーカラーとされる職種について、言われていた言葉でしたね。
仕事が「きつい」「汚い」「危険」ということを意味してました。

ITは「新3Kの職場」と言われています
一昨日もあるところで、「ITの3K」と言っていたら「ところで、その3Kって何でしたっけ?」という話になりました。
『キツい』「帰れない』「給料が安い』じゃないんですか?」と返したら、「他にもあるんじゃない?」という展開になりました。

そうなると興味が出てきたので、ネットでちょいと検索をしてみました。
(ネガティブな話題なのに、なぜかワクワク・・・)

ちょっと前の記事「ITプロを取り巻く『3K』を改善したい」では、「厳しい,きつい,帰れない」になってますね。

他にも出てくる、出てくる・・・
「気が休まらない」
「キリがない」
「休暇が取れない」
「規則が厳しい」
「化粧がのらない」
「結婚できない」
「過労死寸前」

ということで、11Kになったかな?(まだ、ありそう)

やばいね、この業界。早く、みんなで改善しましょうね。

| | コメント (0) | トラックバック (0)

2007年2月14日 (水)

ISMS認証って、何なの?(4)

このシリーズの4回目です。
今回は、まさに「なるはや」でした。(めずらしく・・・)

仕事柄、何度かISMSの内部監査や審査という場に立ち会ったことがあります

私の場合は、公認情報セキュリティ監査人研修での講師をしているため、どうしてもその内部監査や審査の内容を「評価」するという視点で見てしまいます。
公認情報セキュリティ監査人研修のトレーニングコースでは、演習として模擬監査のロールプレイを実施しています。
受講者の皆様に監査人になっていただき、講師は被監査側を演じます。
そんな事情もあって、こういう時の私はこのような講習でのロールプレイの相手役の講師のようになってますね。

で、その「評価」なのですが、「それって、監査(審査)なの?」「そんなんで、証拠になるの?」というのが率直なところ
質問(ヒアリングまたはインタビューとも言います)と、その回答でほとんどが済んでしまっています
あまり詳しくはここでは書きませんが、一例を挙げると乱雑な机で業務をしている方に「帰宅するときは、この書類は机にしまうんですよね?」と聞き「はい、しまってます」と答えれば、「クリアデスクは、マル(○):適切に実施されている」って具合です。(ちなみに、この場合は、まず質問がNGです)

監査(審査)に来た方の技量というより、ISMSの内部監査とか審査の水準がこういうものなんだろうなぁ・・・」と、感じました。
(「そうじゃない」って、反論される方もあるかもしれませんが)

監査業務では本来、「品質管理」というものが非常に重要です。(審査業務も同様です。以下も同じ)
監査の品質を確保するためには、まず監査を実施する監査人の資質が重要です。
「監査人」と呼ばれる資格、または監査を実施できる資格のほとんどは、そのための厳格な制度・仕組みが確立されています

ISMSの場合は、(その普及のために、ある程度はやむを得なかったのでしょうか)、このあたりの仕組みも十分ではない、と感じています。(これは、前回の記事「ISMS認証って、何なの?(3)」(「ISMS審査員資格制度」について)でも明らかにしたつもりです)

そうなると、監査も審査もあてにならない(つまり、信頼を与えうるものではない)ということになりますから、認証なんて要らない、ってことになりますね。(自主的に実施、運用されるマネジメントシステムで十分である、または、それでしかない、という結論になりうる

では、この続きはまた次回。(例によって「なるはや」で・・・。それから、そろそろ問題提起だけでなく、何か建設的な意見を書かないと・・・)

| | コメント (0) | トラックバック (0)

2007年2月13日 (火)

主なセキュリティ資格リンク

NetSecurityの「これからの情報セキュリティ教育を考える 第3回 セキュリティ技術者に求められる資格」からです。

皆様のこれからの資格取得・学習のための情報としてお役立てください。
私なりのセキュリティ資格リンクは、近日中にまとめたいと思っております。

■主な情報セキュリティ資格
情報セキュリティアドミニストレータ(IPA:国家資格)
情報セキュリティ管理の現場責任者向けの資格。情報セキュリティに関する全段階での統括的な施策などを身につけられる。

テクニカルエンジニア(情報セキュリティ)試験(IPA:国家資格)
情報セキュリティシステムの開発を専門に担う高度人材の育成を目的とし、情報セキュリティシステムの開発に必要な専門的知識及び技能を問う試験。

CISSP ((ISC)2)
 (ISC)2が認定する国際的に最も権威あるセキュリティ専門家認証資格。米国を中心にセキュリティ技術者の必須資格として求められることが多い。

GIAC(SANS Institute)
情報セキュリティの分野において必要な知識やスキルについて、客観的に証明することができる資格試験。セキュリティ関連分野を多岐にわたりカバー。4年で資格が消滅するため、認定を維持することも求められる。

CSBM(SEA/J)
セキュリティ・リーダのために情報セキュリティ全般の知識を網羅した教育コース・資格。情報セキュリティの基礎が身につく。

CSPM of Technical(SEA/J)
ネットワークセキュリティのシステム構築・運用者向けに、情報セキュリティテクニカル系の幅広い知識を教育するコース・資格。

CSPM of management(SEA/J)
セキュリティ・マネジメント担当者向けに、情報セキュリティマネジメント系の知識に対応した教育・資格。

Security+ (CompTIA)
知的所有権の盗用や破壊など経済的ロスを削減するために、セキュリティ技術者の基盤(知識・スキル、業務遂行の考え方など)の構築を目的とするとした資格。

CIWセキュリティ・プロフェッショナル
セキュリティ方針の実践やセキュリティホール等の発見、またファイアウォールシステムとアタックの発見技術を使用して、その対策について学習するプログラム。

情報セキュリティ監査人- CAIS  (日本セキュリティ監査協会)
情報セキュリティの外部監査ならびに内部監査を行うための情報セキュリティ監査の知識と実施方法を身に付ける資格。

CISM (ISACA)
公認情報セキュリティマネージャー。情報セキュリティマネージャーに特化した資格とした、情報セキュリティの国際資格。

セキュアアプリケーション アナリスト / アーキテクト / プログラマ / テスティング エンジニア (シマンテック )
セキュアなアプリケーション開発に必要な、高度な知識と実践的な技術をもつ開発者の育成を目的にした資格制度。

CCSP (シスコ)
 セキュアなシスコ・ネットワークの構築に必要な高度な知識と技術の保持者であることを証明するシスコ認定のセキュリティプロフェッショナル認定資格。

MCA セキュリティ(マイクロソフト)
IT 関連セキュリティの基礎的な知識が身に付ける資格。非セキュリティ技術者も含む幅広い層が対象。

VCA/VCE (ベリサイン)
VCA(VeriSign Certified Administrator)は、ベリサイン社のデジタル証明書/PKIソリューション「ベリサイン マネージドPKI」を実装・管理するためのスキルを身につける資格。VCE(VeriSign Certified Engineer) は、 VCAより更に進んだ機能をカバーすることができる技術を取得する資格。

| | コメント (0) | トラックバック (1)

トラックバックが3日で28件?

この3連休、ひさしぶりに実家に帰省していました。
年末年始に体調を崩して帰省できなかったので、この時期になりました。

その間、このブログにはいっさいアクセスできなかったのですが、トラックバックスパムが山のように押し寄せてきてました。
その数、なんと28件
一応、フィルターもある程度かけているんですけど、それでもこれだけの数が来てました。
何かいい対策はないでしょうか。

それから、普通のトラックバックが1件もなかったのも、実はちょっと寂しかったりして・・・

| | コメント (2) | トラックバック (0)

2007年2月10日 (土)

「検索くん」してみた

「Yahoo!ブログ検索」で、どれくらいのセキュリティ関連ブログが開設されているか調べてみました。(ヒットした記事の数ではありません)

セキュリティ:1146件
情報セキュリティ:185件
・ネットワークセキュリティ:23件
・インターネットセキュリティ:19件

CISSP:10件
・情報セキュリティアドミニストレータ:34件
・テクニカルエンジニア(情報セキュリティ):25件
・CISA:5件

・ISMS:31件
・プライバシーマーク:57件

・ハッキング:49件
・ハッカー:59件

最後に
情報セキュリティプロフェッショナル:2件
このブログと先代のブログだけ。うれしいような、悲しいような・・・)

※ ちなみに赤字は、このブログがヒットしたキーワードです。

結構あるもんだなぁ~。
次は他のブログ検索やキーワードで試してみます。

| | コメント (0) | トラックバック (0)

2007年2月 9日 (金)

ISMS認証って、何なの?(3)

一部の方から「続きは、いつなんだ?」と、時々聞かれております「ISMS認証って、何なの?」の3回目です。
前回の記事から間が開いておりますので、まずは過去の記事のリンクを以下に・・・

「ISMS認証って、何なの?(1)」
「ISMS認証って、何なの?(2)」

今回は「ISMS審査員」という資格について
まず、JIPDECのHPで調べてみたらISMS審査員登録者は、3922名(2007年2月1日現在)おりました。

私もその1人です。この制度が始まった最初の頃に取りましたので、登録番号はNo.36、リストでは34番目に出てきます。
実は私の場合、昨年から更新の書類を出していませんし、維持登録料も支払っておりません。
そのため自分では「失効」と思っておりますので、資格保持者を名乗っておりません。

でもリストには載ってるんですよね。ということは、名乗っていいのかな?

(ご存知の方がほとんどでしょうが)この資格は、経験に応じて「主任審査員」「審査員」「審査員補」の3段階に分かれています。
制度上は、この資格を使って経験・キャリアを積んでいけば、上位の資格に「格上げ」が可能になっています。

私も2001年に取得し、以降ずーっと「審査員補」です。
内訳を見たところ、もっとも格が低い
「審査員補」が3168名ですから全体の80.8%を占めていました。
つまり、
取ったのはいいがこの資格を使っている人はほとんどいないということですね。(名刺に書いている程度)
この資格を持っているべき(持っていなければならない)人は、「審査」をする人だけです。

それから「資格」といっても、研修をちゃんと受けさえすれば試験に落ちることもありませんので、厳密には知識や能力が評価されているとは言えません
さらに「更新」があるといっても、特に維持活動らしきものは何もしなくても「審査員補」は維持できます

などなど考えていくと「この資格も審査する人以外に必要なの?」というのが今回の結論です
ということで、私なりの判断として昨年から「更新」をやめ、(たぶん)「失効」したということです。

このシリーズは制度を否定するためでなく、問題提起とその解決策の検討という前向きなアプローチで書いています。(繰り返しになりますが、念のため)

続きは、また。「なるはや」で・・・

| | コメント (0) | トラックバック (0)

2007年2月 8日 (木)

IPA「情報セキュリティに関する新たな脅威に対する意識調査」

昨日(2/7)に、IPAより「情報セキュリティに関する新たな脅威に対する意識調査」が公開されています。

リリース文と概要は、こちら

この調査の内容としては、
・新しいセキュリティ上の脅威に対する認識
・情報セキュリティに対する行動実態
・情報セキュリティに関する情報の収集源
・インターネットの利用状況

の4つで、結論としては、

調査の結果、パスワードを定期的に更新していない人が4割以上であり、また、セキュリティパッチを適用していない人が2割を超えるなど、個人利用者の一部には、必要な情報セキュリティ対策が未だ十分に浸透していない状況が判明しました。

とのことでした。

この調査は2回目とのことですので、前回の調査結果と比較してみるのも良いかもしれません。

| | コメント (0) | トラックバック (0)

2007年2月 7日 (水)

セキュリティ講師の少子化問題(1)

最近、厚生労働大臣の少子化問題に関わる発言が問題になっていますね。
それでというわけでもないのですが、今回は「『少子化』という問題は、情報セキュリティの人材育成にもあるのです」というお話を。

どういうことかというと、まずは情報セキュリティの教育者が不足している、といことです。さらにそれだけではなく、後進が生まれてこない、育っていない、ということなんです。
(教育者が十分に次代の教育者を育成できていない、もしくは育成できるスキルがない。教育者を教育する者は、さらに不足している
つまり、「親」(教育者を教育する者)の絶対数が少ない上に、さらに(だから)「子」も生まれないということです。
(やや強引ですけど)まさに「情報セキュリティの人材育成の少子化問題」です。

ちなみにここでの「親」にあたるものを、NISCの山口英さんは、"teacher of teachers"という表現をしていました。

この問題の原因はいろいろあるのでしょうが、最大の要因はまずは「なりたい人が少ない」次に「人によって描く『セキュリティ専門人材像』が異なる(多様化している)」ということではないか、と考えています。

まず、最初の要因「なりたい人が少ない」については、12/22の記事「NISCへのパブコメに関するディスカッションにて」に書いたような状況だということ。

次に「人によって描く『セキュリティ専門人材像』が異なる(多様化している)」については、キャリアパスが多様化していることによるものでしょう。
それに育成すべき対象が「情報セキュリティ人材」から「情報セキュリティに係る人材」へと、そのスコープが大幅に拡大しているということです。

育成対象という底辺の裾野ばかりが広がり、その上位層がいないなどという階層構造になってしまえば、もちろん「情報セキュリティに係る人材」の育成など、うまく行くはずがありません。
そしてこのような状況から、セキュリティ対策が進まないという、悪循環を生み出すことになってしまうのでは、と懸念しています。

この問題は引き続き考えていきたいと思います。
「また、このパターンか・・・(ISMSの件は、どうした?)」ということになるので、次回はいわゆる「なるはや」ということで。

| | コメント (0) | トラックバック (0)

2007年2月 6日 (火)

錆びついた知識と進まぬ筆

最近、会計監査論の書籍を読んでいます
別に会計学の世界に転進しよう、会計士や税理士を今から目指そう、ということではありません。
現在、執筆している原稿(もちろん、情報セキュリティ関連のものです)の背景的な知識の整理のために読んでいます。

かなり以前の記事「私のキャリア」で書きましたが、私はもともと商学部の出身で、このあたりのことは大学で学んだのです。
念のため、大学の履修科目を確認したら・・・
うん、あった、あった。

とてもわかりやすく書かれた本を選んだのですが、それでもなかなか頭の中で知識や理解がつながりません。
やはり、錆びついた知識が使い物にならないということを痛感しました。

とはいえ、「筆が進まぬ」といい言い訳をしても、着実に締め切りは近づいてくるわけで・・・
がんばって読んで頭の中を整理して、締め切りまでに書きます。

| | コメント (0) | トラックバック (0)

2007年2月 5日 (月)

「情報セキュリティの日」を、あくまで個人的に振り返る

去る、2月2日は「情報セキュリティの日」でしたね。

日本で第1回の「情報セキュリティの日」だったわけですが、(私が期待したほどの)大きな盛り上がりはなかったような気がします。
来年からも、この「情報セキュリティの日」は続くわけですが、今年以上の盛り上がりを期待したいと思います。

そんな中で、2月2日には「第10回情報セキュリティ政策会議」も実施されました。

そこでは、最初の情報セキュリティの日功労者表彰も行われました
(どなたが表彰されるか、まったく存知あげなかったのですが)
「『情報セキュリティの日』功労者表彰 受賞者一覧 」で、公表されています。

個人的には、日本セキュリティ監査協会(JASA)でお世話になっている、会長の土居先生が受賞されていたことがうれしいですね。

また、今回の目についたところでは「重要インフラ分野における分野横断的演習(机上演習)の実施について」があります。

来る2月7日に、第1回の机上演習が行われるようですね。
どのような結果(成果)が出るのか、個人的にかなり興味があります。

| | コメント (0) | トラックバック (0)

2007年2月 3日 (土)

あなたの手帳は1月始まり?4月始まり?

ITmediaの記事「『若者』『カラフル』がキーワード――4月始まりの手帳、各社が発売開始」からです。

皆さんはどちらですか?

私は4月始まりの手帳を使っています。(私は『若者』でもなく、『カラフル』な手帳も使っていませんけど)
どうやら、4月始まり手帳はかなり少数派のようです。
確かに置いていないお店も多いですね。買うのにちょっと一苦労します。

12月決算の会社に所属したこともあったのですが、そのときも4月始まりの手帳を使用してました。
とにかく、私は1~12月というサイクルでは、スケジュールを管理できません。
(理由を明確に言うのは難しいのですが)なんとなく、プライベートは1~12月、ビジネスは4~3月が定着してしまっていまして、その習慣がどうしても変えられません

ということで、そろそろ「来年(度)の手帳」を買わないといけないなぁ

| | コメント (0) | トラックバック (0)

2007年2月 2日 (金)

資格とキャリアの関係

とあるメルマガのコラムからです。
(転載自由、改変不可、とのことなので、そのまま載せます)

「資格とキャリアの関係」を軸に4つのタイプに分類してみました。

(1)未経験チャレンジタイプ
実務経験はないがその職種に興味があり、資格を取ることで転職のチャンスを広げようとしている。
【長所】モチベーションが高い
【短所】転職においては「資格は切り札にならない」ことを認識していない。イメージが先行しており、仕事について過大な夢を描いている
【要点】実務のチャンスをつかんでからが、本当の勝負実務と資格のギャップを乗り越えて、サラブレッド型へ


(2)無資格・実務主義タイプ
「資格は実務に役立たない」と言って資格を軽視し、取得しようとしない
【長所】実務経験を生かして、即戦力として活躍できる
【短所】会社としてのPR力や営業力に寄与できない
【要点】資格は企業・個人のブランディングに役立つという戦略的・営業的な視点を受け入れ、資格取得にも努力する

(3)資格コレクタータイプ
社内の資格取得支援制度などを利用して幅広い資格を取得している
【長所】幅広い知識があり、相乗効果を出せる。営業力の強化や独立に寄与する
【短所】相乗効果よりも取得が容易そうな資格を取ろうとする。資格を取ることが目的となり、実務への応用がされない。
【要点】上位資格や相乗効果が得られる資格を取得し、実務に生かすことを重視

(4)完ぺきサラブレッドタイプ
実務経験も資格も両方とも兼ね備えており、業務だけでなく、転職や独立にも強い


さて、あなたはどれに当たりましたか?

企業も資格を重視する傾向が再び出てきました。資格は転職の決め手にはなりませんが、アドバンテージにはなります。

なるほど、おもしろい分類方法ですね。

で、私はと申しますと・・・
とりあえず、(4)完ぺきサラブレッドタイプ、を目指しております。

| | コメント (0) | トラックバック (1)

2007年2月 1日 (木)

資格か、知識とスキルか、経験と実績か

CompTIAのコラム「企業はより優れたセキュリティスキルを求める(ComputerWeekly.comより抜粋)」からです。

このコラムの原文は、こちら。(英国で発行されています)

ここで、

「2007年の需要に合わせ、セキュリティーのプロになる準備としてベストとされる認定資格」として、
- CompTIA Security+
- Global Information Assurance Certification (GIAC) 認定資格
- Information Systems Audit and control Association (ISACA) 公認情報システム監査人 (CISA) および
 公認情報セキュリティーマネジャー (CISM)
-
(ISC)2のシステムセキュリティ認定プログラム (SSCP) とITセキュリティプロフェッショナル認定資格 (CISSP)
- Check Point, Cisco Systems, Microsoftのようなベンダー認定資格

が挙げられています。

さらに

・エントリーレベルの技術者にとっては、認定資格よりも、スキルや知識、経験がより重要になることがある
・企業は情報セキュリティーに焦点を置いたIT資格を持ち、多才性および広範なスキルセットに加え、実績のある実務経験を持つ志願者を探している
・もはや多くのIT技術者にとって技術スキルだけでは十分ではなく、ビジネスゴールに対応するために、どのように技術を使用するかを理解し、その理解を明確に表現することのできるIT人材が有力候補となる

などということも書かれています。

つまり、資格よりも、スキルや実績を伴った経験が重要である、ということですね。
私もその通りだとおもいますが、このあたりもバランスが必要と考えています。
というのも、本来的にこれらそれぞれの要素が相互依存関係だと思っていますので。

豊富な知識とスキルから積み上げられた実績と経験。
豊富な実績と経験に裏付けられた知識とスキル。
これらを客観的・相対的に認証する資格。

など、というところでしょうか。

| | コメント (0) | トラックバック (0)

« 2007年1月 | トップページ | 2007年3月 »