« 2007年4月 | トップページ | 2007年6月 »

2007年5月の記事

2007年5月31日 (木)

切れてなぁ~い?!

「ISMS審査員補サーベイランス手続きのご案内」ってのが、先週末に郵便で届きました

今年の4月からISMS審査員評価登録業務は、財団法人日本情報処理開発協会(JIPDEC)の情報マネジメントシステム推進センターから財団法人日本規格協会(JSA)のマネジメントシステム審査員評価登録センター(JRCA)に移管しています。

ところで、私は昨年度何も手続きをしていません。(こちらの記事をご参照ください)

にもかかわらず、失効していないってこと?
今回手続きをすれば、維持更新できるんでしょうか。
う~ん、できそうだな・・・(大丈夫かい、この制度)

でも、手続きしないけどね。(必要な方は、維持・更新してくださいね)

| | コメント (0) | トラックバック (0)

2007年5月30日 (水)

6~7月の主要セキュリティイベント

久しぶりにセキュリティ関連イベント情報です。
私が参加予定になっているものを中心にしていますので、網羅はできていません。(あしからず・・・)

ちなみにイベント情報が途切れていた4~5月に参加してきたのは、以下の通りです。

RSAカンファレンス2007(2007年4月26日~27日)

第5回 情報セキュリティEXPO(2007年5月16日~18日)



そして、6~7月に参加する予定なのは、以下のイベントです。

JNSA2006年度ワーキンググループ活動報告会(2007年6月6日)
 ※ 無料です。定員がありますので、申し込みはお早めに。

東京大学情報セキュリティコミュニティ 第4回情報セキュリティシンポジウム(2007年6月7日)
 ※ 会員以外は有料です。(CISSPのCPE対象)

Interop Tokyo 2007(2007年6月11日~15日)
 ※ 展示会は無料。カンファレンスは有料。(カンファレンスは、CISSPのCPE対象)

第2回 オフィスセキュリティEXPO(2007年7月4日~6日)
※ 無料です。「物理セキュリティ」のスキル向上には、とても良いイベントです。

SANS Future Vision 2007 Tokyo(2007年7月17日~18日)
※ 無料です。(CISSPのCPE対象、のはず・・・)


会場で私を見かけたら、気軽にお声掛けてくださいね。

| | コメント (0) | トラックバック (2)

2007年5月29日 (火)

「ビジネス・エンジニア」とは

5/28の日経ITproの記事「実践!ITマネジメント」「第5回 戦略とITを結ぶ 人材の育成が急務企業の将来は「ビジネス・エンジニア」にかかる」からです。

ところで「ビジネス・エンジニア」とは
「変革の時代を乗り切るために,企業がぜひとも育成しなければならないのは,経営トップの戦略を現場の業務プロセスと情報システムに展開できる人材」

と、この記事にはありました。

これはまざに、CIOやCISO、それからそれを補佐する人材像を表しています。
「私は技術系」とか「私はマネジメント系」とか、意識的に自分の範囲を狭めるような、みんなでそんなことばかり言ってちゃダメなんですよね。

それから、この記事には以下のような注釈がありました。

初出:日経コンピュータ 2000年3月13日号 188ページより
本記事は日経コンピュータの連載をほぼそのまま再掲したものです。初出から数年が経過しており現在とは状況が異なりますが、この記事で焦点を当てたITマネジメントの本質は今でも変わりません。

「初出から7年、今でも通用する内容というのはすばらしい」と思いつつ、「7年も前からこんな記事があったのに、ずっと浸透してなかったんだね・・・」とも思いました。

| | コメント (0) | トラックバック (1)

2007年5月28日 (月)

JNSA【速報版】2006年度個人情報漏えいインシデント調査結果、公開

5/24に、日本ネットワークセキュリティ協会(JNSA)より、「【速報版】2006年度個人情報漏えいインシデント調査結果」 が公開されています。

今回もなかなか興味深い結果になっていますね。
この資料は、毎年いろんなところで引用されていますので、ご存知の方も多いかも。

個人的には、「個人情報」といえば「漏えい」、というようなパターンにそろそろ異論を唱えたいな、と考えております。
だって、機密性ばかりが情報セキュリティ対策の対象ではないからです。
いうまでもなく、可用性、完全性なども重要なんですけど、そういう観点を完全に失っている気がします。

個人情報の可用性、完全性に関わる事故や被害なんて、報道もされなければ(対策する側も)興味もないのかな。
でもそういうところから変えないといけないのでしょうね。

| | コメント (0) | トラックバック (0)

2007年5月26日 (土)

プロフ、始めてみた

プロフ、始めてみました。右のサイドバーについている”about me”ですね。

実はプロフは、わかっているようでわかってないのです。

どなることやら・・・

このブログ読まれている方で、プロフ”about me”始めた方はぜひメッセージください。(この記事をきっかけに始めてみてもいかがでしょう?)

| | コメント (0) | トラックバック (0)

2007年5月25日 (金)

内閣府「個人情報保護に関する取りまとめ(素案)」

今週は、個人情報保護および、その法律についての議論が活発化していますね。

内閣府からは、以下のような資料が5/22に公開されています。

●内閣府国民生活審議会 個人情報保護部会資料
「個人情報保護部会における論議の概要」
「個人情報保護に関する取りまとめ(素案)」


「いわゆる過剰反応」について、なんて内容もあり興味深いのですが、どうあるべきかという議論が(「個人情報保護」というくらいだから当たり前といえば当たり前ですけど)「保護」の観点ばかりのように読み取れます。
今後の日本における「個人情報の活用のあり方」という観点(特にIT依存度が高まるという中長期的観点)を持ち、その上で「個人情報保護」のあり方、そういうバランスというような考え方がかけているような・・・(そういう記述はありますが)
情報セキュリティ専門家もどきの私としては、そういうアプローチで見ております。

とりあえず、私としては議論の活発化はいいことなのですが、議論が拡散し論点整理もままならない、という状況に陥らないことを祈っております。

| | コメント (0) | トラックバック (0)

2007年5月24日 (木)

IPA「最新の情報セキュリティ対策に関する文書」

5月23日(水)、IPAのウェブサイトで最新の技術動向や脅威の動向を踏まえた企業の情報システムのセキュリティ対策などについての資料が3点公開されました。

企業ユーザーが役立ちそうな資料ですが、かなりのボリュームです。
ただし、ユーザー側で読み込んで理解して、さらに使いこなす(自分の組織向けに一般化・具体化する)のは大変そう・・・
だから、教育やコンサルタントが必要なのかな。ということは、この資料は、教育やコンサルティングをする方にも役立ちそう・・・

【小規模企業のための情報セキュリティ対策】
 家庭・SOHO、小規模の企業・組織で、インターネットに接続してコンピュータを利用されているユーザ、そして小規模のネットワークを構築している管理者向けに、セキュリティ対策のポイントを解説しています。また、セキュリティ対策のポイントごとに、具体的な設定方法も記載し、コンピュータに関する知識があまり詳しくない方でも実践できるように配慮しています。

-目次-
第1章 セキュリティの対策の重要性と現状
第2章 一般ユーザ向け コンピュータのセキュリティ対策
第3章 ネットワーク管理者向け コンピュータのセキュリティ対策
第4章 ネットワーク機器の設定方法
第5章 セキュリティ被害を受けた場合の対策
第6章 FAQ
第7章 セキュリティ対策のまとめ

【大企業・中堅企業情報システムのセキュリティ対策 ~脅威と対策~】
大企業及び中堅企業のシステム管理者が、情報システムおよびネットワークを構築・運用管理する際に行う情報セキュリティ対策の参考資料としてまとめました。情報セキュリティ対策を包括的に捉えることができるよう活用シーンごとに分け、それぞれについて動向と脅威そして対策を整理することで、脅威の手口や技術的な対策との関係が分かるようにしました。

-目次-
分冊0 分冊1
分冊1 イントラネットを利用するための運用上のセキュリティ対策
分冊2 インターネット利用環境のための運用上のセキュリティ対策
分冊3 企業内情報を企業外から利用するシステムの運用上のセキュリティ対策
分冊4 無線LAN利用環境のための運用上のセキュリティ対策
分冊5 電子メールシステムを利用するための運用上のセキュリティ対策
分冊6 公開Webサイトの運用上のセキュリティ対策

【電子メールのセキュリティ “電子メールの安全性を高める技術の利用法”】
 一般ユーザ、そして企業内の利用者をバックアップする立場にあるネットワークの管理者向けに、電子メールのセキュリティ対策として、暗号技術の利用方法にポイントを置いて解説しています。具体的には、公開鍵証明書の確認ポイントや入手・管理方法の説明、S/MIME対応の電子メールソフトの設定・利用方法、PKI に対応したセキュリティトークンを電子メールソフトで利用するための手順などを紹介しています

-目次-
1.電子メールを取り巻く環境
2.不正とその検出方法
3.セキュリティトークン
4.電子メールソフトの設定
5.FAQ
6.まとめ
7.資料

| | コメント (0) | トラックバック (0)

2007年5月23日 (水)

セキュリティ名言・その2

前回から、ちょっと間が空いてしまいました。
(気まぐれでやってる不定期シリーズ、ということでご容赦を・・・)

「「わざわざそこまでやる奴はいないだろう」ってソフト開発者が言うたびに、わざわざそこまでやる奴がフィンランドあたりに現れるんだ」
「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」

フィンランドかどうかわかりませんが、思わぬところに敵(攻撃者)がいて、そいつが脆弱性を見つけて、「わざわざ、そこまでは・・・」という方法で攻撃をしてくるんだよ、ってことですね。
それから、セキュリティ対策をする側には、攻撃をする側が見えていない、ってことでもあるかな。
だからセキュリティ対策が十分かつ適切にできなかったり、セキュリティ対策をしなかったり、ってところでしょうか。

| | コメント (0) | トラックバック (0)

2007年5月22日 (火)

開店、1周年

本日5月22日で、このブログの開店(開設)1周年となりました。(ブログ自体は、始めて1年3ヶ月となりました)
1年で約45,000のアクセスになりました。

このニッチなテーマで、これだけのアクセスがあるとは正直なところ、予想しませんでした。
今後もテーマを変えず、今の調子とペースで書き続けていきたいと思います。

みなさま、今後のよろしくお願いいたします。

ということで、また明日!

| | コメント (0) | トラックバック (0)

2007年5月21日 (月)

「高度IT人材の育成をめざして(案)」、パブコメ入れました

4/27の記事「情報処理技術者試験制度とITSSの改革、最終報告案」で書いた「高度IT人材の育成をめざして(案)」に、某団体を通してコメントを提出しました。

読めば読むほど、いろんなコメントをしたくなりました。(とにかく、私の考えとは多くの部分で根本から違う)
それで、それなりにたくさん書いたのですが、主には以下のようなことをコメントしました。

・示されている人材像が、日本のIT及び情報セキュリティ政策に関する文書「人材育成・資格制度体系化専門委員会報告書」(内閣官房情報セキュリティ政策会議)、「グローバル情報セキュリティ戦略」(経済産業省)、「u-Japan政策パッケージ」(総務省)、等に示されている内容や施策と合っていない。「企業内人材育成」の視点に留まり、これらの文書に示された「高度IT人材」のイメージやレベル感が、政策や戦略とそこに示された、これからのあるべき人材像と大きく乖離している

資格の維持更新制度に関する方向性が、ほとんど示されていない。習得および評価した知識や能力が、その時点でのものでしかないといいことになり、その後も同レベルの知識や能力があることを確認・評価することができない。

さて、どんなコメントが集まるのでしょうか。
パブコメの結果が公開されたあとに、またこの件は書きたいと思います。

| | コメント (0) | トラックバック (2)

2007年5月19日 (土)

情報セキュリティ資格「CISSP」と新資格「CISSP-行政情報セキュリティ」とは

このブログで取り上げるのが、遅くなってしまいましたが、アスキービジネスの
「キャリアアップ!スキルアップ! 情報セキュリティ資格「CISSP」と新資格「CISSP-行政情報セキュリティ」とは」という記事で、(ISC)2 Japanの衣川代表のインタビューが掲載されています。

「CISSP」と「CISSP-行政情報セキュリティ(ISSJP)」の概要がわかりやすく説明されていますので、これからの受験を考えられている方はぜひ読んでみてください

| | コメント (0) | トラックバック (0)

2007年5月18日 (金)

「IT投資意識、日本は最下位」

5/17の日経ITproの記事「インド100点、日本最下位13点-ガートナーのIT投資マインド各国調査」 からです。

この記事によると「世界21カ国の企業を対象にIT投資状況について調査した結果、調査対象国中、最もIT投資意識が高いのはインド、日本は最下位」ということだそうで。ちなみに調査は、IT投資に関する7項目――2007年度のIT投資増加率、IT予算の年商に占める比率、CIOを設置している比率、経営陣がITの重要性を十分理解している比率、競争優位の獲得を目的としたIT投資、業務プロセスの改善を目的としたIT投資、新規技術への投資の積極性、とのこと。

NISCの文書などにもある通り、日本の情報セキュリティ政策として「情報セキュリティ先進国」を目指しているのですが「IT先進国」ではない国は「情報セキュリティ先進国」でないどころか、「経済先進国」でもないわけです。
このデータをどう見るかにもよりますが、重大な問題提起としてこの調査は見ておきたいと個人的には考えております・・・

| | コメント (0) | トラックバック (0)

2007年5月17日 (木)

「情報セキュリティ7つの誤解」

NRAのメルマガ(5/15)「啓・警・契」からです。
今回は「情報セキュリティ7つの誤解」という特集です。

この7つの誤解では、私も思い当たる事例がいくつもありますね。
それから、「誤解」はまだ他にもありそう・・・

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
「情報セキュリティ いまだによく聞く7つの誤解」
   ~あなたの組織は大丈夫?~

【一】我が部内(うち)には、重要な情報などない
    ~うちは大丈夫、と左うちわ?

【二】簡単・便利・確実、生体認証は万全だ
    ~生体情報の厳格な管理運用体制の確立が急務

【三】どうせセキュリティ対策にはキリがないから…
    ~投げやりな姿勢がセキュリティ対策の形骸化を招く

【四】情報システム部門がしっかりやっていればOKだ
    ~システム頼みは神頼みと同じ!?

【五】委託しているから安心だ
    ~委託(アウトソース)先への白紙委任はアウト

【六】三種の神器(ウイルス対策ソフト、FW、パッチ)さえ入れていれば大丈夫
    ~対策さえすれば、現状把握など必要ない?

【七】セキュリティポリシーを作ったから心配ない
    ~策定はするが運用と見直しがミナオシなべて弱いって言ウンヨウ

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

詳細は、こちら

| | コメント (0) | トラックバック (0)

2007年5月16日 (水)

出版記念パーティー

本日(正確には昨日)、「CISSP-行政情報セキュリティ認定試験公式ガイドブック」の出版記念パーティーがありました。

(実物を写真で貼っておきます)

書籍に限らずですが、何か成果が出るということは多くの方々の英知と努力が必要ということです。
今回もそれを改めて感じました。
この書籍に関わられた皆様、本当にお疲れ様でした。(それから「完成」してDsc00576 、とにかくホッとした)

ちなみに、書店での発売は5/23です。
それから、明日からの「情報セキュリティEXPO」では先行発売をするようです。

ぜひ手にとってみてください。
1人でも多くの方のお役に立つ書籍であれば、と執筆に関わったものとして願ってやみません。

ということで、私は次の書籍の執筆がんばります・・・
(こちらは、8~9月発売予定・・・)

| | コメント (0) | トラックバック (0)

2007年5月15日 (火)

講師スキルの調査研究、はじめました

某NPOで「セキュリティ講師のスキル」の調査研究をはじめました。
セキュリティ講師のスキルの検討の枠組みとして、「インストラクション」「教材作成」「カリキュラム作成(インストラクショナルデザイン)」「その他」の4つに分類してみました。
あとは、その前提として「ヒューマンコンピテンシー」「教育理論」があり、スキルのほかに「ノウハウ・ドウハウ・ナレッジ」というものがある、というのが今回私の設定した枠組みの内容です。

この中で特に個人的に興味のあるのは、スキルの「その他」と「ノウハウ・ドウハウ・ナレッジ」です。
これ以外は既に調査研究が進んでいると思っていますし、講師の力量はこの2つでかなり差がつくと思っているからです。

調査研究の成果は、可能であれば今後ここでもある程度書こうと思います。

| | コメント (0) | トラックバック (0)

2007年5月14日 (月)

COBIT最新版、公開

ISACA/ITGIより、ITガバナンスのフレームワークのスタンダードである「COBIT」の最新版となる「4.1」が公開されました
「(昨年公表した)COBIT4.0を活用してITガバナンスを確立した企業の経験などを反映し、より使いやすく実践的なものに微調整した」(米ITGI)とのこと。
さらにCOBITを活用する、以下の3つの文書が公開されています。
(1)COBIT Control Practice:IT統制のコントロールの整備方法の解説文書
(2)IT Governance Implementation Guide:ITガバナンスを確立するための方法の解説文書
(3)IT Assuarance Guide:COBITを利用したIT保証活動の解説文書
公開は英語版です。(こちらから)
はやく日本語に翻訳されないかな・・・

| | コメント (0) | トラックバック (0)

2007年5月13日 (日)

組込みシステムの脅威と対策

5/10にIPAのHPで「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書」が公開されています。

「組込みシステムの情報セキュリティ対策を推進するため、7分野(RFID 、ICカード、情報家電、携帯電話、金融端末(ATM)、自動車搭載機器カーナビ、自動車搭載機器ETC)の組込みシステムを対象として、製品のライフサイクルを考慮したセキュリティ技術マップを策定」というものなのですが、非常に興味深いですね。

これからの「システムの情報セキュリティ」とは、いわゆる「情報システムとその構成要素(インフラ)」だけではないということですね。
上記の7分野とPCの差がなくなってく来ているのですから。
情報処理機能を持っているものは同等である、と考えていかなければなりませんね・・・

| | コメント (0) | トラックバック (0)

2007年5月12日 (土)

「グローバル情報セキュリティ戦略」公表

経済産業省のニュースリリース「産業構造審議会情報セキュリティ基本問題委員会報告書「グローバル情報セキュリティ戦略」の公表について」

「グローバル情報セキュリティ戦略」がパブコメ募集とその反映を経て、正式リリースされましたね。
予想よりもパブコメによって追加修正されていました。

「グローバル情報セキュリティ戦略」(概要)

「グローバル情報セキュリティ戦略」(報告書)

「グローバル情報セキュリティ戦略」ということで、いよいよ日本でもCISSPの時代到来かな。(だといいな・・・)

| | コメント (0) | トラックバック (0)

2007年5月11日 (金)

「ナレッジワーカー」は「プロフェッショナル」か

昨日の記事に書いた書籍「プロフェッショナル進化論」「ナレッジワーカー」は「プロフェッショナル」ではない、とありました。

以前から、私の主張として「知識を持っている人」「知識を使える人」「持っている知識で成果を出せる人」は違う、というものがあります。
これに近い気がしますが、この書では「ナレッジワーカー」は、「ナレッジを使って仕事ができるが」「求められる人材にはなれる」とあり、「だが広く活躍できる人材にはなれない」とあります。つまり「プロフェッショナル」は「広く活躍できる人材」であるということですね。
では「知識を持っている人」は、せいぜい「ナレッジベース」とか「データベース」ってことでしょうか・・・

「プロフェッショナル」は、同じ専門家の中で認められてなれるもので「知識を使える人」「持っている知識で成果を出せる人」まででは「ナレッジワーカー」なんだな、というのが今回の私の結論です。

| | コメント (0) | トラックバック (0)

2007年5月10日 (木)

「プロフェッショナル進化論」

現在読んでいる本です。
タイトルといい、著者といい、この本が出ることを知って以来、ずっと気になってました。

「プロフェッショナル進化論 「個人シンクタンク」の時代が始まる (新書)」田坂 広志 (著)


●出版社/著者からの内容紹介
ビジネスパーソンが、自身の「腕を磨く」だけでは活躍できない時代が始まった。ウェブ2.0革命により、世の中のすべてが驚くべき速さで変化し続けているからだ。
では、そんな時代に活躍し続けるには、どうしたらいいのであろうか? その答えこそが、本書のテーマである「個人シンクタンク」への進化である。
本書はまず、「個人シンクタンクとは何か?」を説き、そしてプロフェッショナルが「個人シンクタンク」になるために必要な「ビジョン力」「コンセプト力」「メッセージ力」といった「7つのシンクタンク力」を紹介する。
そして、進化の追い風となるネット革命とウェブ2.0革命の「6つの革命」の本質を解き明かし、自分だけのメディアを持つための「パーソナル・メディアの戦略」や、人々を集めてムーブメントを創り出すための「ムーブメント・プロジェクトの戦略」など、具体的な「進化のための6つの戦略」を語る。

他に読むべき資料・本や取り組むべきタスクがあるので、なるべく最近は買わないようにしていたのですが・・・

昨日、外出中に通りかかった書店の店頭に積んであったのを「どんなこと書いてあるのか、目次だけ確認しよう」ふと手にとってしまいました。
それで、結局買っちゃったわけです。

買ったからには読みますよ、もちろん。(本棚の肥やしにしても仕方ないし・・・)
それにしても、溜まっている読むべき資料・本や取り組むべきタスクは、どうする?
どうすんのよ、オレ?
(この本を読んだ可能は、いづれ書きます)

| | コメント (0) | トラックバック (0)

2007年5月 9日 (水)

「ITSMSユーザーズガイド」

昨日に引き続き、今日もJIPDECねたです。

ちょっと前ですが、4/26に、「ITSMSユーザーズガイド」が公開されています。
(意外と知られていないので、この機会に書いておきます)

ITSMS(言いづらい・・・)とは、Information Technology Service Management Systemです。(ITILと言ったほうが、わかりやすいでしょうね)
ITSMSは認証制度になっており、4/20よりパイロット運用から本格運用に切り替わっています。

「効果的かつ効率的ITサービス実施のためのフレームワーク」というのがこのITSMSの定義になっているのですが、ITサービス事業者のためのフレームワークと杓子定規に見ないほうが良さそうです。
情報システム運用、セキュリティ運用のためのフレームワークとしても、とても参考になります。
(特に、インシデント管理、構成管理、変更管理、サービスレベル管理あたり)

情報セキュリティプロフェッショナルを目指す方は、ぜひ一度お目通しを。

| | コメント (0) | トラックバック (1)

2007年5月 8日 (火)

Pマーク、現地確認調査を実施

JIPDECの≪Pマーク≫「大日本印刷(株)に対し現地確認調査を実施-観察期間(6ケ月)内の調査、確認、指導を継続実施-からです。

これによると「調査員を派遣し、改善結果報告の確認のために調査を実施しました」とあり、「その結果、報告内容は事実と相違ないこと、改善内容が要求事項に対して適切・有効であることを確認しましたので、・・・」とあります。

どうやら、監査法人による監査(これも改善の要求事項の1つ)を受けたというので、調査員はその報告書を確認したと思われるのですが・・・

とにかく、すっきりしませんね。
対策を実施する主体の大日本印刷の実施内容ではなく、この調査と確認の方法です。

「事実と相違ない」「適切・有効である」とは、何(基準、方法)によって確認できたのでしょう。
それらが確認できる調査員とは、どんなスキルを持った方なの?
改善策の策定から実施まで、こんな短い期間ですからねぇ・・・

また、この制度の疑問が1つ増えました

| | コメント (0) | トラックバック (0)

2007年5月 7日 (月)

「自己点検・検査」の信頼性

「ゴールデンウィーク中はなるべく仕事はしないように、考えないように」と思っていたのですが、結局仕事をしています。
それから、かのジェットコースターの死亡事故では、セキュリティの専門家のはしくれとしていろいろと考えさせられました。

まずは「安全対策」が単なるコストとしてしか捉えられておらず、義務的範囲以上のことはされていないということですね。(「しゃあない、やっとくか」という範囲)
もちろん、「企業価値を高めるための投資」という考え方は全くないようで。
(これは、情報セキュリティでも多いことですけど)

それから法制度の不備も明らかになりました。遊戯施設の乗り物は、すべて「建築物」扱いなのだそうです。
時速100km超、急加速急回転をする、通常の生活で利用している乗り物より危険なものなのにです。

(以下、毎日新聞より)
 遊戯施設には「定期検査報告制度」がある。所有者は定期的に検査し、結果を自治体に報告することが義務付けられ、違反すれば50万円以下の罰金。建築基準法施行規則によれば、定期検査報告の間隔は「おおむね6カ月から1年」とされ、実際は自治体の判断に任されている
 問題はここだ。03年にジェットコースター事故が起きた「ナガシマスパーランド」(三重県桑名市)の担当者は「月例点検や日々の点検は各遊園地の任意」と話す。同ランドは、目視と打音による点検を毎朝行い、事故後はすべてを二重チェックにしたというが、別の施設からは「どこの施設も厳重な点検をしているかといえば疑問」という声もある。つまり、法で定められた条件をいったんクリアし、一度建築確認が下りてしまえば、その後の安全管理の多くは所有者の裁量に任されているといえる。

「点検・検査をしている」といっても遊戯施設は、すべて「自己点検・検査」なのですね。
しかも報告は自治体ごとに判断されていると・・・
さらに「安全管理の多くは所有者の裁量に任されている」とは。(つまり、乗せる側の「自由裁量」ということで)

点検や検査が、「自己」で完結してしまう仕組みでは、信頼に耐え得るものではありえません。
(これも、情報セキュリティでもいっしょですけど)
安全保障も、リスク低減に関わる「保証」も、その基準も何もないものだということがわかりました。

この問題に関わる今後の動向は情報セキュリティ専門家としても注目したいと思っております。

最後にこの事故でなくなられた方のご冥福と、ケガをされた皆様の一日も早い回復を心よりお祈りいたします。

| | コメント (0) | トラックバック (0)

2007年5月 3日 (木)

GWなのに・・・

世の中ゴールデンウィークの連休真っ只中ですが、私は昨日、一昨日と出社しました。連休の合間だから、ゆっくりと仕事をしているのかというとそうではありません。 先週今週と、とにかく仕事が溜まりに溜まって、いくつもの締め切りが迫りマルチタスクで片付けております。

楽しい宴会のお誘いもお断りし(涙)、原稿執筆や資料作成に勤しんでおります。

ということで、仕事の消化と家庭サービスのため、明日からブログは5/7まで休業します。(たぶん・・・)

みなさま、良い連休を!

| | コメント (0) | トラックバック (0)

2007年5月 1日 (火)

攻撃者の採算性

ITmediaの記事「DoS脅迫は儲からない?過去半年で攻撃急減」からです。

いまだに「攻撃者のほとんどは愉快犯」などとおっしゃってる方を見かけますが、そんな人はほとんどいません。攻撃者だってビジネスとしてやっているのです。

この記事によると、DoS脅迫は自らが使用するボットネットそのものを危険にさらす(特定されてしまう)にも関わらず、脅迫する相手が応じないことが多く実入りも悪いビジネスとのこと。つまり攻撃する側にとって、採算が取れない(割に合わない)わけですね。このように攻撃する側の採算を取れなくする(作業要因やコストを上げる)というのも情報セキュリティ対策では重要な考え方です。

ところで、DoS攻撃ビジネスから撤退して、そのビジネスに行ったのでしょうか。
この記事によると「SPAM」だそうです。(やはりね!)
攻撃側からするとリスクやコストが低く実入りが多い、つまり採算性が高いわけですね。
ということで、SPAMはますます増えそうです。

| | コメント (0) | トラックバック (1)

« 2007年4月 | トップページ | 2007年6月 »