« 2007年8月 | トップページ | 2007年10月 »

2007年9月の記事

2007年9月28日 (金)

改善状況の最終確認調査結果

JIPDECのHP「大日本印刷㈱に対し改善状況の最終確認調査を実施 -観察期間(6か月)を終了-」からです。

という内容を4名体制で1日だけで、調査できるのか・・・
どういう調査(検査?、監査?)なんだろう。

「リスク分析に基づいて必要な対応策を展開していることを運用記録から確認することができました」ということ。

とにかく「これで信頼を与えうる」という判断なんでしょうか。
一応「監査人」の肩書きを持つものとしては、理解できませぬ。

調査、検査、監査などといってもその言葉からだけでは、どのような内容(項目、技法)などはわかりませんね。

| | コメント (0) | トラックバック (0)

2007年9月26日 (水)

全社員の自宅PCに対策ツール導入

日経ITproの記事「NTT東の元社員が顧客情報を3万件流出、全社員の自宅PCに対策ツール導入へ」からです。

Winny絡みの情報漏えいにおける、今後の取り組み・再発防止なのですが

NTT東はグループ全社員への教育を再徹底した上で、(1)社内パソコンにおける外部記録装置の接続制限、(2)社内パソコンにおける機密情報の流出防止対策ソフトの導入、(3)自宅パソコンにファイル交換ソフトの起動阻止ツールの導入、(4)自宅パソコンに会社情報の検査・削除ツールの導入、といった対策を講じる。

とのこと。

(3)と(4)は、どうなんでしょうね。
効果はあるの?、ここまですべきなの?

私個人の見解としては、「・・・・・」です。
(とにかく、いい評価はできませぬ)

| | コメント (0) | トラックバック (0)

2007年9月24日 (月)

無料体験セミナー、CISSPに興味ありという方に

(ISC)2のHPで案内がされています。

・CISSP体験セミナー開催のお知らせ
(ISC)2認定講師によるセミナーを実際に体験していただき、資格取得のためのポイントやメリットについて詳しくお伝えするセミナーが、 3日間連続で開催されます。参加費用は無料です。CISSPに興味のある方は、ぜひご参加ください。

ということで、ご興味のある方は気軽に参加し、体験してみてください。
質疑応答の時間もあるようですので、ご不明な点は聞いてみてください。
ちなみに、この講師は3日とも私です・・・

| | コメント (0) | トラックバック (0)

2007年9月21日 (金)

「情報処理技術者試験新制度案」その5・一生ものの資格?!

「情報処理技術者って、一生ものですからね!」
いままで「情報処理技術者資格の最大のメリットって、何だと思います?」という質問をしたときに返ってきた回答です。
たぶん、これはTOP3に入りますね。(集計は、取ってないけど・・・)
※ 私が情報処理技術者資格ホルダーではないので、ホルダーにそのメリットを聞いてみたのです。

「じゃぁ、他の2つは何ですか」って?

私の経験と記憶からすると、
・国家資格(そう呼んでいいのか?という疑問が個人的にあるが)だから
・報奨金などの一時金があるから

ですね。

このシリーズのその3で書いた「取らなきゃ良かった」って方の中でも何人かの方が「一生ものだったはずなのに・・・」と、コメントされてました

情報セキュリティ、情報通信分野(だけではないけど)のような、技術や環境変化の激しい分野で、このような考え方が定着してしまっていたということでもあるわけです。

技術の陳腐化が早いのなら、スキルの陳腐化も早いわけです。
ということで「維持更新制」は、やはり必要です。

| | コメント (0) | トラックバック (0)

2007年9月20日 (木)

「デジタル・フォレンジック・コミュニティ2007 in TOKYO」

NPOデジタル・フォレンジック研究会のHPで、参加申し込みの受付が開始されています。

「デジタル・フォレンジック・コミュニティ2007 in TOKYO」
開催日:2007年12月17日(月)~18日(火)
主  題:「リーガルテクノロジーを見据えたフォレンジック」
副  題:「IT社会における訴訟支援・証拠開示支援」
会  場:「ホテル グランドヒル市ヶ谷」(東京都新宿区市ヶ谷)
参加費:デジタル・フォレンジック研究会会員 ¥10,000-
     一般参加 ¥15,000-
     学生(社会人を除く) ¥5,000-

昨年は参加できたのですが、今年は参加できるかどうかわかりません。
(今のところ、参加できそうにありません)
いくつか聞いてみたいセッションがあるのですが…

| | コメント (0) | トラックバック (0)

2007年9月19日 (水)

「情報処理技術者試験新制度案」その4・スキルスタンダードを考える

今回の改正では、3つあったスキルスタンダード(ITSS、UTSS、ETSS)を1つにまとめるということになっています
そこで、「ユーザー向け資格」(初級シスアド、上級シスアド、セキュアド)というものがなくなるということになっていうわけですね。

実際にSIやベンダーからユーザー企業へ移籍する方も多くなっていますので、これはこれでいい考え方なのかもしれません。

ただ、ここで気になるのが「スキルスタンダード」という考え方自体のこと。
キャリアが多様化しているのですから、スキルも多様化しているはずです
この「スキルスタンダード」がベースライン的なもので、そのような多様化に対応しうるものであるならば、その意味はあると思います。
ですが、この「スキルスタンダード」は、そのあたりが考慮されているように見えません。
またスキルは段階的に示されていて、しかも上位のレベルは達成が困難といわざるを得ない内容(成熟度モデルなら「要求特質」といいますが)で、結果的にほとんどの人が中央(レベル3~4)に位置するものになってしまっています。
(ここをベースラインにすれば良いのかも…)

そうなると、結局は同じようなレベルの同じような人を育成するものにしかならない気がします。だったら段階的に示すのは、スキルではなくキャリアパス(モデル程度でしょうが)や人材像でよいのではないかと、個人的には考えております。

| | コメント (4) | トラックバック (0)

2007年9月18日 (火)

「失敗学」から学ぶ情報セキュリティ

先週、「失敗学のすすめ」でお馴染みの畑村洋太郎先生の講演を拝聴しました

そこであったスライドに

・マニュアル化の弊害 → 管理の形骸化 → 想定外には対応できなくなる

・失敗を通じてのみ真の科学的理解(観察する→要素を抽出する→要素を構造化する)が得られる

というものがありました。

これらは、情報セキュリティでも当てはまる考え方ですね。
(前者は情報セキュリティマネジメント、後者はインシデントレスポンスで)

ここでの「失敗」を「インシデント」とか「ヒューマンエラー」と読みかえれば、この「失敗学のすすめ」も情報セキュリティの学習に使えるかもしれません
近いうち、読んでみようかな…

| | コメント (0) | トラックバック (0)

2007年9月14日 (金)

「情報処理技術者試験新制度案」その3・取らなきゃ良かった…

諸事情ありまして、このところ更新のペースが落ちています。
しばらくはこのペースになりますが、更新はしていきますので、何卒ご承知おきください。

さて、「情報処理技術者試験新制度案」の続きです。
今日は、その3ということで(私がパブコメにも書いた)「維持更新制」について(Part1、ってことになりそうです)です。

この話をしていると、時々出るコメントとして「(SUやSVを)取らなきゃ良かった」「取らなくて良かった」というのがあります。
つまり「なくなっちゃう資格なんですよね」ということです。「取ったばかりで、いきなり過去のものになるなんて…」と言っている方もいらしゃいました。
つまり、この制度は「下位互換」がありません。テクニカルエンジニア(情報セキュリティ)を取った人も、情報セキュリティ青d身に巣トレータを取った人も、情報セキュリティプロフェッショナル(仮称)資格が欲しければ、受験しなおしです。

これについては「維持更新制」も関係していますね。
「維持更新制」がないから問題になるのか、「維持更新制」がないからこんな制度改正ができるのか…
どちらにせよ、「維持更新制」がない限り、この問題と不安はいつまでもついていきます

「取らなきゃ良かった」「取らなくて良かった」というコメントが方々ででるような制度は成功とはいえないはずです。
制度改正の目的に「受験者離れに歯止めをかける」というものがあると聞いていますが、逆効果を生みかねない(むしろ、そっちのほうが大きい?!)と思います。

続きは、また次回(以降)。

| | コメント (0) | トラックバック (0)

2007年9月12日 (水)

「情報処理技術者試験新制度案」その2・何のための人材像?

「情報処理技術者試験新制度案」の続きです。
今日は、その2ということで(私がパブコメにも書いた)「各府省庁(NISC、経済産業省、総務省など)が示している育成が必要とされる人材像との整合」についてです。

この報告書案で書かれているスキルや人材像が、日本国の政策や戦略と合っていないのです
内閣官房情報セキュリティセンター(NISC)では「人材育成・資格制度体系化専門委員会報告書」で情報セキュリティに係る人材像を示していますし、経済産業省では「グローバル情報セキュリティ戦略」で、情報セキュリティ人材像をしめしています。
そして、内閣官房IT戦略本部「IT新改革戦略」では、IT人材像を示しています。
さらに、総務省では「u-Japan政策」でICT人材像を示しています。

つまり、これらと「情報処理技術者試験新制度案」での人材像や要求されるスキルに乖離があるわけです。
政策や戦略を推進や実行できる人材(すべての人材がそうである必要はありませんが)が育たないような制度設計(少なくとも私にはそうとしか見えない)で、いったいこの先どうするのでしょうか。
そうなると、この制度いくら人材を育成しても、ICT先進国にも情報セキュリティ先進国にもなれないことになります。
ICT先進国にも情報セキュリティ先進国にもなれない国は、将来も経済先進国であり続けられるとは思えません。

ですから「情報処理技術者試験制度を改革する」ことが、目標や目的であってはなりません。あるべき目標や目的はそれではないはずです。
この一番重要な課題が、置き去りにされています。

続きは、また次回(以降)。

| | コメント (0) | トラックバック (0)

2007年9月11日 (火)

「情報処理技術者試験新制度案」その1・パブコメはどこに?

「情報処理技術者試験新制度案」についての続きです。
たぶん、何度かに分けて私の意見を書くことになります。
今日は、その1ということで。

このブログの4/26の記事「情報処理技術者試験制度とITSSの改革、最終報告案」で、「産業構造審議会情報経済分科会情報サービス・ソフトウェア小人材育成ワーキンググループ報告書」「課題の積み残しが多い」と書きました。

この時点では、「案」でパブコメを募集し、それを反映し7/20に報告書として公開されました。
私も某団体を通して上記の「課題の積み残し」も含めたコメントを入れたのですが、それはまったく反映されいないようです。(その理由も発表がないので、よくわからない)
というより、「案」から「報告書」への変更点(つまりパブコメの反映)はほとんど見当たらず。
(もちろん、コメント入れたのは、私だけではないはずです)

今回の「情報処理技術者試験新制度案」は、この報告書に忠実に作成されているわけですから、そういう意味では「いい出来」と言えましょう。
ですが、パブコメはほとんど反映していないのですから、少なくとも私が指摘していた「課題の積み残し」はそのままということ。
これは、持ち越したのか、解決する必要のない問題と受け取ったのか、それとも…

ちなみに「維持更新制の導入」とか「各府省庁(NISC、経済産業省、総務省など)が示している育成が必要とされる人材像との整合」などなんですが

う~む、続きは次回。

| | コメント (0) | トラックバック (0)

2007年9月 8日 (土)

情報処理技術者試験新制度案、合格証書に点数を表示?!

日経ITpro9/7の記事「「合格証書に点数を表示」、09年開始の情報処理技術者試験の案が公開」「新試験の全面実施は2009年春から---情報処理試験改革でIPAが中間報告」からです。

まず情報処理技術者試験の新制度案が、ついにというかやっとというかIPAのサイトで公開されています。

中身はこれから詳しく見てみますので、後日もう一度ここでコメントを書くことにします。

その中で、新設される「エントリ試験」については、

エントリ試験の内容は大きく3つに分かれる。(1)経営戦略、システム戦略、法務などを対象にする「ストラテジ系」、(2)プロジェクトマネジメントや調達マネジメントなど「マネジメント系」、(3)ソフトウエアやハードウエア、データベースなど「テクノロジ系」である。これらを合わせて100問出題する。

 エントリ試験の合格証書には得点を記載する。合否を判定する国家試験としては珍しい。民間の英語検定試験のように企業が点数を評価する位置付けにする意図とみられる。また、3分野でバランス良く知識を得るようにする狙いから、「3分野それぞれで30点以下は不合格にするといった案を考えている」(澁谷センター長)という。

 広く試験を展開するといった狙いから、パソコンでテストを受けられるCBT(コンピュータ・ベースト・テスティング)の導入を予定している。08年秋に、紙によるテストを試験的に開始し、09年春にCBTを導入する見込みである。

という制度にするようです。
合格・不合格の評価水準の設定はさておき、点数を表示する意味が本当にあるのかというのが疑問です

ここで引き合いに出している英語試験(TOEICとかのことですね)というのは、試験が1通りしかなく点数を出さないと知識レベル判定ができないから、そのような仕組みが必要なのですよね。
しかし、この試験制度の場合には、そもそもいくつかのレベル分けがあり、その中で知識レベルは評価できるはずです。またもっとも低いレベルのエントリー試験で、それを実施する意味がありません。もっとも高いところでするなら、まだ理解できますが…

う~ん…

| | コメント (0) | トラックバック (1)

2007年9月 7日 (金)

台風9号、首都圏直撃。だが…

台風直撃ということで昨日は夕方からの予定2件が延期となったため、早めに帰宅でき、ほとんど影響は受けませんでした。

ですが、今日はCISSPレビューセミナーの講師(しかも、総まとめと模擬試験演習の日)なので、決死の覚悟でこれから家を出ます。
今回受講されている皆さんは、あさって日曜が本番の認定試験ですから、今日の演習はとても大事なのです。
講師としては、1人でも多くの方に合格していただきたいので、がんばらねば…

幸いにも私がセミナー会場に向かうまでに使う交通機関は、すべて通常運行です。
がんばって、行ってきます!

| | コメント (0) | トラックバック (0)

2007年9月 6日 (木)

情報流出のニュースを見て

9/5のITmediaの記事「トーマツの監査先情報がWinnyで流出」からです。

ネットでの書き込みなどをみると「またしても、情報流出」とか「監査法人なのに、けしからん」というようなものが多かったのですが、(以前からずっと思っていることですが)別の見方というのも必要な気がします。
もちろん、今回のインシデントは起こすべきではないことなのですが、発生後の対応についても見ておくべきかと考えています。

ニュースを見ると、どうやら情報流出が8/29(木)、発覚が翌日8/30(金)、そして事実の公表が9/4(火)でした。(ニュースリリースは、こちら

この段階ですでに「当監査法人では二次被害を防ぐ目的から、監査関与先等に速やかに連絡するとともに、ご協力を得ながらお取引先様にもご通知を差し上げる措置を講じております」などと対応や流出の経緯や経路が報告されています。

対応としては、適切かつ迅速な部類に入るものではないかと思います。(発覚後、しばらく対応しなかったり、説明がされるまでにかなりの時間がかかる企業が多い中では…)

(報道をする側もですが)ニュースを見る側の我々第三者は、インシデント発生を責めるだけではなく、このような対応を見て評価することも重要なことと考えています。
※ インシデントを発生させた組織を擁護しよう、と言っているのではありません。念のため…

<参考記事>
「情報漏えい発生時の対応ポイント集」公開

| | コメント (0) | トラックバック (0)

2007年9月 5日 (水)

引越し中 XP→Vista

新しいPCを購入しました。またSony VAIOなんですが、type Tになりました。(今までは、type Sでした。このPCを処分したわけではありませんが・・・)

現在、引越し作業中です。(しんどい・・・)

かなり軽量になりました。こりゃ、楽だ。でも画面は小さくなった。

パフォーマンスもよくなりました。CPUは、Core 2 Duoになったし、メモリーもいきなり2GBだし・・・

あとは、ついにVistaユーザーになりました。

MS-Officeも2007になったので、今までのPCと使い勝手がぜんぜん違います。こりゃ、なれるまで大変だ。

それから、どうなんでしょうかねぇ、Vistaのセキュリティは?

これは近いうちにここで書くといたします。

| | コメント (0) | トラックバック (0)

2007年9月 4日 (火)

CISSPレビューセミナー、テキスト改訂

昨日9/3から、9月のCISSPレビューセミナーが始まりました。
今回から新しいテキストを使用しています。

前回のテキスト改訂は、2006年6月でした。(以前に、こちらで書きました)
その際も、私が講師のトップバッターを務めたのですが、今回も私がトップバッターでした。

ドメインのタイトルも新しいものに変わっています。(以前に、こちらで書きました)

それから、問題演習も大幅に増量、充実しています
先月までは、10ドメインの確認問題が100問、模擬試験演習の問題が100問で、計200問でした。
今月からは、10ドメインの確認問題が125問、模擬試験演習の問題が100問、さらに事前確認問題というものも始まりまして、こちらが50問、つまり計300問です。

受講される皆さんも、講師も負担が増えているような気もしますが、それ以上の効果もあると考えています。

| | コメント (0) | トラックバック (2)

2007年9月 3日 (月)

「情報漏えい発生時の対応ポイント集」公開

8/30にIPAセキュリティセンターから公開されています。

あくまでも、この資料はインシデント発生前に読んで活用すべきものです。
インシデントが発生してから読んで活用した企業が続々と・・・、なんてことにはなりませぬように。
まぁ、インシデント発生後に読んでも、然るべき体制も手順もないのでは、ほとんど何も対応できないでしょうけど・・・

情報漏えい発生時の対応ポイント集 -情報が漏えいしてしまった時、何をすべきか!! -

本小冊子は、情報漏えいインシデント対応マニュアルを整備していない中小企業などにおいて、情報漏えい事故が発生した場合、何をする必要があるか、何に気をつけなければいけないかを経営者をはじめとする対応チームの方々が短時間に理解し、速やかに適切な対応ができるように参考書として活用できるようまとめてあります
 本小冊子は、情報漏えいインシデント対応における基本作業ステップや情報共有、発表などの共通的な事項に関するノウハウと、情報漏えいタイプ別の対応作業内容や留意点のノウハウをわかりやすく解説しています。

■目次
1 基本的な考え方
2 情報漏えい対応の基本ステップ
3 情報漏えいのタイプ別対応のポイント
 3.1 紛失・盗難の場合の対応
 3.2 誤送信・Webでの誤公開の場合の対応
 3.3 内部犯行の場合の対応
 3.4 Winny/Share等への漏えいの場合の対応
 3.5 不正プログラム(ウイルス、スパイウェア等)の場合の対応
 3.6 不正アクセスの場合の対応
 3.7 風評・ブログ掲載の場合の対応
4 発見・報告におけるポイント
5 通知・報告・公表等におけるポイント
6 参考情報

「情報漏えいインシデント対応方策に関する調査報告書」 →より詳しい資料


「情報漏えい対策のしおり ver.2」

| | コメント (0) | トラックバック (0)

« 2007年8月 | トップページ | 2007年10月 »