« 2008年2月 | トップページ | 2008年4月 »

2008年3月の記事

2008年3月31日 (月)

日本版SOX法のおかげで、IT技術者の雇用が大幅増?

日経ITproの記事「日本版SOX法が情報技術者の雇用を27万人増やす」からです。

この記事によると、「2007年10~12月における情報通信関連業種の雇用者数は、前年に比べて27万人増」で、その要因が日本版SOX法への対応のためだそうです。
そんな実感がないなぁ、と思ったら…
情報通信産業全体の景況感としては「全体傾向は良好のまま横ばい。今後の見通しは若干悪化傾向」だそうです。

つまり、この日本版SOX法による雇用増も、業界全体の活性化にはつながらないようです。
はぁ~…。

報告書は、こちら。
「情報通信産業の経済動向報告」 2007年第4四半期(10~12月期)

| | コメント (0) | トラックバック (0)

2008年3月28日 (金)

新資格「CGEIT」続報

以前の記事でも書いた、注目の新資格「CGEIT」の続報です。
3/18の説明会には参加できなかったのですが、ISACA CGEIT委員会の増田さん(「情報セキュリティコンサルタントのお気楽Blog」のオーナー)から資料を送っていただきました。(増田さん、ありがとうございます)

それによると、CGEITの認定基準とドメインは以下の通りのようです

●CGEIT一般認定基準
・CGEIT試験を受験し合格(CISA/CISMと同様のスキームと想定)
 200問、4時間の試験
・ISACA職業倫理規則の遵守
・CGEIT継続教育方針(CPE)の順守
・5年以上にわたる組織のITガバナンス実務経験
 2年以上は、2つ以上のドメインの直接的な業務経験

●専門領域(ドメイン)
Domain 1 - IT Governance Framework(ITガバナンスの枠組)
Domain 2 - Strategic Alignment(戦略との整合)
Domain 3 - Value Delivery(価値の提供)
Domain 4 - Risk Management(リスク管理)
Domain 5 - Resource Management(リソース管理)
Domain 6 - Performance Measurement(成果の測定)

ところで、日本語試験は2009年12月開始が予定されているようです。(私が受験するかどうかは、検討中です。とりあえず、英語試験は無理です・・・)

また、説明会の資料は近日upされるようです。

<ご参考>
CGEIT委員会~ISACA

「CGEIT説明会 開催しました」~情報セキュリティコンサルタントのお気楽Blog

| | コメント (2) | トラックバック (0)

2008年3月27日 (木)

「プロフェッショナル」論(1) 誰でもプロフェッショナルを目指せる

日経ITproのコラム「誰でもプロフェッショナルを目指せる」 からです。

これは、大前研一さん(ビジネス・ブレークスルー大学院大学 学長)のコラムです。
相変わらずの大前節が炸裂しています。
それもあって、かなり長いコラムなのですが、ぜひ時間がある時に読んでみていただきたいと思います。
大前さんの本はいままで何冊も読んでいますが、読み終わった後はいつも爽快な気分がします。

さて、このコラムは一般的なプロフェッショナル論ですが、特にITエンジニア向けに書かれています。
特に、以下のところが私として重要かつ共感できるところです。

 IT(情報技術)の世界で仕事をしているエンジニアの方々は、ぜひプロフェッショナルの道を目指して欲しい。特定技術のスペシャリストではなく、顧客の問題を解決し、価値を提供するプロフェッショナルが今、求められているのだ

 私はすべての人にチャンスはあると思う。1~2年では難しいかもしれないが、プロフェッショナルになるという気持ちを5年間持ち続けてみてほしい。必ず変わることができる。その変化を実感してほしい。意識を変えることにカネがかかるわけではない。人間の能力は年齢と共に変わる。10年間、プロフェッショナルを目指す気持ちを持ち続ければ、まったくの別人になっているだろう。人生を変えられるタイミングは何度でもある。

ITエンジニアの多くは、現在において決して恵まれた境遇にはあるとは言えません。
それは確かです。否定できませんし、否定するつもりは全くありません。
ただ、それに対して不平や不満をいうだけでは何も起こりません。
現在の不平や不満の要因を解決したいのであれば、自ら能動的に行動を起こさなければならないのです。

それができる、積極的かつ継続的にしようとする人、それが「プロフェッショナル」の必要条件ということですね。

これについては、また近いうちに続きを書きます。(という、予定です)

| | コメント (2) | トラックバック (0)

2008年3月26日 (水)

情報セキュリティ界の「スター」とは?

以前の記事で書いた通り、本日13:30~、ISEPAイベント 2008「公開討論! これからのセキュリティ人財育成」~セキュリティのキャリアパスを考える~ ~セキュリティの”スター”とは~が、開催されます。

そこで、私は第2部の参加型パネルディスカッション「情報セキュリティ界の「スター」とは?」のコーディネータとして登壇いたします。

もともと「情報セキュリティ界のスター」という発想は、「育成すべき人材が「スペシャリスト」と「プロフェッショナル」だけなのか?」というところから始まっています
とにかく、情報セキュリティを含めたICT人材育成というと、この2つ(「スペシャリスト」と「プロフェッショナル」)が人材像を定義する用語として使われます。
多くの報告書は、これら2つの人材像をどう育成するか、という観点から書かれています。

以前より、私は「この2つの人材像だけではないのではないか」という疑問を持っておりました。
つまり、これら2つだけではない第3の人材像があるのではないか、ということです。
そこで、使用したのがこの「スター」という言葉です。(この用語が適切ではないかもしれませんが、当面これを使うことにしました)

それをパネリストの方々や会場の皆さんで考えて議論していこう、というのが本日の参加型パネルディスカッションです。
どんなコメントがいただけるか、とても楽しみです。

(この続きは、いただいたコメントも踏まえ、また後日…)

| | コメント (2) | トラックバック (0)

2008年3月25日 (火)

日本の経営者、IT認識は3年遅れ

NIKKEI NETの記事「日本の経営者、IT認識は3年遅れ・ガートナー調査」からです。

調査会社のガートナージャパンは、企業のIT(情報技術)部門を担当する最高情報責任者(CIO)への意識調査の2008年版をまとめた。

経営トップのCIOに対する期待で初めて「業務工程の改善」が最多になった。世界でこの項目がトップになったのは05年だったため、「日本のIT認識は世界から3年遅れている」と指摘している。
日本を含む世界のCIO約1500人に、アンケート形式で08年の課題を聞いた。期間は07年10月から12月まで。日本企業で回答したCIOは28人だった。

(最近の記事でも書いたように)IT投資マインドは低いICTインフラの安全性は低い
意識は3年遅れ
どうにかしないといけませんね、このような状況は変えないと…

もとのレポートは、以下で見れるようです。

「日本の経営トップの意識はグローバルより3年遅れ~CIO自身の意識は、グローバルに後れを取らず~」~ガートナージャパン

>日本のCIOの回答には、グローバルのCIOと比較して、次のような特徴が見られます。

・日本のCIOが回答したCIOの戦略面での優先事項では「ITガバナンスの改善」が第1位となり、J-SOX法施行に伴う対応への注力が表れていると考えられます。同項目は、グローバルでは第7位にランキングされています。
・CIOが優先するテクノロジで、日本では「顧客へのセールスおよびサービスのためのテクノロジ」が第1位になりましたが、グローバルでは第10位以内にランキングされていません。
・CIOが優先するテクノロジで、グローバルでは2006年から3年連続で「ビジネス・インテリジェンス」が第1位ですが、日本でも2007年の第9位から、2008年は第3位に急浮上しました。
・CIOが自社および自身の業務を遂行する上で注目すべき経済・社会・環境面でのトレンドに関する調査で、日本では第1位に「競争のグローバル化」がランキンングされましたが、グローバルでは第5位でした。グローバルの第1位は「物価および人件費の高騰」であり、同項目は日本では第3位でした。
・また、同調査でグローバルでは第3位に「経済成長の停滞 (景気後退)」がランキングされましたが、日本では第9位でした。

>これらの結果から、今後の日本のCIOが取るべき施策として、次の2つが挙げられます。

・自社の差別化要因を再評価し、(顧客に選択されるような) ビジネス面での独自性を打ち出すITソリューションを必要とする領域を特定する。
・CIOやIT部門が提供しているソリューション・ポートフォリオを「現在のビジネスに貢献する (イン・ザ・ビジネス)」と「将来のビジネスに貢献する (オン・ザ・ビジネス)」の切り口だけではなく、「一般的な (ビジネス/IT) 運営業務」なのか「(顧客に選択されるような) 独自性を打ち出すための業務」なのかという切り口でポートフォリオを再評価する。

| | コメント (0) | トラックバック (0)

2008年3月24日 (月)

「セキュリティ関連OSS成熟度評価」公表

ZDNetの記事「セキュリティでもOSSならココまでできる--セキュリティ関連OSS成熟度評価」からです。

このレポートは、「セキュリティ分野でOSSがどの程度カバーしているのか、どこをカバーしていないのかを明確にする」という目的で、商用製品とOSSでそれぞれカバーしている範囲を明確化したもの。
さらに、様々な観点からの評価を総合的に判断して、各OSS製品に製品としての完成度を加味した「推奨度」が記載されている

それによると、

・10点(OSSを積極的に利用すべきもの)
 ネットワークファイアウォール:NetFilter + Iptables
 PKI:OpenSourcePKI(NSS、JSS、PSM)
 電子署名、電子証明書:GPG、OpenSSL
 通信ログ収集:WireShark(ethreal)
 認証:OpenLDAP、FreeRADIUS、PAM
 脆弱性検査ツール:Nessus、nmap
 暗号化:OpenSSL

・8~9点(OSSで十分なもの)
 IDS:Snort
 シングルサインオン:CAS(Central Authentication Service)
 改竄検知(ファイル):TripWire

・6~7点(制約があるがOSSで十分なもの)
 シングルサインオン:OpenSSO
 メールフィルター:SpamAssassin
 ウイルス対策(サーバ・クライアント):ClamAV

という結果でした。
なるほど、かなり参考になりますね。

報告書は、こちらから。

「セキュリティ関連OSS成熟度評価 Ver.1.0」

| | コメント (0) | トラックバック (0)

2008年3月22日 (土)

「日本のICTインフラに関する国際比較評価レポート」公表

総務省のHP「「日本のICTインフラに関する国際比較評価レポート」の公表」からです。

このレポートは、世界主要23カ国における12項目での比較評価です。

これによると、日本は、
(1)ICTインフラの基本料金
 ・電話基本料金:4位
 ・ブロードバンド料金:1位
(2)ICTインフラの高速性
 ・光ファイバー率:1位
 ・ブロードバンド速度:1位
(3)ICTインフラの安全性
 ・安全なサーバ数:15位
 ・Bot感染比率:1位(悪い意味での)

(4)ICTインフラのモバイル度
 ・3G携帯比率:2位
 ・携帯電話普及率:20位
(5)ICTインフラの普及度
 ・インターネット普及率:13位
 ・ブロードバンド普及率:11位
(6)ICTインフラの社会基盤性
 ・インターネットホスト数:10位
 ・ICT投資割合:12位

という結果でした。

安くて速いが、普及やセキュリティ、基盤整備は不十分、という結果でしょうか。
ICT先進国への道のりは、まだまだ険しいですね。

報告書は、こちらから。

「日本のICTインフラに関する国際比較評価レポート」
 (参考資料1) (参考資料2) (別冊)

| | コメント (4) | トラックバック (0)

2008年3月21日 (金)

「電子的監査証拠」

最近読み始めたのではないのですが、このブログで紹介していなかったので・・・

「電子的監査証拠」
<本書の内容>~出版社のHPより抜粋
企業の情報システムへの依存度が高まり、監査人には、電子的な情報を監査証拠として集める必要性が出てきた。「電子的監査証拠」の特性や従来の監査証拠との相違点、監査アプローチに及ぼす影響、リスクとその対策等について、実践的な指針を示したカナダ勅許会計士協会による調査報告書『ELECTRONIC AUDIT EVIDENCE』を日本語に翻訳した本書。「電子的監査証拠」の最新情報を提供する。

もともとは、主に会計監査をする会計士向けに書かれた実務的指針の日本語訳版です。
ですが、内容としては会計監査に限らず、ITに関わる監査業務に関わる人や、電子的な証拠を扱う業務(インシデントレスポンス、ペネトレーションテスト、ネットワーク監視などのオペレーション、など)の方々にも役立つ内容です

ということで幅広い層の方に、ぜひ読んでいただきたいのですが、監査業務やフォレンジックに関する用語などがある程度理解できていないと、読み進めないかもしれません。
(この書籍を使った、ワークショップなどできると良さそう)

| | コメント (0) | トラックバック (0)

2008年3月20日 (木)

「近年の標的型攻撃に関する調査研究-調査報告書-」公開

3/18に、IPAのHPで公開されています。

概要
 近年、特定の企業あるいは組織イントラネット内のパソコンを標的とした「標的型攻撃」により、個人情報等の機密情報が漏洩するなどの被害が深刻化しています。「近年の標的型攻撃に関する調査研究」調査報告書は、こうした攻撃に利用された脆弱性の実態調査や、攻撃の際に用いられたマルウェアの分析を行い、調査報告書としてとりまとめたものです

【従来型マルウェアとシーケンシャルマルウェア】
 標的型攻撃はマルウェア(悪意あるソフトウェア)によるものが多数ですが、最近では、インターネット上の攻撃者が用意したサーバからプログラム等をダウンロードする「ダウンローダ」を介して埋め込まれる多段型のマルウェア(以下、シーケンシャルマルウェア)が多く発見されています。今回の調査の結果、シーケンシャルマルウェアの挙動を解析することで把握すると共に、「不必要な外向きTCP(Transmission Control Protocol)ポートを全て塞ぐ」等の対策が有効である事が明らかになりました。

●もくじ・概要
1.はじめに
2.マルウェアの解析と脅威分析
3.調査研究の範囲と調査方法
4.標的型攻撃に利用されているセキュリティ脆弱性の実態調査・傾向分析
 4.1 標的型攻撃に利用された脆弱性
 4.2 標的型攻撃に利用された脆弱性を持つソフトウエアやコンポーネントの傾向
5.標的型攻撃に利用されていたセキュリティ脆弱性
 5.1 標的型攻撃に利用された脆弱性
 5.2 標的型攻撃に利用される可能性が高いソフトウエアの傾向
6.標的型攻撃用マルウェアの実態調査・傾向分析
7.近年の標的型攻撃で用いられるマルウェアの分析
 7.1 マルウェアの解析と攻撃シーケンスの分析
 7.2 攻撃サイトの特徴
 7.3 ボット型マルウェアと標的型攻撃マルウェアの共通仕様分析
 7.4 標的型攻撃用マルウェアの検知手法
 7.5 効率の良い脅威分析手法に関する検討
8.まとめ

ダウンロードは、こちらから。

調査報告書 (全36ページ、1.21MB)

| | コメント (0) | トラックバック (0)

2008年3月19日 (水)

「リスク回避」は「基本」でも「常識」でもない

昨日の記事の続き、補足です。

つまり「使用禁止」というような対応は「リスク回避」にしかならないということです。
「リスク回避」は、すなわち「機会損失」です。
このような対応策をとるのであれば、これを理解したうえで合理的に判断されなければなりません。

本来、技術は利活用されるために存在するものです。
それを使用しないことは、ビジネスの阻害要因となるということです。
しかし、利活用するということは、必ず何らかの「リスク」を発生させます。
これらのバランスやトレードオフを考慮し、使用するかどうかをその主体が判断すべきなのです

ということで、「リスク回避」は決して「基本」でも「常識」でもない、というのが私の結論です。
(だいたい、サイバーな世界ほど今までの「常識」はあてにならないものである…

| | コメント (6) | トラックバック (0)

2008年3月18日 (火)

USBメモリー使用は禁止が基本???

日経ITproの記事「会社でのUSBメモリー使用は禁止が基本,代替手段や利用時の選定/運用条件を明確に」からです。

なかなか興味深い記事なのですが「使用禁止が基本」という言葉に強烈にひっかかりました。
この記事の筆者が言わんとされていることはわからないわけではなく、とてもいいことを書かれていると思います。
ですが、個人的に主張の仕方が、かなり気になりました・・・

使用をどうするか(許可するか、禁止するか)は、本来その主体である組織が決めるべきことのはず。
いくら専門家とはいえ、参考意見の域を越え、主観的というより恣意性まで感じられます。
本来、こういう場面で「基本」とか「常識」などという言葉(他には「大丈夫」とか「絶対」とか)は、使うべきではないと私は考えております。

リスクに対する対応策が事実上ない、というなら話は別ですが、この記事にも書かれているように対応策は存在するわけですから、使用をどうするかは利活用と保護、費用対効果などのバランスやトレードオフで、対応策を実施する主体で判断されるべきものだからです。

| | コメント (7) | トラックバック (0)

2008年3月17日 (月)

「(ISC)2公式CISSP10ドメインレビュー体験セミナー」開催

RSAカンファレンスと同じ会場で、その前日に「(ISC)2公式CISSP10ドメインレビュー体験セミナー」が開催されます。
例によって、講師は私なのですが、他にCISSPホルダーと取得・推進している企業の方々のセッションがあります。
いままでの体験セミナーと比べるとかなり充実した内容です。
CISSPのことを深く知っていただく機会ですので、CISSPを詳しく知りたい/取得したい方、検討/推進をしようとされている方は、ぜひご参加ください。

2008年4月22日 RSA Conference Japan前日に開催
「(ISC)2公式CISSP10ドメインレビュー体験セミナー」のご案内

(ISC)2では、CISSP認定資格取得を支援するために、CBK10ドメインの全てをレビューする場として「(ISC)2公式CISSP10ドメインレビューセミナー」を開催しています。
この度、認定講師よりCISSP公式セミナーを体験していただく機会を設けましたので、CISSPとしての考え方や資格取得のメリットなどセミナーを通して、体験いただければと思います。詳しくは、こちらをご参照ください。

開 催 概 要 
・日 時:2008年4月22日(火) 13:30~18:00
 (受付開始時間:13:00~)
・会 場:ザ・プリンスタワー東京 地下2階「しゃくなげ」
 (〒105-8563 東京都港区芝公園4-8-1)
・定 員:50名(参加無料)

| | コメント (0) | トラックバック (0)

2008年3月16日 (日)

新「ノートン・ファイター」

ITmediaの記事「あの「ノートン・ファイター」がバージョンアップ」からです。

ノートンファイターバージョン2の強化点はというと…
新たなる脅威に対応すべく、ノートンファイターは装甲と攻撃力が強化され、さらに大幅な軽量化と高速化を実現した、らしい。

さらに、3月15~16日に開催されるSUPER GT第一戦の鈴鹿サーキットにて、ノートン・ファイターショーおよび記念撮影会が行われ、決勝戦のコース上でノートン・ファイターと20台のスピンカーが360度ターンを決める(決めた?)らしいです。

がんばってるなぁ、「ノートン・ファイター」。
また、このブログにコメントを書いてくれるかな…(若干の期待を込めて)

| | コメント (0) | トラックバック (0)

2008年3月15日 (土)

おもしろそうなサイトを見つけたので

おもしろそうなサイトを見つけたのでやってみました。

まず、一つ目。

脳内ブログメーカー
あなたの脳はブログを書きたがっている。
名前を入力すると脳が書きたがっている
ブログの文章が表示されます。

というサイトです。

そこで名前を入力してみました。すると、出てきたのは・・・

Hase の 2008年03月XX日 の脳内ブログ

最近買った、「羽毛根性棒」がお気に入り。
夜寝る時以外は、いつも使っている。これなしでは、もう生きていけないなあ。

書きたいのは、こんなネタじゃない…
これじゃ、書けそうにないなぁ。
だいたい「羽毛根性棒」って、何?

う~ん、どうなんでしょう、このサイト…

そして、もう1つ。

全自動百科事典『オートペディア(Auto☆pedia)』
全自動百科事典『オートペディア(Auto☆pedia)』は自動生成の百科事典っぽいものです。基本方針に賛同していただけるなら、誰でも記事を閲覧したり新しく生成したりできます。現在、全自動百科事典日本語版(注1)には無限の本数の記事があります(注1:英語版はありません)。

・記事の生成方法
ページ上部の入力欄に名前を入力して[検索]ボタンを押して下さい。一般の方に関する記事を閲覧する際は、「一般人」の欄に、姓と名を入力して検索して下さい。有名人に関する記事を閲覧する際は、「有名人」の欄に名前を入力して検索して下さい。その他の内容に関する記事を閲覧する際は、「物品」の欄に名前を入力して下さい。

・基本方針
本ページは、大人のためのジョーク・ページです。記事の内容は正確ではなく「それっぽさ」を楽しむことが目的です。本ページの内容は、検索エンジンの検索結果を元に生成されています。情報は基本的にWeb上の情報からの引用となります。現在、文章は各種検索エンジンの結果から、画像はFlickr!から引用しています。

こちらは、面白い。笑えます。
いろんな言葉や人(もちろん、自分も)で検索してみてください。

ちなみに、わたくしは格闘家、弁護士らしいです。

| | コメント (0) | トラックバック (0)

2008年3月14日 (金)

世界各国での2008年のセキュリティ支出の増額は?

ITmediaの記事「世界のIT専門家の6割が2008年にセキュリティ支出の増額を予定」
からです。

この調査は,米国,英国,日本を含む10カ国の2000人を超えるリモート・ワーカーとITプロフェッショナルを対象に実施したもの。
これによると,IT意思決定者の6割は,2008年にセキュリティ支出の増額を予定しているということです。

この記事には、その10カ国の
 ①増額を予定する割合
 ②前年比10%超の増額を予定する割合
が出ているのですが、平均が
 ①62%
 ②37%
なのに対し、日本は
 ①24%
 ②15%
と、ダントツの最下位です。

「相変わらず、投資マインドが低い」ということですね…

| | コメント (0) | トラックバック (0)

2008年3月13日 (木)

ウイルスやスパムのビジュアル化

MyDoom、IRCbot、StormWorm、スパムメールなどを3Dビジュアル化しています。
ウイルスやスパイウェアなどの逆アセンブルコードやAPI、メモリアドレス、サブルーチンを分析して視覚的に表したCGで、ウイルスのパターンやリズムによって、それぞれ特徴的な形として表現しているようです。
とても不思議なページですね。
正直なところ、このCGをどう見て、どう使えばよいか、わかりません・・・

| | コメント (0) | トラックバック (0)

2008年3月12日 (水)

金融庁「内部統制報告制度に関する11の誤解」公開

日経ITproの3/11の記事「「誤解は現場で起きている」11の誤解を解く、金融庁がJ-SOXで新文書」からです。

昨日の記事では、未対応企業が多いという報告を取り上げましたが、対応している企業は過度の反応(金融庁のページを見ると「過度に保守的」とあります)をしている場合も多いようです
「意図するところが、うまく伝わっていない」ということで、このような文書が公開されたようです。

公表された誤解は以下の11項目。
(1)米SOX法と同じ
(2)特別な文書化が必要
(3)すべての業務に内部統制が必要
(4)中小企業でも大がかりな対応が必要
(5)問題があると罰則等の対象になる
(6)監査人等の指摘には必ず従うべき
(7)監査コストは倍増する
(8)非上場の取引先も内部統制の整備が必要
(9)プロジェクトチーム等がないと問題
(10)適用日までに準備を完了する必要がある
(11)期末のシステム変更等は延期が必要

報告書は、以下からダウンロードできます。

「内部統制報告制度に関する11の誤解」等の公表について~金融庁
(別紙1)内部統制報告制度に関する11の誤解(PDF:77K)
(別紙2)内部統制報告制度の円滑な実施に向けた対応(PDF:130K)

| | コメント (2) | トラックバック (0)

2008年3月11日 (火)

「『IT統制に関する実態調査』等集計結果概要」の公表

JIPDECのHPで「『IT統制に関する実態調査』等集計結果概要」が公開されています。

さっと、中身を見てみたのですが…
「これで、次年度の監査は大変なことになる(間に合わない)のでは?」というのが率直な感想です。
まだまだ、整備には程遠いと思われる企業が多いようで。

『IT統制に関する実態調査』等集計結果概要

・対象:
上場企業3,925社の情報システム部門。
情報サービス事業者638社の営業部門、内部統制担当部門。

(1)「IT統制に関する実態調査」【実態調査】および(2)【成熟度調査】

(3)「内部統制ビジネスの実態調査」

(4)「顧客からの内部統制要請に関する実態調査」

| | コメント (0) | トラックバック (0)

2008年3月10日 (月)

ユーザーへの情報セキュリティ教育で最近思うこと

ユーザーへの教育や普及啓発などで、よく「不審」「怪しい」「身の覚えのない」などの言葉が使われています。
これらの言葉は、本当に伝わっているのかと甚だ疑問に思っています。

「不審」なサイト、「怪しい」サイトにはいかないようにしましょう。
「身の覚えのない」請求は支払わないようにしましょう。

そうはいうものの、そういうサイトには行ってしまっているわけですし、不正請求にも(約4%が)支払っているわけですし。
にも関わらず、これらの言葉を使い続けてユーザーへの教育や普及啓発などが繰り返されているということ。

とにかく相手に伝わっていなければ、効果はありません。

他にも、「平易な言葉」を使う、とか「横文字」は使わない、とかがありますが、何をしようが伝わっていないものは、同じことを何度しても効果はありません。

こういう教育資料や普及啓発コンテンツを見るたび、最近はこのようなことを考えております

| | コメント (0) | トラックバック (0)

2008年3月 9日 (日)

「重要インフラ情報セキュリティフォーラム2008」講演資料公開

IPAのHPで、2008年2月20日(水)に開催された「重要インフラ情報セキュリティフォーラム2008」の講演資料が公開されています。
当日、参加できなかった方は、以下からダウンロードして読んでみてください。
開催情報公開の翌日には、定員に達してしまったので参加したくともできなかった方も多いはず。
幸い、私は参加することができましたが。

| | コメント (0) | トラックバック (0)

2008年3月 8日 (土)

ぞろ目

Photo_3 ちょうど、このブログに「ぞろ目」(88888)の時にアクセスしました。(ただ、それでけのことなんですけど、「縁起がいいかな」ということでキャプチャしておきました)

何か、いいことあるかな?

あるといいな。

とりあえず、笑っておくか。ははははは(88888)・・・

| | コメント (0) | トラックバック (0)

2008年3月 7日 (金)

「安全なウェブサイトの作り方 改訂第3版」公開

IPAのHP「安全なウェブサイトの作り方 改訂第3版」を公開からです。

で、どこが改訂されたかというと…

 今回の改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイト・スクリプティングの脆弱性に関して、具体的な8つの「失敗例」を第3章として追加しました。
 また、第1章に「アクセス制御や認可制御の欠落」に関する根本的解決策を新たな節として追加しました。
 本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。

だそうです。

具体的な例が挙げられているのは、とてもわかりやすいですね

報告書のダウンロードは、こちらから。
安全なウェブサイトの作り方 改訂第3版 (全76ページ、2.14MB)

| | コメント (0) | トラックバック (0)

2008年3月 6日 (木)

新資格「Certified in the Governance of Enterprise IT(CGEIT)」

「情報セキュリティコンサルタントのお気楽Blog」のオーナー、増田さん(いつも、お世話になっております…)から1月にうかがっていたのですが、いよいよISACAの新資格「CGEIT」が創設されます。

3/18(火)に説明会があるようですね。残念ながら、私は行けそうにありませんが…

以下、ISACAのCGEIT委員会の案内から…

 この度、Information Systems and Control Association(ISACA)では、CISAとCISMに続く新資格制度として、Certified in the Governance of Enterprise IT(CGEIT)を創設致しました。CGEITは、ITガバナンスに関する専門の知識、経験、見識を有する人材を評価、認定するものです。我が国においてもJ-SOX法への対応等で、経営の重要課題としてのIT統制、ITガバナンスに対する関心が高まっています。ISACA東京支部も、ITガバナンスの専門家の認定を行う、この新資格制度の意義と重要性を十分に認識し、日本国内での普及促進を図っていくことになりました。そこで、東京支部内にCGEIT委員会を発足させ、活動を開始いたしました。

| | コメント (0) | トラックバック (0)

2008年3月 5日 (水)

ISEPAイベント2008「公開討論! これからのセキュリティ人財育成」

年明けから、ちょくちょく「そういえば、ISEPA(情報セキュリティ教育事業者連絡会)って、どうなってんですか?」と聞かれておりましたが…
活動やってますよ、ちゃんと。
ということで、昨年11月以来のISEPA(情報セキュリティ教育事業者連絡会)の第2回のイベントです。

今回は、公開討論ということで、会場にお越しになった皆様が参加できる形式になっています。
どんどん、ご意見ください。
(なかなか、画期的なイベントでしょ?)

予定が合わずにどうしても参加できない方は、事前にコメントをお寄せください。
※ コメントは、こちらから

なお、私は第2部の参加型パネルディスカッション「セキュリティの”スター”とは?」で、コーディネータを務めます。

ISEPAイベント 2008「公開討論! これからのセキュリティ人財育成」
 ~セキュリティのキャリアパスを考える~
 ~セキュリティの”スター”とは~

●開催日時…2008年3月26日(水)
 一部:13:30~15:00 (13:15受付開始)
 二部:15:15~16:45 (15:00 受付開始)
●参加費…無料
●会 場…EBIS 303
●定 員…90名 
●プログラム
 13:30~15:00 【第一部 公開討論「セキュリティのキャリアパスを考える(BOF)」】
 15:15~16:45 【第二部 参加型パネルディスカッション「セキュリティの”スター”とは?」】 

※ 参加申込みは、こちらから

ところで、このパネルディスカッションで発表する「セキュリティのスター育成プロジェクト」とは?
次回以降、ここのブログで経緯と概要を書いていきます。

| | コメント (0) | トラックバック (0)

2008年3月 4日 (火)

ケロロ軍曹「オチに願いを」コンテスト

もう、とっくにご存じの方も多いような気がしますが、以下のようなコンテストが始まっています。

日立システム×ケロロ軍曹「オチに願いを」コンテスト

(以前に、このブログでも取り上げましたが)「かるた」「セキュリーマン検定」「落語」と来て、そして「4コマ漫画のオチ」と、このサイトはいろいろと考えてますね・・・
とても、楽しいです。

募集期間は、3/31まで。
NINTENDO Wii+Wii Fit他、優秀作品には賞品があるようです。

お題は以下の通り3題あり、4コマ漫画のオチ(最後の4コマ目のセリフ)を考える、というもの。

お題1「ブログに挑戦であります!」
お題2「ウイルスに注意するでござる」
お題3「俺様のパスワードがばれてる?」


ちなみに、私はいいオチが浮かんできません。
他人が考えた話のオチを考えるのは、どうも苦手・・・
(最近、自分の話ですべってるのに)

| | コメント (0) | トラックバック (0)

2008年3月 3日 (月)

「教える」と「学ぶ」

今回は情報セキュリティ人材のあり方を考える(1)~(7)の、ひとまずの結論っぽいことを書きます。
つまり、「教える」と「学ぶ」は表裏一体のものだ、ということです。

まずは「教える」側の人(講師、OJTトレーナー、メンター、など)は、「学ぶ」ということがどういうことなのか、そちらの立場でも理解しておきましょう、ということです。
とにかく「教える」とは「学ぶ」という目的を持った相手があってのこと。「教える」側は、それを決して忘れてならないと思っています。

そして、「学ぶ」側も「教える」ということがどういうことなのか、できる限りそちらの立場でも理解して欲しいと思います。
つまり、まさに「教育」とは「教える」と「学ぶ」という立場の違う2者間のコミュニケーションであり、相互理解が重要だということです。

こうして相互の理解が生まれ、「教える」「学ぶ」という場でコミュニケーションができること、これが「教育」での最大効果をもたらすものである、と私は思うのです。

| | コメント (0) | トラックバック (0)

2008年3月 1日 (土)

RSA Conference Japan 2008

既に、事前登録が始まってましたね。
今年も多くのCISSPホルダーに、お会いできそうですね。

━━━━━━━━━━━━━━━━━━━━━━━━━━
【RSA Conference Japan 2008】
~ 拡大するICTフロンティアと情報セキュリティへの挑戦 ~
━━━━━━━━━━━━━━━━━━━━━━━━━━

■4/23(水)~24(木)、ザ・プリンスパークタワー東京(B2F)■
        

☆・・経営者や情報システム管理者をはじめ、セキュリティのエキスパートから入門者まで、セキュリティに関する課題や解決策、最先端の技術や実装とその運用など、幅広い充実したセッション・ラインアップをご用意! 

☆・・あのGoogleのCIO Douglas Merrillが登壇決定!魅力的な基調講演、スペシャルセッションをはじめ、暗号やネットワークセキュリティ、認証、そしてSaaSやWiMAXなどの新しい分野のセキュリティまで、最新情報をご提供するカンファレンス&展示会 事前登録受付中! 

| | コメント (0) | トラックバック (0)

« 2008年2月 | トップページ | 2008年4月 »