« 2008年7月 | トップページ | 2008年9月 »

2008年8月の記事

2008年8月30日 (土)

NISCグランドチャレンジ検討ワーキンググループ

グランドチャレンジと言ってもいろいろありますが、これは内閣官房情報セキュリティセンター(NISC)ではじまったワーキンググループです。

第1回会合の資料を読むと…
情報セキュリティの政策や戦略において「短期的な視点ではなく中長期の視点での問題解決、抜本的改革を目指す」というのがこのWGの主旨ということですね。

短期的な視点である限りは戦略なき「やらされ」情報セキュリティになってしまいがちであり、いつまでたっても対症療法的(リアクティブ)体質を脱することができません。包括的・戦略的情報セキュリティ、未然防止的(プロアクティブ)体質に変わっていくには、中長期視点が必要ということです。(「改善」ではなく「改革」が必要ということ)

グランドチャレンジは、情報セキュリティだけでなく、ICT全般、いや経済全般で必要と思います。
他の分野では、どの程度の試み、取組みがされているんでしょうか…

NISC「グランドチャレンジ検討ワーキンググループ」

| | コメント (2) | トラックバック (0)

2008年8月29日 (金)

ビジネスパーソンが身につけたい能力・スキル

gooランキング「身につけたい、能力・スキルランキング」からです。

ビジネスパーソンが身につけたい能力・スキルのトップ20は、以下の通り。

1.交渉能力
2.行動力・バイタリティ
3.発想力・独創性
4.対人コミュニケーション能力
5.語学力(英語、中国語など)
6.表現力
7.プレゼン能力
8.決断力
9.判断力
10.専門性(自分の専門分野を深める)
11.理解力(相手の言葉やその意図を理解する能力)
12.PCを使った情報処理能力
13.企画立案能力
14.論理的思考能力
15.情報分析能力
16.協調性
17.ビジネス文章力
18.リーダーシップスキル
19.情報収集能力
20.財務管理の知識


なるほど・・・
1位が「交渉力」というのが、日本人的かも。
やはり「Noといえない」ということなんでしょうか。

| | コメント (0) | トラックバック (0)

2008年8月28日 (木)

「手段」が目的化する

なんだか最近多く言っている気がする言葉です。(今日、また言うかも)
私の記憶では、以下のようなものがあったと…

・「資格」を取ることが目的?
・「暗号化」することが目的?
・「報告書」を作成することが目的?
・「認証」を維持することが目的?

目的は別にあるはずで、これから手段のはず。
それから計画がはじまった段階では、「手段」だったものがいつのまにか「目的」になっているということも多い。
それなのに「目的」達成となってしまう。

こういうのは、やはり自分では気がつかないものなのですね。
チェック機能は、まさにこういうところで必要なのですが、それがまた「目的」となっていたりして…
ああ、キリがない。

| | コメント (2) | トラックバック (0)

2008年8月27日 (水)

「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」公開

IPAセキュリティセンターのHPで「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」が公開されています。
「生体認証システムの導入・運用事例集」もいっしょに公開されています。

バイオメトリクス関連の資料はありそうで、なかなかないのでじっくり読んでみたいと思います。
(と言いながら、過去の資料もこれから読むことになります)

「生体認証システムの導入・運用事例集」及び「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」の公開


生体認証システムの導入・運用事例集

バイオメトリクス・セキュリティ評価に関する研究会 調査報告書

<参考資料(2006~2007年)>
バイオメトリクス・セキュリティ評価に関する研究会 平成18年度 研究会中間報告書

生体認証導入・運用のためのガイドライン

生体認証利用のしおり

| | コメント (0) | トラックバック (0)

2008年8月26日 (火)

「CSO/CISO」の人材像(6)

このシリーズ、まだまだ書きたいこともありますが、いったん私なりにまとめに入りたいと思います。
(何名かの方とディスカッションなどして、またいづれ書いてみたいと思います)

「CSO/CISO」の人材像は、「セキュリティ視点での経営+IT」ということになってきますが、そのような人材が少ないというのが事実ということです。そうなると「少ないのなら、育てろ」ということになり、人材育成の問題・課題とされることが多くなります。ですが、このような人材育成の問題・課題ということ以前に、その組織の戦略上の問題・課題があると思っています。

これは「CSO/CISO」に限ったことではなく、その組織で「経営+IT」という運営体制になっておらず(特に縦割りで「タコつぼ化」しているような組織がその典型例)十分に機能していないようなケースに多いようです。経営戦略とIT戦略が整合していない、経営戦略と人材育成戦略が整合していない、そもそもITや人材に対する投資マインドが低い…、などがその具体例でしょうか。

「少ないのなら、育てろ」は、このあたりの問題・課題が解決されないと育てられない、育てても効果がほぼ発揮できない、ということになります。その上での人材育成ということになり、そこには育成する側、される側、両方に問題・課題があります。これは、またいづれ書きます。

| | コメント (0) | トラックバック (0)

2008年8月25日 (月)

CISSP公式レビューセミナー、価格改定

8/22(金)に、価格改定が発表されています。
10月開催分より、561,750円→446,250円(消費税込み)、と値下げされます。

さらに、早期申込み割引(45日前までの申し込みが対象)も始まったようです。

561,750円→399,000円(消費税込み)

※ いづれも、CISSP認定試験費用68,250円が別途必要。

価格が下がっても、講師は今まで通りがんばってやります。
(本人が言うんだから、間違いないです)

<参考URL>
「CISSP公式セミナー(5日間)価格改定のお知らせ」~(ISC)2 Japan

| | コメント (0) | トラックバック (0)

2008年8月23日 (土)

ネットワーク・セキュリティ・ワークショップ in 越後湯沢2008

申込みが始まってますね。
ことしのメインテーマは「セキュリティの光と影」だそうです。

ちなみに、私は今年も行けそうにありません。
仕事やら行事やら、すでに入ってまして…
もし行ける場合は、日帰り弾丸ツアーになります。

ネットワーク・セキュリティ・ワークショップ in 越後湯沢

日程:2008年10月9日(木)-11日(土)
場所:新潟県 越後湯沢温泉

 情報セキュリティという言葉が浸透した今、あらためてセキュリティの功罪を考えてみたいと思います。そこで、今年は『セキュリティの光と影』をメインテーマとしました。サブテーマは昨年同様、三つのものを設けています。
 経営に直接携わる人向けには「もうかるセキュリティ」として、効率的なセキュリティ投資によるビジネス戦略と企業価値の向上を提案します。
 管理者、つまり、法務・情報システム・経理・セキュリティ等の担当者向けには「『偽』に騙されないセキュリティ」として、さまざまな虚構・偽装や、セキュリティ関連のインシデント、クレーム、訴訟といったものから自らを守り、組織を守るためのリスク・マネジメントの方法を検討します。
 そして一般ユーザには「他人(ひと)ごとではないセキュリティ」として、自らが加害者にならいないことはもちろん、親や教師といった立場の人が安全な環境を構築するための知識をつけてもらうことを目指します。

| | コメント (0) | トラックバック (0)

2008年8月22日 (金)

「CSO/CISO」の人材像(5)

「CSO/CISO」の人材像シリーズの続きです。

増田さんのブログ「情報セキュリティコンサルタントのお気楽Blog」でも取り上げていただきました。

「CSO/CISO」の人材像を示すものの1つとして、以前にここでも紹介した新資格「CGEIT」について触れられています。

CGEITですが、ITガバナンスの関する専門的知見、職務経験を有する人材を認定するのですが、そのITガバナンスそのものの定義、職能、職域などの共通認識、コンセンサスがあるとは言えません。私は、ITマネジメントとはITガバナンスでない、と認識しています。ITや関連する領域を管理するという職能はITマネジメントであり、それを以ってITガバナンスとは言えません。事実、ISACAがCGEIT認定に要求する職務のドメインも、それ以上のことを要求しています。

・ISACAが要求するCGEIT専門領域(ドメイン)

Domain 1 - IT Governance Framework(ITガバナンスの枠組)
Domain 2 - Strategic Alignment(戦略との整合)
Domain 3 - Value Delivery(価値の提供)
Domain 4 - Risk Management(リスク管理)
Domain 5 - Resource Management(リソース管理)
Domain 6 - Performance Measurement(成果の測定)

つまり、「CSO/CISO」の職務は「ガバナンス」であり、「マネジメント」ではない(「マネジメント」を含むがそれだけではない、が正確なところでしょうか)、ということですね…

<参考URL、記事>
「CGEIT」委員会~ISACA東京支部

新資格「Certified in the Governance of Enterprise IT(CGEIT)」

新資格「CGEIT」続報

| | コメント (2) | トラックバック (0)

2008年8月21日 (木)

クリップボード機能が乗っ取られる

(今日は「CSO/CISOの人材像」シリーズはお休みです。シリーズの続きは、明日以降で・・・)

ITmediaの記事「URLをコピペしたら悪質サイトに――乗っ取り被害が続出」からです。

この記事によると、以下のような現象が起きているようです。

「URLを選択して“ctrlとc”でコピーし、ペーストしようとするたびに、ウイルスと思われるリンクが出てくる」「例えば、http://www.google.com/というURLをWindowsのクリップボードにコピーして、ペーストすると問題のURLになる。ウイルス対策ソフトでスキャンしても何も見つからない」

そして、それはなぜなのかは、

攻撃者はトラフィックを稼ぐ狙いでユーザーのクリップボードを上書きし、自分たちのサイトのURLをペーストさせている。Javascriptなどのスクリプト言語を使って、自動的にデータをシステムのクリップボードにコピーする技術はよく知られている。
今回の現象は、被害者が正規サイトを閲覧した後に発生しており、不正スクリプトを仕込んだFlashが使われている模様。

とのことです。

ということで、どこに不正なスクリプトが仕込まれるかわかりません・・・

| | コメント (0) | トラックバック (0)

2008年8月20日 (水)

「CSO/CISO」の人材像(4)

またまた、前回の続きです。

過去の記事からかなり大雑把にまとめると「CSO/CISO」の人材像とは、「その組織において経営+ITの管理的責任を持つ人」ということになるでしょうか。

それから求められるものとしては、高度な知識だけでなく適切な判断ができる実践的スキル、さらにコンピテンシー、というところになりますね。

そして、これらの人材が「あまり多くないのが現状」ということです。

次回からは、その原因を私なりに考えてみます。(今日は肉体的にも精神的にもヨレヨレなので、このへんで・・・)

| | コメント (0) | トラックバック (0)

2008年8月19日 (火)

「CSO/CISO」の人材像(3)

さて、前回の続きです。

日本ITガバナンス協会のHP、メンバーズオピニオンに「期待されるCSO/CISOとは?」という記事がありました。
(寄稿された、北野さんご本人に教えていただきました。まことにありがとうございました!)

私も、とても参考になりました。
皆様にも、この機会にご紹介したいと思います。

この記事によると、CSO/CISOの一般的役割は、

1) 社内の情報セキュリティの現状を把握し、適切なセキュリティ戦略を立案・計画する。
2) 自らリードしたセキュリティ戦略を企業全体の経営戦略に照らし合わせて整合性を取り、適切な投資と事業リスクのバランスを検討しつつ、経営陣の合意を得る
3) 情報セキュリティを管理するためのフレームワーク、ポリシー、具体的対策・統制を策定し、リスクと優先順位に従って実施する。またそのコストと効果についても責任を負わなければならない。
4) 継続的な改善活動を含めPDCAサイクルを管理する。そのためには必要に応じて社内のセキュリティ状態を内部監査する必要がある。
5) 組織内のビジネスオーナーやビジネスの現場に対してセキュリティの必要性などを説明し、理解を得て協力を要請する。
6) 社会的な説明責任(CSR=Corporate Social Responsibilityの一部)を果たすために自らスポークスパーソンとなって情報発信を行う。

ということです。

うん、なるほど・・・

そして、CSO/CISOに求められるものは、

セキュリティ関連技術だけではなく法律、政府のガイドラインやISMSなどの情報セキュリティマネジメント、COBITのような管理フレームワーク、監査、リスク管理、危機管理などの広範な知識と経験
ビジネスと経営の視点を持つこと
・セキュリティ管理を組織内で推進するためのコミュニケーション能力や内部調整力

ということです。

そして「CSO/CISOに適した人材というのはあまり多くないのが現状」とあります。
「私と同じ意見」というよりも、やはりこれが事実ということ。
事実は、動かせませんね・・・

| | コメント (0) | トラックバック (0)

2008年8月18日 (月)

「CSO/CISO」の人材像(2)

さて、前回の続きです。

CSO/CISOという人材がいない、という問題については、いくつか要因があると考えています。
その最大の要因の1つが、日本においては職位・職務内容と経験や資格が結びついていないことが多い、ということです。もちろん、結びついている組織や人もありますが、結びつかないことが多いので「CSO/CISOという人材がいない」ということになるのでしょう。

人材不足は、その量の問題と捉えられがちですが、それ以上に質の問題が大きいと考えています。
いくらICT人材、情報セキュリティ人材を量産しようが、要求される職務内容と合致しないのでは、人材不足はいつまでたっても解消されません。

ICT人材、情報セキュリティ人材の中でも、特に育成が難しいのはいわゆる「高度人材」(個人的には、この用語についても、あまり良いものと思っていません)であり、その中の1つがこの「CSO/CISO」であり、(現状は)育成するのが最も困難なものになっています。

その理由は、また次回。

※ (諸般の事情で)今週は、更新頻度が落ちるかもしれません。予め、ご了承ください。

| | コメント (0) | トラックバック (0)

2008年8月15日 (金)

「CSO/CISO」の人材像(1)

(ちょっと前の記事なのですが、取り上げるのを忘れてましたので、いまさらですけど…)

japan.internet.comの記事「企業セキュリティの専門家CSOに掛かる期待」からです。
※ この場合の「CSO」には、いわゆる「CISO」も包含される、という前提でこの記事を書きます。

この記事によると、(CIOだけでなく)CSOが必要となってきた背景は、

1.企業の IT への依存の増大に伴って CIO の職務が大きくなり過ぎた
2.企業がインターネットを使うことでセキュリティ対策がより重要になった
3.個人情報や機密情報保護が成熟した
4.企業のガバナンスが重視されるようになってきた

とのこと。

「では、どんな人材像か」、ということで、ある企業の募集広告が引き合いに出されています。
それによると、

■職位
Chief Security Officer

■職務内容
セキュリティポリシーに基づいたセキュリティ対策を組織内で実現するために、技術力と経営管理スキルを併せ持ち、積極的にグループ内の関連会社とも協業しながら、ビジョンを持ったリーダーシップを発揮する

■経験
・ 情報セキュリティ、リスク管理、などを中心とした15-20年の職務経験
・7-10年の上位管理職、役員への業務報告
・2-5年の障害回復・事業継続計画分野での指導的役割
・ISO17799、COBIT、COSO、ITIL などセキュリティ管理フレームワークの知識

■学歴
・Information SystemかComputer Science の学士
・経営管理か Computer Science の修士

■資格
・CISSP、CISM、CISA などの情報セキュリティに関連した専門資格

ということです。

「なるほど、そりゃそういう人材が望まれるよね」と思いながらも、「日本では『経験』『学歴』『資格』は、そうなってない(できない)んじゃないの?」とも思って読んでしまう内容ですね。
「この募集広告では、誰も来ないか、来ても(募集要件に合わなくて)採用できないんじゃないの?」
うん、その通り…

さて、この件に関する、私なりの意見は、次回以降で。(例によって、「なるはや」で!)

| | コメント (0) | トラックバック (0)

2008年8月14日 (木)

武力衝突、サイバー戦争へ発展?

ITmediaの記事「グルジアへのDoS攻撃は“サイバー戦争”か」「グルジアの紛争、サイバー戦争に発展か」
からです。

ロシアのISP、Russian Business Network(RBN)によって、グルジアにある多数のインターネットサーバが7日夜以降、外部からコントロールされ、RBNの制御下にあるサーバへトラフィックがリダイレクトされる状態になっている、ということです。
※RBNは、マルウェアや悪質サイトをホスティングしているとして悪名高いISP

これは言わば、ISPというよりもサイバーな武装集団ですね。
停戦協定、武装解除、兵器廃絶、などが、リアルな戦争(武力衝突)ではありますが、サイバーな世界ではどうなのでしょうか。
やはり、リアルな世界より、見えにくい(逆に言えば、隠しやすい)ということになりますよね。

| | コメント (0) | トラックバック (0)

2008年8月13日 (水)

ウイルス対策ソフトのスキャン処理が停止する

IPAセキュリティセンターのHP「「ウイルスセキュリティ」および「ウイルスセキュリティZERO」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起」からです。

この脆弱性は、

細工されたファイルを何らかの方法(メール添付、ウェブ上からのダウンロード、ファイル交換ソフトなど)で取得したユーザのコンピュータ上で、当該ファイルが「ウイルスセキュリティ」および「ウイルスセキュリティZERO」にスキャンされた場合、スキャン処理が停止します。以降ウイルスが検知できなくなってしまうため、ウイルスに感染しやすくなる可能性があります。

とのことです。

IDS/IPSに対しては、よく「撹乱」攻撃が使われますね。
ウイルス対策ソフトにも、このような「撹乱」攻撃が有効であるという実例になりそうです。

関連情報
JVN#66077895「ウイルスセキュリティおよびウイルスセキュリティZERO におけるサービス運用妨害 (DoS) の脆弱性」~JVN

| | コメント (0) | トラックバック (0)

2008年8月12日 (火)

スパムもバイリンガル

日経ITproの記事「「2カ国語スパム」出現、日本語と英語でオンラインカジノに誘う」からです。

このバイリンガルスパムは機械翻訳を使っているようで、日本語の精度があまり高くないようです。
ということで、今のところ大きな脅威ではないようですが、ただ将来機械翻訳の機能が向上すれば、かなりの脅威になる可能性がありますね。

それから、相変わらず「全メールの78%がスパム」ということのようで。
今のところは、こちらのほうが脅威ですね。

| | コメント (0) | トラックバック (0)

2008年8月11日 (月)

「失敗学」的人材育成論

日経ITproの記事「システム開発は20年縮退している,“むしり取る”型の人材育成が必要」 からです。

「失敗学」でおなじみの畑村先生が、人材育成について語っておられます。

 「自分は,システム開発30年のベテランです」という方に実際に会ってみると,素人がただ30年経験してきただけのように思えることがあります。逆に若い人でも,課題設定と制約条件を見抜くスキルを備えた意欲のある人ならば,3年で30年分の経験に相当するレベルまで達することができるでしょう。そういう人をきちんと育てることが重要です。

 ただし,何かをやる手順や規則を効率的に覚えるといった,従来型の教育や研修,訓練だけではダメだと思います。自分で決めて自分の責任で実行し,評価するといったPDCA(Plan Do Check Action)のサイクルを何度も実行すると頭に残るものがあります。その頭に残った考え方が力を持ちます。

 「おまえの責任でこれをやるんだ!」「そこで学んだことを次のレベルでやってくれ!」と責任を持たせながら,最初は小規模のシステムを,次に中規模,大規模といった具合にやらせていくわけです。多くの仕事を任せながら,そこで抜きんでる能力を持つ人材を育成しなければなりません。

直接「失敗学」と結びつく内容ではありませんが、私が日ごろ主張している「経験は必要であり財産であるが、逆に作用している場合もある(経験を生かしスキルになっている人と、経験がスキルの維持向上を邪魔している人がいる)」「継続的トレーニングの重要性・有効性」ということが書かれていて、まさに共感できました。(正直、うれしくなってしまいました)

ということで、また少し自信ややる気も出てきたような気がするので、夏バテ気味ながら今週もがんばります!

| | コメント (0) | トラックバック (1)

2008年8月10日 (日)

「こんな個人サイトはイヤだ」ワースト20

CNET Japanの記事「こんな個人サイトはイヤだ」ベスト20からです。

この調査は、gooランキングの結果であり、それによるとそのベスト20(困ってしまうことなので「ワースト20」と言うべきでしょうね…)

●個人のウェブサイトで困ってしまうことランキング(順位,内容)
1 画像が多くて、重い
2 ポップアップがどんどん開く
3 アフィリエイトバナーがたくさん貼られている
4 「準備中」「作成中」のコンテンツだらけ
5 なにかあったら音が鳴る
6 よく分からないプラグインを勝手にインストールしようとする
7 リンクが切れているところが多い
8 なんのためらいもなくPDFファイルへのリンクが貼られている
9 トップページからFlash
10 目に優しくない背景色(黄色や赤色など)
11 過激な主義・主張(差別、原理主義的な思考など)
12 マウスカーソルになにかキャラクターがくっついてくる
13 文字が小さすぎる/大きすぎる
14 ブラウザのサイズを勝手に変えられる
15 サイトを見ても何を伝えたいかがわからない
16 右クリック禁止
17 エイプリルフールネタは「サイトを閉鎖しました」「管理人は死亡しました」
18 ほかのページが新規ウインドウで開く
19 機種依存文字を多用している
20 個人の顔写真、タレント写真など無許可の画像を掲載

なるほどね…

ちなみに私はこのブログだけで、個人ウェブサイトは開設していません。(手段や権利は持ってますが)
上記で該当しそうなのは、「8 なんのためらいもなく、PDFファイルへのリンクが貼られている」ですかね。
※ とにかく「15 サイトを見ても何を伝えたいかがわからない」でなければ、まずは良いのですが…

<関連記事>
「こんな企業サイトはイヤだ」ベスト20~CNET Japan

| | コメント (0) | トラックバック (0)

2008年8月 9日 (土)

セキュリンピック、はじまる

こちらで、はじまりました。(北京オリンピックも、はじまりましたが)

さて、金メダル(Wii+WiiFit)を目指しますか!

| | コメント (0) | トラックバック (0)

2008年8月 8日 (金)

「標的型攻撃対策手法に関する調査報告書」公開

JPCERT/CCのHPで「標的型攻撃対策手法に関する調査報告書」が公開されています。

まださっとしか読んでいませんが、攻撃の手法がますます巧妙化していることがわかります。
それから、この報告書では訓練や調査など、対応についても書かれているところが素晴らしいと思います。

ちなみに、同時にこちらも公開されています。

「ソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書 (日本語版)」

| | コメント (0) | トラックバック (0)

2008年8月 7日 (木)

「予告.in」に不正コード埋め込み

ITmediaの記事「「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿」

からです。

これは、犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた、というものです。(1時間半後に、この問題は解消された)

この攻撃は怖いですね。この書き込み自体が、犯罪(偽計業務妨害など)とされる可能性もあるものですからね。
このサイト以外にも、どこかのXSSの脆弱性のある正規サイトに埋め込まれたら…、ということを、ちょっと考えてしまいました。

| | コメント (2) | トラックバック (0)

2008年8月 6日 (水)

「フィッシングに関するユーザ意識調査報告書2008」公開

フィッシング対策協議会から、「フィッシングに関するユーザ意識調査報告書2008」が公開されています。

「フィッシング」という言葉や手口に関する理解は進んでいる、というデータになっていますが、個人的には「本当に、そうかな?」と疑わしく見ています。
同様の詐欺行為ということでは、いわゆる「振り込め詐欺」の被害件数は、今年は過去最高で推移しています。
(「フィッシング」被害の年齢層と「振り込め詐欺」被害の年齢層が違うという要素もあるでしょうが)このような状況を見ると、詐欺行為に対する適切な行動ができているとも考えられません。
特に「手口」は、手を変え品を変えなのですから、「知っている」というのも新たな手口まで、ということになると、やはりこの報告書のデータ通りには受け取れない気がします。

フィッシングに関するユーザ意識調査報告書2008について

プレスリリース

「フィッシングに関するユーザ意識調査報告書2008」

| | コメント (0) | トラックバック (0)

2008年8月 5日 (火)

ついに、大台突破

(ISC)2 Japanのサイトによると、CISSPが7月31日現在で1,011名になっていますね。

※ CISSP Updateのところでも、赤字で「日本のCISSPが1,000名突破しました」と書かれています。

同じCISSPホルダーとしては、仲間が増えることはとてもうれしいことでし、とても楽しみでもあります。
これからも、さらに仲間がさらに増え、多くの方々と交流していきたいと思っています。

それから、CISSPをはじめとする情報セキュリティ専門家の地位向上、活躍の機会の増加、なども、みんなで働きかけて実現していきたいと思っています。(これからも、がんばらなくちゃ・・・)

| | コメント (2) | トラックバック (0)

2008年8月 4日 (月)

「マネジメントシステム規格認証制度の信頼性確保のためのガイドライン」公表

「マネジメントシステム規格認証制度の信頼性確保のためのガイドライン」が公表されてました・・・

この場合の「マネジメントシステム規格認証制度」は、ISO9001(品質)やISO14001(環境)だけでなく、ISO/IEC27001(情報セキュリティ)も含んでいるようです。そして、このガイドラインは「認証をとっても社会的評価が高まらない」という問題意識のもとに作成されたようです。

さて、信頼性確保のための強化策として、虚偽報告の検出、有効性の評価、というようなことが書かれています
その具体的な手段が書かれていないのですが、「そんなこと、どうやってするの?」というのが私の率直な感想です。
現在の基準や審査方法では、そのようなことは困難というのが私の個人的な理解です。
にもかかわらず、そういう内容を求めるというのは、無理、無茶、不条理…、という感じです。

最近よく私は「機能的限界」という言葉を使うようになりました。
(暗号の「機能的限界」とか、FWやIDS/IPSの「機能的限界」とか、そういう話をあちこちでしているような…)
この「マネジメントシステム規格認証制度」にも、「機能的限界」があるわけで、それを理解しようとせず、推進を続けていくというのは改善や改革には結びつかないと思います。
それから「マネジメントシステム規格認証制度」が、日本国内と世界とでかなりその理解や使われ方が違ってきていると思います。
それらを含め、実態とあるべき姿をもう1度見直してほしい気がします。

<参考URL>
「マネジメントシステム規格認証制度の信頼性確保のためのガイドライン」の公表について

「マネジメントシステム規格認証制度の信頼性確保のためのガイドライン」

| | コメント (0) | トラックバック (0)

2008年8月 2日 (土)

JNSAセキュリティ対策セミナー「セキュリティ事故の傾向と対策としての社内教育」

以下のような、セミナーが開催されます。
特にユーザーレベルのセキュリティ対策や教育に悩んでいらっしゃる方、ぜひご参加ください。

私は講演は致しませんが、「個別相談コーナー」でご相談を受けるメンバーとして参加予定です。

<被害調査WG・リテラシーベンチマーク作成WG 合同セキュリティ対策セミナー>
セキュリティ事故の傾向と対策としての社内教育
~個人情報、4人にひとりは漏れている!~

■ 日 時: 2008年8月22日(金)13時30分~16時30分(受付開始 13時)
■ 場 所: メルパルク東京 3階 牡丹の間(港区芝公園 2-5-20)
 交通:JR・モノレール浜松町駅下車北口徒歩8分 
■ 主 催: NPO 日本ネットワークセキュリティ協会
 セキュリティ被害調査WG・セキュリティリテラシーベンチマーク作成WG
■ 定 員: 100名
■ 料 金: 参加無料
■ 対象者:
・何からセキュリティ対策をすれば良いか悩んでいる方
・セキュリティ対策や教育を行っているが効果が上がらないと悩んでいる方

| | コメント (0) | トラックバック (0)

2008年8月 1日 (金)

イチロー、3000本安打達成に思うこと

(私は、元草野球の選手兼監督、MLBファンということで、今回の記事を書いております)

おととい7/30に、シアトルマリナーズのイチロー選手が日米通算3000本安打を達成しました。
その中のコメントで「(3000本安打という結果は)小さいことの積み重ね」というものがありました。

3000本安打(日本プロ野球史上では2人目)ということで、ニュースなどでは「偉業」というような書かれ方をしています。
しかし、その「偉業」という大きな成果も、小さな成果を積み上げた結果だということです。

また、3000本まであと数本と迫った試合で、観客席のファンが「めざせ、3000本安打」というボードを掲げていました。
それをみたイチロー選手が「今の時点で、『めざせ、3000本安打』というのは、寂しすぎる。(どうせ書くなら)『めざせ、4000本安打』にして欲しい」というコメントがありました。(翌日、本当に『めざせ、4000本安打』というボードが掲げられていました)
イチロー選手なら、この4000本安打もきっと達成してくれるでしょう。
※ ちなみに、最多安打は日本では3085本(張本勲)、世界では、4256本(ピート・ローズ)。イチロー選手は、もはやこれを超えるという「目標」、そのような「前人未到」の領域が視界に入っているのでしょう。

高い「目標」を持ち、その達成のために日々研鑽を欠かさず、小さな実績を積み重ね、大きな成果としていく。
まさにイチロー選手は「プロフェッショナル」です。
(私はオリックス時代からのファンであり、200安打達成記念テレカというお宝も、大事に持っていたりします)
私も身を引き締め、目標達成のため、小さな実績を積み重ねていきたいと思います。
そのためにも、日々コツコツとがんばります。

| | コメント (2) | トラックバック (0)

« 2008年7月 | トップページ | 2008年9月 »