昨夜遅く、杜の都仙台に到着しました。
今年2月以来の久しぶりの出張です。
金曜まで、こちらにおります。
ちなみに金曜のお仕事は「2009年度情報セキュリティ監査セミナー in Sendai」 などです。
仙台は東北楽天イーグルスの2位争いで盛り上がっていますね。
今日勝てば2位のようですし、ちょうどKスタで試合もあるようです。
(時間的には可能なので)観に行こうか迷っています・・・
とにかく、仙台に着たからには牛タンだけは必ず食べます。
| 固定リンク | コメント (0) | トラックバック (0)
ご存知の通り、先週の衆議院選挙で民主党が大勝し、政権交代がされることになりました。
これにより、政策としてICTや情報セキュリティがどう変わるのか、関係する筋ではそれに期待や不安など様々あると思います。
それで、今回のお話ですが、その政策の話ではありません。
実はいろいろなところで、4月は攻撃が多いというデータが出ています。
それは、組織が変わったり、人事異動があったり、新入社員が入ったり、そうした不安定な状態を突いて、そういう時期に攻撃が起こっているということです。
今回の政権交代も同じように狙われるのではないか、という心配をしております。
特に官公庁を装ったフィッシング、標的型攻撃には、要注意かと・・・
| 固定リンク | コメント (0) | トラックバック (0)
お盆明けに、私が作成に関わった成果物が続々とリリースされました。
ちなみに、以下のものです。
・SSCPレビューセミナーテキスト
・公認情報セキュリティ監査人研修・トレーニングテキスト(改訂版)
・情報セキュリティ人財アーキテクチャーガイドブック2009年度版
このほか、今年は、
・CISSPレビューセミナー テキスト(改訂版)
・CISSP CBK E-ラーニング
・情報セキュリティプロフェッショナル教科書
・改訂CompTIA Security+
も、リリースされました。
いやぁ、我ながらがんばったなぁ~。
もう、今年は打ち止めでしょうか。
いや、そうならないかも・・・
何より、何らかの形で皆様のお役に立っていれば良いのですが・・・
| 固定リンク | コメント (0) | トラックバック (0)
9月からの新番組「仮面ライダーW(ダブル)」なんですが、ちょっと驚きました。
なだぎ武が出ている!
でなくて・・・
変身にUSBメモリーを使うそうです。
最近はカードや携帯電話なども変身に使われていましたが、ついにメモリーを使うんですね。
変なもの(マルウェア)が混入したり、データが飛んだり(なにせ、揮発性が高いメディアなので)しないのでしょうか。
そうなると、「ライダーになるはずが、ショッカーの怪人に!」「エラーで変身できません!」などとなるわけですよね?
そんな余計な心配をしてしまいました。
| 固定リンク | コメント (2) | トラックバック (1)
あっという間に8月になってしまいました。
特に6~7月は仕事が立て込んで、いろいろ大変でした。
今月は、普通のペースで仕事ができそうです。
私も関わったSSCPも含め、情報セキュリティ関連の資格も増えてきました。
このようなことについて、人によっていうことが違います。
「セキュリティ資格が充実してきましたね」という人と、「セキュリティ資格がますます乱立してきましたね」という人と。
なぜ言うことが違うかは、まずはこれらの資格を使いこなせているか、使い方がわかっているか、ということだと考えています。
使えれば「充実」だと思えるはずですし、そうでなければ「乱立(ただ多いだけ)」と思えるのでしょう。
CPEにしても「取得の義務」「大変だ」という人もいれば、(少数派ですが)「活動の権利」「楽しい」という人もいます。
つまり「考え方次第」ということですね。
ただそうなると「使えるとはどういうことか」「どうすれば、使えるのか」ということになります。
それを最近いろんなところで話をしております。
※ ここでも、いづれ書いてみます。
| 固定リンク | コメント (0) | トラックバック (0)
早いもので、もう6月ですね。
5月は、人的セキュリティに関する話や執筆をする機会が何度かありました。
人員の役割と責任、教育と訓練、不正、ヒューマンエラー、ソーシャル・エンジニアリング、詐欺・・・、とそのあたりの話ですね。
そこでも話したり書いたりしたことなのですが、人的セキュリティということになると、どうも精神論とか経験だけに頼った話や記事が多く、私にとっては釈然としなかったのです。(「性善説」と「性悪説」なども、同様ですが)
「こういう非技術的領域こそ、科学的なアプローチが必要」というのが、最近(だけではないのですけど)の私の持論です。
体系的かつ分析的に、それこそが実効性のある人的セキュリティにつながると考えております。
このブログで、何度か「ソーシャル・エンジニアリング」や「人間の特性」を取り上げていたのも、このような理由も大きいのです。
このあたりの話、どこかに掲載された暁にはこのブログでも紹介したいと思いますし、今後もここで何度か取り上げたいと思います。
<関連記事・このブログ>
・なぜ人はソーシャル・エンジニアリングにだまされるのか(1)
・なぜ人はソーシャル・エンジニアリングにだまされるのか(2)
・なぜ人はソーシャル・エンジニアリングにだまされるのか(3)
・なぜ人はソーシャル・エンジニアリングにだまされるのか(4)
・なぜ人はソーシャル・エンジニアリングにだまされるのか(5)
・「人間の特性 8か条」
・「6つの人間の脆弱性」
| 固定リンク | コメント (2) | トラックバック (0)
さて、まずは・・・
ゴールデンウィークなので、今週から来週は更新頻度が下がります。
今回のタイトルは、その私の気持ちということではありません。(ちなみに、暦どおりに出勤しております)
新型インフルエンザ(豚インフル)の話題で、今週3回ほど聞いた言葉です。
「はい、その通りですね」と答えたら「意外でした」と返されたりもしましたが。
組織においては、人員の安全と事業の継続性の確保は最優先課題ですから。
やはり可用性は最重要なのです。
今回の件は「漏洩させない」から「停止させない」へ、情報セキュリティ対策を見直すきっかけになるかもしれません。
ところで、今回のような脅威(パンデミック)は、情報セキュリティの問題ではないのだろうか。
そして、やはり便乗した脅威も出てきたりしてますが・・・(以下の参考記事)
<参考記事>
「日本語の豚インフル便乗スパムが登場」~ITmedia
「豚インフルに便乗のマルウェア出現、スパムに続く」~ITmedia
| 固定リンク | コメント (2) | トラックバック (0)
(今日は疲れ気味なので、短めにします)
試験制度関連の質問で、かなり頻繁に聞かれることです。
しかし、聞かれる側からすると「なぜ?」ということでもあります。
このブログでも検索キーワードの上位には、必ずこれらの言葉があります。
難易度や合格率によって、学習内容や受験する資格を変える(選択する)のでしょうか?
難易度が高く、合格率が低い資格はその価値が高いのでしょうか?
違いますよね・・・
いくつかの試験制度に関わっていますが、そのような考えではやっておりません、はい。
| 固定リンク | コメント (0) | トラックバック (0)
先週3/5(木)の「JASA情報セキュリティ人材育成セミナー2009 in Winter」からです。
大木先生の基調講演「情報セキュリティガバナンスに必要な人材育成」で、情報セキュリティガバナンスの枠組みについて「DMER」というキーワードのお話がありました。
Direct(方向付け):目的・目標の設定
Monitor(モニター):PDCAのモニタリング
Evaluate(評価):ガバナンスの評価、方向付けの評価
Report(開示・報告):利害関係者への説明
で、「DMER」です。
「情報セキュリティガバナンス」は「社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」(「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」経済産業省、2005年3月)とされており、「情報セキュリティマネジメント」よりも上位の概念として用いられている言葉です。
(ちなみに、さらに「情報セキュリティマネジメント」>「情報セキュリティマネジメントシステム」です)
「情報セキュリティガバナンス」が確立されていない(または、重大な欠陥がある)組織の「情報セキュリティマネジメント」や「情報セキュリティコントロール」は、適切であると言えません。そこで「情報セキュリティガバナンス」の確立が重要ということになるわけです。そのキーワードである「DMER」には注目したいと思います。
| 固定リンク | コメント (0) | トラックバック (0)
昨日2月2日は、「情報セキュリティの日」だったんですよね。
(今年で3回目でした)
私は忘れていたわけではないけど、仕事中でも特に話題にもならず。
何の変哲もない、普段どおりの1日でした。
新聞でもニュースでも「今日2月2日は、情報セキュリティの日・・・」というのも見ることなく聞くことなく、ただ静かに1日が終わりました。
何のための、誰のための「情報セキュリティの日」なんでしょうね。
このまま、忘れ去られるのでしょうか・・・
| 固定リンク | コメント (2) | トラックバック (0)
前回の記事「「抑止機能」だと思っていたものが…」の続きです。
今回の警備会社ステッカーなどの「抑止機能」により、防御する側はよく「安心する」と言います。
「安心」は人の感情や感覚です。これこそ、相対的に測定・評価しにくいものです。
※ 心理的な一定の効果があることは確かです。
組織のセキュリティ対策は、相対的に測定・評価できないものへの対応は困難です。
情報セキュリティでも、よく「安全・安心」という言葉が使われます(時には訳語として用いられる)が、「セキュリティ」と「安心」は違う概念ですし、直接的には結びつけられないと思っています。
| 固定リンク | コメント (2) | トラックバック (0)
私が勝手に予測します。(あくまで、勝手な予測です。あしからず・・・)
まず、キーワードは「クラウド」「モバイル」です。
そうした環境の変化の中での利活用と保護、そこで何が起こっていくのか、だと思っています。
脅威としては、ブラウザ周りのものや、中間者攻撃(man-in-the-middle,meet-in-the-middle)、不正やコードやURLなどの挿入、ウイルス対策システムやIDS/IPSの機能的限界をついた攻撃、などが多くなるでしょう。ますます、「脅威の見えない化」は進みます。そして、「クラウド」「モバイル」という環境では(「脆弱性の見えない化」以前に)「資産の見えない化」も進むでしょう。
また、今までのような「リスク回避」中心のセキュリティ活動は、ますますビジネスの阻害要因となってくるでしょう。
そのため、「リスクテイク」をしながら、セキュリティ活動をする組織とのビジネス効率の格差は拡大します。
ということで、実効的かつ合理的なセキュリティ戦略と活動が重要になってきます。
あれっ?!
結論は今までと同じかも・・・
| 固定リンク | コメント (2) | トラックバック (0)
本日より更新再開です。
今年も今まで通りのペースでこのブログは更新したいと思っておりますので、引き続きよろしくお願いいたします。
さて、そこで「今年は昨年まで以上に、いろんなことが起きるでしょうね・・・」なんてことを書こうと思っていたら、もう起きてましたね。
Winnyねたは個人的にはもうあまり興味がないのですが、今回は起こしてしまった人が立場的によろしくなかったようですね。
私物PCであったため、実害は少ないと思われますが・・・
<参考URL>
・「IPA職員がファイル交換ソフトでウイルスに感染、写真など流出」~ImpressWatch
・「IPA職員が情報流出 ― 私物パソコンでファイル交換ソフトを使用」~Yahoo!ニュース
| 固定リンク | コメント (4) | トラックバック (3)
やはり「限界」でしょうか。
今年は、この言葉を良く使いました。
システムやメカニズムなどの「機能的限界」、人間の「能力的限界」。
来年はこの「限界」を理解したうえで、どう情報セキュリティを考えていくのか、そのような新たな概念やアプローチを講習などで伝えていけるようにしたいと思っています。
それがなかなか難しいんですが・・・
| 固定リンク | コメント (0) | トラックバック (0)
昨日のねたの続きです。
CISSP ホルダーにしてSF者であるいかちょーさんのブログに注目したい記事があります。
「本当にDHCPサーバからIPアドレスを取得しなければ、単にPCをつなぐだけならウイルスは拡散しないのか」ということ。
さぁ、みんなでよく考えよう!
よく考えなくても、答えは「No」かな・・・
いかちょーさんとネットの別のところでやりとりしたんですが、プロトコルやプログラムでできる可能性のあることを、「ありえない」なんて思い込んでいると、こういう脅威が想定できなくなるんじゃないかと思っています。
<参考記事・いかちょーさんのブログ>
「DHCP サーバから IP アドレスを取得しなければ、ウィルスは拡散しない?」
| 固定リンク | コメント (0) | トラックバック (0)
昨日の記事(「USBメモリ型ウイルス」と呼ばないで欲しい・・・」)の反響が結構大きかったので、補足を含めて続きで私の考えを書いてみます。
とにかく「技術」や「道具」は意思を持ちませんし、使用をするのは「人間」です。そこに、一般に不適切とされる意思(悪意)、使用(不正使用・誤使用)などの「行為」があった場合に影響が起こるということですよね。ということで「善・悪」は、あくまで(「人間」でもなく)「行為」のはずです。
「技術」や「道具」を「悪者」扱いすることは、この部分への対応が及ばないことが多くなります。対応できたとしても「技術」や「道具」、つまり「手段」への対応ができるに過ぎません。「動機」や「機会」を排除できません。ここが規制できない限りは、(特に、悪意の場合は)同じ目的で「技術」や「道具」という「手段」を変更されるだけのことです。
この「USBメモリ型ウイルス」という表現には「わかりやすく伝えよう」、という意図があろうこともわかりますが、その結果として、事実や本質が伝わらないのでは、意味がないどころか逆効果です。(詐欺的な行為のほとんどは、そうしたユーザー側の不十分な知識や思い込みをついてきているわけですし)
悪いのはあくまで「行為」であり、そこを「コントロール」するしかないと考えています。
| 固定リンク | コメント (0) | トラックバック (0)
どういうわけか、ネットの記事や書籍に書いてあることは「正しい」「事実」と思われがちのようです。
「しかし、そうでないものがかなり多いかもしれない」ということは読み手としては知っておくべきでしょう。
特に「事実」でないもの(個人的な主張、思い込みに過ぎないもの)が、そう見えるような書き方がされているものは要注意です。
これは、意図的にされている場合とそうでない場合と両方あるでしょう。
さて、以下は私のあるセキュリティ仲間とのネットでの、ごくごく最近のやりとりの私のコメントです。
(ネットのある記事を読んでの感想です。情報セキュリティのリスクについてのものでした)
情報セキュリティ対策とは、本来は資産の利活用のために実施すべきものです。
この記事の目的や意図がそこにあるかどうかわかりませんが、結果としてそれは読み取れません。危険性だけ煽ってインパクトを強め、「記事を読んでもらおう」とか「製品を買ってもらおう」というのは専門家や有識者のすべきことではないと思っています。(というより、そういうことをする人は、真の専門家や有識者ではないと思っています)
意図的にするということは、専門家としては絶対にやってはいけないことです。
意図的でない場合は、「事実」とそうでないものを区別して主張しなければなりません。
倫理的にも、道徳的にも、能力的にも、専門家はそうでなければならないはずです。
以上、これは個人的な見解と主張です。
ということで、私もこのようなことを肝に銘じ、努力精進する所存なのでした・・・
| 固定リンク | コメント (2) | トラックバック (0)
それは「思い込み」であり、それに気がつかないことです。
そして、「考える習慣」「使う習慣」の欠如です。
スキル・能力の維持のために、多くの書籍や資料を読み、セミナーを聴講し、新たに資格を取得する・・・
確かに、これらは有効な手段であるかもしれません。
しかし、いくら知識を蓄積しても、「思い込み」に気がつかず、「考える習慣」「使う習慣」がないのでは、それを有効な価値あるものにはできません。
最近、いろんなところで、それを実感しております。
今日は、そんな独り言でした・・・
| 固定リンク | コメント (0) | トラックバック (0)
はい、(珍しく?!)約束どおり、前回の続きです。
「振り込め詐欺」は、日本以外でも同様の犯罪があるようです。(そりゃ、あるでしょうね。よく考えれば当たり前のこと・・・)
韓国などがその例で、"Voice Phishing"と呼んでいるそうです。("Vhishing"と紛らわしいですけど)
つまり、手段がメールなのか、電話なのか、その違いだけで同じ"Phishing"ということなのですね。
個人的には、それなりに納得です。
なぜならば・・・
今後、個人のPCリテラシーが向上し、インターネットバンキング利用者が増加すれば、「振り込め詐欺」も電話だけではなく、電話とメールの併用(さらには、メールだけ)というような手口に変わってくるでしょう。
そうなると「振り込め詐欺」="Voice Phishing"というのも、ピッタリくる表現になるのかもしれないからです。
さて、この件はまだ続きます。(という予定)
| 固定リンク | コメント (0) | トラックバック (0)
「いつかは書かなきゃ」と思っていたのですが、ついつい忘れてました・・・
「振り込め詐欺」対策ということで、ここしばらくATMの前に警官の皆さんが立っていることが多くなってますね。
にも関わらず、「振り込め詐欺」被害は減っていない、むしろ増えている、という報道などもされています。
つまり、今のところ効果が出ていない、いうことになります。
その原因を、いくつか考えてみましょう。
・ATMの数と配備される警官の数の差が大きすぎる。
・振り込みの現場を見落としている。
・詐欺の手口が変化している。
まずは、こんなところでしょうか。
ちなみに私が「ATMの前に警官の皆さんが立っている」という光景を見た際の最初の感想は以下の2つです。
・おそらく効果はないだろう。効果があっても長続きはしないだろう。
・これだけの警官を配備していることで、別の脆弱性が生まれているのではないか。
皆さんは、どうお考えですか?
※ この続きは、また。(といいながら、続きを書いてなかったりする記事もありますが、何卒ご容赦を・・・)
| 固定リンク | コメント (2) | トラックバック (0)
最近の講習や講演では、「信頼」という言葉を良く使っています。
情報セキュリティ対策は「コスト」ではなく「投資」ということ(これが私の主張にもなるわけですが)を合理的に説明するには、この言葉を使うしかないと思っています。
信頼できるデータ、信頼できるシステム、そして信頼できる組織、それを実現するための投資、ということです。
(その組織自身が自らを信頼できる、ステークホルダーから信頼される、社会的に信頼される、そのための投資)
そのためには保証サービスや情報セキュリティ対策の有効性評価が必要、ということになると考えています。
こういうことを特に情報セキュリティの専門家を目指す方や経営に関わる方に伝えようと、いろいろ苦労しております。
| 固定リンク | コメント (0) | トラックバック (0)
落ちました・・・
と言っても試験に不合格になったとか、ではなく、昨日はブログを更新しなかったということです。
(作家とか漫画家で言えば「落ちた」ということになるので)
先週から今週は公私ともいろいろありまして、その結果「落ちた」わけです。
こういう場合は、「忙しかった」というのが簡単だと思いますが、私はこの言葉を使うのが個人的に好きではないので・・・
実は2006年2月に別のところ(先代のブログ)で、こんなこと書いてました。
「忙しい」をなんとなく口癖、または万能の言い訳にしている、というのはプロフェッショナルとしては失格と思っています。
プロフェッショナルとしては、それは何かができないことに対する詭弁、負け惜しみのようなものと考えるべきです。
どう仕事(だけではないですが)に優先順位をつけるか、どのように準備・段取りを行い、自身の知識や能力を使って効率的に片付けるか・・・
(あと「時間泥棒」に付き合わない、付き合わされない、というのもありますが・・・)
タイムマネジメントは、情報セキュリティプロフェッショナルになるためにも、もっとも重要なスキルの1つであると思います。
「はい、すいません・・・」
って、自分で自分に説教されているかのようです。
(私にとっては、こういうのもブログを書いている効果の1つなんですけど・・・)
この考え方は、今でも変わっていませんね。
「忙しい」というのは、「他に優先することがあった」ということです。
「忙しい」といって言い訳したり、断るのは「他よりも優先順位が低い/低かった」ということです。
(何かほかにしているということですから、論理的にそうなります)
ということで、今回落ちた理由は「他に優先することがあった」ということです。
明日からは、またちゃんと更新する予定です。
| 固定リンク | コメント (2) | トラックバック (0)
今日も、物理学ネタです。(ひとまず、このネタはこれで終わりになると思います)
「容疑者Xの献身」が公開中ですが、その予告編で主人公のガリレオこと湯川准教授曰く、「すべての現象には理由がある」と・・・
そして、「仮説は検証しなければ意味がない」とも・・・
確かにそうだよねぇ~、と納得しています。
「すべての現象には理由がある」は、「すべての事象には原因がある」などという言い方で、フォレンジック、インシデントレスポンス、監査などの業務で言ってみたいですねぇ~。
そう言ってみたものの、「さっぱり、わからない」(これも予告編でガリレオが言っている)となりそうですが・・・
| 固定リンク | コメント (0) | トラックバック (0)
7日に南部博士、小林博士、益川博士の3人がノーベル物理学賞を受賞しましたね。
研究テーマは「素粒子」。
なんとなく「難しくて、わからなさそうなテーマだなぁ~」と思ってたら、本当に難しいらしく、このテーマの3人の著書(新書)は事実上の絶版になっていたそうです。(急きょ、重版が決定したそうですが)
ITの世界だと、「素粒子」という単位ではなく、「量子」までですよね。(それでも、よくわかりませんが)
それから、4日から公開された「容疑者Xの献身」のガリレオこと、湯川学准教授も物理学ですね。
(映画は見ていませんが、ドラマは見てました。原作も読みました)
ということで、世の中は「このところ、何かと物理学」という感じがしています。
個人的にも、最近は物理層あたりのセキュリティが重要だと考えていたりします。
これから到来する(というより、すでに到来している)ユビキタス時代は、この層のセキュリティが必須と考えているからです。
| 固定リンク | コメント (0) | トラックバック (0)
また、ユーザー教育ねたです。
特に最近私が遭遇することについて、書いてみます。
ユーザー教育だけでなく、社内研修なども特に多いのが、教育が「指導」ではなく「指示」になってしまっていることがあります。
「ああ、しなさい」「こうしてください」という教育になってしまっているということです。
「指導」と「指示」は、明らかに違います。
「指示」の場合は、教育を受けている側が考えることをしなくなります。
その結果、応用がきかなくなり、状況に応じて判断することができなくなります。
それから教育している側が「指導」と思っていても、いわゆる「見下し目線」になってしまうと結果が「指示」になっているということがあります。
こうして、結果的に「期待した効果がでない」ということが多くなってしますようですね。
| 固定リンク | コメント (0) | トラックバック (0)
以前の記事「仕事のモチベーション」でも、「バランス」が大事と書きました。
その中の1つが「WLB(ワークライフバランス)」です。
そう言いながらも、(何事もですが)実践は難しいですね。
最近、かなり「ワーク」に偏り「バランス」が崩れていたような気がしたので、この3連休はほとんど仕事とそれに近いことはしませんでした。ということで、仕事のバッファはたまったままなのですが、精神的にも体力的にも「バランス」を取り戻したような気がします。(このようなことは「リフレッシュ」というのとは、また違うと思っています)
自分なりの感覚なので、うまく表現できませんが、全体の「バランス」を保つというのは「ワーク」「ライフ」ともに重要なことだと思っています。
ところで、「WLB(ワークライフバランス)」(一般的にはこちらの呼び方らしい)、個人的には「ライフワークバランス」と呼びたいのです。私はどうしても、「ライフ」>「ワーク」としか考えられないので…
| 固定リンク | コメント (0) | トラックバック (0)
なんだか最近多く言っている気がする言葉です。(今日、また言うかも)
私の記憶では、以下のようなものがあったと…
・「資格」を取ることが目的?
・「暗号化」することが目的?
・「報告書」を作成することが目的?
・「認証」を維持することが目的?
目的は別にあるはずで、これから手段のはず。
それから計画がはじまった段階では、「手段」だったものがいつのまにか「目的」になっているということも多い。
それなのに「目的」達成となってしまう。
こういうのは、やはり自分では気がつかないものなのですね。
チェック機能は、まさにこういうところで必要なのですが、それがまた「目的」となっていたりして…
ああ、キリがない。
| 固定リンク | コメント (2) | トラックバック (0)
(私は、元草野球の選手兼監督、MLBファンということで、今回の記事を書いております)
おととい7/30に、シアトルマリナーズのイチロー選手が日米通算3000本安打を達成しました。
その中のコメントで「(3000本安打という結果は)小さいことの積み重ね」というものがありました。
3000本安打(日本プロ野球史上では2人目)ということで、ニュースなどでは「偉業」というような書かれ方をしています。
しかし、その「偉業」という大きな成果も、小さな成果を積み上げた結果だということです。
また、3000本まであと数本と迫った試合で、観客席のファンが「めざせ、3000本安打」というボードを掲げていました。
それをみたイチロー選手が「今の時点で、『めざせ、3000本安打』というのは、寂しすぎる。(どうせ書くなら)『めざせ、4000本安打』にして欲しい」というコメントがありました。(翌日、本当に『めざせ、4000本安打』というボードが掲げられていました)
イチロー選手なら、この4000本安打もきっと達成してくれるでしょう。
※ ちなみに、最多安打は日本では3085本(張本勲)、世界では、4256本(ピート・ローズ)。イチロー選手は、もはやこれを超えるという「目標」、そのような「前人未到」の領域が視界に入っているのでしょう。
高い「目標」を持ち、その達成のために日々研鑽を欠かさず、小さな実績を積み重ね、大きな成果としていく。
まさにイチロー選手は「プロフェッショナル」です。(私はオリックス時代からのファンであり、200安打達成記念テレカというお宝も、大事に持っていたりします)
私も身を引き締め、目標達成のため、小さな実績を積み重ねていきたいと思います。
そのためにも、日々コツコツとがんばります。
| 固定リンク | コメント (2) | トラックバック (0)
以前の記事(いつ、どの記事だったかは思い出せません…)で、情報セキュリティで「正しい」とか「大丈夫」なんて言葉は使っちゃいかん、などという趣旨のことを書きました。
しかし、多くの書籍や記事などで、今だにそのような表現を目にします。
特に私が目にしているのが多いのは、「正しい」の方ですね。(実は今日も…)
もし、「正しい」情報セキュリティがあるなら、そうでないのは「間違った」情報セキュリティ?、「悪い」情報セキュリティ?、「邪道な」情報セキュリティ?
ということで、「適切な」「十分な」「正確な」「(目的などに)合致した」…、などの表現にしていただきたいと思います。(資格試験などの問題は「正しいものを選べ」ではなく、「適切なものを選べ」ですよね)
※ 今回の記事は他の方の文章の言葉尻を捉えて、非難・批判をしたいのではなく、読み手に書き手の意図通りに伝えるために、という観点で書いております。念のため・・・
| 固定リンク | コメント (0) | トラックバック (0)
NHK土曜ドラマ「監査法人」が、7/19(土)の放送をもって、完結しました。
ドラマ自体は「最後は、(良くも悪くも)うまくまとめられちゃったなぁ」というのが率直な感想です。
しかし、かなり興味深い全6回を観ることができました。
さて、このドラマでつくづく考えさせられたのは「なぜ、不正は起こるのか/なくならないのか」ということ。
そして、「どうしたら、不正は検出できるのか/どうして、できなくなるのか」ということ。
そう考えているうちに、以前から読もうか読むまいか、迷っていた書籍を購入してしまいました。
それは、「会計不正 ‐ 会社の「常識」監査人の「論理」」という本です。
(タイトルを見ると、一瞬小説のようにも見えますが、ビジネス書です)
最近読んでいる書籍は情報セキュリティというより、どんどん会計とか経営とかそちらの世界に最近向かいつつあります。(他には、畑村洋太郎先生の「失敗学」の本とか、「CIO学」とか…)
私は、もともとそちらの畑(経営学)の人間なのですが、情報セキュリティの本質とは、こういう視点から考えていくべきだ、と個人的には確信しています。
この本を読んでの感想やコメントは、また後日…
| 固定リンク | コメント (0) | トラックバック (0)
「『監査』って、地味な仕事なんだけど、ドラマになるとそう見えないなぁ」と思いました。
私自身も監査をしたことがあります(もちろん、会計監査ではありません)し、知人に公認会計士をはじめ監査法人に勤務されている方も多くいらっしゃいます。他の方から、コメントを直接聞いたことはないのですが、おそらくほぼ同様の感想なのではないかと思っています。
ドラマになることによって、会計監査をする公認会計士という職業に関するイメージもかなり上がるでしょう。
でも、情報システム監査、情報セキュリティ監査については、どうなんでしょうねぇ?
それよりもIT業界というイメージのほうが上回るでしょうから、こちらのイメージ向上にはつながらないでしょう…
(他力本願はいけませんね、自分たちで頑張らなければ)
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの「山口英情報セキュリティ補佐官インタビュー(後編)」を見ていて、ここには思わず反応しました。
このインタビューによると、
具体的にどうやってセキュリティと企業の競争力向上を両立させるのか。
三つのことに取り組む必要がある。
第1に技術の開発。これまでは,これなら絶対に守れるという技術だった。しかし,これからはリスクはあるものという前提に立ち,問題が発生したときに想定の範囲内で被害をとどめるといった技術の開発が必要になる。
第2がコンプライアンス(法令順守)について見直すことだ。現状では企業がコンプライアンスに過剰反応して身動きが取れなくなっていたり,企業の力関係によって一方が他方に対して責任をかぶせるということがある。
ここに対しては,レベル感を合わせるために,政府がコンプライアンス関連の知恵を集めて提供していく必要がある。ガイドラインだったり,コンプライアンスに伴ういくつかの契約書の雛形(ひながた)を出すといったものだ。
自社で専門家を雇う余裕がない中小企業も含めて考える必要がある。業務をアウトソーシングする際,秘密保持協定や免責の協定がサービス提供者側に有利になっている。ここを是正するように働きかけていかないと,いつまでたっても中小企業にコンプライアンスが定着しない。
第3にマネジメントの強化が必要だ。ここがだめだと,企業が活性化しないし,セキュリティ・レベルも向上しない。利益とリスクを把握した上で決断をする,経営の検証を自分たちで実施し,必要があれば外部の第三者にも見てもらう。企業には,こうした当たり前のことをやっていってほしい。
ということでした。
とにかく、過剰反応を避け、適切な組織運営としてのセキュリティの判断、特に「リスクテイク」ができるようにならなければならないということです。そのためには、マネジメントの強化(というよりガバナンスの確立が先決と、個人的には思ってますが)が不可欠ということですね。
<参考URL>
「山口英情報セキュリティ補佐官インタビュー(前編)」
| 固定リンク | コメント (0) | トラックバック (0)
NHK土曜ドラマ「監査法人」を、第1回から毎週観ています。(6/28(土)で第3回でした。今週も観ます!全6回ですから、あと3回ですね)
このドラマを観ながら「情報セキュリティの監査とはどうあるべきか」など、少し真面目に考えてみたりしています。
それから「監査(audit)」と言っても、いろいろな「監査」があります。
まず概念として、かなり違います。
ISMS適合性評価制度の監査(審査)と、情報セキュリティ監査における保証型監査も概念的にかなり違います。
それをどう教育するか、個人的には今まさにそれを悩んでいたりしますが・・・
そういえば、学生のころは、一応「財務会計論」と「会計監査論」の単位取ったんですよ。
ここだけの話ですけど…(ここだけになってないけど)
| 固定リンク | コメント (2) | トラックバック (0)
ITmediaの記事「国内ブログ総数は1690万、8割以上は更新されず」からです。
我ながら、よく頑張ってるなぁ~、なんて…
(そういえば、1つ更新してないブログあるけど)
この記事によると、ブログの開設動機は、
自己表現(30.9%)
コミュニケーション(25.7%)
自分の情報を整理・蓄積するアーカイブ(25.0%)
収益(10.1%)
社会貢献(8.4%)
の順になってます。
私の場合の最大の動機は「自分の情報を整理・蓄積するアーカイブ」、次に「自己表現」「コミュニケーション」ですね。
アフィリエイトやってないので、「収益」はありません…
| 固定リンク | コメント (0) | トラックバック (0)
内閣官房情報セキュリティセンターのメルマガ【NISC NEWS】第21号からです。
ここで使われているある用語が気にかかりました。
●第2次基本計画の基本理念について
第2次基本計画の下での取組みにおいて、我が国のあり方として重要なことは無謬性の追求ではなく、『冷静で迅速な対応、最適な水準の対策の効果的・効率的な実施と説明責任の明確化、主体ごとに求められる最適なセキュリティ水準を達成できる高品質や高信頼性、利用者にとっての安心・安全の確保』という概念です。検討委員会では、こうした概念のもと、より現実に即した実効的な情報セキュリティ対策が冷静に実現される「成熟した情報セキュリティ立国」を目指すべきとの結論を得ました。
そして、成熟した情報セキュリティ立国を実現するためには、ITに係る技術や制度の側面での対策に加えて、社会や国民の意識改革として「ITルネサンス」※が不可欠です。その上で、我々は自国の取組みに自信を持って世界と協調し、IT先進国として相応しいイニシアティブを発揮していくべきと考えられます。※ITルネサンス:(1)人間が必要以上にセキュリティ問題に振り回されず、むしろ、冷静かつ主体的にITを使いこなせるようになること(=「ITからの人間性解放」の実現)、(2)結果、最適な水準のセキュリティ対策を実施することで、人間が可能化装置であるITを最大限使って、人間の英知に基づく様々なアイデアの実現が可能化・容易化されること(=「ITによる人間性解放」の実現)
この「ITルネサンス」という用語です。言葉からはその意味することがピンとこなかった(正確に言うと、聞き覚えはあったのですが
「さて、どういう意味だっけ?」といこと)のですが、その概念や思想としてはかなり共感・納得できるものがあります。
「ITのための企業経営(組織運営)」ではなく、あくまで「企業経営(組織運営)のためのIT」なのですよね…
<参考記事>
・「ITルネッサンス」~日経ITpro(2002年)
| 固定リンク | コメント (0) | トラックバック (0)
NIKKEI BP Netの記事「仕事にすぐ効く!ITサプリ」からです。
仕事上、ポインターは重要アイテムなので、気になります。
現在もっているポインター(プレゼンテーションマウスにポインター機能がついたもの)もそろそろ古くなったので、新しいのが欲しくなってきました。
やはり、これからはグリーンのレーザーポインターが主流になっていくんでしょうね。
とにかく、見やすい。
ここで取り上げられている「LP-400」(PLUS)は、なかなか良さそうですね。
しかし、価格が「ヨドバシの通販で4万2800円」らしい。
今のところ、高くて買えませ~ん!
| 固定リンク | コメント (2) | トラックバック (0)
さて最近、読んでいるものは…
会計監査の書籍や資料です。
以前の記事で「電子的監査証拠」という書籍の紹介をしました。
この本も含めて、「監査論テキスト」とか、「監査のための統計的サンプリング入門」とか…
別に、業界を変わろうとか、(いまさら)公認会計士試験を受けようとか、そういうことではありません。
主に情報セキュリティ監査のため、そのほかにもエビデンスを扱う業務(インシデントレスポンスなど)へ活かすために読んでおります。
それにしても、監査というのは大変で難しいです。
マネジメントシステムの監査や、セキュリティの検査(侵入テストや脆弱性スキャン)などと同じとか、その延長などという理解をされていることも多いのですが、それは明らかに違います。
それらと会計監査、これからの情報セキュリティ監査の方向性、それとの乖離状況がとにかく大き過ぎます。
しかし、情報セキュリティの実効性の評価をするためには、解決しなければならない課題とも考えております。
(その詳細は後日書きます。私の頭の中でも整理しきれてませんので)
さて、それでどうすればいいのか。
それを、何度もこのあたりの資料を読みながら、ずーっと悩みながら考え中なのです。
はぁ~…
| 固定リンク | コメント (0) | トラックバック (0)
| 固定リンク | コメント (3) | トラックバック (0)
ケビンねた、ソーシャルエンジニアリングねたのつづきです。
前回の記事では、ソーシャルエンジニアリングをする側の話でしたが、今回はソーシャルエンジニアリングへの対策をする側の話です。
と、この記事を書こうとググったら、以下の記事が出てきました。
この講演の記事がないのかと思ったら、あったのですね。良かった…
(ちなみに、講演の日の夜にTBSの「ニュース23」では、取り上げられていましたけど)
<参考記事>
「ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説」~InternetWatch
この記事によると、(というより、わたくしの講演のメモでも、です…)
1)上級管理職の参画 (必須)
2)具体的な事例を挙げての啓発
3)社員が自らの問題と意識して参画できる仕組みの確立
4)何が機密情報であり、行動指針となるかを定義する単純なルールの整備
(ヒューリスティック=発見的問題解決)
5)「No」を代わりに言ってくれる仕組みの導入
が、ソーシャルエンジニアリングへの対策として重要だということです。
そして、ソーシャルエンジニアリングで騙されやすい人は、
1)自分だけは騙されるようなバカではないという幻想を抱いている
2)人は何となく他人を信じやすいものである
3)セキュリティの手続きに従うのは時間の無駄と思っている
4)情報の価値を過小評価している
5)人は他人 (同僚) を助けたい気持ちを持っているものである
6)自らの行動がもたらす結果をわかっていない
ということです。
この中の1)と2)は、詐欺を含め、騙されやすい人全体的な特徴でもありますが・・・
さて、ここまでわかってきたとしても、実際の対策も教育もかなり難しいですね。
といいながら、ソーシャルエンジニアリング関連の教育の内容を考えていたりします。
| 固定リンク | コメント (0) | トラックバック (0)
今週の月曜に、ケビン・ミトニック氏の講義を拝聴してきました。
講演のタイトルは「The Art of Deception」、著書(日本では「欺術」)と同じでした。
ソーシャルエンジニアリングの手口とその脅威を、わかりやすく伝えようと、かなり苦心していたように見受けられました。
でも、その本質的なことが伝わってない人も多かったような気がします。
やはり、ソーシャルエンジニアリングを教えるのは、難しいのですね。
もちろん、検出も対応も難しいですが・・・
さて、その講演で「ソーシャルエンジニアリングの戦略」の話がありました。
つまり、ソーシャルエンジニアリングをしようとする者が取る行動です。
ちなみに、以下の3つとのこと。
(1) なりすます人のアイデンティティを確立する
(2) 情報を入手しようとする理由を明確にする
(3) だます相手の信頼や共感を得る
なるほど…
これをもとにシナリオを描くわけですね。
そのために、事前に情報収集(やはり、ごみ箱あさりが効果があるらしい。「ある人のゴミはある人の宝物」と言ってました)をするわけですね。
| 固定リンク | コメント (0) | トラックバック (0)
なんだか、最近「改訂」にばかり関わってます。
あの試験、この試験、あのテキスト、この書籍…
ということで、計4つの改訂に同時に関わってます。
(もちろん、すべてセキュリティ関連のものです)
ところで、何か忘れてないよね?
4つだよね?
(忘れてたら、やばい)
さて、何を改訂しているのかは、書けるようになったら順次ここでご報告します。
| 固定リンク | コメント (0) | トラックバック (0)
かなり溜まってます。疲れと原稿が・・・
大型連休中の方もいらっしゃるでしょうが、私は暦通りに働いております。
5/1と2も講習業務です。(5/3~6は休みます)
ちなみに、5月は10日間の講習があります。
これを無事にこなして、溜まっている各種原稿を書きあげれば、しばらくは楽になるかな?(なるといいなぁ~)
ところで、日本のCISSPホルダーはもうじき1000人になりますね。(こちら)
| 固定リンク | コメント (2) | トラックバック (0)
ついに、このブログのアクセスが100,000を突破しました。
「情報セキュリティ」というニッチな話題にも関らず、多数の皆様よりアクセスをいただき、心より御礼申し上げます。
これからもよろしくお願いします。
といいながら、もうすぐ連休なので、更新頻度は落ちると思います・・・
| 固定リンク | コメント (2) | トラックバック (0)
昨日の記事の続き、補足です。
つまり「使用禁止」というような対応は「リスク回避」にしかならないということです。
「リスク回避」は、すなわち「機会損失」です。
このような対応策をとるのであれば、これを理解したうえで合理的に判断されなければなりません。
本来、技術は利活用されるために存在するものです。
それを使用しないことは、ビジネスの阻害要因となるということです。
しかし、利活用するということは、必ず何らかの「リスク」を発生させます。
これらのバランスやトレードオフを考慮し、使用するかどうかをその主体が判断すべきなのです。
ということで、「リスク回避」は決して「基本」でも「常識」でもない、というのが私の結論です。
(だいたい、サイバーな世界ほど今までの「常識」はあてにならないものである…)
| 固定リンク | コメント (6) | トラックバック (0)
日経ITproの記事「会社でのUSBメモリー使用は禁止が基本,代替手段や利用時の選定/運用条件を明確に」からです。
なかなか興味深い記事なのですが、「使用禁止が基本」という言葉に強烈にひっかかりました。
この記事の筆者が言わんとされていることはわからないわけではなく、とてもいいことを書かれていると思います。
ですが、個人的に主張の仕方が、かなり気になりました・・・
使用をどうするか(許可するか、禁止するか)は、本来その主体である組織が決めるべきことのはず。
いくら専門家とはいえ、参考意見の域を越え、主観的というより恣意性まで感じられます。
本来、こういう場面で「基本」とか「常識」などという言葉(他には「大丈夫」とか「絶対」とか)は、使うべきではないと私は考えております。
リスクに対する対応策が事実上ない、というなら話は別ですが、この記事にも書かれているように対応策は存在するわけですから、使用をどうするかは利活用と保護、費用対効果などのバランスやトレードオフで、対応策を実施する主体で判断されるべきものだからです。
| 固定リンク | コメント (7) | トラックバック (0)
ユーザーへの教育や普及啓発などで、よく「不審」「怪しい」「身の覚えのない」などの言葉が使われています。
これらの言葉は、本当に伝わっているのかと甚だ疑問に思っています。
「不審」なサイト、「怪しい」サイトにはいかないようにしましょう。
「身の覚えのない」請求は支払わないようにしましょう。
そうはいうものの、そういうサイトには行ってしまっているわけですし、不正請求にも(約4%が)支払っているわけですし。
にも関わらず、これらの言葉を使い続けてユーザーへの教育や普及啓発などが繰り返されているということ。
とにかく相手に伝わっていなければ、効果はありません。
他にも、「平易な言葉」を使う、とか「横文字」は使わない、とかがありますが、何をしようが伝わっていないものは、同じことを何度しても効果はありません。
こういう教育資料や普及啓発コンテンツを見るたび、最近はこのようなことを考えております
| 固定リンク | コメント (0) | トラックバック (0)
ここ2日ほど、ちょうど同じ話題が出たので、今日はそのお話です。
「セキュリティ上の理由で、PDFファイルでお送りしています」と言って、添付ファイルをPDFにしてメールで送られる方がいらっしゃいます。さて、この場合の「セキュリティ上の理由」とは、何でしょうか?
考えられるのは、
・機密性:情報漏洩の防止
・完全性:改竄の防止、または検出
・真正性:送信者の身元の証明
・否認防止:送受信のやりとりの事実を否認させない
あたりです。
しかし、(暗号化、デジタル署名、パスワードによる保護などもなく)PDFファイルにしているだけであれば、このどれにも該当しません。
どうもユーザーレベルでは、「完全性:改竄の防止、または検出」ができると誤解されていることが多いようです。
少し前の話ですが、あるユーザーの方から普通のWordファイルを、わざわざPDFファイルにしてメールが送られてきたことがありました。
そこで「なぜ、わざわざPDF形式で送ってこられたのですか?」とたずねたところ、「セキュリティコンサルタントの方から『セキュリティ対策になるから、メールに添付する場合はPDFファイルで送ったほうがいい』と言われたので・・・」という答えが返ってきた、ということがあったのを思い出しました。
そんなセキュリティコンサルタントがいるとは、困ったもんだ…
| 固定リンク | コメント (4) | トラックバック (0)
今回は、増田さんのブログの記事からです。
IT教育の目的について、個人的見解を・・・
教育の目的が「資格の取得」で終わってしまってはいけないと考えています。
「資格の取得」は、目的の1つではあると思います。
ですが、最終的な目的はそこにあるとは考えていません。
その先に知識や資格の使い道があるはずで、そこが最終的な目的であるべきです。
ということは「実務教育」は必要であり重要なのですが、そういう理解が不十分です。
そして、その供給も十分ではありません。
そのあたりが、大きな問題であり解決すべき課題と考えております。
| 固定リンク | コメント (0) | トラックバック (0)
1/29のZDNetの記事「あなたはいくつ当てはまりますか?在宅勤務不向き度チェックリスト」からです。
ワークスタイルも多様化しています。
ライフワークバランス、業務効率などの事情から、在宅勤務というワークスタイルは、今後検討すべき選択肢の1つでしょう。
以下に当てはまると、在宅勤務には不向きということですが、
#1:割り込みをかけられると、仕事の能率が落ちる
#2:仕事とは無関係の誘惑に負けやすい
#3:作業に必要な機器やサービス、インフラを整えることができない
#4:オフィスとの十分なつながりを積極的に維持することができない(あるいはまったく維持できない)
#5:しっかりした管理体制がないと仕事がはかどらない
#6:あなたの上司は離れた場所にいる部下を管理できない、あるいは管理しようとしない #7:友人や家族、隣人との間に垣根を築くことができない
#8:今日の仕事はここまでだときりをつけることができない
#9:独りで働くことができない
#10:コラボレーションのチャンスを逃がすことがとても悔しい
私の場合、当てはまるものがほとんどありませんでした。
#8、ちょっと微妙で△というところかな・・・
といことで、在宅勤務に不向きではないようです。
| 固定リンク | コメント (0) | トラックバック (0)
本日2月2日は「情報セキュリティの日」ですね。
今年は、その2回目です。
特別に何かイベントをするという予定はなかったのですが、某所で情報セキュリティを学んでいらっしゃる方々との懇親会に誘っていただきました。
これが、私にとっての「情報セキュリティの日」イベントになりそうです。
大いに情報セキュリティについて、語り合ってくるとしますか。
ということで、行ってきま~す!
| 固定リンク | コメント (0) | トラックバック (0)
JIPDECの情報セキュリティマネジメントシステム適合性評価制度のパンフレットが新しくなったとのことで、さっと見てみました。
その中に「ISMS認証取得の必要性」という内容があり、個人的にかなり引っかかってしまいました。(以前から、この内容は書かれていたので、正確にいうとずっと引っかかっていたのですが)
いきなり「必要性」と言われても話が飛躍しているし、それは本来それぞれの組織が決めることだし。
情報セキュリティの信頼性の確保、事業競争力の強化、と書いてありますが、それもどうなのかな、と。
いわゆる「セールストーク」でもあるので、このような書き方にはなるのでしょうが、行き過ぎている気がします。
「期待される主な効果」くらいなら、まだ理解できますけど。
う~ん・・・
その辺を、ぜひ改訂して欲しかったな。
| 固定リンク | コメント (2) | トラックバック (0)
年末年始も相変わらず、執筆やテキスト作成に明け暮れております。
そういえば、夏から秋は「情報セキュリティ監査」について書いてました。
その後は、「Webセキュリティ」、「情報セキュリティ教育」と来て、現在「CC(コモンクライテリア)」などを書いてます。
これが終わると、「法令・規格」、「情報セキュリティマネジメント」あたりを書く予定になっています。
そんなことを考えていたら「いったい、自分の専門は何だろう?」と疑問が涌いてきました。
う~ん…
いろんなことを教えたり書いたりしてきて、不得意がなくなってきた気もするけど、得意もない気がしてきたぞ。
ここは一丁、何か得意分野を作って、専門性を出したほうがいいかな?
| 固定リンク | コメント (0) | トラックバック (0)
書こうか書くまいか、迷いましたがとりあえず書くことにしました。
今年の目標は「情報セキュリティ専門家の地位向上に貢献する」ということにしたいと思います。
(個人的には、特にCISSPということになります)
育成しても活用や活躍の場がなければどうしようもありません。
とにかく「なって良かった」と思えるような環境や仕組みをいろいろと作っていきたいと思います。
昨年の取り組みとしては、CISSPJP SNSなどがその仕組みの1つです。
そのほかに何をしようとしているかは、追い追いここで書いていきますね。
| 固定リンク | コメント (0) | トラックバック (0)
「お忙しいのに、よくブログ更新してますね」と関心されたり、呆れられる(?)ことがあります。
実は本当は忙しくないんですよ(?!)、っていうより、忙しいとは思わないようにしていますし、口に出さないようにしています。
ブログ更新について「実は息抜きなんです」と答えるのですが、そうなると今度こそ呆れられる(?)ことがあります。
まぁ、息抜きの習慣化の結果、ブログが続いているんだろう、というのがとりあえずの自己分析です。
とにかく楽しくなければ続きませんので…
何事も動機(モチベーション)が大事です。
それから、もう1つの動機(モチベーション)は、書く(打つ)ことがトレーニングになっているということです。
(ブラインドタッチのトレーニングではありません、念のため…)
ブログも、何か考えたり、文にしたり、という貴重なアウトプット・トレーニングだと思っております。
ということで、これからも息抜きとトレーニングを兼ねて、このブログを続けてまいります。
メリー、クリスマス!
| 固定リンク | コメント (3) | トラックバック (1)
最近、「パネルディスカッションが面白い」という意見を良く聞きます。
私もパネルディスカッションは好きですね。
テーマは1つでも、パネリストは複数ですから、複数の意見が聞けます。
どんな展開になるのか、期待感とスリル感で楽しんで聞くことができます。
ここだけの話、パネリストの本音、そんなことが聞けるのもパネルディスカッションならではでしょう。
実際に、情報セキュリティ関連の最近のイベント・セミナーでは、パネルディスカッションが増えています。
昨日、開催された「SecrityDay」はパネルディスカッションのみでしたし、本日開催の「JASA情報セキュリティ監査セミナー」も最後のセッションはパネルディスカッションです。
一方、セミナーでは手元に資料が残らないと何だか損した気になる、という意見を聞くこともあります。
場合によっては、資料がよければそれだけでもいいです…、という意見も。
わかるような気もしますが、私はセミナーはライブと思っていますから、資料よりも話のほうが大事と考えてます。
ですから、資料があるにしても、スピーカーの話はやはり聞きたいと思っています。
私自身は、年明けに1月、2月とパネルディスカッションでの登壇が決まっております。
面白いディスカッションにできるように、がんばります。
| 固定リンク | コメント (0) | トラックバック (0)
最近に限ったことではないけれど、ここしばらく夜はとにかくずっーと書き物しています。
書籍の原稿、雑誌の記事、講習のテキスト、プレゼン資料・・・
昨夜も1つ入稿しましたが、今夜からまた新たな原稿に着手しております。
正確には書いているんじゃなくて、打ち込んでるんですけどね。
「しゃべれども、しゃべれども」って映画がありましたが、私の場合「打てども、打てども」って感じです。
この打ち込んだ内容が、どこかでどなたかのお役に立てば、とがんばっております。(本当に役に立っているかなぁ・・・)
ということで、もうひとがんばり!
・・・・・・・・・したら、遅いので寝よう、っと。
また、明日もがんばります。
zzzzzzzzzz・・・・・・・・・
| 固定リンク | コメント (2) | トラックバック (0)
「2007 情報セキュリティ人材育成シンポジウム 秋」で、ISEPA代表の与儀さんから出ていた言葉です。
私がパネリストとして登壇したパネルディスカッションでも、「IT業界の3K」などの話題も出ました。
セキュリティ技術者・専門家という仕事が、なりたい人がいなかったり、なってもその甲斐がない(報われない)仕事であっては、その育成もままなりません。
そこでセキュリティ技術者・専門家の地位向上のため「セキュリティ界のヒーローをつくろう」ということです。(業界全体としては、ヒロインのほうが盛り上がりそうですけどね・・・)
そのためには、そういうスターを発掘し育てる仕組みや育ったあとの活躍の場が必要ですね。
アワード、コンテスト、イベント、などなど。今、いろいろとその仕組みを考え中です。
昨日、ドラマ「ガリレオ」を見ていて「物理学者でもヒーローになれるんだよな」とか、「セキュリティ技術者でもヒーローって、映画もあったよな(ハリソン・フォード主演『ファイアーウォール』)」なんて考えていました。
だったら、セキュリティ界のヒーロー(ヒロイン)、スターも決して不可能ではないのではないか、と。
とにかく、夢や希望の持てる業界や仕事にしたいと思っています。
何かいいアイディア思いついた方、ぜひぜひコメント寄せてください!
| 固定リンク | コメント (7) | トラックバック (0)
今週の私は、CISSP関連のセミナーやイベントが目白押し。
金バッジ(CISSPのラベルピンバッジ)つけまくりです。
(CPEもたくさん獲得できますね・・・)
11/12(月) CISSPレビューセミナー講師
11/13(火) CISSPとの座談会(某NPO)、ISLS、CISSPフォーラム
11/14(水) 情報セキュリティ人材育成シンポジウム
11/16(金) CISSPレビューセミナー講師
そういえば、日本のCISSPホルダーももうすぐ900名になるのですね。
(ISC)2 JapanのHPによると、10月25日現在894名だそうです。
| 固定リンク | コメント (0) | トラックバック (0)
「勉強家ですね・・・」なんて言われそうですが、興味1割、(あるタスクでの)必要9割くらいで購入した本です。
本当にいい本で、とてもためになっているのですが、私にとっては読み解くのに苦労の要る内容です。
(実は、サイモン・シン「暗号解読」もまだ上巻までしか、読んでません。下巻も読みはじめたいのだけど・・・)
最近、なんだか今までとは違う意味で、情報セキュリティの世界の深みにはまっているような気がします・・・
なぜ、この本を買ったかという経緯や理由、感想などは、なる早やでここで書きます。
| 固定リンク | コメント (0) | トラックバック (0)
先日書いた記事「セキュリティ対策で困ったら・・・」に、なんとノートンファイターからコメントが来たよ。
ありがとう、ノートンファイター。
名前:ノートンファイター
メールアドレス: norton_fighter@yahoo.co.jp
URL:http://ameblo.jp/nortonfighter/内容:
--------
おいおいおいおい・・・・・そんな事無いんじゃないのか??
微妙も貫き通せばかっこいいものさ!!
いやいや微妙ではないぞ!!
ブログも書いてたんだね。
mixiにも登録してたんだね。
| 固定リンク | コメント (0) | トラックバック (0)
現在、執筆中の書籍「情報セキュリティ監査公式ガイドブック」で書いた記事に「自己宣言は『保証』にあらず」というような内容のところがあります。
最近の一連の事件でも、この言葉を思い出しました。
不正の検出のしくみ、第三者による評価(これが「保証」ですね)がなければ、つまりは「自己宣言」でしかない、ということですね・・・
| 固定リンク | コメント (0) | トラックバック (0)
CompTIAの最新コラム「セキュリティ予算の増大」からです。
調査対象は日本ではなく米国なのですが、このコラムによると
この調査では、セキュリティに対する経費を1ドルとしたところ、
・技術製品の購入 ・・・ 42セント
・セキュリティ関連の構築・設置等の導入 ・・・ 17セント
・トレーニング・・・ 15セント
・セキュリティ診断や脆弱性の検出といったセキュリティ・アセスメント ・・・・ 12セント
・認定資格取得 ・・・ 9セント
・その他の項目 ・・・ 5セント
に分配されるとしている。
製品の購入以外にかなり使われていることがわかります。
教育も、トレーニング:15+認定資格取得:8で、合計23ってことになります。
(どうでもいいけど、このコラム、セントより、パーセントにしたほうがわかりやすいと思うんだが・・・)
では、日本ではどうでしょう?
(会社や組織によって、もちろん違うのでしょうけど)
「そんなに、コストかけてないよ」と言いたい方、多いんでしょうね。
そのうえに「スキル上げても、資格取っても評価も給料もあがんないよ」と言いたい方も、多いんでしょうね。
そういう風潮や文化を変えていかないと、(特に高度の)人材育成は難しいですよね。
| 固定リンク | コメント (0) | トラックバック (0)
10/10の記事で「2007 情報セキュリティ人材育成シンポジウム 秋」の紹介をしましたが、こちらのパネルディスカッションにパネリストとして登壇することになりました。
【パネルディスカッション】
「日本における人材育成の現状・課題と解決策(仮)」
・内閣官房情報セキュリティセンター(NISC)
参事官補佐 川野 真稔 氏
・株式会社NTTデータ ビジネスソリューション事業本部
DC-BUセキュリティ担当部長 西尾 秀一氏
・大成建設株式会社
社長室 理事 情報企画部長 木内 里美氏
・教育事業者連絡会員代表 日本ユニシス株式会社
セキュリティビジネス企画室 長谷川 長一氏
パネルディスカッションは、7月の「SANS Future Vision2007」以来です。(そのときの記事は、こちら)
皆様に参考になり、かつ楽しんでいただけるようなセッションにできるよう、がんばります。
※ 「2007 情報セキュリティ人材育成シンポジウム 秋」の開催概要、プログラムはこちら
| 固定リンク | コメント (0) | トラックバック (0)
JIPDECのHP「大日本印刷㈱に対し改善状況の最終確認調査を実施 -観察期間(6か月)を終了-」からです。
という内容を4名体制で1日だけで、調査できるのか・・・
どういう調査(検査?、監査?)なんだろう。
「リスク分析に基づいて必要な対応策を展開していることを運用記録から確認することができました」ということ。
とにかく「これで信頼を与えうる」という判断なんでしょうか。
一応「監査人」の肩書きを持つものとしては、理解できませぬ。
調査、検査、監査などといってもその言葉からだけでは、どのような内容(項目、技法)などはわかりませんね。
| 固定リンク | コメント (0) | トラックバック (0)
先週、「失敗学のすすめ」でお馴染みの畑村洋太郎先生の講演を拝聴しました。
そこであったスライドに
・マニュアル化の弊害 → 管理の形骸化 → 想定外には対応できなくなる
・失敗を通じてのみ真の科学的理解(観察する→要素を抽出する→要素を構造化する)が得られる
というものがありました。
これらは、情報セキュリティでも当てはまる考え方ですね。
(前者は情報セキュリティマネジメント、後者はインシデントレスポンスで)
ここでの「失敗」を「インシデント」とか「ヒューマンエラー」と読みかえれば、この「失敗学のすすめ」も情報セキュリティの学習に使えるかもしれません。
近いうち、読んでみようかな…
| 固定リンク | コメント (0) | トラックバック (0)
9/5のITmediaの記事「トーマツの監査先情報がWinnyで流出」からです。
ネットでの書き込みなどをみると「またしても、情報流出」とか「監査法人なのに、けしからん」というようなものが多かったのですが、(以前からずっと思っていることですが)別の見方というのも必要な気がします。
もちろん、今回のインシデントは起こすべきではないことなのですが、発生後の対応についても見ておくべきかと考えています。
ニュースを見ると、どうやら情報流出が8/29(木)、発覚が翌日8/30(金)、そして事実の公表が9/4(火)でした。(ニュースリリースは、こちら)
この段階ですでに「当監査法人では二次被害を防ぐ目的から、監査関与先等に速やかに連絡するとともに、ご協力を得ながらお取引先様にもご通知を差し上げる措置を講じております」などと対応や流出の経緯や経路が報告されています。
対応としては、適切かつ迅速な部類に入るものではないかと思います。(発覚後、しばらく対応しなかったり、説明がされるまでにかなりの時間がかかる企業が多い中では…)
(報道をする側もですが)ニュースを見る側の我々第三者は、インシデント発生を責めるだけではなく、このような対応を見て評価することも重要なことと考えています。
※ インシデントを発生させた組織を擁護しよう、と言っているのではありません。念のため…
<参考記事>
「情報漏えい発生時の対応ポイント集」公開
| 固定リンク | コメント (0) | トラックバック (0)
新しいPCを購入しました。またSony VAIOなんですが、type Tになりました。(今までは、type Sでした。このPCを処分したわけではありませんが・・・)
現在、引越し作業中です。(しんどい・・・)
かなり軽量になりました。こりゃ、楽だ。でも画面は小さくなった。
パフォーマンスもよくなりました。CPUは、Core 2 Duoになったし、メモリーもいきなり2GBだし・・・
あとは、ついにVistaユーザーになりました。
MS-Officeも2007になったので、今までのPCと使い勝手がぜんぜん違います。こりゃ、なれるまで大変だ。
それから、どうなんでしょうかねぇ、Vistaのセキュリティは?
これは近いうちにここで書くといたします。
| 固定リンク | コメント (0) | トラックバック (0)
今日は公約どおり(!?)、「人材が育たない理由」について書きます。
「人材を育てる」というと、そのまま「人材育成」という言葉になります。
言葉だけならいいのですが、本当にただ育成だけしているという組織も多いようです。
つまり、育成したあとの対応がないということです。
育成ということは、何らかの知識やスキルを身につけさせることになりますが、それを維持したり活用するために手間や費用をかけないのです。
その結果、習得した知識やスキルがある時点のもの(私はよく「瞬間最大知識」とか「瞬間最大スキル」などと言っております)にとどまり、あとは劣化の一途をたどっていくということになります。(何にもしないで、知識やスキルが維持できるほど人間は器用ではない)
こういうケースは、資格取得だけを目的にした教育で多いのです。
特に維持更新の必要のない資格もので、このようなことが起こります。
そのうえ、取らせた側は、その人が取得した資格を永遠に使えるように思っていることさえあります。
それで、「その資格のスキルを現時点でも持っている」なんて信じて、重要な案件にアサインなどしてしまったら・・・
アサインした側にとってもされた側にとっても、そういう人を送り込まれた相手にとっても、全ての人にとって不幸なことになります。
(そういう事例も実際に知っています)
人材マネジメントは育成するだけではなく、活用や維持なども含めて戦略的に計画や管理がされなければならない、ということがまずは理解されなければなりません。
| 固定リンク | コメント (0) | トラックバック (0)
今週末に、情報セキュリティ教育に関する会合があるので「(情報セキュリティに係る)人材が育たない理由」なんてことを考えていました。
そこで、1年以上前に先代のブログで書いていた記事のことを思い出し、読み直しまてみました。
(他人事のようですが)「人材が育たない理由」って、タイトルで3回に分けて書いていましたね。
久しぶりに自分の書いた文を読んでみましたが、1年たっても考えはほとんど変わっていませんでした。
ところで、先代ブログの「人材が育たない理由」の1回目では、こんなことを書いていました。
人材育成についてはどこの組織も悩んでいる問題ですが、まず共通かつ重大な問題があります。
それは、育成対象である従業員よりも、育成側である組織に問題があるということです。特に最近感じるのは、組織の構造的な問題です。
特に縦割りの組織で「教育を受けてスキルを磨くより、管理職として出世したほうがいい」なんていうようなところです。
つまり「スキルアップをしようという動機付けに欠け、評価する仕組みもない」ということです。さらに「スキルあるほうが損。評価(特に給与面)もされずに、仕事ばかり重たくなる」なんて、現場の声も聞いたことがあります。ちなみにこの人は「バレないように、スキル磨いて転職」なんてことを考えてました。
これは人材育成のフレームワーク上の欠陥、さらに組織デザイン自体の欠陥というところです。
このあたりに欠陥が存在する組織で、小手先の工夫をしたところで、ほぼ効果はありません。
そして第2回では、こんなことを書いていました。
前回のつづきです。
で前回は、人材育成のフレームワーク上の欠陥、さらに組織デザイン自体の欠陥、これが最大の人材が育たない原因と書きました。
そして、これらの原因は解決されることはほとんどありません。
欠陥があることに気がつかなかったり、気がついても修正する手立てがなかったり、わざと直さなかったり。気がつかない場合というのは、長い間同じ組織の文化で仕事をしてきたので、何もかもが当たり前に見えていて、これは修正するという行動以前の問題です。
修正する手立てがない、わざと直さない、などの場合の典型的な例としては、一昔前のベストセラー「なぜ会社は変われないのか」に、こんなシーンがありました。
>残業を重ねて社員は必死に働くのに、会社は赤字。社内には不信感が渦巻き、口ばかりの評論家が氾濫。リストラで人も給料も減らされ、上からは改革の掛け声ばかり。
>先進国の中で最も勤勉な民族,最も労働時間が長い。しかし,欧米先進地域に比べると生産効率が上がらない。この矛盾の答えは効率よりも長時間会社にいることがロイヤリティの証だったり,言いだしっぺが損をするような体質・風土が企業内で改善されていないことが大きな原因となっている。
さらに、「馴れ」「立場」「大人の判断」「会社はこうあるべきという暗黙のルール」などのキーワードから、風土・体質の問題が生じるメカニズムとなっている、と。
まさにこのあたりが人材育成にも大きな影響を与えていると思うのです。
さらに第3回では、こんなことを書いていました。
人材育成といえばやはり「教育」「研修」ですので、今回からはそちらの話に移りたいと思います。
まず大きな問題点として、今日取り上げるのは「教育」「研修」そのものが体系化されていないという点です。
優れた人材とは、その人に割り当てられた役割や責任において、期待される効果を出せる人だと思います。
そのようなスキルは、インプットされる知識が断片的なものであっては身につきません。
つまり知識が体系的に理解され、さらにそれが役割や責任や期待される効果に合った形でアウトプットされなければなりません。
ほとんどは詰め込み式の知識だけを身に着けるコースであることが多いようです。現在の「教育」「研修」では、そのようなスキルが身につくように設計されている例はあまりありません。
既存のコースを見た目上、体系的に示している場合は多くありますが、エントリーレベルからハイレベルまで、そしてインプットされた知識を実践しアウトプットするコースまで十分に示されている、という例はまずないでしょう。そうなると「実践しアウトプットするのはOJTでしょ?」なんてことを言われることも多いのですが、それなら「教育」「研修」とOJTが体系的になっていなければなりません。ですから、それも違いますよね?
そして、最後に「さらに続く」となっていましたが、その続きはなし・・・
我ながら、そしていつもながら何たる無責任。
ということで、今週中にこの続きを書こうと思います。
| 固定リンク | コメント (0) | トラックバック (0)
いま読んでいる本(『チーム・ビルディング―人と人を「つなぐ」技法 (ファシリテーション・スキルズ)』 )の中のコラムに、「じんざい」には4つの種類がある、とありました。
(ちなみに、この本は講師スキル向上のために読んでおります。「チーム・ビルディング・ゲーム」ってのがありまして、これが研修・教育のグループ演習において役立つ技法なのです。詳しくは、またいずれ書きますね)
同じような話はどこかで何回か聞いたことがあるのですが、4つの「じんざい」とは
「人財」:何者にも替えがたい、その組織において「財産」というべき人
「人在」:「存在」がありがたい、その組織に利益(benefit/profit)をもたらす人
「人材」:普通の人(可もなく、不可もなく?)
「人罪」:いることが不利益、「罪」といえる人
だそうで。(本とは、ちょっと表現を変えてますので、正確な引用ではありません)
この4つは、もちろん「いい順」に並んでます。
「さて、自分はどの「じんざい」かな?」なんて考えてみましたが、「人在」にはなっているかな?なってるといいな・・・
「プロフェッショナル」は、やはり「人財」でないといけませんよね。
ということで、まだまだ私の努力と精進は続くのであった。
でも、明日からはとりあえず夏休み!(おいおい・・・)
※ 追伸
次回の更新は、8/20または21の予定です。(夏休みなので)←しつこい!
| 固定リンク | コメント (0) | トラックバック (0)
前回の記事で書いたとおり、機密性に偏ったリスク対応は、可用性を低下させます。
可用性の低下とは、ビジネス機会の損失だけでなく、事業継続性の低下を招きます。
これは大きなトレードオフです。
また事業継続性の低下の影響は、自組織だけでなくその関係者にも大きく波及することがあります。
インシデントやディザスターが発生した際の代替策がなくなりますし、復旧や回復力も失います。
情報セキュリティが「事故(災害)発生前提」「事業継続性重視」であることがわかっていないと、機密性に偏ったリスク対応(最悪のケースは安易な「リスク回避」)をしてしまうのでしょう。いや、わかっていても「情報漏洩」という「恐れ」のあまり、それを解消するためにそうしているのかもしれません。
(以前も書いたような気がしますが)「恐れ」の解消は「安心対策」です。リスクが低減されていなければ「セキュリティ対策」ではありません。
そして「恐れ」を解消しても、リスクはなくなることはありませんし、だからどうしても「事故(災害)」は起こります。
なぜ、可用性が重視されるべきなのか(可用性が失われることにより、自分たちの組織と関係者にはどのような影響があるのか)を考えて、そこからセキュリティを見直すべき組織は多いはずです。
| 固定リンク | コメント (0) | トラックバック (0)
本日は先日の記事の続き、という内容のお話を。
一般的に機密性を高める対策は、可用性を低下させます。
よく「情報セキュリティのCIA(機密性、完全性、可用性)」というが、これら3つをすべて高める対策というのは現実的には困難であると考えなくてはなりません。
つまり、「情報セキュリティのCIA(機密性、完全性、可用性)」の中でも、トレードオフ(「あちらを立てれば、こしらが立たず」ということ)があり、そのバランスが必要になるということです。
また「リスク対応」といえば、
・「リスク低減(最適化)」
・「リスク移転」
・「リスク回避」
・「リスク保有」
の4つに分けられますが、リスク対応の中にもトレードオフがあります。
特に「リスク回避」はそのトレードオフとして可用性や効率性の低下を招きビジネス機会の損失を、「リスク保有」は直接損失のほか風評被害などの間接損失を発生させます。
にも関わらず、多くの情報漏洩対策は「機密性」だけに焦点が当てられ、「リスク回避」の対応がとられていることが非常に多いようです。
(自組織や同業者にノートPCの紛失があれば、「ノートPCはもちろん全ての電子媒体の持ち出しを禁じる」というような対応)
そして、このトレードオフは、対応の主体の組織だけでなく、その関係者(ステークホルダー)にも影響を及ぼしている場合があります。
それでも「機密性」「リスク回避」偏向の対策・対応でいいのでしょうか?
| 固定リンク | コメント (0) | トラックバック (0)
口座のある証券会社から、ホームトレード用のハードトークンが郵送されてきました。
よくDMでお知らせがきてましたが、ほとんど読まず利用せずでした。
しかし、今度ばかりは興味がわきました。(いちおう、情報セキュリティプロフェッショナルのはしくれとして)
説明をHPで読んでみると、
「ソフトウェアキーボード」も、使ってますし、以下のようなこともしているようですね。
「秘匿性」の確保
128bitSSLによる世界最高水準の暗号化技術の導入によって、個人金融資産に関わるデリケートな情報を、お客さま以外の第三者に盗み見されたり、データを改ざんされたりすることを防止します。
「なりすまし」の防止
「電子証明書による認証方式」や「セキュリティコードによる認証方式」により、第三者による不正利用を排除します。お客さまに合った認証方式を自由にお選びいただけます。
<認証方式について>
セキュリティコードによる認証方式
お客さまが独自に設定可能なセキュリティコード(最大32文字)をログイン画面に入力することにより、本人認証を行うものです。
電子証明書による認証方式
電子認証局の発行する「電子証明書」をお客さまのパソコンにインストールいただき、アクセス時に電子証明書の内容をもとに、正しいユーザーであるかどうかの認証を行います。
「じゃぁ、興味ついでにホームトレードでもおっ始めるかぁ~」と思ったのですが、先立つものがない!
先立つものとは?
「資金」と「金融取引」の知識です。(ついでに「セキュリティ」の知識も怪しかったりして?!)
| 固定リンク | コメント (0) | トラックバック (0)
今日はパネルの番外編のお話を。
実は7/18(水)のパネルディスカッションの前の時間に、アラン・パーラー氏、スティーブン・ノースカット氏らと直接話しをすることができました。
しかもかなり長い時間でした。パネルディスカッションも含めると合計5時間、ごいっしょさせていただきました。
これもパネラーとしての「役得」ですね。(しかも最高の・・・)
このお2人のような、世界的に著名な情報セキュリティプロフェッショナルの方々のお話は、かなりためになりました。
そしてお2人とも熱心でフレンドリー、(特に通訳の方がいっしょだった時間は)アットホームに楽しく話をすることができました。
スティーブン・ノースカット氏とは、記念撮影もさせていただきました。
「ぜひ来年も、このような機会が持てれば」と、「SANS Future Vision 2008 Tokyo」に、今からかなり期待しています。
今回のSANS Future Vision、(ISC)2のCISSPフォーラムなどのイベントは、このようなネットワークがあります。
本当に貴重な機会です。知識やノウハウだけでなく、活力なども得られる魅力的なイベントです。
(CISSPホルダーの皆様にも、多数お会いできました!)
これからも積極的に参加していきたいと思っています。
| 固定リンク | コメント (2) | トラックバック (0)
やっと今日は「SANS Future Vision 2007 Tokyo」(7/17~18)のことを書きます。
1回では書ききれないので、何回かにわけて記事にします。
今回は、7/18(水)のパネルディスカッションの件を。
ちなみにこんな内容でした。
「情報セキュリティの近未来展望」
【モデレーター】
・日経BP社 日経パソコン副編集長
勝村 幸博氏【パネラー】
・SANS Institute
アラン・パーラー氏・JPCERT/CC 常務理事
早貸 淳子氏・JASA幹事、同スキル部会副部会長(株式会社 ディアイティ)
河野 省二氏・JNSA 教育部会WGリーダー (日本ユニシス株式会社)
長谷川 長一氏
以前の記事で書いた通り、人生2度目のパネルディスカッションでした。
私以外のパネラーは、著名な方ばかり。
まずは他のパネラーの皆様、モデレーターの方にはご迷惑をおかけすることなく無事に役目を果たせたと思います。
パネルで話した主な内容は、
●「SANS Future Vision 2007 Tokyo」で取り上げた話題
・標的型攻撃等最新の攻撃動向とその防御対策
・ブラウザベースの攻撃・Zero-Dayアタック・ボットの最新動向と対策
・アクセスコントロールとネットワークプロテクション
・データの暗号化、認証、バックアップの手法と動向
・PC端末・モバイル端末のセキュリティ
・プログラミングにおけるセキュリティ対策●脆弱性情報の収集と活用
組織のセキュリティ担当部門として、どのように脆弱性情報を収集し、自社のシステムに適応するのがいいか。また、情報収集の仕組みや組織の枠を越えた情報共有体制の整備は必要か。必要な場合、どのように整備するのがいいか。●従業員のリテラシー向上と専門家のスキルアップ
・どのようにして向上を図るのがいいか
・セキュリティ管理部門や技術者自身のスキルアップはどうすべきか●効果的なセキュリティ対策を推進するために
・経営トップの意識改革
・予算獲得のための説得手法
というようなところでした。
パネルディスカッションは、事前の打ち合わせがほとんどありません。(段取り合わせ程度)
にも関わらず、パネラーの皆様がお題にすぐに対応できるのがすごい。(私は思いつくことをコメントしただけ)
モデレーターの勝村さんも、予定された時間通りにピタリと収めるのが、またすごい。
(不謹慎かもしれませんが)登壇している立場からすると、用意されたプレゼンをするよりも、スリルやライブ的臨場感が圧倒的にありますね。
私はパネラーとして楽しめましたが、聴講された皆様は楽しめたでしょうか。
また次回という機会があるようであれば、楽しめるコメントができるようがんばりたいと思います。
| 固定リンク | コメント (0) | トラックバック (0)
昨日の新潟・長野の地震は衝撃的でした。
私は外出中に街頭で、某新聞社から号外を手に入れ知りました。
周知の通り、新潟では4年前に大規模な地震があったばかりです。
それだけに今回の地震はさらに衝撃が大きかったですね。
昨年あるシンポジウムで、新潟県の泉田知事の講演を拝聴する機会がありました。
新潟県の被災とそこからの災害復旧への教訓、というような内容でした。
被災という実例からのケーススタディで、まさに実践的で有益な内容でした。
特に印象的だったのが「災害時には、ほとんどの計画や機能が役に立たない」ということでした。
そのような有事に実行可能な計画はほとんど存在しないし、人間も実施できるという状況ではないということですね。
最近よく「DR」という言葉は耳にするようになったのですが、「それって(ディザスターリカバリーじゃなくって)、データリカバリーなんじゃない」というものが多いような気がします。本当に、機能できるDRはどれくらいあるのでしょうか。見直してみる必要があると思います。
末筆になりましたが、今回災害に遭われた皆様に心からお見舞い申し上げますとともに、1日も早い復旧をお祈り申し上げております。
| 固定リンク | コメント (0) | トラックバック (0)
さて昨日の私なりの解答ですが・・・
4.どちらでもない
です。
「人間」とはいえ、情報セキュリティでは「(情報)資産」の1つです。
まずは「(情報)資産」としての評価をしなければなりません。
もともと「人間」は「脆弱性」を持った「(情報)資産」です。
そして他の「(情報)資産」を使用するユーザーとして「脅威」にもなりえる存在です。
さらに「(情報)資産」として、「価値」の高いものでもあります。
つまり、「(情報)資産」として「脆弱性」「脅威」「価値」の評価をするということ、リスクアセスメントをすることが必要なのです。
そして、この3つの要素は、どの「人間」でも同じではないのです。(その人間の「スキル」や置かれている「状況」で異なる)
情報セキュリティは「性悪説」で考えるべきで、だからアクセスコントロールやモニタリングや教育が必要だ、という意見も聞くことがありますが、果たして本当にそうでしょうか?(アクセスコントロールやモニタリングは違反の検出のためだけに実施するのではないし、教育も違反の抑制のためだけに実施するのではない)
ですから、「性善説」や「性悪説」ということでは考えるべきではない、というのが私なりの結論です。
しかし、人間には他の「(情報)資産」にはない特性として、「意思」や「感情」があります。
だから「性善説」「性悪説」という議論になるのでしょうね。
ではその「意思」や「感情」は、情報セキュリティではどう考えるか?
それは、次回以降に「その3」で・・・
| 固定リンク | コメント (0) | トラックバック (0)
情報セキュリティでは、「人間」というものをどう考えるのか?
そこで、よく出てくるのが「性善説」と「性悪説」の議論。
実は私もよく、たずねられます。
みなさんは、どう思われますか?
私なりの答えをここで書く前に、今日のところは4者択一にしてみましょう。
1.「性善説」
2.「性悪説」
3.「性善説」と「性悪説」の両方
4.どちらでもない
もったいぶる訳ではありませんが、考えてみてください。
| 固定リンク | コメント (0) | トラックバック (0)
実はかなり前に決まっていたのですが、このブログで報告しそびれてました。
「SANS Future Vision 2007 Tokyo」(7月17日~18日)のパネルディスカッションにパネラーの1人として登場します。
私の出番は2日目、つまり7月18日(水)の16:00~17:30「情報セキュリティの近未来展望」というパネルセッションです。
※ 「SANS Future Vision 2007 Tokyo」セッション情報は、こちらです。
パネルディスカッションでの登場は、2005年12月の「InternetWeek」の「Webセキュリティのここが危ない!」以来、人生2度目。
※ その時の記事が、こちらです。
パネルディスカッションって、ほとんど事前の準備がありません。(というより、できない)
もちろん、テーマは決まってますけど。
ということで、楽しみでもあり、不安でもあり・・・(これも、1つの「スリル」でしょうか)
他のパネラーの方と楽しい話で盛り上げますので、良かったら聞きに来て下さい。
期待に応えられるよう、めいっぱいがんばります。
実は一聴講者として他のセッションも聞きたいし、トレーニングも受講したかったりします。
でも身体は2つないので、残念ですが諦めます。(来年の「SANS Future Vision 2008 Tokyo」で、かな・・・)
| 固定リンク | コメント (2) | トラックバック (0)
| 固定リンク | コメント (0) | トラックバック (0)
「スパム通り」(SPAM BLVD.)なる通りが、実在していたようです。
ちなみに、この通りはかなりトラフィックが多いようです。
くれぐれも、ご注意を。
このネタは、以前スパムネクタイ(こちらの記事をご覧ください)をご披露いただいたCISSP仲間のYさんから、提供していただきました。
| 固定リンク | コメント (0) | トラックバック (0)
昨日6/11に入選作品が発表されています。(こちらです)
大賞は「忘れずに、ネットと心のファイアーウォール」です。
「ネットのファイアーウォール」の運用は難しいけど、「心のファイアーウォール」は設定も運用も、もっと難しいね。
| 固定リンク | コメント (0) | トラックバック (0)
「セキュリティ技術者は永遠に不滅。でもずっと(最新動向に)ついていけるとは限らない」
昨日のNPO日本ネットワークセキュリティ協会(JNSA)での、佐々木会長(東京電気大学教授)のお言葉です。
だから、継続的な教育とか活動(すなわち、CPE対象のもの)が必要、ってことですね。
セキュリティ対策には終わりがないけど、セキュリティ専門家にも終わりがないわけです。
つまり、「専門家」を名乗りたいのであれば、生涯学習が必要ですね・・・
| 固定リンク | コメント (0) | トラックバック (0)
さて(めずらしく、2日つづけて)昨日の続き。
「内部統制では、『文書化』が重要」などという話もよく聞きます。
そこで、懸命に『文書化』を始めるということですが、「規程」ばかり作っていたりする組織もあります。
さらに「内部統制では、『見える化』が重要」という話もよく聞きます。
そこで、懸命に『見える化』を始めるということですが、「報告書」ばかり作らせていたりする組織もあります。
文書化=規程類の作成、見える化=記録の作成、という極端に短絡的なのですが、実際にあった例です。
情報セキュリティマネジメントでも、そういう組織が多かったのですが、そのままの理解で内部統制に取り組んでもそうなってしまうということですね。
『文書化』では、まずは定義をすることが大事です。何が意図した通りの業務や情報処理なのか。特にその中でどの「完全性(インテグリティ)」を確保しねければならないのか。(データ、トランザクション、ソース)
『見える化』では、評価・確認できるということが大事です。何で評価・確認できるのか。その基準や指標、方法・手段は何なのか。
それができなければ、内部統制の仕組みなど構築できません。
構築できたとしても「ガバナンス」が確立されていない組織であれば、内部統制の仕組みも情報セキュリティマネジメントの仕組みも機能しません。(あいまいな仕組みは、結局機能しないということです)
| 固定リンク | コメント (0) | トラックバック (0)
最近は講演をする機会がそれなりに多いのですが、その内容で多いのが「内部統制」です。
(あまりこういう表現は使いたくないのですが)時節柄、当然といえば当然でしょうか。
そこでよく話をするのが「内部統制と情報セキュリティの関係」です。
「よく『最近の情報セキュリティは、内部統制の領域まで広がってきた』と、降って沸いたように言われる方がいらっしゃいますが、本当にそうでしょうか?」と言って、以下のような引用を見ていただいています。
企業が自身の被害の局限化や法令遵守の観点に加え、社会的責任の観点も踏まえた形で情報セキュリティ対策に積極的に取り組むようになるためには、「情報セキュリティに絶対はなく、事故は起こりうるもの」との前提に立ち、対策をその場しのぎの対症療法的対応で済ませるのではなく、自律的・継続的に改善・向上する仕組みを導入することが必要となる。つまり、社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること、すなわち「情報セキュリティガバナンス」の確立が求められる。
(中略)
このような取り組みを推進していくには、情報セキュリティ対策を、単なるコストではなく、企業価値を高めるために積極的に取り組むべき投資対象として位置づけることが重要であり、そのための新たな環境整備が不可欠である。なお、情報セキュリティガバナンスの確立に際しては、IT事故の影響を懸念するあまり、ITの利便性を犠牲にするのではなく、利便性と安全・安心の両立を目指していくことが重要である。
「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」より抜粋 ~2003,経済産業省
この報告書は2003年3月に公開されています。
ということで、実はもう4年以上も経っているのです。
見落とされたのか、無視されたのか・・・
とにかく、真剣に取り組んだ組織はほとんど無かった、ということですよね。
(ちなみに『情報セキュリティは、昨年くらいから内部統制の領域まで広がってきた』というプレゼンをしているセキュリティ専門家らしき方に遭遇してことがあります。「そりゃ、ないでしょ・・・」って感じでした)
さて、またいづれ第2回も書きます。(明日か、ちょっと先かはわかりませんが・・・)
| 固定リンク | コメント (0) | トラックバック (0)
財団法人情報処理開発機構(JIPDEC)で、以下のようなコースが9月に開催されます。
「危機管理と模擬記者会見演習コース~経営者・管理者に役立つ緊急時の危機管理~」
本研修は、危機と危機管理の基本から、緊急事態発生時の初期対応とメディア対応(緊急記者会見)の過程をロールプレイの過程を通して、体得して頂きます。
ってコースなんですが、演習で「模擬記者会見準備」「模擬記者会見」などを実施するというのが興味深いですね。
このコースの特徴のところに「緊急記者会見に必須のマスコミ記者の特性を実感して頂く」「緊急記者会見を本番さながらに体験」と書いてありますが、臨場感・緊迫感があり過ぎるのも怖いような気がします。
とにかく、このような「記者会見」に出たい人はいないわけですし、「そういうことにならないように危機管理するんだろう」という人がほとんどでしょうから、どのような人が何人くらい申し込むのか、果たして人は集まるのか・・・
開催されたら見学したい気がするのですが、無理でしょうね・・・
| 固定リンク | コメント (0) | トラックバック (0)
「ISMS審査員補サーベイランス手続きのご案内」ってのが、先週末に郵便で届きました。
今年の4月からISMS審査員評価登録業務は、財団法人日本情報処理開発協会(JIPDEC)の情報マネジメントシステム推進センターから財団法人日本規格協会(JSA)のマネジメントシステム審査員評価登録センター(JRCA)に移管しています。
ところで、私は昨年度何も手続きをしていません。(こちらの記事をご参照ください)
にもかかわらず、失効していないってこと?
今回手続きをすれば、維持更新できるんでしょうか。
う~ん、できそうだな・・・(大丈夫かい、この制度)
でも、手続きしないけどね。(必要な方は、維持・更新してくださいね)
| 固定リンク | コメント (0) | トラックバック (0)
5/28の日経ITproの記事「実践!ITマネジメント」の「第5回 戦略とITを結ぶ 人材の育成が急務企業の将来は「ビジネス・エンジニア」にかかる」からです。
ところで「ビジネス・エンジニア」とは
「変革の時代を乗り切るために,企業がぜひとも育成しなければならないのは,経営トップの戦略を現場の業務プロセスと情報システムに展開できる人材」
と、この記事にはありました。
これはまざに、CIOやCISO、それからそれを補佐する人材像を表しています。
「私は技術系」とか「私はマネジメント系」とか、意識的に自分の範囲を狭めるような、みんなでそんなことばかり言ってちゃダメなんですよね。
それから、この記事には以下のような注釈がありました。
初出:日経コンピュータ 2000年3月13日号 188ページより
本記事は日経コンピュータの連載をほぼそのまま再掲したものです。初出から数年が経過しており現在とは状況が異なりますが、この記事で焦点を当てたITマネジメントの本質は今でも変わりません。
「初出から7年、今でも通用する内容というのはすばらしい」と思いつつ、「7年も前からこんな記事があったのに、ずっと浸透してなかったんだね・・・」とも思いました。
| 固定リンク | コメント (0) | トラックバック (1)
今週は、個人情報保護および、その法律についての議論が活発化していますね。
内閣府からは、以下のような資料が5/22に公開されています。
●内閣府国民生活審議会 個人情報保護部会資料
・「個人情報保護部会における論議の概要」
・「個人情報保護に関する取りまとめ(素案)」
「いわゆる過剰反応」について、なんて内容もあり興味深いのですが、どうあるべきかという議論が(「個人情報保護」というくらいだから当たり前といえば当たり前ですけど)「保護」の観点ばかりのように読み取れます。
今後の日本における「個人情報の活用のあり方」という観点(特にIT依存度が高まるという中長期的観点)を持ち、その上で「個人情報保護」のあり方、そういうバランスというような考え方がかけているような・・・(そういう記述はありますが)
情報セキュリティ専門家もどきの私としては、そういうアプローチで見ております。
とりあえず、私としては議論の活発化はいいことなのですが、議論が拡散し論点整理もままならない、という状況に陥らないことを祈っております。
| 固定リンク | コメント (0) | トラックバック (0)
前回から、ちょっと間が空いてしまいました。
(気まぐれでやってる不定期シリーズ、ということでご容赦を・・・)
「「わざわざそこまでやる奴はいないだろう」ってソフト開発者が言うたびに、わざわざそこまでやる奴がフィンランドあたりに現れるんだ」
~「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」
フィンランドかどうかわかりませんが、思わぬところに敵(攻撃者)がいて、そいつが脆弱性を見つけて、「わざわざ、そこまでは・・・」という方法で攻撃をしてくるんだよ、ってことですね。
それから、セキュリティ対策をする側には、攻撃をする側が見えていない、ってことでもあるかな。
だからセキュリティ対策が十分かつ適切にできなかったり、セキュリティ対策をしなかったり、ってところでしょうか。
| 固定リンク | コメント (0) | トラックバック (0)
4/27の記事「情報処理技術者試験制度とITSSの改革、最終報告案」で書いた「高度IT人材の育成をめざして(案)」に、某団体を通してコメントを提出しました。
読めば読むほど、いろんなコメントをしたくなりました。(とにかく、私の考えとは多くの部分で根本から違う)
それで、それなりにたくさん書いたのですが、主には以下のようなことをコメントしました。
・示されている人材像が、日本のIT及び情報セキュリティ政策に関する文書「人材育成・資格制度体系化専門委員会報告書」(内閣官房情報セキュリティ政策会議)、「グローバル情報セキュリティ戦略」(経済産業省)、「u-Japan政策パッケージ」(総務省)、等に示されている内容や施策と合っていない。「企業内人材育成」の視点に留まり、これらの文書に示された「高度IT人材」のイメージやレベル感が、政策や戦略とそこに示された、これからのあるべき人材像と大きく乖離している。
・資格の維持更新制度に関する方向性が、ほとんど示されていない。習得および評価した知識や能力が、その時点でのものでしかないといいことになり、その後も同レベルの知識や能力があることを確認・評価することができない。
さて、どんなコメントが集まるのでしょうか。
パブコメの結果が公開されたあとに、またこの件は書きたいと思います。
| 固定リンク | コメント (0) | トラックバック (2)
JIPDECの≪Pマーク≫「大日本印刷(株)に対し現地確認調査を実施-観察期間(6ケ月)内の調査、確認、指導を継続実施-からです。
これによると「調査員を派遣し、改善結果報告の確認のために調査を実施しました」とあり、「その結果、報告内容は事実と相違ないこと、改善内容が要求事項に対して適切・有効であることを確認しましたので、・・・」とあります。
どうやら、監査法人による監査(これも改善の要求事項の1つ)を受けたというので、調査員はその報告書を確認したと思われるのですが・・・
とにかく、すっきりしませんね。
対策を実施する主体の大日本印刷の実施内容ではなく、この調査と確認の方法です。
「事実と相違ない」「適切・有効である」とは、何(基準、方法)によって確認できたのでしょう。
それらが確認できる調査員とは、どんなスキルを持った方なの?
改善策の策定から実施まで、こんな短い期間ですからねぇ・・・
また、この制度の疑問が1つ増えました。
| 固定リンク | コメント (0) | トラックバック (0)
「ゴールデンウィーク中はなるべく仕事はしないように、考えないように」と思っていたのですが、結局仕事をしています。
それから、かのジェットコースターの死亡事故では、セキュリティの専門家のはしくれとしていろいろと考えさせられました。
まずは「安全対策」が単なるコストとしてしか捉えられておらず、義務的範囲以上のことはされていないということですね。(「しゃあない、やっとくか」という範囲)
もちろん、「企業価値を高めるための投資」という考え方は全くないようで。
(これは、情報セキュリティでも多いことですけど)
それから法制度の不備も明らかになりました。遊戯施設の乗り物は、すべて「建築物」扱いなのだそうです。
時速100km超、急加速急回転をする、通常の生活で利用している乗り物より危険なものなのにです。
(以下、毎日新聞より)
遊戯施設には「定期検査報告制度」がある。所有者は定期的に検査し、結果を自治体に報告することが義務付けられ、違反すれば50万円以下の罰金。建築基準法施行規則によれば、定期検査報告の間隔は「おおむね6カ月から1年」とされ、実際は自治体の判断に任されている。
問題はここだ。03年にジェットコースター事故が起きた「ナガシマスパーランド」(三重県桑名市)の担当者は「月例点検や日々の点検は各遊園地の任意」と話す。同ランドは、目視と打音による点検を毎朝行い、事故後はすべてを二重チェックにしたというが、別の施設からは「どこの施設も厳重な点検をしているかといえば疑問」という声もある。つまり、法で定められた条件をいったんクリアし、一度建築確認が下りてしまえば、その後の安全管理の多くは所有者の裁量に任されているといえる。
「点検・検査をしている」といっても遊戯施設は、すべて「自己点検・検査」なのですね。
しかも報告は自治体ごとに判断されていると・・・
さらに「安全管理の多くは所有者の裁量に任されている」とは。(つまり、乗せる側の「自由裁量」ということで)
点検や検査が、「自己」で完結してしまう仕組みでは、信頼に耐え得るものではありえません。
(これも、情報セキュリティでもいっしょですけど)
安全保障も、リスク低減に関わる「保証」も、その基準も何もないものだということがわかりました。
この問題に関わる今後の動向は情報セキュリティ専門家としても注目したいと思っております。
最後にこの事故でなくなられた方のご冥福と、ケガをされた皆様の一日も早い回復を心よりお祈りいたします。
| 固定リンク | コメント (0) | トラックバック (0)
世の中ゴールデンウィークの連休真っ只中ですが、私は昨日、一昨日と出社しました。連休の合間だから、ゆっくりと仕事をしているのかというとそうではありません。 先週今週と、とにかく仕事が溜まりに溜まって、いくつもの締め切りが迫りマルチタスクで片付けております。
楽しい宴会のお誘いもお断りし(涙)、原稿執筆や資料作成に勤しんでおります。
ということで、仕事の消化と家庭サービスのため、明日からブログは5/7まで休業します。(たぶん・・・)
みなさま、良い連休を!
| 固定リンク | コメント (0) | トラックバック (0)
ITmediaの記事「DoS脅迫は儲からない?過去半年で攻撃急減」からです。
いまだに「攻撃者のほとんどは愉快犯」などとおっしゃってる方を見かけますが、そんな人はほとんどいません。攻撃者だってビジネスとしてやっているのです。
この記事によると、DoS脅迫は自らが使用するボットネットそのものを危険にさらす(特定されてしまう)にも関わらず、脅迫する相手が応じないことが多く実入りも悪いビジネスとのこと。つまり攻撃する側にとって、採算が取れない(割に合わない)わけですね。このように攻撃する側の採算を取れなくする(作業要因やコストを上げる)というのも情報セキュリティ対策では重要な考え方です。
ところで、DoS攻撃ビジネスから撤退して、そのビジネスに行ったのでしょうか。
この記事によると「SPAM」だそうです。(やはりね!)
攻撃側からするとリスクやコストが低く実入りが多い、つまり採算性が高いわけですね。
ということで、SPAMはますます増えそうです。
| 固定リンク | コメント (0) | トラックバック (1)
昨日、このブログの開設(2006年5月22日)以来のアクセスが、40000を超えました。
開設から、ちょうど11ヶ月ですね。
30000アクセス超えが2月23日でしたから、あれから2ヶ月で10000アクセスということになります。
ご覧頂いている皆様、まことにありがとうございます。
これからも今の調子(でいいのか?!)で続けます。
| 固定リンク | コメント (0) | トラックバック (0)
今日は「デジタル社会推進シンポジウム2007」(主催:NPOセキュアなデジタル社会を推進する会)に参加してきました。
今回のテーマは「重要インフラ、テロ・サイバーテロの動向と対策及び国際協調」です。
まずは、スピーカーがかなり豪華です。
菅義偉総務大臣、石原信雄元官房長官、小池百合子国家安全保障担当内閣総理大臣補佐官、ウィリアム・シュナイダー米国国防総省科学技術委員会議長、リンカーン・ブルームフィールド米国務省安全保障担当次官補・・・
(予想はつきましたが)配布資料が、ほとんどありません。(PPTなど資料の投影も、ほとんどなし)
「資料だけもらって帰る」という方もシンポジウムなどでは、よくいらっしゃいますがそれが通用しないわけですね。
メモを取るにしても、スピードが速く追いつきません。キーワードだけで精一杯です。
(やはり、講演はライブなのです。聞かなきゃ、ダメ)
米国のスピーカーの方々の講演を聴いて感じたのは、セキュリティということに関するスケールの大きさ(「データ」とか「システム」とかそういう規模ではない)、実戦的で先鋭的な視点や取り組みなどです。
以前ある講演で、軍事評論家の小川和久さんが「日本は技術面では、世界に対し2年程度の遅れだが、他の面(考え方とか、体制とか)で10年以上は遅れている」と言われていました。
今日も、それをあらためて実感した気がします。
また、セキュリティの本質に触れた気もします。
そういえば、小池さんが「国家安全保障会議(仮称;いわゆる日本版NSC)」について話されていました。
すでに本国会に法案も提出済み、中間報告書も公開されているそうです。
近日中に、目を通しておこう、っと。
| 固定リンク | コメント (0) | トラックバック (0)
不定期(あくまで)で、様々なところで見つけたセキュリティに関する名言を書いていきます。
「セキュリティ・システムは常勝を義務付けられ、攻撃者は一度勝つだけでいい」~「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」
「だったら、オペレーターよりクラッカーになろうか」と思うかもしれない。
それよりも、私個人的には「だから、オペレーターは辛いのだ」と思ってしまう。(責任の重さに、処遇が見合わない)
「何もないことが『義務』」とは、動機付けが何もないに等しい。
| 固定リンク | コメント (0) | トラックバック (0)
これはよく言われる言葉で、方々で使われています。
しかし、その後に「大丈夫」とか「正しい」などの言葉が出てくる人も良く聞きます。
「絶対」がないんだったら「大丈夫」とか「正しい」なんて言えないはず。
ではどう言うべきか?
「被害や影響を低減する」のに「適切」かつ「十分」、くらいでしょうか。
なぜ「大丈夫」「正しい」がNGで、どう言えば良いかは皆様も考えてほしいと思います。
| 固定リンク | コメント (0) | トラックバック (0)
JIPDECで≪Pマーク≫「個人情報事故 大日本印刷(株)要請処分」について、という文書が本日3/23に公開されています。
この処分は「プライバシーマーク認定制度に対する信頼を根底から揺るがした・・・」とのことからです。
でも、何か変ですよね。
「プライバシーマーク認定制度」というのは、このような事故が起こらないことや、発生の可能性が低くなることなどを保証している制度でもないわけで、あくまで「枠組みがあること」の「(低水準の)保証」でしかないはず。
なのに「信頼を揺るがした」とは、どういうことなんでしょうか。
「信頼」とは「保証」があって、初めて生まれるものです。
つまり「保証」のないところには、はじめから「信頼」はないわけです。
なのに、この文書では「個人情報に係る安全管理の有効性を確実にしろ」というようなことが勧告されています。
う~ん、矛盾しているぞ・・・
皆様、どう思われますか?
| 固定リンク | コメント (0) | トラックバック (0)
今日は京都でセミナーの講演です。(ちなみに、日帰りです)
ふだんの私の外出の範囲は、とにかくとても狭い(詳しくは過去の記事:こちらと、こちら)のですが、今回は一挙に京都まで!
数年前は仕事で出張がとても多かったのですが、ここ2年は出張はありませんでした。
たまには出張もいいものだ。(2~3ヶ月に1回くらいなら)
マンネリは、とにかく良くないですから。
ということで、これからお仕事です。
がんばって来ま~す。
| 固定リンク | コメント (0) | トラックバック (0)
さて、皆様ニュースでご存知と思いますが、D社から8,637,405件もの個人情報漏洩が明らかになりました。
ネットでもいろいろな書き込みがありますが、私はちょっと違った視点から考えてみたいと思います。
D社で行っていた「個人情報保護の取り組み」は、以下の通りと公表されています。
●情報管理体制について
(1)これまでの情報管理体制強化策
情報管理につきましては、以下のような対策を実施し、万全を期してまいりました。・委託先との個人情報に関する契約締結(2000年8月~)
・個人情報保護に関するマネジメントシステムを構築し、プライバシーマークを取得(2000年9月~)
・電算処理室に監視カメラを設置し、不正な行為を牽制(2003年1月~)
・電算処理室での生体認証による入退室管理を強化し、部外者の侵入を防止(2004年9月~)
・ポケットのない作業服着用によるデータ等の持ち出し防止(2004年10月~)
・アクセスログの取得(2004年12月~)
(2)個人情報流出の原因
上記のように管理体制を強化してまいりましたが、今回のような、悪意を持った内部者による不正な記憶媒体へのデータ書き出し行為を防止する上で、結果として管理に不十分な面がありました。(3)情報管理体制の強化策
今回の事態発生を受け、全社的に情報管理体制の総点検を実施いたしました。現在、以下の強化策を講じ、再発防止に全力を挙げて取り組んでおります。・データ記憶媒体取扱者の極少化と社員限定
データ記憶媒体に書き出す作業員を現状より更に少数化するとともに、当社および子会社社員に限定しました。また、記憶媒体への書き出しログのチェック頻度を高めるなど、その管理をより強化しました。
・記憶媒体への書き出し場所の分離
データを取り扱うセキュリティエリア内において、データ記憶媒体に書き出す専用の場所を他と分離し、他の場所での書き出しは一切できない環境を構築します。・再発防止策の徹底、教育
再発防止策を教育プログラムに加え、全社に徹底を図っております。
過去に当社の得意先において個人情報の流出が問題となった時点で、原因を究明する機会がありながら、その機会を活かせず、容疑者によるその後の不正行為を許してしまったことについては、重大な問題と認識しております。
今回ご迷惑をおかけいたしました皆様をはじめ、関係の方々には誠に申し訳なく重ねてお詫び申し上げます。今後とも個人情報のセキュリティの確保に関しましては、細心の注意を払い、信頼回復に努めてまいる所存でございます。なにとぞご理解賜りますようお願い申し上げます。
個人的には、これらの管理体制と強化策が適切でも十分でもなかったことが原因と思います。(取り組みとしては、決して低かったわけではないと思います)
そのことはD社としても自ら認め、すでに更なる強化策を打ち出していますが、その内容も根本的な再発防止になっていなような気がします。
(そのような迅速な対応や情報開示については、ある程度の評価はすべきですね)
さて、何が不適切で不十分だったのでしょう?
情報セキュリティ専門家としては、そういうことを考えながらこういうニュースを見るべきでしょう。
私なりの結論を簡単に言ってしまうと、アクセスコントロールとモニタリングを適切にしていなければ、いくら形式だけ持ち出しやコピーの制限を強化しても大きな効果はないはずです。(だいたい、「契約締結」とか「プライバシーマークの取得」って「強化策」って、言っていいのでしょうか?)
最後にまた個人情報保護に対する「過剰反応」が再び起こらないことを祈りたいと思っています。
(「過剰反応」は、情報セキュリティ対策を促進するどころか、妨げにしかならないので)
| 固定リンク | コメント (0) | トラックバック (0)
3/2の記事「原稿、山ほど・・・」で、現在抱えている原稿を書きましたが、その後の進捗は以下の通り。
●現在進行中
・書籍の原稿×2 → ほぼ、手付かず。(まさに今、やっています!)
・セミナーの原稿×1 → こちらもほぼ手付かず。(明日、がんばります!)
※ 急遽、追加のセミナー原稿×1 → こちらは、ほぼ完了。 (金曜の夜、突貫で終わらせました。あとはチェックのみ)
・セキュリティ資格のテキストの原稿×1 → こちらもほぼ手付かず。(あさって以降、がんばります!)
●もうすぐ手をつけるもの
・セミナーの原稿×1 → 忘れないように、とりあえずテンプレートにタイトルだけ入れておきました。(手が付いたうちに入らん・・・)
・セキュリティ資格のテキストの原稿×2 → そのうち1つは、明日火曜に打ち合わせ。
ということで、あまり進んでいません。(やや、ピンチ?)
先週はちょっと公私とも他の用件で忙しかったもので。
と言い訳しても、焦っても何もならないので、今週はペースアップしてがんばります。
| 固定リンク | コメント (0) | トラックバック (0)
| 固定リンク | コメント (0) | トラックバック (0)
| 固定リンク | コメント (0) | トラックバック (0)
「セキュリティ対策になっていないセキュリティ対策」というのがあります。
つまり対策はしているが、リスクは軽減されていないというものです。
このような対策は、逆にリスクを増やしている場合も多くあります。
ただし、実施している側はかなりの納得感を持っており、それがその組織の「当たり前のセキュリティ対策」になっているものです。
「こういう対策は、なんて呼んだららいいのかな」と、ずっと考えていたのですが、先日紹介した「セキュリティはなぜやぶられたのか」を読んで、「セキュリティ対策」「安全対策」「安心対策」というような言葉が書かれていて、かなり私なりに考えがまとまってきました。
上記のようなのは「安心対策」なんでしょうね。
今までに見てきた「セキュリティ対策」を、この機会に整理して考えてみようと思います。
(ということで、またいづれ、この続きを書きます)
| 固定リンク | コメント (0) | トラックバック (0)
●現在進行中
・書籍の原稿×2
・セミナーの原稿×1
・セキュリティ資格のテキストの原稿×1
●もうすぐ手をつけるもの
・セミナーの原稿×1
・セキュリティ資格のテキストの原稿×2
こうして見ると、大変だなぁ。(他人事のように言ってる場合じゃない)
平日の夜や休日の空いている時間は、原稿書きかそのための調べものをしているのが、すっかり日課になりました。
こつこつ片付けていきます。
結果が出たものは、このブログでも紹介していきます。(早く、紹介できるといいのですが・・・)
| 固定リンク | コメント (0) | トラックバック (0)
(以前の記事でもご紹介した通り)2/27に「情報セキュリティ人材育成セミナー in Tokyo」が開催されました。
おかげさまで、今回は多くの方にご来場いただきました。
(すでに存じ上げている方も多くいらっしゃいました。再会できてうれしかったです)
本当にありがとうございました。
私以外のスピーカーの皆様の話も大変参考になりました。
そして参考になるとともに、今回も「課題が山積みだなぁ」とますます実感した次第です。
今回のような、官民学という3つの異なる主体が連携して行うセミナーはなかなかないはずです。(さらに「学」が2大学、「民」は3団体でした)
増田さんのブログ(先を越されました!)にも書かれていますが、今後もこのようにそれぞれが連携しあいながら、情報セキュリティおよび人材育成のため、普及促進、啓蒙活動を続けて行きたいと思っています。
このセミナーは「in Tokyo」ですから、これから他の地域でも開催される予定です。
東京でも年内にもう1回くらいは開催したいと思っております。
(次回は私以外の方がスピーカーかもしれませんが)
| 固定リンク | コメント (0) | トラックバック (0)
本日2/23は、私がブログ(始まりは、こちらのブログでしたが)を始めてちょうど1年になります。(このブログは9ヶ月です。気が付けば、30000アクセス突破しました。感謝、感謝!)
1年続けば、間違いなく習慣になったのだな、と実感します。
ブログも「情報セキュリティ」というテーマだけで書き続けてきました。
一時趣味関連のブログも始めようとしまし、情報セキュリティのブログも3ヶ月弱の間、2本立てでがんばってましたが、結局はこのブログ1本になりました。
とにかく無理せず続けること、つまり習慣化することが大事、との結論からです。
さて、次は2周年を目指して、無理せず続けるとしますか・・・
| 固定リンク | コメント (0) | トラックバック (0)
「みすず監査法人は実質解体へ、3法人への業務移管を発表」(日経新聞、2/21朝刊)
大手監査法人のみすず監査法人(旧中央青山)は20日、今年7月をメドに監査業務を新日本、トーマツ、あずさの3監査法人に移管すると正式発表した。監査先企業の不正会計事件が相次ぎ、信用力が低下、監査法人として業務を継続することを事実上、断念した。今3月決算企業などの監査業務は従来通り実施し監査先への影響を抑えるが、企業側は来期以降の監査法人の変更など対応を迫られる。
都内で会見した片山英木理事長は「社員・職員の全部または一部を移籍させる協議に入ることで、3監査法人と基本合意した」と述べた。監査を含む全業務が対象となる。事実上の解体に踏み切るのは、顧客からの信頼回復が難しいうえ、人材が流出する懸念も高まってきたからだ。
不正な会計処理の顛末として、このような結果になってしまったようです。
米国でもエンロン、ワールドコムの不正会計処理により、アーサー・アンダーセンが事実上破綻しました。
監査業務を行う人には、高い倫理感が求められ規制も厳格であるということです。
とにかく「監査業務」に対する不審感が、これ以上広がらないといいのですが。
(「情報セキュリティ監査」も、同じ監査業務ですからね)
それから、監査を行う会計士の数も現状としても不足しているようです。
2009年より内部統制の監査もあるわけですから、このままですと人手不足はさらに深刻な問題になりそうです。
会計監査は法定監査ですから、決められた人=公認会計士だけが監査を実施できます。
つまり絶対数は、公認会計士試験の合格者以上は増えないということです。
(専門家の不足はセキュリティの業界だけでなく、いろんなところで問題になっています)
監査業務に関する規制や不審感、専門家人材の不足とも、この業界と比較するとセキュリティ業界のほうが深刻度は低いように感じられるかもしれません。
しかし個人的には、あまり「人ごと」には思えません。
情報セキュリティも、その重要性と必要性が高まれば、要求される倫理も高まり規制も厳格になると思うからです。
| 固定リンク | コメント (0) | トラックバック (1)
1週間前のITmediaの記事「『.com』のつもりが『.cm』、カメルーンのGoogleサイトに要注意」
からです。
つまり、『.com』のつもりがタイプミスとかキーの空打ち(私は、たまにやってしまいます)をしてしまって『.cm』になると、米国のサイトのつもりがカメルーンのサイトに行ってしまうということです。
リアルな世界では、飛行機に乗り間違えてもこんなことはありません。
でもバーチャルなネットの世界では、こんなこともあるっていうことですね。
カメルーンは、サイバー犯罪の捜査などに協力してくれませんし、そのスキルもないようですから、ここにフィッシングサイトを置かれたり、リレーされたりすると大変なことです。
「ところで、カメルーンにCISSPはおるんかい?」ってことで調べてみました。
すると・・・
「おっ、1人いるじゃないか。この人で何とかならないのかな・・・」
ちなみに、日本は720名になってますね。
| 固定リンク | コメント (0) | トラックバック (0)
ここ2年ぐらい、いろんなところで「IT業界3K」話が出ます。
もともと「3K」とは、いわゆるブルーカラーとされる職種について、言われていた言葉でしたね。
仕事が「きつい」「汚い」「危険」ということを意味してました。
ITは「新3Kの職場」と言われています。
一昨日もあるところで、「ITの3K」と言っていたら「ところで、その3Kって何でしたっけ?」という話になりました。
「『キツい』「帰れない』「給料が安い』じゃないんですか?」と返したら、「他にもあるんじゃない?」という展開になりました。
そうなると興味が出てきたので、ネットでちょいと検索をしてみました。
(ネガティブな話題なのに、なぜかワクワク・・・)
ちょっと前の記事「ITプロを取り巻く『3K』を改善したい」では、「厳しい,きつい,帰れない」になってますね。
他にも出てくる、出てくる・・・
「気が休まらない」
「キリがない」
「休暇が取れない」
「規則が厳しい」
「化粧がのらない」
「結婚できない」
「過労死寸前」
ということで、11Kになったかな?(まだ、ありそう)
やばいね、この業界。早く、みんなで改善しましょうね。
| 固定リンク | コメント (0) | トラックバック (0)
このシリーズの4回目です。
今回は、まさに「なるはや」でした。(めずらしく・・・)
仕事柄、何度かISMSの内部監査や審査という場に立ち会ったことがあります。
私の場合は、公認情報セキュリティ監査人研修での講師をしているため、どうしてもその内部監査や審査の内容を「評価」するという視点で見てしまいます。
公認情報セキュリティ監査人研修のトレーニングコースでは、演習として模擬監査のロールプレイを実施しています。
受講者の皆様に監査人になっていただき、講師は被監査側を演じます。
そんな事情もあって、こういう時の私はこのような講習でのロールプレイの相手役の講師のようになってますね。
で、その「評価」なのですが、「それって、監査(審査)なの?」「そんなんで、証拠になるの?」というのが率直なところ。
質問(ヒアリングまたはインタビューとも言います)と、その回答でほとんどが済んでしまっています。
あまり詳しくはここでは書きませんが、一例を挙げると乱雑な机で業務をしている方に「帰宅するときは、この書類は机にしまうんですよね?」と聞き「はい、しまってます」と答えれば、「クリアデスクは、マル(○):適切に実施されている」って具合です。(ちなみに、この場合は、まず質問がNGです)
「監査(審査)に来た方の技量というより、ISMSの内部監査とか審査の水準がこういうものなんだろうなぁ・・・」と、感じました。
(「そうじゃない」って、反論される方もあるかもしれませんが)
監査業務では本来、「品質管理」というものが非常に重要です。(審査業務も同様です。以下も同じ)
監査の品質を確保するためには、まず監査を実施する監査人の資質が重要です。
「監査人」と呼ばれる資格、または監査を実施できる資格のほとんどは、そのための厳格な制度・仕組みが確立されています。
ISMSの場合は、(その普及のために、ある程度はやむを得なかったのでしょうか)、このあたりの仕組みも十分ではない、と感じています。(これは、前回の記事「ISMS認証って、何なの?(3)」(「ISMS審査員資格制度」について)でも明らかにしたつもりです)
そうなると、監査も審査もあてにならない(つまり、信頼を与えうるものではない)ということになりますから、認証なんて要らない、ってことになりますね。(自主的に実施、運用されるマネジメントシステムで十分である、または、それでしかない、という結論になりうる)
では、この続きはまた次回。(例によって「なるはや」で・・・。それから、そろそろ問題提起だけでなく、何か建設的な意見を書かないと・・・)
| 固定リンク | コメント (0) | トラックバック (0)
この3連休、ひさしぶりに実家に帰省していました。
年末年始に体調を崩して帰省できなかったので、この時期になりました。
その間、このブログにはいっさいアクセスできなかったのですが、トラックバックスパムが山のように押し寄せてきてました。
その数、なんと28件。
一応、フィルターもある程度かけているんですけど、それでもこれだけの数が来てました。
何かいい対策はないでしょうか。
それから、普通のトラックバックが1件もなかったのも、実はちょっと寂しかったりして・・・
| 固定リンク | コメント (2) | トラックバック (0)
「Yahoo!ブログ検索」で、どれくらいのセキュリティ関連ブログが開設されているか調べてみました。(ヒットした記事の数ではありません)
・セキュリティ:1146件
・情報セキュリティ:185件
・ネットワークセキュリティ:23件
・インターネットセキュリティ:19件・CISSP:10件
・情報セキュリティアドミニストレータ:34件
・テクニカルエンジニア(情報セキュリティ):25件
・CISA:5件・ISMS:31件
・プライバシーマーク:57件・ハッキング:49件
・ハッカー:59件最後に
・情報セキュリティプロフェッショナル:2件
(このブログと先代のブログだけ。うれしいような、悲しいような・・・)
※ ちなみに赤字は、このブログがヒットしたキーワードです。
結構あるもんだなぁ~。
次は他のブログ検索やキーワードで試してみます。
| 固定リンク | コメント (0) | トラックバック (0)
一部の方から「続きは、いつなんだ?」と、時々聞かれております「ISMS認証って、何なの?」の3回目です。
前回の記事から間が開いておりますので、まずは過去の記事のリンクを以下に・・・
「ISMS認証って、何なの?(1)」
「ISMS認証って、何なの?(2)」
今回は「ISMS審査員」という資格について。
まず、JIPDECのHPで調べてみたらISMS審査員登録者は、3922名(2007年2月1日現在)おりました。
私もその1人です。この制度が始まった最初の頃に取りましたので、登録番号はNo.36、リストでは34番目に出てきます。
実は私の場合、昨年から更新の書類を出していませんし、維持登録料も支払っておりません。
そのため自分では「失効」と思っておりますので、資格保持者を名乗っておりません。
でもリストには載ってるんですよね。ということは、名乗っていいのかな?
(ご存知の方がほとんどでしょうが)この資格は、経験に応じて「主任審査員」「審査員」「審査員補」の3段階に分かれています。
制度上は、この資格を使って経験・キャリアを積んでいけば、上位の資格に「格上げ」が可能になっています。
私も2001年に取得し、以降ずーっと「審査員補」です。
内訳を見たところ、もっとも格が低い「審査員補」が3168名ですから全体の80.8%を占めていました。
つまり、取ったのはいいがこの資格を使っている人はほとんどいないということですね。(名刺に書いている程度)
この資格を持っているべき(持っていなければならない)人は、「審査」をする人だけです。
それから「資格」といっても、研修をちゃんと受けさえすれば試験に落ちることもありませんので、厳密には知識や能力が評価されているとは言えません。
さらに「更新」があるといっても、特に維持活動らしきものは何もしなくても「審査員補」は維持できます。
などなど考えていくと、「この資格も審査する人以外に必要なの?」というのが今回の結論です。
ということで、私なりの判断として昨年から「更新」をやめ、(たぶん)「失効」したということです。
このシリーズは制度を否定するためでなく、問題提起とその解決策の検討という前向きなアプローチで書いています。(繰り返しになりますが、念のため)
続きは、また。「なるはや」で・・・
| 固定リンク | コメント (0) | トラックバック (0)
最近、厚生労働大臣の少子化問題に関わる発言が問題になっていますね。
それでというわけでもないのですが、今回は「『少子化』という問題は、情報セキュリティの人材育成にもあるのです」というお話を。
どういうことかというと、まずは情報セキュリティの教育者が不足している、といことです。さらにそれだけではなく、後進が生まれてこない、育っていない、ということなんです。
(教育者が十分に次代の教育者を育成できていない、もしくは育成できるスキルがない。教育者を教育する者は、さらに不足している)
つまり、「親」(教育者を教育する者)の絶対数が少ない上に、さらに(だから)「子」も生まれないということです。
(やや強引ですけど)まさに「情報セキュリティの人材育成の少子化問題」です。
ちなみにここでの「親」にあたるものを、NISCの山口英さんは、"teacher of teachers"という表現をしていました。
この問題の原因はいろいろあるのでしょうが、最大の要因はまずは「なりたい人が少ない」次に「人によって描く『セキュリティ専門人材像』が異なる(多様化している)」ということではないか、と考えています。
まず、最初の要因「なりたい人が少ない」については、12/22の記事「NISCへのパブコメに関するディスカッションにて」に書いたような状況だということ。
次に「人によって描く『セキュリティ専門人材像』が異なる(多様化している)」については、キャリアパスが多様化していることによるものでしょう。
それに育成すべき対象が「情報セキュリティ人材」から「情報セキュリティに係る人材」へと、そのスコープが大幅に拡大しているということです。
育成対象という底辺の裾野ばかりが広がり、その上位層がいないなどという階層構造になってしまえば、もちろん「情報セキュリティに係る人材」の育成など、うまく行くはずがありません。
そしてこのような状況から、セキュリティ対策が進まないという、悪循環を生み出すことになってしまうのでは、と懸念しています。
この問題は引き続き考えていきたいと思います。
「また、このパターンか・・・(ISMSの件は、どうした?)」ということになるので、次回はいわゆる「なるはや」ということで。
| 固定リンク | コメント (0) | トラックバック (0)
最近、会計監査論の書籍を読んでいます。
別に会計学の世界に転進しよう、会計士や税理士を今から目指そう、ということではありません。
現在、執筆している原稿(もちろん、情報セキュリティ関連のものです)の背景的な知識の整理のために読んでいます。
かなり以前の記事「私のキャリア」で書きましたが、私はもともと商学部の出身で、このあたりのことは大学で学んだのです。
念のため、大学の履修科目を確認したら・・・
うん、あった、あった。
とてもわかりやすく書かれた本を選んだのですが、それでもなかなか頭の中で知識や理解がつながりません。
やはり、錆びついた知識が使い物にならないということを痛感しました。
とはいえ、「筆が進まぬ」といい言い訳をしても、着実に締め切りは近づいてくるわけで・・・
がんばって読んで頭の中を整理して、締め切りまでに書きます。
| 固定リンク | コメント (0) | トラックバック (0)
去る、2月2日は「情報セキュリティの日」でしたね。
日本で第1回の「情報セキュリティの日」だったわけですが、(私が期待したほどの)大きな盛り上がりはなかったような気がします。
来年からも、この「情報セキュリティの日」は続くわけですが、今年以上の盛り上がりを期待したいと思います。
そんな中で、2月2日には「第10回情報セキュリティ政策会議」も実施されました。
そこでは、最初の情報セキュリティの日功労者表彰も行われました。
(どなたが表彰されるか、まったく存知あげなかったのですが)
「『情報セキュリティの日』功労者表彰 受賞者一覧 」で、公表されています。
個人的には、日本セキュリティ監査協会(JASA)でお世話になっている、会長の土居先生が受賞されていたことがうれしいですね。
また、今回の目についたところでは「重要インフラ分野における分野横断的演習(机上演習)の実施について」があります。
来る2月7日に、第1回の机上演習が行われるようですね。
どのような結果(成果)が出るのか、個人的にかなり興味があります。
| 固定リンク | コメント (0) | トラックバック (0)
ITmediaの記事「『若者』『カラフル』がキーワード――4月始まりの手帳、各社が発売開始」からです。
皆さんはどちらですか?
私は4月始まりの手帳を使っています。(私は『若者』でもなく、『カラフル』な手帳も使っていませんけど)
どうやら、4月始まり手帳はかなり少数派のようです。
確かに置いていないお店も多いですね。買うのにちょっと一苦労します。
12月決算の会社に所属したこともあったのですが、そのときも4月始まりの手帳を使用してました。
とにかく、私は1~12月というサイクルでは、スケジュールを管理できません。
(理由を明確に言うのは難しいのですが)なんとなく、プライベートは1~12月、ビジネスは4~3月が定着してしまっていまして、その習慣がどうしても変えられません。
ということで、そろそろ「来年(度)の手帳」を買わないといけないなぁ。
| 固定リンク | コメント (0) | トラックバック (0)
先週金曜の夕方から、突如右目のまぶたが大きく腫れてきました。
帰宅したら家族から「ものもらいでしょ。きたない手で目をさわったんじゃないの?」などと言われる始末。 さらに「まったく、子どもじゃないんだから」とトドメの一言。 そこで翌朝眼科医に行ったら、診察室に入るなり「あなた、睡眠不足でしょ?」と言われました。どうやら睡眠不足による疲労で目が腫れたようです。「ものもらいなら、内側から腫れるんだよ。この腫れは外側だけだからね」 「あなたみたいな方、最近多いですよ。とにかく、よーく眠ってね」と言われ、目薬と抗生物質をもらって帰ってきました。
言われたとおりに睡眠とって、抗生物質飲んで目薬をさしていたら、かなり腫れがひきました。あんなに急に腫れて、思ったよりはやくひいたので不思議な気分です。
特に最近無理しているとか、疲労が蓄積しているという自覚がまったくなかったのですが、この目の腫れは「疲れが溜まっているよ」という「サイン」だったんでしょうね。
おかげで大きく体調を崩さずに済んだのかもしれません。
このようなサインを見逃さず、体調を維持することも重要なスキルの1つだと思います。 |
| 固定リンク | コメント (0) | トラックバック (1)
もうすぐ、Windows VistaとOffice2007の発売開始ですね。
個人的にはWindows Vistaよりも、Office2007が気になっております。
そんなとき、こちらの記事を見てしまったら、とたんにすぐに欲しくなってきました。
PowerPoint2007のマルチモニター機能です。
これは大きい・・・
だって、スライドを投影しながら、手元のPCではメモを見れるんですよ。
「カンペ」要らず、です。
ただ、いくら「道具」が良くなっても、プレゼンテーションスキルやインストラクションスキルは磨き続けないといけませんね。
| 固定リンク | コメント (0) | トラックバック (0)
「いつも会社にいらっしゃらないけど、どこに行っているんですか?」と良く聞かれます。
そこで、(どうでもいいことですけど)所属会社所在地以外の私の出没エリアです。
見かけたら、気軽に声かけてください。
・西新宿あたり(出没頻度:★★★)
某NPOのWGのため、某大学にほぼ毎週頻繁に出没。
・茅場町あたり(出没頻度:★★★)
某NPOの委員会のため、ほぼ毎週頻繁に出没。・半蔵門あたり(出没頻度:★★)
某セキュリティ資格の講習のため、某研修センターに月1~2回出没。・六本木あたり(出没頻度:★)
上記の某セキュリティ資格の運営機関との打ち合わせ等のため、たまに出没。
実は行っている場所は、ほとんど決まっています。
(自宅と会社も含め)東京23区内を、ぐるぐるしてるだけ。
これじゃ、行動範囲狭いはずですね…
| 固定リンク | コメント (0) | トラックバック (0)
昨日、某都銀のATMを使用しました。
お昼どきということもあり、やや長い行列で数分待ち、私の順番になりました。
そこでATMを使おうとすると、何もしていないのにいきなり停止しました。
その画面を見て思わず、「何やっているんだよ・・・」と独り言を言ってしまいました。
すると私の後ろに並んでいた(たぶん)OLさんが「あちらが空きましたから、お先にどうぞ」と、ご親切に譲ってくれました。
これだけだと普通のエピソードなのですが、この場合は私が見ていた「画面」が問題なのです。
停止したATMが表示していた画面は、見慣れたATMの操作パネルではなく、なんと「Windows NT 4.0 Workstaion」で、そのエラーメッセージとともに見事にフリーズしていました。
つまり私の「何やっているんだよ・・・」は、ATMが停止したことに対しての文句ではなく「おいおい、いまどきNT 4.0なんて、使ってちゃダメだよ。せめて、Windows2000使えよ!」というツッコミだったのです。
(これも職業病でしょうかね・・・)
後ろに並んでいた方々は、そんなことには気づきもしなかったでしょうけど。
ということで、
「お願いしますよ、某都銀さん・・・」
| 固定リンク | コメント (0) | トラックバック (0)
久しぶりに遠出しました。といっても横浜なので、相変わらず行動範囲は広がっていません。
情報セキュリティ大学院大学で、「情報セキュリティ人材育成ワークショップ」を聴講してきました。
行ってみると、配布資料はアジェンダとアンケートのみ。
「紙で資料、配る時代じゃないから」という釈明でしたが、無償セミナーとはいえサービス精神がかなりかけており、かなりテンションが下がりました。
その代わり「本日の講演資料は後日、Webでアップする予定」とのことでしたけど。(ということで、ひたすらメモ。こうなると集中して聞けない、って)
今回の最大の興味は、基調講演1.「情報セキュリティに係る人材育成について」の山口英氏でした。
山口氏は、奈良先端大学の教授ですが、内閣官房情報セキュリティセンター(NISC)情報セキュリティ補佐官でもあります。
日本の情報セキュリティ政策(これの抜粋的内容)から、「人材育成・資格制度体系化専門委員会報告書(案)」作成までの背景と経緯、そして今後の課題と取り組み、というような内容でした。
ちなみに「人材育成・資格制度体系化専門委員会報告書(案)」は、近日パブコメを反映した正式版が公開されるようです。
やはり、実際に情報セキュリティ政策の中心で活躍される方のお話は違うなぁ、という感じでした。
それから、人材育成は難しく課題も山積みだなぁ、とも感じました。
(いろいろメモをしたのですが、アイテムが多すぎて整理できていませんので、今回は書きません)
大変だけど、がんばらなければ・・・
※ 参考記事(日経ITpro)
「山口英・内閣官房情報セキュリティセンター情報セキュリティ補佐官 インタビュー」
| 固定リンク | コメント (0) | トラックバック (0)
1/8の記事「ISMS認証って、何なの?」の続きです。
増田さんのブログの記事「ISMS認証制度って・・・私見をば」などで、いくつかの反響をいただきました。
さらに増田さんは、「不二家 ISO14001認証取り消しか」という興味深い記事を書かれています。
この中にもありますが、
各報道によると
不二家は11日の会見で、「埼玉工場はISO認証を受けており、廃棄物が一定量を超えると、是正報告書を書かなくてはいけないため、(消費期限切れの牛乳を)捨てづらかった面もあったようだ」 と釈明した。この点についても、協会は「ISOは、品質管理や環境への配慮を目的としているのに、体裁を整えることを優先しては本末転倒」と事態を重く見ている。
ということだそうです。
つまりは、「人体への影響よりも環境への影響を重視した」、さらには「認証への影響を重視した結果、廃棄せずに使用した」ってことを会見で釈明として述べた、ということですね。
ここでのISOはもちろん環境マネジメントシステム(EMS;ISO14001)ですが、ISMSも同じマネジメントシステムですから、これを情報セキュリティに置き換えてケーススタディとしてみるのもいい機会と思います。
具体的に置き換えるならば、「ISMS認証取得済みの企業が、その維持のために故意に情報を改ざんした」というところでしょうか。
「まるちゃんの情報セキュリティ気まぐれ日記」の昨年の記事「ISMSの形骸化」では、「ISMSの形骸化ではなく、『心』がないISMSがそもそも『形骸』」ということが書かれています。
それから「所詮、『制度』は『道具』でしかない」とも。
まったく、同感です。
また、よく「マネジメントシステムは『形』でしかない」という表現をあちこちで見かけますが、それよりも悪い単なる『型』になってしまっている企業もあるような気がします。
まだ『形』なら、「自分で作ろう」という『設計』というような考え方や『心』が残っている(かもしれない)という取り方も辛うじてできます。
『型』は、他の人たちが作ってくれたものを「自分たちは使わせてもらう」という発想ですから、『設計』などという考え方も『心』も残ってない、という解釈になります。
ISMSが、そのような『型』にはまって、その中だけで運用され維持されている仕組みであるならば要らない、と私は思うのです。
皆様、いかがでしょうか。
この続きは、また後日書きます。
| 固定リンク | コメント (2) | トラックバック (0)
昨日(1/10)、このブログの1日のアクセス数が過去最高を記録しました。
今までの最高は274でしたが、昨日は361でした。(ちなみに一昨日の1/9は、212)
なぜだろう?
最近の記事のせい?
今週は「ISMS認証って、何なの?」「CISSP講師、一周年」「書き初めくん」「仕事での行動範囲(2006年)」が昨日までに書いた記事でした。
う~ん、「ISMS認証って、何なの?」と「書き初めくん」かな?
それともアクセスカウンターのデザイン設定を変えたから?
とにかく、多数のアクセスありがとうございます。
これからもきちんと更新しますので、引き続きご訪問のほどよろしくお願いいたします。
| 固定リンク | コメント (0) | トラックバック (1)
ZDNetの記事「始めたからには読ませたい--より良いブロガーを目指すための10のコツ」から。
これによると、「良いブロガーを目指すための10のコツ」は、
#1:目的を明確にする
#2:視覚的にアピールする
#3:適切なツールを使用する
#4:ナビゲーションを容易にする
#5:同じURLを維持する
#6:読者を惹きつける
#7:ブログ更新のスケジュールを確立する
#8:簡潔を旨とする
#9:推敲してから公開する
#10:RSSを利用する
だそうです。
では、この10項目で自己点検。(あくまで「自己点検」)
#1:◎、#2:△、#3:○、#4:○、#5:○、#6:○(?)、#7:◎、#8:○、#9:×(!)、#10:○、ってところです。
ちなみに関連の記事「ブログを失敗に至らせる10の間違い」によると、
#1:不定期に更新する
#2:広告をたくさん掲載する
#3:個人的な復讐のためにブログを利用する
#4:読者を無視する
#5:自身の個人生活について投稿する
#6:他人の書いたものを盗用する
#7:FUD(Fear:恐れ、Uncertainty:不安、Doubt:疑念)を広める
#8:コメントに注意を払わない
#9:サイトの内容を確認せずにリンクする
#10:これらのルールにとらわれてしまう
が、NGだそうです。自分では当てはまってないと思うんだけど、今後も気をつけよう、っと。
| 固定リンク | コメント (0) | トラックバック (1)
| 固定リンク | コメント (0) | トラックバック (0)
「ISMS認証って、何なの?」
実はいつかは取り上げようとしたネタだったのですが、諸事情で書きにくいので今まで放置していました。
最初に宣言しておきたいと思いますが、私はISMS適合性評価制度やJIS Q 27000シリーズ(ISO/IEC 27000シリーズ)を否定したり非難したい訳ではありません。
このテーマについては、あくまで客観的・中立的に考えていきたいと思っています。
「まるちゃんの情報セキュリティ気まぐれ日記」の「ISMSの認証取得は世界で3233サイト、Pマークは6360社」という記事によると、
・2006年12月現在、全世界で3233事業所がISMSの認証を取得しています。そのうち日本は1850事業所で、約60%を占めています。
・ISMS適合性評価制度は、2006年12月27日現在、1907事業所が認証を取得しています。
・2007年1月4日現在、6360社がプライバシーマークの使用許諾を受けています。
だそうです。
にも関わらず、日本国の情報セキュリティは世界のトップランナーでもないわけです。
NISCの「第1次情報セキュリティ基本計画」や「セキュアジャパン2006」などでも、堂々と「世界水準をめざしてのキャッチアッププラン」なんて書き方して自ら認めていますし。
では、何のために認証取ってんでしょうね?(日本の場合「あの会社が取ったから、うちも」という横並び意識は強いのは確かです)
ちなみにCISSPのレビューセミナーでは、ISO/IEC 27000シリーズについて、もちろん触れられています。ただし「認証」という内容はまったくありません。そして、ISO/IEC 15408についても触れていて、こちらは「認証」という内容が何度か出てきます。
プライバシーマーク、ISMSの認証の取得や維持に関わられている方は、この機会にこのテーマについて、ぜひ考えてみてください。
(この続き、また近いうちに書きます)
| 固定リンク | コメント (0) | トラックバック (2)
| 固定リンク | コメント (0) | トラックバック (0)
皆様、あけましておめでとうございます。
年末年始にお休みしていたこのブログも本日より再開いたします。
なにとぞ、本年もよろしくお願いいたします。
さて新年ということで、まずは私の今年の抱負らしきものを書いてみたいと思います。
2007年の個人的な抱負としては「情報セキュリティ人材の地位向上」を、挙げたいと思っております。
以前の記事でも書きましたが、「情報セキュリティに係る人材」自体とその育成の必要性や重要性を訴えても、「そうなりたい」と思われなければ、その質も量も確保はできません。それどころか、現在確保している「情報セキュリティに係る人材」も確保できるとも限りません。
(ここからは、やや極論めいた話になりますが)「重要かつ必要だけど、なりたい人がいない」などということになると、「『必置規制制度』(情報セキュリティ担当者を置くことを義務付ける)を作らざるを得ない」などという議論に発展(実際にそのような議論が一部でされている)し、しまいには「徴兵制度」のようなものになってしまいます。(情報セキュリティ担当者になることは「赤紙」などと呼ばれかねない)
そんなことにならないためにも、「情報セキュリティ」を現在以上に魅力あり評価がされる分野や業務にしていきたいと思っています。そのためにいろいろと、2007年はがんばろうと思っています。
| 固定リンク | コメント (0) | トラックバック (0)
12月20日にJNSA教育部会で、NISC「人材育成・資格制度体系化専門委員会報告書(案)」へのパブコメを出すためのディスカッションが行われました。集まった方々もそうそうたるメンバーで活発な意見交換が行われました。なかなか中身が濃く私としては満足度も高く、とてもためになりました。
そこで私が出したコメントが、昨日の記事のような「『情報セキュリティ』という仕事に魅力がない」ということなどです。
とにかく「情報セキュリティに係る人材」自体とその育成の必要性や重要性を訴えても、「そうなりたい」と思われなければ、「あるべき姿」は実現できないと考えています。
そのためには、育成の対象者に「動機付け」を行い、そのための「機会」や「手段」を与えなければならない、と考えているのです。
昨日の記事の通り、「ITエンジニア離れ」が起こっているような状況では尚更です。
そのためには、「情報セキュリティに係る人材」の地位向上やさまざまな支援の政策が必須条件と考えています。
そのためにも、仕事のこのブログもがんばっていこう、と思っております。
| 固定リンク | コメント (0) | トラックバック (0)
本日の14:00過ぎに、20000アクセスを超えました。
このブログの10000アクセスの突破が、10/10でした。
それから、わずか10週ほどでさらに10000アクセスを上積みし、累計20000アクセスを記録しました。
このアクセス数にも驚きなのですが、何よりブログを続けられている自分に驚いています。
日記なんぞ書いたこともありませんが、(先代のブログから数えると)かれこれ10ヶ月も続いております。
(このブログは、開設7ヶ月弱ですが)
まずはアクセスしていただいた皆様に厚く御礼申し上げます。
そしてこれからも「サボらず、無理せず」(しばらくは、これをスローガンにします)書き続けたいと思います。
| 固定リンク | コメント (0) | トラックバック (0)
コミュニケーションが「双方向」なのは当たり前なのですが、最近しみじみこの「双方向性」の大事さを実感しています。
特に「子育て」と「講習」ですね。
「子育て」は、娘を育てている、幸せにしようとしている、ということなのでしょうが、逆に「幸せにしてもらっているなぁ」と思うことのほうが多くなってきました。娘から、発見することや教えられることも本当に多いのです。そして自分自身を見つめなおす機会ももらっている気がします。
「講習」でも同様ですね。講師とは「教える」立場なのですが、受講されている方々からいただく質問やコメント、受講者アンケートなどから、発見することや教えられることも本当に多いのです。
そのような機会や環境に恵まれていることを、本当に幸せだと思います。
「自己研鑽」という言葉がありますが、これは独学で知識を蓄積していく、ということではなく、このように他の人に自分を晒して発見や見直しの場を持ち、スキルに磨きをかける、という意味でもあると、私は解釈しています。
| 固定リンク | コメント (0) | トラックバック (0)
「バランス」について考える、その3回目です。
よく「できる」人、「(頭が)切れる」人、などという褒め言葉があります。
そのような評価を受けることはプロフェッショナルを目指すものとして重要と思いますが、それ以上のものがあると思っています。
私の場合は、特に以下の3点です。
・好かれること
・信頼されること
・(明るく)前向きであること
いくら「できる」と評価されても、この3点に欠けてはならないと思っています。(詳しくは、また別の機会に)
人間的に魅力があり、「また、会いたい」「もっと話をしてみたい」「一緒に仕事をしたい」などと思われることが大事と思っています。私は「お互いにそう思える間柄の人脈を作りたい、いや作るんだ」と、常に心がけています。
| 固定リンク | コメント (0) | トラックバック (0)
「ブログで育てる自分戦略」~@IT、という記事からです。
キャリア戦略という視点からの記事ですが、ブログを書く人(これから書こうかな)には参考になりそうです。
ここでは「テーマとポジションの選び方」として、4つに分類されています。
1.「専門家」として主張する。
2.「解説者」として解説する。
3.「研究者」として考察する。
4.「傍観者」として話す。
「自分はどうだろう?」と考えてみました。1.と3.が中心でしょうね。そして、時々4.かな。
書き方としては、「客観と主観をセットで、テーマに結び付けて」としたうえで、以下の2つのタイプに分類しています。
書きたくなるネタを見つけた(ネタ系=情報重視)
書きたくなる何かを考えついた(つぶやき系=主張重視)
自分の場合、これはどちらもありです。
(この記事でも書かれていますが)そして何といっても、ブログは続けることが大切です。
| 固定リンク | コメント (0) | トラックバック (0)
「バランス」について考える、その2回目です。
スポーツで、よく「心・技・体」の3拍子といいますが、これって情報セキュリティプロフェッショナルを目指す人も同じだと思います。
特にこの3つで私が意識している言葉としては、
心:マインド、モチベーション、スピリット・・・
技:スキル、知識、ノウハウ・ドゥハウ・・・
体:体力(特に持久力と瞬発力)・・・
って、ところかな?
どれも具体的に示すことは難しいのですが、なんとなく私の中では基準らしきものがあってチェックしているような気がします。
とにかく、「技」だけ磨いても「心」と「体」を失っては結果的に何もできないと思っています。
心=意欲、動機、精神力・・・(簡単に、あきらめずに前向きに)
体=いざというときに最高のパフォーマンスをする力、最後までやりぬく力
これらは、何度か書いている「使う力」における重要な要素でもあると考えています。
それに「技」を磨く、磨き続ける、という点においても、不可欠なものと考えています。
とにかく、ストレス(「心」の敵)と疲労(「体」の敵)は蓄積させないよう心がけています。(できているかどうかはおいといて、少なくともそのつもり・・・)
| 固定リンク | コメント (0) | トラックバック (0)
よく「人生何事も、バランスが大事」と言われています。
そこで「バランス」ということについて、何回かに分けて考えてみたいと思います。(不定期になるかもしれません)
今回は「ライフ・バランス」について。
まずは、2ヶ月ほど前に読んだ本から。
■商品の説明内容(「BOOK」データベースより)
日本初の外国人・40代頭取として東京スター銀行を再建、東証1部上場を果たしたタッド・バッジ氏の、「ワーク・ライフ・バランス」の考え方とは?
自分、人間関係(家族・友人)、社会(ボランティア)、仕事の4つのボールで仕事の成功と幸せな人生を手に入れる方法。
よく「公・私」とか「On/Off」などと言われていますが、どうも私なりにしっくり来ませんでした。
生活をそれだけで区別したり、バランスを考えるということが自分にフィットしなかったのです。「それだけではないよね・・・」と、いつも考えていました。
この本では、「ライフ・バランス」ではなく「ワーク・ライフ・バランス」という言葉を使い、以下の4つに分けてそのバランス感覚について解いています。
・自分
・人間関係(家族・友人)
・社会(ボランティア)
・仕事
の4つ。
これなら、私にもフィットしそうです。
ただ、現在のバランスを考えると、「自分」の時間が一番ないようです。
この本の著者は「仕事ばかりしていては、優秀なビジネスマンになれません。幸福も手に入れられません」とも言っています。これも同感。
その他「ジャスト・イナフ」という考え方を解いています。とにかく、多くを望んでもキリがない。どのレベルが自分にとって「ジャスト・イナフ」なのか、それでバランスを考える、ということ。この考え方も共感できました。
他の書籍でも、「人生>生活>仕事」という考え方のものがありました。
「仕事が趣味みたいなもので・・・」というのは、私個人的には言いたくないですし、言わないようにしています。
仕事の中にも趣味的な部分がある、ということはありますが。
最近は、こんな考え方で私なりにすっきりしましたので、それでもって「ライフ・バランス」を意識して生活しています。
| 固定リンク | コメント (0) | トラックバック (0)
本日11月22日で、このブログ開設半年となりました。
昨日までの累計アクセス数は16200を超えまして、トータルの1日平均アクセスは約90というところです。
(最近は2ヶ月くらいは、週900~1100のアクセスがあります。ありがとうございます)
(以前にも書きましたが)CISSPというニッチなテーマから始まったため、そんなに多くのアクセスがあるとは思っておりませんでした。そもそも他でブログを書いていたので、こちらを「支店」としていました。
途中からCISSPをタイトルからはずし、あちら(本店)を閉鎖、統合して現在に至っています。
これで先代ブログも成仏できるでしょう・・・
今後も、もっともっと楽しく役立つことを書くようにしますので、引き続きよろしくお願いします。
(そうでないことも書きますけど)
| 固定リンク | コメント (0) | トラックバック (0)
先日の記事に書いた「情報セキュリティの日」である、2月2日には情報セキュリティ分野における功労者の表彰も行われるようです。
情報セキュリティに関する特に顕著な功績や功労のあった個人または団体を表彰するという制度です。
これに関して、何人かの方と話したり、ネットの書き込みなどを見ましたが、まさに賛否両論。(「否」のほうが意見としては多い気がします)
私の意見としては、この制度の設立そのものは賛成したいと思います。
上記の「情報セキュリティの日功労者表彰要綱(案)」で、その目的には「優れた取り組みを広く普及する」とありますが、それにとどまらず、対象の組織や個人のステイタスや評価の向上につながるようなものであって欲しいと思います。
そうでないと、情報セキュリティの促進や優れた人材の育成や維持にはつながらないと思います。
そういう制度になることを期待して、私の場合は現時点で「賛成する」ということで。
| 固定リンク | コメント (0) | トラックバック (0)
「情報セキュリティの日」が2月2日となることが、正式にNISCより公開されました。
(会社や学校は休みになりませんよ、念のため・・・)
この日の前後は、セキュリティイベントが盛りだくさんになりそうですね。(今年だけでなく、来年以降も)
楽しみだけど、忙しくなるかな・・・
| 固定リンク | コメント (0) | トラックバック (0)
10/23の記事で書いた「ITスペシャリスト育成ハンドブック」で紹介されている学習方法についての続きです。
この中に、(2)先輩、上司に学ぶ、(3)OJT、というのがあったわけですが、ここで注目すべき人材育成手法がコーチングやメンタリングだと考えています。このうち、メンタリングについてはITエンジニアを対象にした以下のような記事があります。
NIKKEI ITProの記事より
【上級】メンタリングの進め方 第1回
【上級】メンタリングの進め方 第2回
【上級】メンタリングの進め方 最終回
この中で特に取り上げたい要素として
OJTとメンタリングの違い:
OJTは一般的に同じ組織内の上司や先輩が部下や後輩に対して行い,業務の成果を上げることを目指す。メンタリングは組織にとらわれないメンバー間で行われ,キャリア面に加えて社会的,精神的な面での支援を行う。メンタリング:メンターが守るべき7原則
(1)徹底して聞く
(2)反論を許す
(3)温かい雰囲気を作り,励ます
(4)学習と成長の実態を把握する
(5)将来的なキャリア像を示す
(6)メンティーと価値観を共有する
(7)自分自身が一生懸命学ぶ
があります。
このような制度やアプローチであれば、技術スキルだけではないヒューマンスキルを兼ね備えたプロフェッショナルが育ちそうですよね。でもここでの最大の課題は、メンターの育成だと思うんですよね。つまり、育成者や教育者となる人材を育てないと、こうはならないってことです。これはメンターだけでなく、「講師」も同じこと。まずこの課題を解決しないとね。
ということで、このあとはしばらく人材育成者や教育者について書いてみようかな。(あくまで予定。気分によって?変更あり)
| 固定リンク | コメント (0) | トラックバック (0)
昨日につづいて、IPAのITスキル標準センターのページを訪問しての記事です。
ここでは「ITスキル標準」について、このように紹介しています。
ITスキル標準は、IT業界における人材育成のガイドラインとなるものです。ITベンダーやユーザー企業が自社の人事評価制度や教育研修制度に活用することで、ITスキル標準は大きな効果を発揮します。しかし企業の中には、ITスキル標準の意義や内容は理解したものの、実際にどのように自社の人事・教育制度に取り入れれば良いのか糸口がつかめず、なかなか着手できないという企業も少なくはありません。
そこでITスキル標準センターでは、ITスキル標準を活用する際の拠りどころとしてもらうため、活用指針を提示するとともに、具体的な活用モデルを公表していきます。
「ん?『標準』(standard)なのに『ガイドライン』『指針』??」と、首を傾げてしまいます。
つまり「ITスキル標準」というのが、固有の名称なので仕方ないのかもしれませんが、そろそろこの名称も変更すべきではないかと思います。(もちろん『ガイドライン』『指針』が適切でしょう)
それから、「自社の人事評価制度や教育研修制度に活用することで、ITスキル標準は大きな効果を発揮」としていますが、その効果測定の具体的なモデルや結果などの公表が見当たりません。(何をもって、そう言うのか?)
にもかかわらず「なかなか着手できないという企業も少なくはありません」とは、「つまり、測定してないんじゃない?」と、勘ぐりたくなってしまいます。
その他にも、スキルをビジネススケール(プロジェクトの規模)というものさしで測ってしまうこと(業務実績を「量」や「パフォーマンス」で測るという視点がなく、「質」を「規模」として置き換えているように見える)も、個人的には受け入れにくいのですが。
このあたりの抜本的な見直しも必要ではないでしょうか。
※ ここ2日間の記事は、IPAのITスキル標準センターに難癖をつけるための記事ではなく、このようなもののあり方を建設的に検討しようとしているものです。念のため・・・ (そうでなければ、まじめに読みません)
| 固定リンク | コメント (0) | トラックバック (0)
人材育成関係の調べ物のため、IPAのITスキル標準センターのページを訪問しました。
(ご存知の方も多いでしょうが)ITSSでは「セキュリティ」は「ITスペシャリスト」に属しています。
10/16のニュースリリースを見ると、2006年度の「ITスペシャリスト育成ハンドブック」の公募の結果の公表が行われたようですね。
どんなものが作られるのか、出来上がったらチェックをしてみたいと思っております。
で、この「ITスペシャリスト育成ハンドブック」は過去のものが、IPAのITスキル標準センターのプロフェッショナルコミュニティ-ITスペシャリストコミュニティのページで公開されています。
ここでも「プロフェッショナル」と「スペシャリスト」が入り乱れており、その使いわけの基準や尺度がよくわかりません。(しつこい?)
そこで「ITスペシャリスト育成ハンドブック 2005年度版」を、久しぶりに読み返してみました。
スキルレベルを高める方法として、(1)研修と資格取得、(2)先輩、上司に学ぶ、(3)OJT、(4)独学、が挙げられています。
このうち、(1)研修と資格取得、は基礎的な知識や能力を学ぶことが目的とされ、(2)先輩、上司に学ぶ、(3)OJT、(4)独学、が(1)研修と資格取得、で学んだものを応用的にすることを目的にしているようなことが書かれています。
私には、なんだか古典的な技術の伝承みたいな方式(言い過ぎ?!)に見えてしまいます。
こんな方法やアプローチでは、「プロフェッショナル」や「スペシャリスト」が質でも量でも確保できない気がします。
(皆様は、どう思われます?)
だから、私もいろいろ考えたり実践したり、試行錯誤しているわけですけどね・・・
| 固定リンク | コメント (0) | トラックバック (0)
原稿は何度もいろいろと執筆している(目立たないところで・・・)のですが、今回は書籍の原稿です。
それも2タイトルの同時進行になってしまいました。(正直、しんどい)
といってもどちらも共著なので、すべてを私が執筆するわけでなく分担された内容を書くのですが。
どちらも内容は「情報セキュリティ」(まぁ、当然か・・・)で、来年前半に刊行予定です。
もちろん、一般書店に並びます。
経過や詳細は、いづれまた改めて(ちょっと先になるでしょうけど)ここで記事にします。
そのために、最近はいろいろな資料や書籍を読んでおります。
ということで、ちょっと頭がパンクしてます。(「パンク気味」でなく、明らかに「パンク」)
ちなみに今読んでいる(正確には読み直している)のは、NISCの公開文書で
「我が国政府の情報セキュリティ問題への取り組み」
「第1次提言」
「第2次提言」
「第1次情報セキュリティ基本計画」
「セキュアジャパン2006」
あたりです。
これは、2タイトル中一方の執筆のために読んでおります。
もう一方のためには、また別の資料や書籍を読んだり、ネットを検索したりします。
もちろん、ある程度以上の知識は持っている(なかったら書いちゃダメですよね)のですが、さらに情報を収集しているのです。これを整理し、情報の取捨選択をし、想定される読者対象に書いていく、という作業になります。
大変な作業ですが、しばらくの間は平日の夜や休日にコツコツと、いい本になるようにがんばります。
(そうやって、いままでもいくつかのテキストなど書いてきました)
ところで、私が初めて書籍の原稿の執筆をしたかというと、実は大学2年生のときでした。
内容的にはクロスワードパズルの書籍でした。(そのときも共著でした。確か3冊くらい書いたような。もうそれらの本は間違いなく絶版・・・)
あれから××年かぁ~、なんだか感慨深いなぁ。
おっと、こんな時間。感慨に浸るより、資料を読むか寝るかにしよう、っと。
| 固定リンク | コメント (0) | トラックバック (0)
(昨日10/18に書こうとしてた記事です)
今週はニュースがたくさん発信されていますね。(イベント多いですから)
WPCでのWindows Vistaも気になりますが、やはり「Security Solution 2006」が気になります。
そこで気になった記事が『【Security Solution速報】「あの事件でも」,警察が捜査に利用する情報漏洩・不正アクセス調査ツール』でその中でも「ハードディスク複製装置とデータ解析装置を収めたジュラルミンのスーツケース」ってのがすごい。(画像をご覧ください)
ぜひ見てみたい、触ってみたい。
明日、行けるかな・・・(ちょっと、仕事溜まってるので無理そう。残念っ!)
| 固定リンク | コメント (0) | トラックバック (0)
昨夜(10/10、21:00過ぎ)、このブログのアクセス数が10000の大台を突破しました。
今年の5/22の開設以来、約4ヶ月半が経過します。この短い期間で、これだけのアクセスをしていただけるとは、正直なところ予想していませんでした。
アクセスしていただいた皆様に、厚く御礼申し上げます。
それからもう1つ。「我ながら、よく続いているなぁ」ということ。先代のブログを始めたのが、今年の2/23ですからそれからカウントすると約8ヶ月続いています。
今のところ、ネタが尽きることでブログが続かなくなるという心配はしていないのですが、モチベーションが低下すると続かないかもしれない、とは思っています。
このモチベーションが低下しないのは、このアクセス数と情報セキュリティへの関心だと思っています。それが続く限り、このブログも続けられそうです。
| 固定リンク | コメント (2) | トラックバック (0)
前回の記事に書いた「Black Hat Japan 2006」に、tksmsmyuさん(お気に入りブログにブックマークつけているブログ「目指せ!SS」のオーナーさん)が参加しているんですね。
うらやましい。それからレポートが見れてうれしいです。
こんな記事を読むと来年ますます参加したくなったが、よく考えると越後湯沢のイベントと日程が重なっているよね。来年も重なっちゃうのかな。重ならなければ、お互いもう少し参加者(対象者は間違いなくかぶってる)が増えているような気がするのですが。どっちかの主催の方、開催日をずらしてくださいね。(私のためにも、業界のためにも)
ところで、さっそく記事を掲載しているサイトもあり。(速っ!!)
| 固定リンク | コメント (0) | トラックバック (0)
ということで、予告もなしにこのブログを変えちゃいました。
実はブログ名の変更は7月くらいから考えていたのですが、先月下旬にもう1つのブログを実質的に休眠状態にした際に変更するはずだったんです。でも、そのまま忘れて、今日までズルズルときてしまいました。
タイトルを変更する理由は、CISSPねたが尽きたとか飽きたとか、そういうことではないんです。あちらのブログで書いていたCISSP以外の内容の記事も、こちらで書いていきたいからなんです。
ということで、今後は(CISSPの記事が中心になりますが、それにこだわらず)情報セキュリティプロフェッショナルを目指す方(もちろん、自分自身も含んでます)のための様々な情報を書いていきたいと考えています。
これからも、引き続きよろしくお願いします。
| 固定リンク | コメント (0) | トラックバック (0)
このブログをご覧いただいている皆様、ありがとうございます。
最近2~3週間は特にアクセスが増えました。おかげさまで最近はコンスタントに平日は100アクセスを超えています。先に始めたブログの4~5倍です。
もとはインプットされた自分自身の知識や情報を整理しながら、ブログという場でアウトプット能力を磨き、さらに楽しみたい、というのが動機でした。
このように予想以上にいろいろな方にご覧いただき、そして何らかの形でお役に立っている、そう思うとこのブログを続けるモチベーションもあがります。そういうこともあり、こちらのブログのほうが更新頻度が高くなっています。
これからもできる限り、有益な情報をご提供できるようがんばって更新します。
さて、今日もこれからレビューセミナー講師をしてきます。(「物理セキュリティ」「事業継続計画」「法・捜査・倫理」です)1人でも多く合格していただけるよう、がんばってきます。
※ 実は「(あちらのブログの更新をやめて)こちらのブログをメインにして、一本化しようか」と考えている今日この頃です。2つ書いていることに、やや疲れてきました・・・
| 固定リンク | コメント (1) | トラックバック (0)
CISSPに限らずの話ですが、「認定試験合格を目指し、がんばるぞ~」となった後、ふと「ところで、取ったらどうなんの?(何するの?、何かいいことあるの?)」と考えることありませんか。
これはとても重要なことです。できれば、学習を始める前に明らかにしておきましょうね。
CISSPの場合は認定試験が終わり、結果が出てもエンドースメントや職務経歴書を書いたりなど、やるべきことがあるので、ついズルズルとなってしまいがちです。
だいたいどの方もそうらしいんですが、上司に「合格しました」と報告しても「おう、そうか。おめでとう。手続き(CISSPの認定手続き、社内の所定の手続きなど)してね、名刺を作り変えてね、ちゃんとCPE取得して失効しないでね」と、事務的なリアクションばかりのようで。
そのあとのスキルアップやキャリアパスの話など、ほとんど出てきません。
その話題に及んでも「CISSP以上って、何があるの?」「これ以上って言われても、わからんよ」となり、「もう、これ(CISSP)で十分でしょ」とか「自分で考えて」という結論になります。
CISSPホルダーになると劇的に人生がバラ色になるわけでもないですし、何も努力しなくても地位も名誉も保証されるというものでもありません。
CISSPホルダーになったということは、情報セキュリティ専門家になるためのスタートラインについたに過ぎません。そこからどういう道を進み、どこをどう目指すかはそれぞれで考えていかなければなりません。
このブログでは、そういうことも考えていけるようにしたいと思っています。
| 固定リンク | コメント (0) | トラックバック (0)
先週の「情報セキュリティEXPO」に続き、今週も東京ビッグサイトへ行ってきました。
今度は「オフィスセキュリティEXPO」です。
ふだんの仕事での「セキュリティ」とはちょいと系統が違いますが、これももちろん「情報セキュリティ」なんですね。
実はけっこう楽しみにしていたんです。
CISSPの10ドメインでは、まさに「物理セキュリティ」の分野です。
入退出管理とか、防犯カメラとか、耐火金庫とか。
実際に自分でセキュリティゲートを通ってみたり、施錠開錠してみたり、シュレッダーしてみたり、金庫を開けたり、防犯カメラのアングルを変えてみたり・・・
楽しかったぁ、だけでなく、実体験をもって「物理セキュリティ」を学習してきました。
CPEはつかないけど。
| 固定リンク | コメント (0) | トラックバック (0)
現在、世界には約42,000名のCISSPホルダーがいて、そのうち日本には約550名。さて、ホルダーどうしで知り合って情報交換したいと思ったら、何がいいでしょうか。私が利用しているネットのサイトやSNSで考えてみました。
・mixiのコミュ:84名
・GREEのコミュ:8名(2006年、投稿なし)
・Yahoo!グループ:25名(2006年、投稿なし)
・Yahoo!のブログ検索:4件
で、この中にはすべて私が含まれていますので、数は-1で考えなくてはなりません。
そうしてみると・・・
う~ん、有力な方法はないなぁ。(mixiが一番良さそうですが・・・)
ということもあり、しばらくはこのブログでCISSPホルダーやCISSPを目指す方と交流をしたいなぁ、と思っております。みなさん、お気軽にコメントやトラックバックしてくださいね。
| 固定リンク | コメント (2) | トラックバック (0)
本日より、当ページを開店したいと思います。
ブログは、2月より「情報セキュリティプロフェッショナル(自称)のブログ。」からはじめました。あちら(本店?)のブログでは、情報セキュリティプロフェッショナル全般ということで、広くスキルや資格、関連情報などを書いてきました。
こちらのブログでは、CISSPという資格(本当は「称号」と言わねばなりません)に関連した内容で書いていきます。
これから認定を取ろうという方から、既にホルダーとなっている方まで、幅広い皆様に情報を提供し、また情報交換ができる場にしたいと思っております。
| 固定リンク | コメント (0) | トラックバック (0)
CISSP | CISSP CBK 10ドメイン | CPE | ISSJP | OFF TIME | いままでのキャリア | おすすめサイト | お役立ちのイベント・資料・書籍・情報 | その他のセキュリティ資格(CISSP以外) | ウェブログ・ココログ関連 | ニュース | プロフェッショナルスキル | レビューセミナーと認定試験 | 日記・コラム・つぶやき | 書籍・雑誌 | 講師のお仕事
最近のコメント