ドラマ「監査法人」を観て…(3)

NHK土曜ドラマ「監査法人」が、7/19(土)の放送をもって、完結しました。
ドラマ自体は「最後は、(良くも悪くも)うまくまとめられちゃったなぁ」というのが率直な感想です。
しかし、かなり興味深い全6回を観ることができました。

さて、このドラマでつくづく考えさせられたのは「なぜ、不正は起こるのか／なくならないのか」ということ。
そして、「どうしたら、不正は検出できるのか／どうして、できなくなるのか」ということ。

そう考えているうちに、以前から読もうか読むまいか、迷っていた書籍を購入してしまいました。

それは、「会計不正 ‐ 会社の「常識」監査人の「論理」」という本です。
（タイトルを見ると、一瞬小説のようにも見えますが、ビジネス書です）

最近読んでいる書籍は情報セキュリティというより、どんどん会計とか経営とかそちらの世界に最近向かいつつあります。（他には、畑村洋太郎先生の「失敗学」の本とか、「CIO学」とか…）
私は、もともとそちらの畑(経営学)の人間なのですが、情報セキュリティの本質とは、こういう視点から考えていくべきだ、と個人的には確信しています。

この本を読んでの感想やコメントは、また後日…

ドラマ「監査法人」を観て…(2)

「『監査』って、地味な仕事なんだけど、ドラマになるとそう見えないなぁ」と思いました。

私自身も監査をしたことがあります(もちろん、会計監査ではありません)し、知人に公認会計士をはじめ監査法人に勤務されている方も多くいらっしゃいます。他の方から、コメントを直接聞いたことはないのですが、おそらくほぼ同様の感想なのではないかと思っています。

ドラマになることによって、会計監査をする公認会計士という職業に関するイメージもかなり上がるでしょう。
でも、情報システム監査、情報セキュリティ監査については、どうなんでしょうねぇ？
それよりもIT業界というイメージのほうが上回るでしょうから、こちらのイメージ向上にはつながらないでしょう…
（他力本願はいけませんね、自分たちで頑張らなければ）

セキュリティと競争力向上の両立

日経ITproの「山口英情報セキュリティ補佐官インタビュー（後編）」を見ていて、ここには思わず反応しました。

このインタビューによると、

具体的にどうやってセキュリティと企業の競争力向上を両立させるのか。

三つのことに取り組む必要がある。

第1に技術の開発。これまでは，これなら絶対に守れるという技術だった。しかし，これからはリスクはあるものという前提に立ち，問題が発生したときに想定の範囲内で被害をとどめるといった技術の開発が必要になる。

第2がコンプライアンス（法令順守）について見直すことだ。現状では企業がコンプライアンスに過剰反応して身動きが取れなくなっていたり，企業の力関係によって一方が他方に対して責任をかぶせるということがある。

　ここに対しては，レベル感を合わせるために，政府がコンプライアンス関連の知恵を集めて提供していく必要がある。ガイドラインだったり，コンプライアンスに伴ういくつかの契約書の雛形（ひながた）を出すといったものだ。

自社で専門家を雇う余裕がない中小企業も含めて考える必要がある。業務をアウトソーシングする際，秘密保持協定や免責の協定がサービス提供者側に有利になっている。ここを是正するように働きかけていかないと，いつまでたっても中小企業にコンプライアンスが定着しない。

第3にマネジメントの強化が必要だ。ここがだめだと，企業が活性化しないし，セキュリティ・レベルも向上しない。利益とリスクを把握した上で決断をする，経営の検証を自分たちで実施し，必要があれば外部の第三者にも見てもらう。企業には，こうした当たり前のことをやっていってほしい。

ということでした。

とにかく、過剰反応を避け、適切な組織運営としてのセキュリティの判断、特に「リスクテイク」ができるようにならなければならないということです。そのためには、マネジメントの強化（というよりガバナンスの確立が先決と、個人的には思ってますが）が不可欠ということですね。

＜参考URL＞
「山口英情報セキュリティ補佐官インタビュー(前編)」

ドラマ「監査法人」を観て…

NHK土曜ドラマ「監査法人」を、第1回から毎週観ています。（6/28(土)で第3回でした。今週も観ます！全6回ですから、あと3回ですね）

このドラマを観ながら「情報セキュリティの監査とはどうあるべきか」など、少し真面目に考えてみたりしています。
それから「監査(audit)」と言っても、いろいろな「監査」があります。
まず概念として、かなり違います。
ISMS適合性評価制度の監査(審査)と、情報セキュリティ監査における保証型監査も概念的にかなり違います。
それをどう教育するか、個人的には今まさにそれを悩んでいたりしますが･･･

そういえば、学生のころは、一応「財務会計論」と「会計監査論」の単位取ったんですよ。
ここだけの話ですけど…（ここだけになってないけど）

ブログの8割以上、更新されず

ITmediaの記事「国内ブログ総数は1690万、8割以上は更新されず」からです。

我ながら、よく頑張ってるなぁ～、なんて…
（そういえば、1つ更新してないブログあるけど）

この記事によると、ブログの開設動機は、

自己表現（30.9％）
コミュニケーション（25.7％）
自分の情報を整理・蓄積するアーカイブ（25.0％）
収益（10.1％）
社会貢献（8.4％）

の順になってます。

私の場合の最大の動機は「自分の情報を整理・蓄積するアーカイブ」、次に「自己表現」「コミュニケーション」ですね。
アフィリエイトやってないので、「収益」はありません…

情報セキュリティのための「ITルネサンス」

内閣官房情報セキュリティセンターのメルマガ【NISC NEWS】第21号からです。
ここで使われているある用語が気にかかりました。

●第２次基本計画の基本理念について
第２次基本計画の下での取組みにおいて、我が国のあり方として重要なことは無謬性の追求ではなく、『冷静で迅速な対応、最適な水準の対策の効果的・効率的な実施と説明責任の明確化、主体ごとに求められる最適なセキュリティ水準を達成できる高品質や高信頼性、利用者にとっての安心・安全の確保』という概念です。検討委員会では、こうした概念のもと、より現実に即した実効的な情報セキュリティ対策が冷静に実現される「成熟した情報セキュリティ立国」を目指すべきとの結論を得ました。
そして、成熟した情報セキュリティ立国を実現するためには、ＩＴに係る技術や制度の側面での対策に加えて、社会や国民の意識改革として「ＩＴルネサンス」※が不可欠です。その上で、我々は自国の取組みに自信を持って世界と協調し、ＩＴ先進国として相応しいイニシアティブを発揮していくべきと考えられます。

※ＩＴルネサンス：（１）人間が必要以上にセキュリティ問題に振り回されず、むしろ、冷静かつ主体的にＩＴを使いこなせるようになること（＝「ＩＴからの人間性解放」の実現）、（２）結果、最適な水準のセキュリティ対策を実施することで、人間が可能化装置であるＩＴを最大限使って、人間の英知に基づく様々なアイデアの実現が可能化・容易化されること（＝「ＩＴによる人間性解放」の実現）

この「ITルネサンス」という用語です。言葉からはその意味することがピンとこなかった(正確に言うと、聞き覚えはあったのですが

「さて、どういう意味だっけ？」といこと)のですが、その概念や思想としてはかなり共感・納得できるものがあります。

「ITのための企業経営(組織運営)」ではなく、あくまで「企業経営(組織運営)のためのIT」なのですよね…

＜参考記事＞
・「ITルネッサンス」～日経ITpro(2002年)

新しいレーザーポインターが欲しい

NIKKEI BP Netの記事「仕事にすぐ効く！ITサプリ」からです。

仕事上、ポインターは重要アイテムなので、気になります。
現在もっているポインター（プレゼンテーションマウスにポインター機能がついたもの）もそろそろ古くなったので、新しいのが欲しくなってきました。

やはり、これからはグリーンのレーザーポインターが主流になっていくんでしょうね。
とにかく、見やすい。

ここで取り上げられている「LP-400」(PLUS)は、なかなか良さそうですね。
しかし、価格が「ヨドバシの通販で4万2800円」らしい。
今のところ、高くて買えませ～ん！

ずーっと悩みながら考え中

さて最近、読んでいるものは…
会計監査の書籍や資料です。

以前の記事で「電子的監査証拠」という書籍の紹介をしました。

この本も含めて、「監査論テキスト」とか、「監査のための統計的サンプリング入門」とか…

別に、業界を変わろうとか、（いまさら）公認会計士試験を受けようとか、そういうことではありません。
主に情報セキュリティ監査のため、そのほかにもエビデンスを扱う業務(インシデントレスポンスなど)へ活かすために読んでおります。

それにしても、監査というのは大変で難しいです。
マネジメントシステムの監査や、セキュリティの検査(侵入テストや脆弱性スキャン)などと同じとか、その延長などという理解をされていることも多いのですが、それは明らかに違います。
それらと会計監査、これからの情報セキュリティ監査の方向性、それとの乖離状況がとにかく大き過ぎます。
しかし、情報セキュリティの実効性の評価をするためには、解決しなければならない課題とも考えております。
(その詳細は後日書きます。私の頭の中でも整理しきれてませんので)

さて、それでどうすればいいのか。
それを、何度もこのあたりの資料を読みながら、ずーっと悩みながら考え中なのです。
はぁ～…

CISSP的ECO

（ネットの別のところでも書いたねたなのですが、こちらにも載せてみます）

先日、ちょっとした所用があり、蒲田に行きました。
帰りにおつかいをしようと、東急ストアに入りました。

レジに並んでいると、私の前の女性（一般的には「おばちゃま」、みのもんた的には「お姉さん」という年齢の方）の番になりました。
そしてお会計になったときに、その女性は「あ、レジ袋はいりません。これ持ってますから」と、取り出したのは、なんとただのエコバッグではなく・・・

（ISC）2 CISSPのロゴマークの入った、レビューセミナー受講者に配られている、あのトートバッグだったのです。

大根やネギ、ニンジンなどを購入されていたのですが、あのちょっと縦長のトートバッグには入れやすいようですね。
（ISC）2 CISSPのロゴマークの入ったトートバッグから、大根やネギが顔を出しているショットは、目に焼き付いて離れなくなりました。

よくレビューセミナーの講師の時に「このトートバッグは、エコバッグとしてもいいですよ」と冗談半分で言っていたのですが、本当にそういう光景に遭遇するとは思ってもみませんでした。

いやぁ、しかし素晴らしい！
あの女性にCPEあげたいくらいだけど、間違いなくホルダーではない（おそらく、バッグはレビューセミナーを受講した息子さんあたりから譲り受けたのでしょうから）ので必要ないでしょうね・・・

ソーシャルエンジニアリングへの対策

ケビンねた、ソーシャルエンジニアリングねたのつづきです。

前回の記事では、ソーシャルエンジニアリングをする側の話でしたが、今回はソーシャルエンジニアリングへの対策をする側の話です。

と、この記事を書こうとググったら、以下の記事が出てきました。
この講演の記事がないのかと思ったら、あったのですね。良かった…
（ちなみに、講演の日の夜にTBSの「ニュース23」では、取り上げられていましたけど）

＜参考記事＞
「ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説」～InternetWatch

この記事によると、（というより、わたくしの講演のメモでも、です…）

　1）上級管理職の参画 (必須)
　2）具体的な事例を挙げての啓発
　3）社員が自らの問題と意識して参画できる仕組みの確立
　4）何が機密情報であり、行動指針となるかを定義する単純なルールの整備
　　（ヒューリスティック＝発見的問題解決）
　5）「No」を代わりに言ってくれる仕組みの導入

が、ソーシャルエンジニアリングへの対策として重要だということです。

そして、ソーシャルエンジニアリングで騙されやすい人は、

　1）自分だけは騙されるようなバカではないという幻想を抱いている
　2）人は何となく他人を信じやすいものである
　3）セキュリティの手続きに従うのは時間の無駄と思っている
　4）情報の価値を過小評価している
　5）人は他人 (同僚) を助けたい気持ちを持っているものである
　6）自らの行動がもたらす結果をわかっていない

ということです。

この中の1)と2)は、詐欺を含め、騙されやすい人全体的な特徴でもありますが･･･

さて、ここまでわかってきたとしても、実際の対策も教育もかなり難しいですね。
といいながら、ソーシャルエンジニアリング関連の教育の内容を考えていたりします。

ソーシャルエンジニアリングの戦略

今週の月曜に、ケビン・ミトニック氏の講義を拝聴してきました。
講演のタイトルは「The Art of Deception」、著書（日本では「欺術」）と同じでした。

ソーシャルエンジニアリングの手口とその脅威を、わかりやすく伝えようと、かなり苦心していたように見受けられました。
でも、その本質的なことが伝わってない人も多かったような気がします。

やはり、ソーシャルエンジニアリングを教えるのは、難しいのですね。
もちろん、検出も対応も難しいですが･･･

さて、その講演で「ソーシャルエンジニアリングの戦略」の話がありました。
つまり、ソーシャルエンジニアリングをしようとする者が取る行動です。
ちなみに、以下の3つとのこと。

(1) なりすます人のアイデンティティを確立する
(2) 情報を入手しようとする理由を明確にする
(3) だます相手の信頼や共感を得る

なるほど…
これをもとにシナリオを描くわけですね。
そのために、事前に情報収集（やはり、ごみ箱あさりが効果があるらしい。「ある人のゴミはある人の宝物」と言ってました）をするわけですね。

改訂だらけ

なんだか、最近「改訂」にばかり関わってます。
あの試験、この試験、あのテキスト、この書籍…

ということで、計4つの改訂に同時に関わってます。
（もちろん、すべてセキュリティ関連のものです）

ところで、何か忘れてないよね？
4つだよね？
（忘れてたら、やばい）

さて、何を改訂しているのかは、書けるようになったら順次ここでご報告します。

連休控えての、ひとりごと

かなり溜まってます。疲れと原稿が･･･

大型連休中の方もいらっしゃるでしょうが、私は暦通りに働いております。
5/1と2も講習業務です。（5/3～6は休みます）
ちなみに、5月は10日間の講習があります。

これを無事にこなして、溜まっている各種原稿を書きあげれば、しばらくは楽になるかな？（なるといいなぁ～）

ところで、日本のCISSPホルダーはもうじき1000人になりますね。（こちら）

御礼、100,000アクセス突破

ついに、このブログのアクセスが100,000を突破しました。

「情報セキュリティ」というニッチな話題にも関らず、多数の皆様よりアクセスをいただき、心より御礼申し上げます。

これからもよろしくお願いします。

といいながら、もうすぐ連休なので、更新頻度は落ちると思います・・・

「リスク回避」は「基本」でも「常識」でもない

昨日の記事の続き、補足です。

つまり「使用禁止」というような対応は「リスク回避」にしかならないということです。
「リスク回避」は、すなわち「機会損失」です。
このような対応策をとるのであれば、これを理解したうえで合理的に判断されなければなりません。

本来、技術は利活用されるために存在するものです。
それを使用しないことは、ビジネスの阻害要因となるということです。
しかし、利活用するということは、必ず何らかの「リスク」を発生させます。
これらのバランスやトレードオフを考慮し、使用するかどうかをその主体が判断すべきなのです。

ということで、「リスク回避」は決して「基本」でも「常識」でもない、というのが私の結論です。
（だいたい、サイバーな世界ほど今までの「常識」はあてにならないものである…）

USBメモリー使用は禁止が基本???

日経ITproの記事「会社でのUSBメモリー使用は禁止が基本，代替手段や利用時の選定/運用条件を明確に」からです。

なかなか興味深い記事なのですが、「使用禁止が基本」という言葉に強烈にひっかかりました。
この記事の筆者が言わんとされていることはわからないわけではなく、とてもいいことを書かれていると思います。
ですが、個人的に主張の仕方が、かなり気になりました・・・

使用をどうするか（許可するか、禁止するか）は、本来その主体である組織が決めるべきことのはず。
いくら専門家とはいえ、参考意見の域を越え、主観的というより恣意性まで感じられます。
本来、こういう場面で「基本」とか「常識」などという言葉（他には「大丈夫」とか「絶対」とか）は、使うべきではないと私は考えております。

リスクに対する対応策が事実上ない、というなら話は別ですが、この記事にも書かれているように対応策は存在するわけですから、使用をどうするかは利活用と保護、費用対効果などのバランスやトレードオフで、対応策を実施する主体で判断されるべきものだからです。

ユーザーへの情報セキュリティ教育で最近思うこと

ユーザーへの教育や普及啓発などで、よく「不審」「怪しい」「身の覚えのない」などの言葉が使われています。
これらの言葉は、本当に伝わっているのかと甚だ疑問に思っています。

「不審」なサイト、「怪しい」サイトにはいかないようにしましょう。
「身の覚えのない」請求は支払わないようにしましょう。

そうはいうものの、そういうサイトには行ってしまっているわけですし、不正請求にも（約4%が）支払っているわけですし。
にも関わらず、これらの言葉を使い続けてユーザーへの教育や普及啓発などが繰り返されているということ。

とにかく相手に伝わっていなければ、効果はありません。

他にも、「平易な言葉」を使う、とか「横文字」は使わない、とかがありますが、何をしようが伝わっていないものは、同じことを何度しても効果はありません。

こういう教育資料や普及啓発コンテンツを見るたび、最近はこのようなことを考えております

セキュリティ上の理由のため、PDFファイル？

ここ2日ほど、ちょうど同じ話題が出たので、今日はそのお話です。
「セキュリティ上の理由で、PDFファイルでお送りしています」と言って、添付ファイルをPDFにしてメールで送られる方がいらっしゃいます。さて、この場合の「セキュリティ上の理由」とは、何でしょうか？

考えられるのは、

・機密性：情報漏洩の防止
・完全性：改竄の防止、または検出
・真正性：送信者の身元の証明
・否認防止：送受信のやりとりの事実を否認させない

あたりです。

しかし、（暗号化、デジタル署名、パスワードによる保護などもなく）PDFファイルにしているだけであれば、このどれにも該当しません。
どうもユーザーレベルでは、「完全性：改竄の防止、または検出」ができると誤解されていることが多いようです。

少し前の話ですが、あるユーザーの方から普通のWordファイルを、わざわざPDFファイルにしてメールが送られてきたことがありました。
そこで「なぜ、わざわざPDF形式で送ってこられたのですか？」とたずねたところ、「セキュリティコンサルタントの方から『セキュリティ対策になるから、メールに添付する場合はPDFファイルで送ったほうがいい』と言われたので･･･」という答えが返ってきた、ということがあったのを思い出しました。

そんなセキュリティコンサルタントがいるとは、困ったもんだ…

IT教育の目的

今回は、増田さんのブログの記事からです。

IT教育の目的について、個人的見解を・・・

教育の目的が「資格の取得」で終わってしまってはいけないと考えています。
「資格の取得」は、目的の1つではあると思います。
ですが、最終的な目的はそこにあるとは考えていません。

その先に知識や資格の使い道があるはずで、そこが最終的な目的であるべきです。

ということは「実務教育」は必要であり重要なのですが、そういう理解が不十分です。
そして、その供給も十分ではありません。
そのあたりが、大きな問題であり解決すべき課題と考えております。

在宅勤務不向き度チェックリスト

1/29のZDNetの記事「あなたはいくつ当てはまりますか？在宅勤務不向き度チェックリスト」からです。

ワークスタイルも多様化しています。
ライフワークバランス、業務効率などの事情から、在宅勤務というワークスタイルは、今後検討すべき選択肢の1つでしょう。

以下に当てはまると、在宅勤務には不向きということですが、

＃1：割り込みをかけられると、仕事の能率が落ちる
＃2：仕事とは無関係の誘惑に負けやすい
＃3：作業に必要な機器やサービス、インフラを整えることができない
＃4：オフィスとの十分なつながりを積極的に維持することができない（あるいはまったく維持できない）
＃5：しっかりした管理体制がないと仕事がはかどらない
＃6：あなたの上司は離れた場所にいる部下を管理できない、あるいは管理しようとしない ＃7：友人や家族、隣人との間に垣根を築くことができない
＃8：今日の仕事はここまでだときりをつけることができない
＃9：独りで働くことができない
＃10：コラボレーションのチャンスを逃がすことがとても悔しい

私の場合、当てはまるものがほとんどありませんでした。
＃8、ちょっと微妙で△というところかな･･･

といことで、在宅勤務に不向きではないようです。

今日は「情報セキュリティの日」

本日2月2日は「情報セキュリティの日」ですね。
今年は、その2回目です。

特別に何かイベントをするという予定はなかったのですが、某所で情報セキュリティを学んでいらっしゃる方々との懇親会に誘っていただきました。
これが、私にとっての「情報セキュリティの日」イベントになりそうです。
大いに情報セキュリティについて、語り合ってくるとしますか。

ということで、行ってきま～す！

「ISMS認証取得の必要性」って？

JIPDECの情報セキュリティマネジメントシステム適合性評価制度のパンフレットが新しくなったとのことで、さっと見てみました。
その中に「ISMS認証取得の必要性」という内容があり、個人的にかなり引っかかってしまいました。（以前から、この内容は書かれていたので、正確にいうとずっと引っかかっていたのですが）

いきなり「必要性」と言われても話が飛躍しているし、それは本来それぞれの組織が決めることだし。
情報セキュリティの信頼性の確保、事業競争力の強化、と書いてありますが、それもどうなのかな、と。

いわゆる「セールストーク」でもあるので、このような書き方にはなるのでしょうが、行き過ぎている気がします。
「期待される主な効果」くらいなら、まだ理解できますけど。
う～ん･･･

その辺を、ぜひ改訂して欲しかったな。

●「情報セキュリティマネジメントシステム適合性評価制度の概要」

自分の専門性がわからん…

年末年始も相変わらず、執筆やテキスト作成に明け暮れております。
そういえば、夏から秋は「情報セキュリティ監査」について書いてました。
その後は、「Webセキュリティ」、「情報セキュリティ教育」と来て、現在「CC(コモンクライテリア)」などを書いてます。

これが終わると、「法令・規格」、「情報セキュリティマネジメント」あたりを書く予定になっています。
そんなことを考えていたら「いったい、自分の専門は何だろう？」と疑問が涌いてきました。

う～ん…
いろんなことを教えたり書いたりしてきて、不得意がなくなってきた気もするけど、得意もない気がしてきたぞ。
ここは一丁、何か得意分野を作って、専門性を出したほうがいいかな？

今年の目標は…

書こうか書くまいか、迷いましたがとりあえず書くことにしました。
今年の目標は「情報セキュリティ専門家の地位向上に貢献する」ということにしたいと思います。
（個人的には、特にCISSPということになります）

育成しても活用や活躍の場がなければどうしようもありません。
とにかく「なって良かった」と思えるような環境や仕組みをいろいろと作っていきたいと思います。
昨年の取り組みとしては、CISSPJP SNSなどがその仕組みの1つです。

そのほかに何をしようとしているかは、追い追いここで書いていきますね。

ブログを続けるモチベーション

「お忙しいのに、よくブログ更新してますね」と関心されたり、呆れられる（？）ことがあります。
実は本当は忙しくないんですよ(?!)、っていうより、忙しいとは思わないようにしていますし、口に出さないようにしています。

ブログ更新について「実は息抜きなんです」と答えるのですが、そうなると今度こそ呆れられる（？）ことがあります。
まぁ、息抜きの習慣化の結果、ブログが続いているんだろう、というのがとりあえずの自己分析です。
とにかく楽しくなければ続きませんので…
何事も動機（モチベーション）が大事です。

それから、もう1つの動機（モチベーション）は、書く（打つ）ことがトレーニングになっているということです。
（ブラインドタッチのトレーニングではありません、念のため…）
ブログも、何か考えたり、文にしたり、という貴重なアウトプット・トレーニングだと思っております。

ということで、これからも息抜きとトレーニングを兼ねて、このブログを続けてまいります。

メリー、クリスマス！

パネルディスカッションはお好き？

最近、「パネルディスカッションが面白い」という意見を良く聞きます。
私もパネルディスカッションは好きですね。
テーマは1つでも、パネリストは複数ですから、複数の意見が聞けます。
どんな展開になるのか、期待感とスリル感で楽しんで聞くことができます。
ここだけの話、パネリストの本音、そんなことが聞けるのもパネルディスカッションならではでしょう。

実際に、情報セキュリティ関連の最近のイベント・セミナーでは、パネルディスカッションが増えています。
昨日、開催された「SecrityDay」はパネルディスカッションのみでしたし、本日開催の「JASA情報セキュリティ監査セミナー」も最後のセッションはパネルディスカッションです。

一方、セミナーでは手元に資料が残らないと何だか損した気になる、という意見を聞くこともあります。
場合によっては、資料がよければそれだけでもいいです…、という意見も。
わかるような気もしますが、私はセミナーはライブと思っていますから、資料よりも話のほうが大事と考えてます。
ですから、資料があるにしても、スピーカーの話はやはり聞きたいと思っています。

私自身は、年明けに1月、2月とパネルディスカッションでの登壇が決まっております。
面白いディスカッションにできるように、がんばります。

打てども、打てども･･･

最近に限ったことではないけれど、ここしばらく夜はとにかくずっーと書き物しています。
書籍の原稿、雑誌の記事、講習のテキスト、プレゼン資料･･･
昨夜も1つ入稿しましたが、今夜からまた新たな原稿に着手しております。

正確には書いているんじゃなくて、打ち込んでるんですけどね。
「しゃべれども、しゃべれども」って映画がありましたが、私の場合「打てども、打てども」って感じです。

この打ち込んだ内容が、どこかでどなたかのお役に立てば、とがんばっております。（本当に役に立っているかなぁ･･･）

ということで、もうひとがんばり！
･････････したら、遅いので寝よう、っと。

また、明日もがんばります。
zzzzzzzzzz･････････

セキュリティ界のヒーローをつくろう

「2007 情報セキュリティ人材育成シンポジウム 秋」で、ISEPA代表の与儀さんから出ていた言葉です。

私がパネリストとして登壇したパネルディスカッションでも、「IT業界の3K」などの話題も出ました。
セキュリティ技術者・専門家という仕事が、なりたい人がいなかったり、なってもその甲斐がない(報われない)仕事であっては、その育成もままなりません。

そこでセキュリティ技術者・専門家の地位向上のため「セキュリティ界のヒーローをつくろう」ということです。（業界全体としては、ヒロインのほうが盛り上がりそうですけどね･･･）
そのためには、そういうスターを発掘し育てる仕組みや育ったあとの活躍の場が必要ですね。
アワード、コンテスト、イベント、などなど。今、いろいろとその仕組みを考え中です。

昨日、ドラマ「ガリレオ」を見ていて「物理学者でもヒーローになれるんだよな」とか、「セキュリティ技術者でもヒーローって、映画もあったよな（ハリソン・フォード主演『ファイアーウォール』）」なんて考えていました。
だったら、セキュリティ界のヒーロー（ヒロイン）、スターも決して不可能ではないのではないか、と。
とにかく、夢や希望の持てる業界や仕事にしたいと思っています。

何かいいアイディア思いついた方、ぜひぜひコメント寄せてください！

CISSP漬けの1週間

今週の私は、CISSP関連のセミナーやイベントが目白押し。
金バッジ(CISSPのラベルピンバッジ)つけまくりです。
（CPEもたくさん獲得できますね･･･）

11/12(月) CISSPレビューセミナー講師
11/13(火) CISSPとの座談会（某NPO）、ISLS、CISSPフォーラム
11/14(水) 情報セキュリティ人材育成シンポジウム
11/16(金) CISSPレビューセミナー講師　

そういえば、日本のCISSPホルダーももうすぐ900名になるのですね。
(ISC)2 JapanのHPによると、10月25日現在894名だそうです。

一番最近買った本

「情報セキュリティの法律」です。

「勉強家ですね･･･」なんて言われそうですが、興味1割、（あるタスクでの）必要9割くらいで購入した本です。
本当にいい本で、とてもためになっているのですが、私にとっては読み解くのに苦労の要る内容です。
（実は、サイモン・シン「暗号解読」もまだ上巻までしか、読んでません。下巻も読みはじめたいのだけど･･･）

最近、なんだか今までとは違う意味で、情報セキュリティの世界の深みにはまっているような気がします･･･

なぜ、この本を買ったかという経緯や理由、感想などは、なる早やでここで書きます。

ノートンファイターからのメッセージ

先日書いた記事「セキュリティ対策で困ったら・・・」に、なんとノートンファイターからコメントが来たよ。

ありがとう、ノートンファイター。

名前:ノートンファイター
メールアドレス: norton_fighter@yahoo.co.jp
URL:http://ameblo.jp/nortonfighter/

内容:
--------
おいおいおいおい・・・・・

そんな事無いんじゃないのか？？

微妙も貫き通せばかっこいいものさ！！

いやいや微妙ではないぞ！！

「ノートンファイター」見参！！！

ブログも書いてたんだね。

mixiにも登録してたんだね。

賞味期限の偽造問題で思うこと

現在、執筆中の書籍「情報セキュリティ監査公式ガイドブック」で書いた記事に「自己宣言は『保証』にあらず」というような内容のところがあります。
最近の一連の事件でも、この言葉を思い出しました。

不正の検出のしくみ、第三者による評価（これが「保証」ですね）がなければ、つまりは「自己宣言」でしかない、ということですね･･･

セキュリティ予算の使いみち

CompTIAの最新コラム「セキュリティ予算の増大」からです。

調査対象は日本ではなく米国なのですが、このコラムによると

この調査では、セキュリティに対する経費を1ドルとしたところ、
　・技術製品の購入　・・・　42セント
　・セキュリティ関連の構築・設置等の導入　・・・　17セント
　・トレーニング・・・　15セント
　・セキュリティ診断や脆弱性の検出といったセキュリティ・アセスメント　・・・・　12セント
　・認定資格取得　・・・　9セント
　・その他の項目　・・・　5セント
に分配されるとしている。

製品の購入以外にかなり使われていることがわかります。
教育も、トレーニング：15＋認定資格取得：8で、合計23ってことになります。
（どうでもいいけど、このコラム、セントより、パーセントにしたほうがわかりやすいと思うんだが･･･）

では、日本ではどうでしょう？
（会社や組織によって、もちろん違うのでしょうけど）
「そんなに、コストかけてないよ」と言いたい方、多いんでしょうね。
そのうえに「スキル上げても、資格取っても評価も給料もあがんないよ」と言いたい方も、多いんでしょうね。

そういう風潮や文化を変えていかないと、（特に高度の）人材育成は難しいですよね。