2011年09月06日
使ってみようか空港ラウンジ
自分が利用する当てもない空港ラウンジをチェックしてみる。
http://www.saisoncard.co.jp/lineup/lounge.html
- 新千歳空港:ターミナルビル3F スーパーラウンジ
北海道へ行くチャンスは無い訳ではないがお土産を探して時間いっぱいでしょう。
- 青森空港:ターミナルビル2F エアポートラウンジ
先ず青森へ行くチャンスが見込めない。
- 秋田空港:国内線ビル2F ラウンジ「ロイヤルスカイ」
チャンス見込めず。
- 仙台空港:ターミナルビル3F ビジネスラウンジ
仙台へ行くのにここは使わない。仙台から北海道か西日本へ向かう場合だけだろう。利用するチャンスは見込めない。
- 新潟空港:ターミナルビル3F エアリウムラウンジ
新潟へ行くのにここは使わない。新潟から北海道か西日本へ向かう場合だけだろう。利用するチャンスは見込めない。
- 成田第1:第1ターミナル本館5F IASSエグセキュティブラウンジ
海外へ行くチャンスなし。寂しいな。
- 成田第2:第2ターミナル本館4F IASSエグセキュティブラウンジ2
海外へ行くチャンスなし。寂しいな。
- 羽田第1ターミナル:第1ターミナル2F エアポートラウンジ(北・南)
第1はJAL系ターミナル。2箇所あるんだ。
- 羽田第1ターミナル:第1ターミナル1F エアポートラウンジ(中央)
ここにもあるから南北とあわせて計3箇所か。知らなかった。
- 羽田第2ターミナル:第2ターミナル2F/3F/4F エアポートラウンジ
こちらはANA系。同様に3箇所。知らなかった。九州方面へ行くときは南ピア2F、北海道方面へ行くときは北ピア4Fのラウンジ利用が便利かもしれない。
- 羽田国際線:ターミナル4F Sky Lounge
利用しないもんね。
- 中部セントレア:ターミナルビル3F プレミアムラウンジ「セントレア」
殆ど利用しません。
- 伊丹空港:2F
結構利用することもあったはずだけど、ラウンジに行く気にはならない。
- 関西空港:出国審査前1箇所(3F)、出国審査後3箇所(2F)。
- 神戸空港:2F
どうせ便数が少ないから利用することも無いでしょう。
- 広島空港:2F
ここも飛行場が遠い。バスの中でラウンジタイム終了。
- 高松空港:2F
飛行場が遠いからバスに乗っていて十分リラックスしてしまう。
- 松山空港:2F
- 徳島空港:3F
阿波踊り空港にもラウンジあったのか。知らなかった。キャンセル待ちまで長いのでラウンジ利用は有用だね。
- 福岡空港:3F
割とジャストインタイムで付くからラウンジまで行くことは少ない。ここはビール1缶が無料サービスです。
- 長崎空港:2F
- 熊本空港:2F
- 鹿児島空港:2F
- 那覇空港:1F北
お土産をチェックしt時間は消えたかな。でもお店が少ないからラウンジ利用も悪くない。
- ホノルル空港:1F
出張なら構わないがプライベートでは同伴者1千円は高いね。
.*.
2011年09月04日
音信不通になった審査員
コンサルは時々音信不通になる。珍しいことではない。掛け持ちで仕事をするので、特にトラブルに巻き込まれなくても連絡が付かなくなることは多い。後は、問題が起きているケース。冷却期間を置くつもりで応対しないケースも。もっとも、逆効果もあるのでベテランに限った話だ。
いずれにしても、コンサルが音信普通でも直ぐに困ることは少ない。ところが、審査員の場合は通常審査を控えている、あるいは審査中であるため、いきなり連絡できなくなるとかなり深刻に困る。審査が成立しないからだ。認証の期限が迫った更新審査では更に深刻なことになりかねない。
理由で一番多いのは交通機関のトラブル。審査の中の移動もあれば、個人で旅行中に動けなくこともある。
次が急な体調不良。病院に担ぎ込まれていれば救急医療の方から連絡が入るからいいが、半日以上放置された場合は大騒ぎになる。
そういう意味では審査員は気の毒だが、個人があって個人がない。常に健全な状態で連絡はいつでも付くというのが原則になる。
審査機関は審査員に携帯電話を渡し、GPS機能で監視するとともに、審査機関側も24時間体制を持つ必要がある。昔で言えば、ポケベルを持たされる役割の人が必要と言うことだ。実際にも、実質的に似たような運用をしているらしい。
.*.
2011年09月02日
ISMSの失敗事例:ツール依存
リスクアセスメントツールを利用すると、殆どの場合失敗します。ツールの利用がもたらすものはリスク痴呆人を生み出すだすことで、適切なリスク評価できる訳ではありません。リスクアセスメントは関数電卓をたたいて解を求める行為とは全く違います。リスクアセスメントは学習プロセスと言う理解が必要です。その辺まで考慮した支援ツールが出てくれば少しは話は変わりますが、現在のところでは先ず見当たりません。
コンサルもツールを勧めるケースは少ない。時間がないとかを理由に、ノーマルなアプローチを投げ出すときはツールで済ますのかもしれません。
事務局一括でのリスク評価のときはツール利用の誘惑が誰しも頭を過ぎります。事務局でやるだけで既に失敗ですから、仮にツールを使っても全体への影響は有りません。既に泥沼の中ですから。
ISMSの失敗事例:事務局独走
現象として分かり易い失敗事例は、数人の事務局で殆ど一切の作業をやっているケース。
資産の洗い出しから、資産価値評価、リスク分析評価まで事務局でやっている場合は、単にそのことだけで既に失敗と言える。資産は各部門で出して、その後は事務局とか、リスク分析評価だけ事務局と言う例も多いが、ことごとく失敗。
資産の所有者あるいは管理責任者が資産のリスクを理解しない状況では、リスクを理解する活動がスキップされてしまい、リスクを軽減する活動は適切に行えないことが殆どです。加えて、事務局が適切に価値評価・リスク分析評価を出来ることは先ず有り得ない。
ご都合で御造りのリスクアセスメントだけが出来上がりますが、全く意味がありません。
.*.
手間を掛けず簡単に出来るので、こういうやり方を勧めるコンサルも居ます。ベースライン方式?の一環で規格不適合ではないとのことです。知識習得に時間が掛かるので当初はベースライン方式でやって、徐々により適切なやり方に移行していくと説明します。
これは殆どの場合、大嘘です。一旦定着させたものを引き剥がしながら、徐々にやる方が遥かに大変だし、コンサルは手間ばかりで旨みが無いと思えばすっと消えていきます。付き合ってくれても、若いコンサルに引き継いでしまいます。
事務局も、新たな苦労は避けたいから、意味の無い御造りのままにしていずれ誰かにバトンタッチしていきます。後任の事務局はもう何が問題かすら理解することは有りません。結局、失敗の泥沼から抜け出ることは出来ません。
例外は、トップが裸の王様でない場合は、愚かな実態に気づいてやり直しの号令を掛けることで泥沼からの脱出が出来ます。
.*.
ISMSの失敗事例:ISMSの独立運用
関西某企業はISMSを始めるに当たってセキュリティは品質と同じ仕事を進めるときの基本要件と言い切った。これは大変重要なことで当企業の見識の高さが伺える。品質の作りこみは全社を上げてプロセスの上流から下流まで一つの例外もなしに徹底する。セキュリティの作りこみも同様に取り組むことが必要。
セキュリティ活動を専門性は異なるものの、広い意味で品質活動の一環とするところは少なくない。そういう位置づけが示される場合は失敗は少ない。品質活動自身がおろそかで、マネジメントシステムを考えるのはISMSが始めてという場合は、失敗するチャンスが増える。
全ての部門の本来業務の中にセキュリティ関連の項目が自然と入ることが大切です。
例えば、部門とか担当とかの業務マニュアルを作成するときに、セキュリティを達成する活動も明確にされていることですが、それが無いと危ない。全社共通の規定とかガイドラインはあっても、部門の業務プロセスに展開されていなければ、まだ仕事は半分で終わっていることになる。
.*.
仕事(本来業務)とISMSが2本立ての場合はほぼ失敗です。
.*.
2011年09月01日
ISMSの失敗事例についての独善的考察?
そもそも失敗とは何か?
失敗とは目論見を達成できないこと。では、どんな目論見があるのか?
《認証取得の目論見》
既存の取引先の要求だから”兎に角”認証取得すること。取引継続のためには最優先だ。
今後の営業活動に有用だから、取引要件だから、やはり”兎に角”認証取得すること。上記と同じだね。
セキュリティ事故を起こして企業ブランドを落としたくない。仮にその場合も社会への説明責任を果たしたい。
セキュリティを企業体質に取り込んでさらに強い会社にしたい。体面のためでなく、方法論として有益そうだから認証を取得する。不足を感じたら更に有益な方法論を取り込みたい。
《失敗とは?》
目論見が達成できない。1〜3の場合は取り敢えず認証が取得され維持されていれば良い。しかし、4の場合は内容が問題になる。
コストが過剰。情報化投資は事業規模の数%から事業特性によっては20%前後まで行くから、セキュリティ投資のその内数に収めたい。情報化投資の枠組みの見直しは必要。
事業をスポイルする場合。事業とセキュリティマネジメントのシナジーが得られないだけでなく事業遂行に問題を起こし本末転倒となるケース。
.*.
残留リスクの理解が意外と出来ていない
ベテランの審査員の残留リスクの説明を聞いて驚く。ここには色んなコンサルや審査員が来るから耳学問でそれなりに知識は身につく。相手が素人と思って油断したのかいい加減に説明されてしまった。
「受容レベルを超えたものが残留でそれを経営者に奉告しなければいけない」と。これは間違い。正しく、需要レベルを上回ろうが下回ろうが全ての存在するリスクが残留リスクで、この全体が報告され承認されなければいけない」のだ。
.*.
間違った理解では、受容レベルを超えたものに対する思索だけに注目する。
正しい理解の下では、受容レベルを超えたものへのに対するリスク低減は当然のこととして、全体のリスクの分布状況などを分析し、更なる改善の手掛かりとすることが出来る。統計的にリスクを理解することで包括的、長期的なマネジメントが効果的に進めることが出来る。
どのような資産がリスキーなのか、どの業務がリスキーなのか、トレンドは悪化の方向か改善の方向か、マネジメントの改善に有益な情報が得られる。
.*.
指摘のエスカレーションは適切に出来ているか?
キャリアが長いだけでなく高い見識の方も時に足を運んでいただけるので、話を聞いていても飽きることは無い。
同じような指摘が多く出る場合、一回の審査で複数の同じ指摘が出るケースもあれば、毎年同じような指摘が出るケースもあるが、いずれの場合も、より上位の管理策で指摘するべきです。と言うことですが、なかなか含蓄が有ります。
ラベリングの漏れ、記録類の記載漏れが、毎回のように、しかも件数もそれなりに出ている場合は、それらをコントロールする手順の問題か、監視問題にエスカレートさせなければいけないということです。
監視も日常の運用上のもので収まらなければ、内部監査の品質、有効性へエスカレーションさせます。さらには、是正処置、経営者レビュー(マネジメントレビュー)へエスカレートさせることになります。
エスカレーションさせるのはISMSを運用するクライアント側でも重要ですが、審査員の力量を見るときにも役に立つ観測手段になります。
記録類の漏れ、ラベル付けの漏れ、資産の洗い出しの漏れを繰り返して指摘していたら、その審査員の力量は少し(大いに?)疑っていいらしい。
クライアントの中でも、内部監査の有効性を見るために、どのような指摘が出ているか時間もエリアもスケールアップさせて眺めてみるのは有益な筈です。
拡大と移転ではどちらがナーバスか?
ナーバスとは神経質になることの意味だが、それは当然移転のケースです。適用範囲を拡大するときは、新しい事業、新しい場所(ロケーション、サイト)などを追加するのですが、追加する部分がどのような状況であれ、拡大審査が終わって認証へ組み込まれるまではISMS制度上の責任は発生しません。
ところが移転の場合は認証されたもの動いてしまうため、動いたことによって認証の根拠を失う可能性を認めない訳にはいきません。移転(引越し中)と移転後は、セキュリティが適切に維持されているかどうかは制度上は誰も保証していません。移転直後に臨時の審査を受け、維持されていることを確認する必要があります。
移転して何もしないと次のサーベイランス(継続審査)とか更新審査のタイミングまで放置されることになります。無免許運転状態。もしくは偽りのライセンスでドライブ。悪いのは勝手に引っ越して何も言わないクライアントですが、審査機関は100%免罪される訳でもない。正しい契約をして正しい説明をしているか、適切にチェックしているか等が問われる。
審査機関に馬鹿な営業が居たりすると始末が悪い。臨時審査(特別審査)をやると費用がやはり余分に発生するから、クライアントからの問合せに対して次回の審査の時に一緒に見ます。アドオンの費用は発生しませんとやってしまう。らしい。
そういう事情が絡んでくると、勝手に引っ越しておいて連絡もよこさないのは契約内容に違反していますとは出られません。
杓子定規をやると窮屈で嫌われますから、曖昧なままで済ませるケースが多いらしい。
厳密に言えば、引越した瞬間、その場所の認証は一旦切れていることをしっかり認識すること。復活するのは臨時審査で合格した時。復活させないまま、新しい引越し先の住所の入った名刺に認証取得のシンボルマークを印刷するのはコンプライアンス違反に相当するので、本来なら問題は深刻です。
.*.
冒頭の問いに対する回答は「移転」で決まりですが、コンサルや審査のビジネスでは「移転」は少しも美味しくない。売上拡大も望める「拡大」にこそ神経を集中させるのです。
商売人が審査をやっても上手くない訳です。ということらしい。
2011年08月27日
審査員はマイレージが大好き?
こちらから見ていて恥ずかしいほど、審査員はポイントが好きなようだ。特にエアラインのマイレージポイントが大好き。たいてい全日空か日本航空のマイレージを貯めている。まあ、勝手に溜まると言っても過言ではないが、それ以上に努力している向きもあるようだ。その他、ポイントも好きなようだ。電子マネーとかと連動するタイプのもの。
とは言え、コンサルも五十歩百歩であることは否めない。特に若手の人は余禄とばかりに熱心なようだ。しかし、コンサルの場合は上級職になれば、殆どの人はあまり気にしないで自然体になるようだ。高給取りということですね。それに海外が加わるから自然体でも十分に積み上がっていく。
審査員は給料が低いから、若手に限らずマイレージの管理はしっかりやるようだ。コンサルとか出張が多いとキャッシュを扱うことが多くなるので、どうしてもマイレージとかのポイントが関心事になってくる。
ところで話題はANAとJALの話になると、JALをメインにする人が多いようだが、それだけ尚更なんだろうが、JALの評判が悪い。
海外マイレージ、外国の提携会社のマイレージのことだが、それを使う人も中には居るが、そのときのマイル登録がホームページ経由ではJALは出来ない。ANAはスターアライアンス提携会社の参る登録もANAのホームページから簡単に出来る。JALはワンワールド提携会社のマイル登録をやるには、フライト前のチェックインカウンターまで行かないと出来ない。事後登録も出来るがこれは普通結構面倒なことになる。面倒だと、ワンワールドの人はJALをりようしなくなるのが当然。
駄目な会社はますます駄目になるということだ。JALが駄目なのは一人一人が会社を良くして行こうという気持ちが希薄なんだろう。出来の悪い市役所と同じ。業務を外に委託して済ます。それで終わらせる。だから、今後もJALが良くなるかどうかは甚だ疑問と言うのが結論。
そうそう、なぜ海外マイレージを使うのかですが、マイルの有効期限 がその理由。海外のマイルは有効期限がないから。JAL/ANAのマイルは2年で切れるので、少し溜まったらさっさと使うしかないのですが、海外マイルはどんどん積み上げて大きくして使うことが出来る。これは決定的な差になります。その辺が理由のようです。
.*.
◎ ANA:スターアライアンス提携マイルもホームページから事前登録可能。
△ JAL:ワンワールド提携マイルのホームページからの事前登録不可。
.*.
2011年08月26日
飛び跳ね型かじっくり型か?審査員の責任意識は簡単に分かる!
審査成立の最終責任はリーダーが負う。リーダーの経験も年齢も能力も関係ない。リーダー(主管審査員・主席審査員など)としてアサイン(役割設定)されたら、リーダーは審査成立の権限と責任を持たされる。
無責任リーダーのシンボル的行動が飛び跳ね型なのだ。
審査先が全国に散らばる場合は、各地域をリーダーとメンバーで分担してやることになる。リーダーの移動には事務局のキーマン、コンサルのキーマンが随行する。飛び跳ね型は好んで沖縄・北海道を回る。メンバーには本社周辺の大規模事業所。馬鹿リーダーは風・雨・雪その他で移動トラブルの可能性が高いところへ自らが出向く。
降雪の冬に北海道に飛ぶ馬鹿リーダー
台風の秋に沖縄に飛ぶ無責任リーダー
特定年度だけなら事情が入るが数年を通しで見るとどういう性格の審査員か分かる。
2011年08月24日
ビジネスマナーで分かる尊敬と信頼の疲労度
ISMS推進に関わる事務局。認証取得の時は全社が緊張状態にあるから、審査員に対しても、コンサルタントに対しても、交流会の人に対しても失礼するケースは少ない。
ところが更新審査を複数回受ける頃になるとマンネリズムに覆われて酷い状態なるらしい。企業の規模に寄らない。当初はキーマンが張り付いていた役割が、いつの間にかたらい回しされる役割に貶められていた。
ISMSに関係なく普通のビジネスマナーが維持できなくなってくるようだ。
例えば:
- メールをもらっても返信も何も返さない。
- メモを取らない。
- 時間に遅れる。
- お茶を出さない。(マイボトル持込や自販機があるので最近は割りと普通です)
- 私語。大人数の時に目立つ。
.*.
CSRの国際標準ISO26000取り組み企業拡大?
日経の記事によると社会的責任CSRの国際標準ISO26000への取り組み企業が増えているらしい。資生堂、NEC、リコーなどの企業名が上がっていた。
IISMS(ISO27001)などと違って、第三者認証制度ではないから、取り組みの十分なものかどうかを外から評価されることはない。経営の意思の範囲での取り組みになるのだろうか。あるいはCSR決算書のようなものを公開することで社会から一定の審判を受けることになるのかも知れない。それはどちらでもいいだろう。
CSR
ISO26000
.*.
さて社会的責任におけるISMSの位置づけは?
消費者保護の観点では明確な関連性が読み取れるものの、それ以上のものはなかなか読み取れない。何かしら不足を感じる。個人情報に限らず、企業の情報資産がやすやすと盗まれても困るわけだ。読み込みが足りないのかな。
.*.
2011年08月19日
スマートフォンのセキュリティ対策!フリーソフトも徐々に充実?
ネットで検索するとスマホ向けのセキュリティ対策ソフトも色々出始めている。
アップルiPhoneはアプリが登録制ということでセキュリティ対策上は優位にあるが、フィッシング詐欺サイトとなると話は変わる。パフォーマンス問題もあるので慎重に選びたい。「無し」で済ますことの出来ない時代です。
一 方、アンドロイド端末は無法地帯で利用しているようなもの。何処から何が飛んで来ても文句を言う相手は居ない。アップルのような仕切り屋が存在しない。 グーグルもOSをフリーで?提供しているだけの態度を取る。そういう意味では、アンドロイド端末の場合は、パフォーマンスを犠牲にしてもしっかりしたセ キュリティソフトが必要。むしろ、無料版に拘らないでビッグメーカー品を導入して良い。
フリーソフトのビッグメーカー版で定評のあるアバ スト(avast!)のスマホ版を期待しているが、まだリリースしていない。アバスト!のビジネスモデルが広告ベースでないため、プロフェッショナル版へ の移行を進めている。そういう意味ではモバイル版は最初から稼ぐ市場と位置づけしている可能性もある。その場合は、期間限定版程度しかリリースさせない で、本来的な無料版は用意しないかもしれない。
2011年08月17日
審査員のホテル事情2
こちらはコンサルとは少し事情が違うかな。似たようなものかな。クライアント先で出来ない仕事をホテルでやるのだから、あまりぎりぎりのシングルルームでは困ることになる。ワーク用のデスクスペースが必要。ベッドは広くなくて良いから空間の広さが問題。
ダブルベッドの部屋は避ける。シングルベッド。出来ればツイン。ツインシングルユースがベストかな。
<旅費規程によって変わるホテルの選択>
定額制:ローコスト・ハイパフォーマンス。代表例が東横イン。6千円前後で収めたい。差額はポケットへ。
実費制:ミドルコスト・ハイパフォーマンス。代表例がロイネットホテルチェーン。8千円前後で収めたい。ポケットには余禄は何も来ない。
審査員のホテル事情
コンサルも審査員も審査時にホテル利用することは少なくない。審査機関によってはクライアントの場所の遠近に寄らず必ずホテルに前泊するようにしているところもあるらしい。個人的にそのようにしているところもある。
理由は、リスクをミニマム。東京近郊の交通事情は朝は遅れて当たり前。やきもきしながらメンバーの到着を待つのは誰もが避けたいこと。遠地の前泊は当然だが、都内は近地とは言っても実質的には東西南北が変われば結構な遠地。だから、全員前泊は合理的だ。
経費一辺倒というか、商売熱心な審査機関はこういうところでケチる。彼らのリスクは金次第。コンサルも基本的には事情は同じ。ただ、審査準備段階から入り込む。
もう一つの理由は、チーム全員による審査戦略の確認がある。いきなりばらばらにスタートするところは審査戦略も何も無いのだろうか。
ホテル利用の状況を見るだけでも、そのコンサルファームや審査機関の程度が分かるということかな。理に頑固にやっているところが、ここへ来て真価を見せ始めているよう気がする。?
.*.
WAF
Web Application Firewall
アプリケーションベースのファイアウォールということらしい。
インタネットアクセス制御で、ホワイトリストとブラックリストを併用するやり方。本来ホワイトリストだけで十分だが、多分、パフォーマンス上の負担がでかいから、最初にブラックリストで1時フィルタリングを行い、次にホワイトリストで許可を与えているのだろう。
フィルターを2段重ねにすることで、メンテナンス性も維持できるとか。
.*.
スマートフォンは結局のところ、ハンディ・ノートPCと思えば良い。対策もノートPCに順ずるのが常識的。
ところが、多くの組織では、殆どのISMSでは、スマートフォンについてはこれから検討するで止まっている。少し知恵があるところは、取り合えず禁止している。利用禁止?持ち込み禁止?これがはっきりしない。
アンドロイドOSの端末がトップシェアになったことの意味は大きい。悪意のあるソフトのターゲットとして、意図を反映させやすいアンドロイドが明確になった。(日本語?)
スマートフォンのセキュリティ対策
無線LANのステルスモード
設定方法が分からないが、常識的にはステルスモードで使うものらしい。
.*.
管理策はどれが該当するんだろう?
WEBブラウザのセキュリティ対策
ユーザー情報収集サイトをブロック
PCに検索履歴を残さない
スクリプト型プログラムActiveXの実行をブロック
現在地情報の追跡をブロック
行動追跡の拒否
上記のようなリスク対策が必要として実際にはどのように行うのでしょうか?。
ブラウザの設定だけでは難しく思いますが?
.*.WEBブラウザのセキュリティ対策
ユーザー情報収集サイトをブロック
PCに検索履歴を残さない
スクリプト型プログラムActiveXの実行をブロック
現在地情報の追跡をブロック
行動追跡の拒否
上記のようなリスク対策が必要として実際にはどのように行うのでしょうか?。
ブラウザの設定だけでは難しく思いますが?
.*.
http://www.gdata.co.jp/
G Dataのサイトはコピペ禁止?マウスカーソルで文字を選ぼうとしても出来なくなっている。気分悪い。プレス記事までガードしているってどういう意味なんだろう。あまり聞かない会社名だけど、如何わしい会社かな。
ソフトは無料版も提供している。←嘘でした。30日間の体験版です。無料版と記載していましたが紛らわしい。無料版と体験版では全く別物です。この、ドイツの会社はまともかもしれないが、日本の組織は経験の少なさを感じさせるのは如何言う訳でしょう?
何が違うのかな?
サイトを探しているとコピペできる場所もある。何かよう分からんね。
会社名:ジーデータソフトウェア
ネット通販のセキュリティ
組織に居てネット通販を利用することは無い?普通は、会社が設定した購買サイトを利用するので、問題にならない。でも、メールマガジンは、いつか誰かに渡したあなたの名刺を頼りに、いつか誰かに出したメールを頼りに、徐々にあなたのメールボックスを埋め始める。
ファイアウォールやフィルターが十分機能していても紛れ込んでくる。
個人的関心、あるいは業務有用かと思って、メールマガジンに記載されたリンクをクリックすることがありますか?
そのメールマガジンはいつものメルマガに見えて実は別の企みの物かもしれません。
.*.
ネット通販を安全に利用するチェックポイント
メールマガジンのリンクはクリックしない。
SSLサイトであることを確認する。
ショップサイトの企業を検索してホームページを調べる。
実際にこちらから連絡可能か事前に確認する。ホームページの何処にもコンタクト情報が無い場合は論外。
ISMS、Pマーク取得状況、親会社・グループ会社の状況も調べる。
.*.
無料版セキュリティソフトウエアの有用性?
無料版のセキュリティソフトウエア〜フリーのセキュリティツールはどれくらい有用なんだろうか。
企業ユーザーは、大手どころのセキュリティソフトを購入しているが、無料版では何が不足するのか?
マイクロソフトセキュリティエッセンシャル(Microsoft Security Essentials):
アバスト!と併用すれば弱点を補えて有効。
アバスト(avast!):
オールマイティ用途だが、検出率にやや難あり。
キングソフト:
広告が出るから業務では使えない。
.*.
無料版のインチキ偽セキュリティソフトを検知するツールがジーデータから無料配布されている。
.*.
2011年08月16日
満足度情報・不満足度情報の伝播特性
商品・サービスに満足できた人
商品・サービスに満足できなかった人
口コミ能力はどちらが高いか。
不満足の人は問題を抱えている訳で、その解決のために手がかりを求めて多くの人に接触する。相手を選ぶ必要は少ない。
満足の人は、良い情報を伝えたいと思うが、伝えたい相手は、自分にとってポジティブな人が中心となる。相手を選ぶ。
口コミの連鎖においても同様の傾向を持つ。
.*.
期待値との乖離が満足あるいは不満足に繋がる。
期待が高ければ、些細なことが不満足にうながる。期待が低ければ、些細なことでサプライズ、満足度を得られる。高い満足度を維持しようとすれば、常に更なる改善が求められる。経営哲学上は美しいがどこかで疲れそうだ。
2011年08月15日
ウイルス対策ソフトの定義ファイル未更新は不適合か?
会社のルールは普通は最新の状態に保つことを要求うるだろう。ゼロデー攻撃を考慮すると最新以外は許容できない。心情的にはそういうものです。
規格は適切な管理策を求めているが、適切な管理策の範囲は合理性を欠かない範囲では組織の決め事。
不適合と出来ないことも無いが、更新が滞る原因を考えると、単純に行かない。結果の現象として更新未了が発生するので、ヒューマンエアーを含め不可抗力が一定の割合で入る場合は、別の側面で不適合とすべきだろう。
大規模組織はある割合で発生する。軽微であっても不適合が連続すると重大な不適合にされてしまう変なロジックがある。
.*.
経営が意思を示し、社員が理解して努力すれば回避できる問題、達成できる課題は、不適合の対象としても構わないが、結果指標を捕らえて不適合とすると不幸なことになる。社内規定でも目標管理と結果指標管理の違いを理解しないでルールを作る失敗があるので、それに悪乗りして不適合を出すのは経験のある審査員は避けて欲しい。コンサルも手の打ちようがなくなる。
不適合の悪い?例によくあるのは是正処置。内部監査の指摘に対する是正で、原因の記載が不適当とやる奴です。真の原因、本質的な原因になっていないとか。噛み付きます。この手合いのものはいくらでも難癖をつけることが出来るので、その気になれば重大な不適合に追い込むことも出来ることになる。そんなことをされてはたまりません。
不適合は現象から発見することもありますが、指摘は現象に対してではなく仕組みに対して行うことが必要です。この場合は是正が出来ます。現象の是正は、他の要因も絡んできて気まぐれですから難しくなります。ともすれば過剰な対策を強いることにもなりかねません。
.*.
審査会場の汚れたテーブル
コンサルは確かにお金で雇われたのだけど、汚いテーブルで間に合わせるのは如何ですか?
恐らく、社員がお弁当を食べて、食べこぼしたまま引き上げたのでしょう。ルーズな会社です。汚くてもコンサルなら構わないと考えた?嫌、全く何も考えていないのでしょう。
ところが、コンサルの話では済まなかった。そのまま審査会場になった。こりゃ酷い。女子社員が居ないのか、総合職の悪癖なのか。嫌、女子も男子もない話だ。
会社の程度が分かる。是非、その場所で経営者インタビューもやって欲しいね。とのことです。
.*.
会議室そのものも同じ。特に地方へ出ると、企業の内部留保資産の厚みの差が出てくる。会議スペースさえ何処にも無いらしい。
トップインタビューで経営者を困らせたら?
経営者はどんな質問でも対応できる。経営者に限らないが。自分で掌握して決定していると信じる経営者は、いろんな場面でインタビューを受けるので、殆ど無手勝流で現れる。
まじめな初心者審査員は型どおりに審査を始める。一種の小劇場ならぬ笑劇場。審査員が用意した20の質問に対して、出てくる答えは数種類。審査独特の言い回しがあるのだろうが、その判別が効かないから同じ質問と思って似たようなコメントを繰り返す。
その結果、社長は社長で、この審査員は馬鹿だなと思うし、若い審査員はこの経営者でよく会社が持つものだと感心する。これで、終われば無事。良い話だ。
ところが、質問の意図の違いを説明し始めると、時として、不幸な物語が始まりになる。さっと理解が付いて来れば一件落着。躓いたりすると、本旨から外れて不幸の土壷にはまることになる。審査員を忌避したり審査機関を変えたり経営者は偉い(強い?)んだ。不勉強を棚に上げて強行路線。みんな不幸になる。
.*.
質問書の事前開示
審査員も事務局も智恵がない。クイズ番組ではないのだ。何を聞くかは、事前に開示してよいし、ついでにアンケートをとっても誰からも咎めらない。ゴーストライターが出てきてもそれで得心が至れば十分ではないか。もっとも悪乗りは避けたいね。
.*.
移動工数の単価?
審査している時間に費用を払うのはいいが、移動時間にも費用払うのかな。拘束してるのだから何らかの費用は払う。でも単価は移動単価にしますというのもあるんだろうね。
審査員を時間単価いくらで何時間拘束ですとロジックを組めば移動も審査も関係ないとなる。
本当かな。大した話ではないですが、クライアントにとっては経費に直結だから気になる話。視点とかがあちこちに点在するときは尚更ですね。
.*.
審査がいきなり移動で始まったら、時間の無駄に見える。審査開始までに移動しておいてよ!が普通の反応。うん?なんか変だな。これって、各サイトが一斉に審査を始める時の話。全員でオープニングする時は、オープニング後に直ぐに移動が始まるので、似たようなものだけどクライアントが不満に思うことは無い。
.*.
夜間の移動は、審査時間外の移動だから、費用面は問題はないが、審査員は生身の身体。審査の品質を大事に思うクライアントは夜間移動はミニマムにしてくる。見過ごし・見逃しを期待するそれなりのレベルのクライアントは経費節減などと意味不明を呪文にして夜間移動大歓迎。もっとも馬鹿な営業が誘導したりしては話にならないがそういう手合いは先ず居ないでしょう。
.*.
