(日本ISMSユーザーグループ)2012セミナーの簡単メモ
日本ISMSユーザーグループ
参加した人の話を聞いた。今年2012/12/21の参加者は少なかったようだ。三連休の前だからか。以下は資料と雑談からのメモ。世界の認証取得事業者の半分が日本。それに相応しい活動が展開されている。世界の模範となる活動といっても過言ではあるまい。
.*.
冒頭のサイバーテロに関するセッションは好評だったようだ。問題の全容がコンパクトにまとめられていてスピーチも素晴らしかったとのこと。
ただ、方法論への踏み込みが不十分の印象を受けた。サイバーテロというより現実に繰り広げられているサイバー戦争という認識に立てばもっと深刻だろう。基調講演でも取り上げるべきテーマだったのではないかな。
そんな中でも、囮(おとり)を置く考え方は興味深い。囮監視と追跡システムが実現しているのかアイデアベースかは分からないが。また単一企業による対応の限界も感じる。業界的な取り組みに発展させるアイデアが提案されてもいい。
国会議員の話も出た一般的な事件事例紹介にとどめず、特に落選した場合の、セキュリティ義務への言及も欲しい。
いずれにしてもこのテーマは最重要であり、今後も広く深くスピーディに取り組んで欲しい。
.*.
基調講演は、セキュリティ管理をバランスシートとか会計とか目新しい発想で補足しなおしているのは面白いが、印象としては荒削り。何より、この方法論から導かれる新しいメッセージがどのようなものであるか想起できない。
詳細リスクアセスメントに対する洞察がもっと深まれば、新しい世界へブレークスルーできるかもしれない。あるいは引き返すことになるかもしれない。
対象性/非対象性の話もただの解釈論の話に留まれば詰まらない。初めてISMSに接する人向けの表層的なセッションなら合格。基調講演というなら本質的な時代認識を踏まえた今後の方向性を探る展開を期待したい。
とのことだ。
.*.
クラウド。こいつにはますます混乱させられる。どういう意味合いでクラウド(という用語)を使っているのか分かりにくい。多くのスピーカーが果たして同じ理解に基づいてクラウドと読んでいるのか。
もっとも、クラウドが規格の対象になるのだから、既に何らかの定義はされているのだろう。しかし所謂プライベートクラウドなどのカテゴリーが出てくると、混乱しないわけでもないだろうから、全容の整理が改めて必要になりそうだ。
.*.
改訂版ISO27001の最近の状況が紹介された。分かりやすい説明は今年も好評だった。改定に伴うISMS関係者へのインパクトは小さいと昨年から言われているが、実務者の苦労を知らない上の人の意見だろう。論理的なインパクトは小さいかもしれない。実務者から見たインパクトはBS規格からISO規格に格上げになった時以上に大きいのではないか。
とは言え、規格自体の標準化が進むので複数規格に取り組む組織では、頑張り甲斐が出るかもしれない。
システム規格(27001)と管理策規格/セクター規格の二階建て構造とするものは運用によっては大変な混乱を生むだろうと今から懸念される。「27001+27002」が従来(現状)の基本形だが、来年以降は、「27001+27002+270xx+270xx+~」による管理策展開になるからだ。
建前を言えば、現状でも「27001+27002+その他必要な管理策」ではあるがその他が付いてくることは先ず無いのが実態だろう。
改訂版27001では、予め詳細検討された技術領域(セクター)が提示されているので27002管理策だけで十分ですとは言い切れなくなった。大きな事業をやっている組織の場合は殆ど複数の技術セクターと関連してくるに違いない。
.*.
言葉の定義、新しい概念の導入など、規格改定に伴う変更がいくつも出ているようだ。日本的価値(TQC?)の扱いの変化の意味するところは特に注意が必要かもしれない。文書になれば独り歩きを始めるのが常だから理解の共有の徹底化が必要だろう。その意味で、当グループの果たしている役割は賞賛に値する。
.*.
BCPに関する検討会は苦労しているようだ。多くを語ろうとして焦点がボケてしまったというと失礼だが、これが正にBCPの本質かもしれない。異なる企業文化の間で一つのBCPを形にするのは至難ということです。
しかし、多くの留意すべき観点、アイテムが提示されたことには感謝しなければいけない。BCMS規格の用語なども参考に整理していけば大いに有用なはずです。
.*.
マインドマップ(MM)の応用。最近は中高生でも利用する人がいるくらいアイデア整理のツールとして使われているものだ。個人でも複数人でも超次元的に使えて便利といえば便利なものだが、似たようなことは誰でもやっているので初めて接する人にも抵抗は無い。
フィンランドでは小学生?の作文や地理の時間でも利用している。思考の地図(マインドマップ)は世界の共通語になる日が来るね。試行錯誤を楽しむ道具みたいだ。アングリーバードの会社(ロビオ?)でも商品企画検討に利用しているとか。新たな可能性も其処にはあるから。
しかし、ISMSの方法論にマインドマップ(MM)を使おうとする試みはやはり理解を超えている。何がMM利用のゴールなんだろう?。リスクアセスメントを事例に利用例の紹介があったようだが、何か網羅的に一般解を求めているわけでもないだろうに。業界が変われば、業務が変われば、人が変われば、時間が変われば、MM展開する内容はどんどん変化するのではないだろうか。
同じMMを使い続けると発想か固定化する?。
再度、原点に戻ってテーマを見直してみるのも良いかもしれない。(余計なお世話ですね?)
.*.
有効性評価。定義からして難しそうだ。色々な考察が紹介されていたらしい。目的・目標と手段の相関を理解することが有効性評価。
実施度という視点を取り込んでいるのは面白いが、実施度が低いから有効性(達成度)が低い、実施度を上げれば達成度は上がるとする発想は要注意。
議論は方法論、施策によりすぎた印象。目的の定量的な理解に視点が行くともっと分かりやすかったかもしれない。
.*.
兎に角。J-ISMS-UGの活動は素晴らしい取り組みの一言です。
.*.
今年は海外から参加したスピーカーがいなかったそうだ。いれば雰囲気が変わるのに残念でしたね。 規格策定段階ならホットニュースとして価値があるが、今は事務手続きだから規格関係者ではあまり意味が無かったのかもしれない。
日本とは違うユニークな取り組み事例、あるいは統計的に把握している内容を紹介してくれても結構興味深い内容になっただろうと思う。この辺は来年に期待したいところだ。
.*.
