2019年12月25日
直訳すると「繰り返される撤退」とでもなるかな。
+
https://ismsyomoyama.blogspot.com/2019/12/isms.html+
https://ismsyomoyama.blogspot.com/2019/12/isms.html+
https://ismsyomoyama.blogspot.com/2019/12/isms.html+
・退避先
・退避済マーク
・原籍存続の是非
・退避日時
*
個別にコメントやトラックバックの受け入れを設定できるのは素晴らしい。最近のものは悪質だから拒否にしたいが、一斉で設定できるならなお素晴らしい。
*
更新:2019/12/24クリスマスイブ
更新:
更新:
+
何かのトリックで広告が無効にされている。他人のコンテンツで上前を撥ねている勘定だ。許せない。オリジナルコンテンツを残すことは止めよう。退避したら原籍は削除すること。
*
2015年04月05日
「サイバー攻撃演習」は必須サービスだが墓穴を掘らないか?
カスペルスキー
※
実際の対処方法を日頃から訓練するのは必要だろうが、運用系を止めるのは論外だから演習は困難。また脆弱性情報は超機密じょうほうになるからまた大変だ。
※
http://japan.zdnet.com/article/35061880/
カスペルスキー、サイバー攻撃演習を提供--ゲーム感覚でリスクを学習
山田竜司 (編集部) 2015年03月17日 17時07分
カスペルスキーは3月17日、サイバー攻撃による重要インフラへの影響をゲーム形 式で体験できる「Kaspersky Industrial Protection Simulation」(KIPS)を3月20 日から提供すると発表した。システムの運用上のリスクや投資に見合う対策を学習できるという。所要時間は約2時間、最小催行人数は10人、税別価格は30万円から。
KIPSはボードゲームとオンラインアプリケーションを組み合わせた対サイバー攻撃 演習。製造業やインフラ事業者などを対象にMHPSコントロールシステムズが販売する。
KIPSの参加者は数名ずつのグループに分かれ、条件や指示が書かれた30枚のカードと決められた予算、作業時間を有効に使いながら、サイバー攻撃を受けている水処理施設を守るための効果的な対抗策を実施する。5週間という期間内で最も高い生産性を維持したチームが勝つというゲーム性を持ち、ゲーム終了後にはどのような対応が適切だったのか、また攻撃者のシナリオと各チームの打ち手を比べ、ゲーム上で発生した事象に対する考察と理解を深めることができるという。
Kaspersky Labは、これまでに米国やロシア、マレーシア、英国など10カ国以上でKIPSを提供しており、2月には欧州原子核研究機構(CERN)でもゲームを実施した。
カスペルスキーは開発の背景について、昨今、電力、金融、政府・行政サービスなどの重要インフラへのサイバー攻撃は増加しており、米国では大統領令により原子力発電施設でのインシデントの発生を抑制するための対策が求められるなど、リスク回避の動きが高まっていると説明。日本でも2020年の東京五輪開催を控え、高度化する重要インフラへのサイバーテロ対策が急務とした。
一方、製造業や重要インフラ事業者の間では、情報システムに直接関与しない経営幹部や現場担当者のセキュリティに対する知識や関心は充分とはいえないと指摘。攻撃対象として、USBメモリやメール、ウェブサイトなど、従業員や関係者を経由したマルウェア感染に起因する事案が多く発生しているとし、経営者や現場担当者を含む、あらゆるレベルの関係者が、セキュリティへの理解を深めることが重要と説明している。
カスペルスキーでは今後、発電施設などへのサイバー攻撃のシナリオを用意、より専門性の高い重要インフラ事業者に演習の提供を拡大する予定とした。
※
2015年02月07日
ベネッセの情報流出防止策にボディースキャナー?管理策がピンボケ?
※
http://www.jiji.com/jc/zc?k=201502/2015020200437&g=eco
ベネッセ、最新のボディースキャナー導入=情報流出を防止
ベネッセホールディングス(HD)は情報流出防止策の一環として、空港などに設置する最新型のボディースキャナーを導入する。納入する伊藤忠商事子会社の日本エアロスペース(東京)が2日、発表した。情報セキュリティー会社のラックと共同出資で設立した情報システム運用保守会社、ベネッセインフォシェルの岡山市の本社ビルに設置する。(2015/02/02-14:28)
※
運用センターにプラスティック爆弾が持ち込まれるのを防止するのかな?。データセンターならインフラの要だからこの管理策は当然必要。
しかし、情報漏えいの管理策としては歯がゆいくらいだ。目的と方向が逆でしょう。それに要点の押さえ方もずれているような。
見かけは大げさだから対外的なアピールにはなるが、肝心が抜けていないか、気になるところだ。
※
こんなものを入れたら別の問題が出そうだ。派遣社員を虐めたら一気にブラック企業行きだ。
※
2014年09月12日
株式会社テクノアート?馬鹿な審査機関を選んだものだ?一体何が欲しかったの?
http://www.technoart.co.jp/STAR認証にどういう価値を求めたのかな。商売に使えるとでも?。お墨付きに依存して墓穴を掘らないで!
BSIは審査員も営業なのよ。甘言また甘言。初認証なんて記事にあるが、体よく利用されただけかも。田舎(九州の熊本)の小規模事業者だからテストケースに選ばれただけだろう。
※
2013年05月14日
事故原因不明のままボーイング787運行再開!利用の是非?ボーイングが実施したことは、リチウムイオンバッテリーがなぜ燃えたかは分からないが、仮に高温になって燃え始めたとしても火災にならないような手立てを尽くすことで安全を確保するものです。
主翼のエンジンに主電源(2箇所)、尾翼付近に予備電源(1箇所)があり、其の全てが使えなくなった状態で、胴体内のバッテリー(2箇所)電源が作動するようになっている。従って、これまでバッテリーを使わなければいけない状況にはなっていないのです。その使わないバッテリーが高温になって発火したのですから問題は深刻です。
B787に特徴的なものとして生産システムがある。ボーイングの工場では各地で作られた各ユニットを組み立てるのだが、従来に比べてユニットは大きな単位になっていてボーイングの工場での作業量は非常に少なくなっている。
こういった場合の安全性への責任体制が注目され、ボーイングは追及された。バッテリーの場合は、バッテリーシステム:フランスのタレス社、バッテリー本体:日本のGSユアサ社。全体のシステム:ボーイング社の枠組みだが、ボーイングがユアサにまで立ち入ることは少ない。
一般に仕事を分けて取り組むとき、分業とか委託とかの形になるときは、仕事の設計にミス(抜け)が出るのはよくあることだ。経験豊富な企業でなければ出来ない。
しかし、
今回は何が抜けていたか?本当に何かが抜けていたのか?も分かりません。
地上を走る車載リチウムバッテリーの発火事件はあまり問題になっていない。空の上には見確認の環境要素があるのかもしれない。
.*.
リスクを考える人はB787には乗りません。従来の最低でも2倍の運行実績が確認されるまでは様子を見るのが普通。ラインは縮小されているから時間的には長く見ないといけないでしょう。原因が分かっていないのでこれまでの施策で偶然除去されているかもしれないし、別の問題に形を変えるかもしれない。その確認には状況を見届けるしかない。原因解明のニュースが流されるまでは乗らないのが賢明でしょう。少なくとも、B787を利用して事故に遭遇しても想定外とはいえません。
.*.
2013年05月01日
ネットワンシステムズの所得隠しとセキュリティ管理レベル所得隠しで東京国税局から追徴課税された。三重県の銀行出身の社員(課長?)による不正経理。不正に持ち出された金を回収できたのかどうか不明。会社としての組織だった不正ではないが違法行為を見抜けなかったとしてネットワンシステムズは謝罪している。ただしホームページには何の記載もまだ無い。IR情報に掲載すべきだろう。
ネットワンシステムズhttp://www.netone.co.jp/ネットワンの子会社にNSATというのが有った。コスト意識の低い社員をみてどうかと思ったが、親会社に併合されたから、健全化に繋がっただろう。親会社は乾いた雑巾を絞っているのに、子会社の方はずぶずぶ状態というのは良くある話だ。
ネットワークサービスアンドテクノロジーズ .*.
親会社に吸収された子会社のISMSはどうなるだろうか?
親会社がISMSに取り組んでいなければ:
(1)子会社ISMSがそのまま継続。
(2)ISMS登録解除。親会社の仕組みに乗る。
(3)有り得ないが、子会社のISMSを親会社にまで拡大適用。
親会社がISMSに取り組み済みであれば:
(1)子会社のISMSを止めて親会社に吸収。←これは常識経営。(2)親会社のISMSと子会社のISMSが並存。←これは馬鹿経営。(3)有り得ないが、子会社のISMSを親会社にまで拡大適用。
馬鹿な企業の場合は(1)を目指すが当座(2)で進める。暫定期間が半年以上も発生する。吸収した意味を失いかねない。
.*.
何処の会社にもいるものだ。口先だけで実務はこなせないから本業には従事させられない。間接部門でつつがなくやって欲しいが無駄遣いの知恵ばかり身に付ける。間接部門を統合して災いの主を封じ込めたいが逃げ回る。会社の癌としか言いようの無い社員の存在。
.*.
急成長企業のもろさが如実に露見した格好だが、超監視社会(超監視会社?)は嫌だけど今後の必然かもしれない。
2013年04月24日
英国で導入された「組織罰」の日本導入はJR尼崎を裁けなかった代償?組織罰企業の罪を問う法律。個人を追及する方法論では限界があるとか。
英国で導入済み。8年前?。
尼崎でJR最大の死者を出す事故を起こして罪を問えない現実がある。検察と司法が抜けている側面もあるが、今の法体系では難しい側面もあるのだろう。
企業活動が拘束されるとして、例の経団連の会長は早くも反対を表明しているとか。アナクロニズムの権化。彼はそんな感じだ。若しくは直線的な発想しかしない。
.*.
今日のクローズアップ現代のテーマ。
.*.
公共の交通事業に関するもの内容だったが、この法律は交通ビジネスに限定されているのかどうか。組織の罪を問うという意味ではもっと普遍的なものだろう。多分。
.*.
リスクマネジメント:
法律が出来そうになったら対策を立てる。そういう発想の経営では時代に取り残される。法律が出来るということはそれが社会の価値として認められたということだ。社会の要請である。積荷は問われなくても徹底した説明責任が降り掛かる。法律が成立しそうになってからでは全く遅いのです。
しかし、
仮に実現したとしても、選挙制度の憲法違反でも国会になめられている司法に渡されるものはきっと使い道のない骨抜きにされたものだろう。
.*.
2013年04月22日
BYODが日本で普及できない訳個人の私物を業務使うことは、デバイスを支給出来ない貧乏会社では昔から普通にやっていた。BYODは普及済みだった訳だ。
金持ち会社は業務効率のために個人用デバイスを支給するのは当然のことだった。BYODなど不要のことだ。余計なリスクを背負う必要はない。
ただし、
BYODのためのソフトウエア環境を整備するベンダーにはビジネスチャンスはある。社員の公私混同への対応としてセキュリティソフトをインストールすることは歓迎される。嫌、それが支給・貸与の条件にされるだろう。
.*.
2013年04月16日
スマホを使ったクレカ決済のリスクは何か?スマホを利用したカード決済が広まっている。スマホに決済アプリを入れてカードリーダーと領収書などを出力するミニプリンターを接続すればクレカを使っての支払いできるサービスを通販インフラ会社、ネットインフラ会社が提供し始めました。手数料は約5%。
今までも携帯端末からクレカ決済は可能でしたが、基本的には専用に準備された端末です。センターとの接続も固有の方式。専用端末が自由にアプリをダウンロードして使えるものでは有りません。
スマホ利用となると話は一気に変わります。世間の風が吹いているのです。どういう企みでマルウエアが入らないとも限りません。屋台のお兄ちゃんがセキュリティに強いことはありませんから、自分のスマホをどのように使うかまでは誰も管理できません。
「
PCIDSS」はクレカ用のセキュリティ実施基準ですが、この認証を取得することは、一定のレベルにあることを表明するだけで、安全を保障するものではありません。
スキミングアプリが入り込んで、裏社会への流出を3ヶ月程度遅らせれば、何処からの流出かも把握できなくなります。
.*.
クラウド導入時の失敗事例?(CIOニュースから)デビッド・ギーア氏のレポートではクラウドコンピューティング7つの大罪のタイトルだが内容的には最近フィーバーから見て取った失敗事例のようだ。
http://www.ciojp.com/technology/t/27/13848
- 入り口で身元確認をしない:
クラウドサービスだけで本人認証を完結するシステム事例が多いが企業内システムと連携させる場合は本人認証の仕組みを社内システムのそれと連携させなければいけないが、カスタマイズの手間を押えるためか、簡易型の認証システムを利用する例が多いらしい。簡易型の認証で社内システムに入り込むリスクを抱え込むことになる。もともと社内の認証システムも中途半端なものだったからベンダーが用意するものを採用したのだろうが本末転倒になっている。
- APIキーの保護を考えない:
クラウドサービスのメリットを最大限発揮させるためにAPIを公開することがあるが、脆弱性のポイントになりかねない。キーは時間による変更、公開先による変更などの手当てのほか、アクセスエラーのトレースによる不正アクセス管理なども行う。
- クラウド・プロバイダーに強く依存する:
クラウド・プロバイダーが提供するサービスは多様化し使い勝手が良く重宝なものとなっているが、企業の命運を全く依存するリスクからの回避を常に考えるべきであると。クラウドの技術だけを社内システムに取り込む工夫も始まっている。
- リスクや説明責任もアウトソーシングできると考える:
アウトソース出来ないのは分かっているが、みんなで渡れば怖くないで済ますことは出来ない。昔のIBM神話と同じか。止まらないクラウドも止まる事があるという現実が示された以上どんな言い訳も通用しない。なぜクラウドかも改めて確認しておくべきだろう。
- IT担当者やセキュリティ担当者と相談せずにクラウド・プロバイダーと契約する:
こんな馬鹿なことはありえないと思うが、現実には情報システム部門との面倒なやり取りを回避できるし巨額の設備投資も顔を出さないので事業所・部門・グループ会社などで契約する例が後を絶たない。ITガバナンスの方法論が問われる。
- クラウドのセキュリティを過大評価する:
クラウドサービスプロバイダが一流のセキュリティ監理者かどうかは分からない。「特定のセキュリティ機能の提供、セキュリティ・タスクの文書化、すべてのセキュリティ・ポリシーおよびセキュリティ対策をまとめた一覧の提供、そしてセキュリティ報告書の提出を要求するべき」との記載もあるが、その前に企業のセキュリティ要件を明確に出来なければ交渉にもならないだろう。
- コストを正しく理解しない:
標準サービスは安いが極めて限定的かもしれない。サービスの多くがオプション化されていることもあるようだ。自社システム側の回収も発生するかもしれない。結局、何年でいくら掛かるのか。見掛けの数字で稟議を通してプロジェクトを始めたら思わぬ費用に驚いて立ち往生する例もあるんだろう。
.*.
まだまだ調べることがありそうだ。
2013年04月14日
BSIジャパンでは良い審査が出来ない理由「BSIジャパンでは良い審査が出来ない訳ない理由」とも読める?。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評判が落ちる。他の連中が頑張って支えているわけだが、支えきれるわけない。しかも上出来の審査員は既に老人。
契約審査員の中には有能な人がまだ残っているが、社員の審査員は年々駄目になってきた。ある意味では無理が無い。実務経験の無い若手が中核になってくのだから、発揮できるパフォーマンスもクライアントが期待するものからずれていく。
加えて下手な改善活動が事態を更に悪くする。一つの要因は審査チームリーダーに過渡の負担が強いられていること。スーパーマンで無い人にスーパーマンのように振舞うことを要求している。スーパーマンどころかIT業務経験の殆ど無い人が審査をしている始末だ。共感のないままの表層的な審査になるのも無理からぬことだ。
クライアントとしては頓珍漢な質問でも聞かれたら応えるしかない。具合の悪いことに自分はスーパーマンと勘違いしている審査員まで登場。若いのに頭の中は体育会系のカチンカチンで柔軟性ゼロ。ついには一目千里まで言い出す不遜の輩まで出現している。ある輩は、この一つの質問で規格のこれからこれ、これとこれのチェックが一気に出来ると胸を張っていた(どういうことだろう?規格も正しく理解していない?直球ど真ん中の質問は?)。
審査員も以前は玉石混合だった。今は玉の影が薄くなってきた。目立つのは詰まらない石ばかりが目立つ感じだ。
IT実務も改善実務も知らない、しかし自己主張は怠らない、そういう連中が幅を利かせ始めたであろうBSIジャパンはこれからが正念場だ。
.*.
世代交代と審査の連続性:
他の審査機関も世代交代は始まっているが根本的な違いがある。国内企業との互恵関係のある古い付き合いの審査機関とでは人材採用の中身がまるで違っている。基本は教育訓練が終わった人を採用している。
新規の審査ビジネスとして始めたところは未経験者も採用するかもしれない。安い早いを武器に既存の他社のクライアントの取り込みに積極的だ。しかし将来的にはBSIジャパンのようなジレンマを抱えることになるだろう。
緩い審査で始めれば緩い審査を続けるしかない。
実務経験の少ない後継者は文字通り緩いだけの審査になる。口頭の部分が消えてしまうからますます怖い。
.gif)
日揮アルジェリアのテロ攻撃リスクと対応策
日揮事件から既に長い時間が過ぎて自分の問題と考える人は少ない。プラントプロジェクト。安全は軍隊が守っている。自分達は仕事をする。
自分達の安全を他人に委ねる。こういうことは少なくない。ルジェリアの特殊な話ではない。「筈」の安全管理はどこにでもあることなのだ。
「筈」の安全管理から抜け出すことは誰も出来ない。意識しているか否か。意識していれば、必要最小限の情報で仕事をするようになるだろう。
.*.
2013年04月12日
アップル中国で謝罪?もう一つのチャイナリスク?アップルに限らない。中国を尊敬できない国、中国人を尊敬できない国民であると感じている企業は世界中にいくらでも有る。中国が札束をばら撒くから愛想笑いはするが尊敬には至らない。中国で世界と同じことをやろうと思っても無理な話だ。その環境は中国自身が作っていることだから。
今回はその差異に注目してクレームを入れてきた。背景にあるのは政治問題・外交問題。
共産党の独裁国家と政治問題・外交問題ゼロでことが進む国はない。経済問題であっても政治的に日取られて、次の日には謝罪要求(改善要求?)が出される。アップルが謝罪するならどこの企業が抵抗できるだろうか。
暴徒を煽るデモ・破壊活動、謝罪要求、ストライキ、不買運動、・・・。何でも有りのチャイナリスク。
.*.
リスクマネジメント?
企業が中国に進出していたら、直接リスク。
パートナーが中国に進出していたら、関節リスク。
.*.
スティーブ・ジョブズならどういう判断をしたか興味深い。
.*.
決して選択を間違えるな!「匿名vs.実名」匿名vs.実名ネットの時代は子供から老人までをフルカバーするようになってきた今、間違い・勘違いは誰にも許されなくなってきた。恐ろしい時代なのだ。熱拡散が宇宙の果てまで行くように拡散した情報はもう誰にも止めることが出来ない。
フェイスブックFacebookに実名で登録する?信じられない。自分の通学先や勤務先、家族情報、趣味、食事、・・・そんな情報まで入れている。顔も姿も誕生日も。誰が友達かも。ストーカーを意識しなくても誰でもストーカーになってしまう。思わず友達クリック!。で、知らない人と友達になってしまう。
ツイッターTwitterにも実名。自分のブログも実名。メールアドレスも。アンケート回答も。
疲れそうだ。
複数の匿名を使い分ける。しかも間違えながら。辻褄が合うことは決してない。合わせてはいけないのだ。矛盾の塊。名前も匿名で、内容も嘘八百。出鱈目。これが一番安全?。
.*.
アノニマス.*.
ISMS的には?
企業内のユーザーは多くの場合、実名主義になっている。姓名か名性かまで決めているところも。スパムメールをいくらでも送り込めることになる。企業内では匿名という訳には行かないが実名主義はそろそろ見直してよいのではないか。
必要以上に(適切な説明が付かない)情報を消費者などから収集する行為は断じて避けるべきだ。情報漏えいに対する施策もISMSならば、情報の持込をミニマム化する施策も立派なISMSです。
.*.br /
NTT東日本フレッツ光メンバーズクラブの不正アクセス事件4月4日にフレッツ光メンバーズクラブのサイトが攻撃を受けた。数万の不正アクセスで数十の不正ログインが行われたようだ。特定のIPアドレスからとだけして具体的な場所は公表していない。
偏見になるかもしれないが、多分、これも中国でしょう。中国は意図的に踏み台になっている可能性がある。サイバーウォーの言い訳のために用意している可能性さえ否定できない。
4日に続いてサービス再開後の9日にも攻撃を受けたため、
NTT側の対応としては、サイトの一時閉鎖(IDパスワードのロック)を行い、現在は初期化・再設定をユーザー(メンバー)に要求している。
https://flets-members.jp/pub/info/20130404info.html?link_id=infohttps://flets-members.jp/pub/info/20130410info.html?link_id=info発表は比較的早かったようだが、個人情報が流出してしまったメンバーへの対応はどんな内容になるんだろうか。
.*.
ISMSの観点では;
《ネットサービス提供者の作法》
日頃から中国からのアクセスについては帯域を絞って被害が深刻にならないようにすべきだろう。犯罪の温床地域からのアクセスを黙って通していることの方が余程異常なことだと認識すべきです。
国内のサーバーなら関係者を捕まえに行けばよい。
事後対策より未然防止。それが管理の基本でしょう。以上アクセスを検知した段階では帯域を絞るだけでなく、遮断してしまうこと。実際はダミーのトラップネットへ誘導してやればよい。ログインできたと見せかけて犯罪者の情報を逆に取りに行く仕掛けです。犯罪者側の防御能力も調べることが出来るはずだ。不正なアクセスは諸刃の刃と知らしめるのです。
.*.
《利用する側(メンバー)の作法》
情報の入力はミニマムにすること。必須事項だけの入力にする。アンケート感覚で様々な情報の入力を要求するサービスサイトがあるが、あれはサイト管理者が未熟な証拠(率直にバカということです)。必須事項以外の入力欄があるのは多分いい加減な会社。アンケートならアンケートで協力を依頼すればいいのだが協力者が少ないから場違いのところでアンケートを始める愚かしさです。
必須事項が多すぎると感じたら、偽情報を入れます。サービスの本質関係ない入力項目には正しい情報を入れる必要はありません。
.*.
2013年04月09日
日本のISMS審査の歪みを生んだ元凶?<歪みとは?>
第三者認証制度のベースとなるQMS(日本のTQCをベースにしたもの)では審査機関としてはそれほど大きな実績を残していない某審査機関がISMSではいきなり他社を圧するような審査実績を残した。最大数のクライアントを残したということだ。一時は国内の約半数が某審査機関の審査で認証を取得していた。当初はISMSの特殊性に起因するのかとも思ったが、規格自体には特殊性は無かった。しかし、起きていることは一種の異常事態だ。
<情報収集>
何故か?。情報がなければ考察も何も有ったものではない。噂はいろいろあった。断片的に流れてくる。フィルターが掛かっているので何処まで信じて良いかは分からない。
審査の席にオブザーバーで出席する。実際に審査に立ち会う。出席した人から話を聞く。可能ならJIPDECやJABの人から話を聞く。
件の審査員から直接話を聞く。
.*.
(特記事項:順不同)
- 判定委員会がない。判定委員会などは形式的で面倒なだけ。有効性に疑問。プロでなければ審査の判定など出来る訳がない。
- 判定委員会は時間と金の無駄と考えても不思議はない。しかし、民主主義と品質経営は時間と金を無駄にしないと始まらないものだ。
- 手際が良い。オープニング、クロージングがセレモニー(周知教育の場)になっていない。事務的な重要事項説明に留まる。
- 投下される審査員の数が少ない。殆どが一人審査。
- セキュリティリスクのランクは低く、投下工数が少ない。
- コンサル的対応は少ない。審査員倫理に忠実であるというより実務を知らない印象。事務的なチェック。
- プロセスベース審査と言っておいてチェックリストで審査する人もいる。
- プロセスベースの解釈がバラバラ。情報セキュリティ管理におけるPDCAトレースとクライアントの業務フロー(業務プロセス)トレースと審査チェックリストトレースと何でも有り。
- 不適合を出さない。口頭で済ます。せいぜい観察事項。観察事項もこちらが抵抗すれば削除してくれる。
- 脅かすような言い方で「不適合出しますよ」とはよく使う。不適合を忌み嫌う傾向にある。改善活動実務経験のない人ばかりみたいだ。
- コンサルを兼業とする審査員が大勢いる。
- コンサルの紹介で審査しているケースが多い。コンサルが特定の審査機関を推薦(実質的には指定)してくる。
- 契約審査員を大量に抱えている。期末に集中する審査を契約審査員で消化している。所謂、こなしている図式だ。
- 契約審査員の一部に審査員の力量の高い人がいる。社員の審査員の力量は低い。
- 社員の審査員が得意なのは事務手続き、イベント進行、おしゃべりなど、本質以外の部分。実務経験がなく眼力が低いのでどうしてもそうなる。
- 社員審査員は管理職経験もなければIT業務経験もない人が多い。だから事務屋かイベント屋にしかなれないのだ。
- 無理な審査計画。工数を削るから移動は夜。時には瞬間移動。いい審査ができる訳ない。体育会系の乗りで審査を捕らえる馬鹿の存在。
.*.
<要因の洗い出し>
- 審査という社会貢献活動を売り上げ利益優先の商売と勘違いしたことに尽きる。
- 審査のQCDでQは放置して、CとD(M)にばかり注力したことが最大の問題だろう。
- 英国の本社が日本のオプコに売り上げ利益を過渡に要求している訳はない。日本法人トップが自分の金銭的な欲得のために暴走したのだろう。
.*.
審査計画の審査と承認審査計画は適切に策定され適切に実施されなければいけません。
審査計画は通常審査チーム(審査リーダーまたは幹事審査員)がクライアント等と調整して作成します。
計画が妥当なものかどうかは、審査の網羅性(規格項目に対するもの、スコープに対するもの)、審査時間の十分性、専門能力の充足性が主眼になりますが、ビジネス性の問題を避けることが出来ません。諸悪の根源?
審査費用の見積もりは営業が作ります。見積もりは工数がベースです。工数は審査チームが出すものなのに何も知らない営業が先に算出してしまう。一種の矛盾。極端に工数が異なればやり直しですが、普通は営業の数字に合わせて計画を作ります。
営業は何の会社も同じで注文とるためには、競合を意識して値引きに走りがちだ。審査を売る場合は工数の過小評価もやりがち。
審査・承認は審査機関が行う。形式的に。しかも審査が終わってから。
.*.
酷い審査計画を見た。タイムワープとか
瞬間移動とか出来るんだろうかと思うような計画だ。担当の審査員は「去年もこれでやりましたから宜しく」だって。そんなものは調べれば直ぐに分かるレベル。網羅性も充足性も関係ない。計画に対する審査・承認が実質何も行われていないことがわかる。
.*.
2013年04月08日
パスワードの使い回しリスク
ログインIDとパスワードを要求するサービスは会社の中も会社の外も溢れ返っている。使うのは一人の人間だから、会社の中も外もあったものではない。IDパスワードを覚えきれるものではない。メモに記載するなとあれば、IDパスワードの使いまわしは必然の道。
朝日新聞デジタルがパスワード使い回しの実態をレポートしている。ヤフーのサイトが攻撃される状況が変わってきている。以前は手当たり次第のパスワードでのアタックが中心だったが今はぴったし的中のパスワードで侵入してくる。IDパスワードが分かっているのだ。何故か。使い回ししているから不正取得が容易になっている。
一見真面目な適当なフリーのサービスサイトを作って任意のログインIDとパスワードを入力させる。天気予報でも、渋滞情報でも、株価情報でも、何でも良い。ぼろを出すような不真面目は決してやらない。特別な魅力を持つサービスにすることもない。そのIDとパスワードはきっと使いまわされているものに違いない。それを使えば他でも必ず利用できる。
フリーのサービス登録時にどうしてこんな情報まで要求するのか分からないことが多いが、魂胆はこういう背景があることも。本人認証を確実にするために多くの情報を要求していると信じている人はお人よしだ。
結局、一人の人間が利用するネットサービスの数が3桁で収まらないこともある。実際に使いIDパスワードの数は1桁が関の山だろう。其の一つを騙し取るのだ。これはフィッシングサイト、偽者サイトではない。詰まらない内容レベルだけど普通にサービスを提供しているのだから。
.*.
ISMSの視点?
企業のISMS推進者は何をするべきか。
会社で使われるパスワードは他所で使うなとお達しを出す?。手ぬるいですが経営者の責任として明確に要求することは必要です。
社内のログインシステムの単一化と強化?。パスワードの桁数、文字種類、変更頻度の管理も徹底する。
的中型攻撃への監視と対策。誰のIDパスワードが漏れたかを追跡すること。悪質な場合は懲戒も必要。一人のミスが会社を危機に陥れるリスクを呼び込むのだから厳しい対応は必至。
.*.
2013年04月05日
これもチャイナリスク?米政府は中国製IT機器の調達に制限を掛けた
中国製IT機器
中国政府(共産党)はIT機器の機密を認めていない。セキュリティの脆弱性は筒抜け。中国政府は自由に脆弱性を手繰ることが出来る。そのような中国製IT機器が国内に入ってきたら、サイバー攻撃の標的にされる。踏み台にされる。そういうリスクを抱えることになるわけだから輸入制限は当然のことだろう。
中国は差別的だと反発しているが、中国が民主国家で無いから当然のことで反論の根拠は無い。
日本国内はどうだ?。中国製品があちこちに入り込んでいる。食品の事情と同じだ。日本企業が知らない脆弱性を中国政府とその影響かにある勢力は知っている訳だ。これをリスクとして捉えることが出来なければセキュリティ担当としては失格。
みんなで渡れば怖くないの真逆。みんなが使っているときこそリスクは最大になる。
.*.
ISMS担当は、チャイナリスクの洗い出し、メンテナンスを常々実施すべき。
.*.
2013年04月01日
.*.
フェイスブックのプロフィール画像
.*.
こいけりょうへい
しょうじひであき
はたのはじめ
みやたてつお
.*.
凡例:
_悪い子_
_良い子_
.*.
顔認証技術が開く未来は超監視社会!しかも目前に来ている?
顔認証技術が変える未来=サイエンスゼロでやっていました。
誰かの顔写真を持っていて、その人の犯罪歴を調べたい。過去に警察とかかわりを持った人の顔写真データベースと照合して該当者の有無をチェックすることは、今では簡単に出来る。
顔写真から性別・年齢を判別できる。これは男女別・年齢別の標準的な顔画像データを持っていてそれと照合する やり方だ。
顔画像ファイルは意外なところで出回っている。フェイスブックだ。ある例では約100人をスマホで写してフェイスブック内の顔画像約26万件と照合することで焼く3分の1の姓名や生年月日などが表示させることが出来た。
今は何気なく写している防犯カメラもソフトとデータベースで武装すると、今通ったのは何処の誰々で今月何回目などと分析・記録されているかもしれない。
本人が望んだわけでもないのにライフログがしっかり取られ、政府委託サービスの名の下に共有される超監視社会がもう目前だということだろう。
.*.
技術が進めば心理状態まで読み取れるようになるだろう。特定個人の統計処理が加われば更に正確に判断できるだろう。
.*.
ISMSでは?
セキュリティ確保で一番難しいのは内部の犯罪。顔認証から心理認証にまで行けば内部犯罪さえ事前に掴む事が出来る。人は機械の目、カメラやパソコンワークのモニターを恐れながら仕事をする(仕事をさせられる)時代が来るだろう。
最初に導入されるエリアは案外ヘルプデスク、コールセンター、辺りだろうか。
.*.
顔認証と同時に進むのが音声認証だろう。筆跡認証。個人が徹底的に監視追跡される時代だ。
.*.
2013年03月20日
韓国の放送局・銀行の端末が利用不可に/サイバー攻撃の恐れ?
北朝鮮の挑発が続く中ですからこのサイバー攻撃も北朝鮮サイドの攻撃と見て良いでしょう。警視庁もFBIも操作の行くを見守っていることでしょう。韓国内部潜入者の手引きの有無。中国筋やイラン筋の協力の有無。
(攻撃された韓国企業)
韓国KBS
社会インフラ系企業は更なる点検が必要だ。
最新バージョンが適用されているか。
既出セキュリティホール対策の取りこぼしの有無。
プログラム改ざんの有無。バックアップ構成(待機系構成)とのマッチング?。構成サーバー自体が攻撃を受けているようなら論外。内部者の関与も懸念される。
トレンド外れ動作の監視。
被害状況から見てボットの可能性は小さいだろう。
韓国農協、韓国日報なども以前に攻撃を受けている。北朝鮮の検証ステップと見てよい。
.*.
ハワイで中国人女子学生に軍事機密を漏らしたビショップ元高官が逮捕された。中国によるハニートラップは頻繁に起きている。
日本で同様以上のことが起きているのは疑いようがない。無防備な日本。なぜなら日本では逮捕劇が起きていない。
.*.
中国リスク、北朝鮮リスクは、昔の話でもないし、よそ事でもない。ますます深刻化していると判断して良い。セキュリティ担当者の目前のリスク。ソーシャル系の対策も必要。中国人のガールフレンドが出来たら変だと思わなければいけない。
.*.
2013年03月19日
クラウドサービス基盤オープンソース戦略の是非とIBM SmartCloud Orchestratorの狙い?
IBM SmartCloud Orchestrator
IBMがクラウドサービスの展開に当たりオープンソース基盤を採用すると発表した。
なぜオープンソース戦略をとったのか?
出遅れたからか?ビジネスドメインが異なるからか?戦場(市場構造)を変えたいからか?
IBMはクラウドの主要なベンダー/ユーザーであるが、ビジネスドメインはソリューションベンダー。ソリューションの要はパートナー。自由な連携が欠かせない。先行企業がパートナーの囲い込みを決定的にする前に引き止める政策が必要であった。
関連業界のリソースの協調と融合を適切に行う方法論を具体化するものとしてIBM SmartCloud Orchestratorを提案しているのだろう。ハーモニーを奏でる教本みたいなものだ。
有力IT企業(旧メーカー)が多くオープンスタックOpenStack採用に走る理由は新興勢力(アマゾン?)の出過ぎをけん制することにあるかもしれない。
.*.
ある歴史的な現象の黎明期ではときどきオープンソース戦略をとるところが現れる。成否は不明。危険な戦略。自分自身も追い落とされてしまうリスクをもつ。
.*.
ISMSにとってはクラウドは厄介なテーマになっている。オープンソースになれば少しは見える化も進むかもしれない。ベンダーが複数のパートナーで構成される場合は尾^ぷんソースをベースとするならいっそう見える化が進む期待がある。ソリューションの一部は自社技術で対応するケースもあるだろう。
しかし、セキュリティ事象の把握の仕方、問題の境界線の引き方は難しくなるだろう。プレイヤーの数、アイテム数が増えればはどちらかといえば問題は複雑になる。
システム構築時、導入時は臨戦態勢で問題解決の方法論も明確になるが、運用フェーズに入ると、問題の把握、エスカレーション、切り分けなどはどのシステムであれ面倒になる。
想定外の問題への適切な対応を図るには、セキュリティ問題解決のリスクを転嫁するメインコントラクターを明確にすることが必要でしょう。見栄を張ることはありません。セキュリティはお金買うものです。
.*.
ISMSにもチャイナリスク?経営者は中国リスクを検証すること!
中国は国家の顔をしていても中国共産党の独裁国家ということを片時も忘れてはいけない。中国人民は共産党の支配下にあるだけです。中国との契約は気休めの証文。
メールの検閲。ハードもソフトも?。
サイバーテロ。国家/共産党が主導するのでテロというよりサイバー戦争?。
共産党が裏で日本企業と付き合った人・企業から情報を集めて攻撃してきます。
中国人を採用して国際企業と胸を張っている馬鹿管理職・馬鹿経営者もいます。中国人は彼ら個人の意思とは別に家族は国家共産党の人質ですからいざとなったら党の要請に従わざるを得ません。
特許権、意匠権、著作権、肖像権、ノウハウなどのあらゆるソフト財産は無効化?。
委託先は全て持ち出してしまいます。自社のノウハウが持ち出されるだけじゃなくて国内のパートナーのノウハウまで持ち出されます。
持ち出されるだけじゃ有りません。勝手に特許申請を中国企業がやりだします。新幹線で世界の顰蹙を買いましたがかえるの面にしょん便です。
調達品には危険な化学物質。
汚染土壌で育った農産物。汚染河川湾岸で育った水産物。
会社名も商品名もブランド名も技術名も何でも取りに来ます。地名も日本語まで取りに来ています。
買わない売らない見せない見ない聞かない言わない。
日本は中国の土地が変えないのに中国人は日本の土地が買える法的に不適切状態も解消すべきですが、民間では率先して中国リスクを抱え込んではいけません。
日本の貴重な水資源に接近する中国人は要注意。日本の水ビジネスを買収する動きに警戒が必要です。
中国資本の国内企業との付き合いはやめるほうがいい。
三洋電機を買収して中国に売り払ったパナソニックは歴史的に最低の経営判断。売国奴。海外企業(特に中国)に売り渡すのは一部の事業であっても国民の血と汗の成果を敵国に売り渡す行為。
中国に進出したら退出するのも大変だ。進出に掛かった費用の10倍100倍を払って抜け出すことになるだろう。基本は何も持ち帰れないということだ。作った組織・事業は中国に寄贈して謝礼をつけて。
尖閣が終わっても次の争点を探し出して暴動とかを操るのが中国流。中国共産党の手口。
中国は基本的には軍事国家で常に国家権力の強大化と戦争のことを考えている。北朝鮮と本質は同じ。
中国は開かれた平和国家と理解するか全く価値観を共有しない戦争国家と理解するかで景色はまるで違いますが、独りよがりで信じてはいけないということです。
南の太陽政策・中国の保護政策が辿りついた北朝鮮の現状を見れば犯した過ちは明らかです。
中国の友人を信じるのは勝手と思ってもそれが操り人形だったら日本の友人を裏切ることになります。
政治・文化にまで話が行けばキリが無いと思うでしょうが、其れが独裁国家の特徴なんですね。
.*.
ISMSでは中国リスクは如何考えますか?
方法論は通常のリスク分析と同じです。
詳細リスクアセス分析においても事業継続リスク分析においても同じです。
問題意識を設定することでより明確に光を当てることが出来ます。
対応策も従来の対応策の延長上にあるでしょう。
多くのリスクについては経営判断が求められます。
経営は特定事業、特定企業(主に自社)、特定パートナーに拘った視点を捨てなければいけません。業界あるいは監督官庁の判断を求めるケースもあるでしょう。思い込み、独りよがり(個人的な価値観)での判断は慎むべきです。
これらは、中国を韓国、北朝鮮、イラン、などに変えても同じです。
原発事故、広域大地震、温暖化、など大きなキーワード(リスクワード)についても同じことが求められるでしょう。経営者が其れを求めるべきです。想定外を想定(設定)しないことです。
.*.
「グーグルリーダー」のサービス終了が示唆するもの?
グーグルは2013/7/1をもって「グーグル・リーダー(Google Reader)」を終了と発表。2005年から提供しているニュースサマリーページのサービスだが人気も高く、サービス終了への反対署名が広がっている。多分既に10万を超える署名が集まっているでしょう。ただグーグルのサービス全体の中での位置づけは低いようでユーザー数が減少していることを理由に事業再編の対象になったようだ。
「グーグル・リーダー(Google Reader)」
.*.
フリーサービスはいつベンダーの勝手に終了されるかもしれないというリスクとみるでしょうね。フリーに限りません。有料サービスでも現行バージョンのサポートは契約事項であっても、次期バージョン開発までは約束しません。マイクロソフトも途中でやめてしまったソフトが数多くあります。
ベンダーそのものが消失するリスクもあります。
サービス停止のリスクはいつも行く手で待ち構えているのです。
.*.
6:3:1
個人であれ企業であれ、リスク管理は重要。いくらグーグルが好きでもグーグル100%は駄目です。「6:3:1」がリスク管理の黄金率。メインベンダーは6割を最大とする。サブベンダーは3割最大。第三のベンダーの可能性を1割残す。
ユニークベンダーの場合は?
ユニークベンダーの場合はサブベンダーなど期待できません。ですから、共同開発の提案。合弁会社の提案。競合の育成などを検討します。事業規模が小さいうちはユニークベンダーに飛びついていいですが、事業育成後も見据えて、事業の柱にするなら転ばぬ先の手を打つことになります。ポーカーフェイスのパワーゲームって奴かな。駆け引きですね。成長するなら安全弁が必要だけど、成長を確実にするには安全弁は外したいという葛藤が生じます。技術、人材、市場に対する目利きが試されるのです。
ISMS屋が常にコンサバティブなポジションを要求されるものでは有りません。リスクとの見合いで判断すれば済むことです。
.*.
2013年03月18日
リブセンス(アルバイト求人サイト)の情報漏えい問題
2013年2月28に公表。クレジットカードとは別にこちらの情報漏えいも深刻だ。求人活動中の人はセンシティブな心理状態にあるから情報の悪用などを心配する向きもあるだろう。
企業側の444社459名の情報は特に問題はないだろうが、応募する個人1673名の情報は現在の勤め先には内々の活動である場合があるからだ。これをきっかけに契約を解除されたりすれば問題だろう。
リブセンス
http://www.livesense.co.jp/
この企業ではホームページにニュースリリースとして問題が表明されている。JINに比べて誠実な印象がある。
ただ、
問題の本質、原因究明と対応策については月並みな内容で本当のところは伝わってこない。外部好評の是非はあるだろうが、実際に本質に迫る対応をしていないと再発するかもしれない。
実際に不適切な閲覧があったのかどうかも把握されていないのは問題だろう。ログを残す設定にもなっていなかったのだろうか。
サイトを見るとプライバシーポリシーはあるが具体的な方法論は持っていないようだ。
.*.
ジェーアイエヌ(JIN)のクレジットカード情報漏えい事件からの示唆
ジェーアイエヌ(JIN)
http://www.jin-co.com/
眼鏡(メガネ)屋さん。2月から2月に掛けてWEBサイトのクレカ情報入力画面から外部サーバーに送出するように改ざんされていたらしい。
朗詠件数は約1万2千件。 1ヶ月強の間にクレカ情報入力者が1万2千もあるのは驚きだ。
クレカ情報の不正使用は既に7件。
発覚した経緯も不明。
当該企業のホームページを見ると「IRニュース」として事件の経緯が掲載されているが、普通のユーザーが見る「ニュースリリース」にも情報を置くべきだろう。投資家だけの問題じゃなくて、むしろ顧客側への情報提供が必要な筈だ。
こういうところにもこの企業の姿勢が示されている。不誠実である。
2013.03.15 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び
2013.03.17 不正アクセス(JINSオンラインショップ)に関する最新状況のご報告
.*.
ISMS推進者はこの事件をどう見るか。
事件発覚は恐らくクレジットカードの不正利用を追及した消費者からのクレームによるものだろう。クレジットカードの番号はあちこちのネットサイトに登録されている場合はどこからの流出かは直ぐには分からない。初めての利用とか、最近の思い当たる節を辿って漸く漕ぎついたものかもしれない。
企業側は不正利用7件に至って漸く自らの非を認めた可能性もある。それまでは全く不誠実な応対に終始したのではないだろうか。
(1)セキュリティ問題検知能力。検知システムの脆弱性。エスカレーションプロセスも不明確。恐らくシステムは外部委託だろう。連係プレーも十分訓練されていない可能性がある。
(2)構成管理能力の不足。サーバーレベルでシステム改ざんがあるのに何日も気付かないのは構成管理に対する取り組みは運用系に対しては全く何もやっていないに等しい。
本当のことは情報が企業側から開示されるのを待つしかないが、消費者と向き合わない企業姿勢なら情報開示など期待しようが無い。
.*.
2013年03月07日
誇大表記「絶対」「100%」・・・見つけたら要注意!
広告を見ていると時々「絶対」とか「必ず」とか「100%」とかの文字がならぶことがあります。こういう時は要注意。広告の内容にも寄りますが、何らかのコンプライアンス違反の可能性もありますし、違反すれすれの可能性もあります。それよりも何よりも広告主の不見識が露出しているケースもあります。有力な企業が使えば相当の批判と検証を受けます。だからまあ安心です。そうでもない企業が誇大広告語を使えば冷ややかに見られて黙ってやり過ごすだけです。相手にされないし内心では軽蔑さえ受ける訳です。
しかし、誇大表記「絶対」「100%」「No.1」「日本初」・・・広告に限りません。社内のレポートでも調査分析に関連してついつい使いがちですが要注意。統計で嘘をつくことはニュースに出てくる数字でも多く出てきます。
.*.
ISMSでは?
(1)広告とか文書類の外部提示において不適切な記載がないかチェックする仕組みが必要。どの会社の広報担当も宣伝担当も常識として取り組んでいます。抜け漏れがあるとすれば、広報や宣伝を通さない外部への文書類の提供。
(2)情報を受け入れる側、広告される側に立つ場合は、黙って無視していいでしょう。企業としての管理能力が低いことを内外に示していることになるからです。気になって問い合わせをすれば如才ない受け答えがあるでしょうが、暫くは疑心暗鬼とお付き合いすることになるでしょう。
.*.
