「情報の確かさ」を検証する方法論

「情報の確かさ」を検証する方法論

上野動物園のパンダが妊娠したニュースが流れたと思ったら、今度は偽妊娠のニュースが飛び交う。あ～残念ね。きっとそのうちには本当に妊娠してくれるでしょう。と笑って済ますのが普通だが、普通に行かない人たちもいらっしゃる。

上野界隈でパンダの赤ちゃんを取り入れた商品開発や広告作りが既に始まっていたが、妊娠が嘘なら全て無駄になりかねない。なかなか笑って済まされない事態だ。

.*.

情報管理の観点で見るとこの事態はどうなるか？

書式で提供される、あるいは収集するビジネス情報は書式適合性チェックに加えて合理性チェックも行うし、重要であれば審査される。

ところが非定型の観測情報の場合、特に緊急事態では正規ルートを通さない情報が増えるが、このようなときの対処はどうすべきか。上野界隈の商店主と同じような状況に追い込まれることがある。

災害時の緊急対応もあれば、商機を逸しないための緊急対応もある。

.*.

「情報の確かさ」を検証する方法論

烏合の衆が開く会議は気分的な流れに誘導されやすい。思い込みや願望が支配しかねない。判断する立場の経営者に日頃から問題意識があれば、間違えても致命的でないが始めて臨む領域・状況の場合は要注意。

よく見かけるのは先送り。意思決定の放棄だ。同様に、無いものねだりを始める経営者。スタッフに回答を描いた紙をもってこいと言っているようなものだ。結果はやはり先送りになる。

少ない情報、不確かな情報から判断を求められる経営者は胃に幾つ穴が開いてもおかしくない。

• 複数の情報ソース：複数と思っていたら元は同じとならないように。
• 過去及び他社・他国の類似事例との比較検証。
• 専門家の理解と意見。
• ホワットイフ（リスクインパクトのポジティブ・ネガティブ評価）

全てはできないしキリが無い。１時間なら１時間の枠で、１日なら１日の枠で、出来ることをやる。

.*.

ＢＣＰは決められた事前の想定に基づく活動だが、想定外の事態でどのように対処するかも大事だ。

.*.

「不確かさ」

.*.

復興庁「水野靖久」参事官（45）のツイッター暴言は他人事にあらず！

復興庁「水野靖久」参事官（45）のツイッター暴言は他人事にあらず！

復興庁「水野靖久」参事官（45）がツイッター上に復興支援先に対する本音を匿名で語ったが、内容は相手を侮辱する暴言の羅列。

多くの官僚・公務員がＳＮＳで溜飲を下げているのだろう。リタイヤ組みは勿論、現役組みも。

ISMSは？

匿名は意味が無い。いろいろな方法で特定することが出来る。思わぬ場面で流出することもある。問題があって当局やＦＢＩが出てくれば、当事者でなくても露出する。問題になればプロバイダーは開示してしまう。

企業組織にいてＳＮＳを利用することは攻撃相手にソーシャルエンジニアリング上の手がかりを与えることだ。

ＳＮＳ利用ガイドラインの基本は、ＳＮＳを利用しないことです。利用する場合は矛盾するが個人を特定する情報を入れないこと。業務上の情報を載せないのは当然だが、個人を晒すこと自体が問題だ。

事務局は、審査機関が組織としてＳＮＳを迂闊に利用してたり、審査員や事務職員がＳＮＳに名前を連ねるような状況の場合は注意しよう。審査機関を変更することも考慮すべきだろう。ＳＮＳのリスクを理解できない審査機関にセキュリティの審査を委ねるのは愚行でしかない。

最近の事故・事件・重大ニュースは多くがＳＮＳのリスクを示唆するものだ。知らなかった。想定外では説明責任は果たせない。

.*.

ＣＩＡ職員の機密暴露事件が示唆すること！超監視社会の現実？

ＣＩＡ職員の機密暴露事件が示唆すること！超監視社会の現実？

CIA職員がＮＳＡの個人情報収集活動を暴露する事件があった。まだ終わったわけではない。機密を暴露した本人は最初から亡命する腹なのか香港に潜伏。香港が中国とは別と考えていること自体にその若者の幼さを感じる。中国の情報戦争担当者に根掘り葉掘り米国の機密情報を吸い出されるだろう。

早速、香港でデモが始まった。自由のためとか言わせているが、実態とまるでずれた共産党の指示で行われたデモだ。 超監視社会の独裁国家が自由を叫んでアメリカに抗議するデモが成立するところが、滑稽としか言いようが無い。

個人情報の保護は重要なことだが、国家安全保障の目的の前にはプライオリティは当然変わる。愚かな正義感ぶった若者は現在が情報戦争の真っ只中という認識すら出来ていない。それがＣＩＡに在籍するんだから、ＣＩＡの管理能力にも問題がある。

.*.

ＩＳＭＳでは何を理解すべきか。

超監視社会は既に現実のもの。その前提で組織の資産を誰からまもるか考えなければいけない。今まで安全と想定していたものを疑う必要がある。

今回、グーグルもアップルもマイクロソフトも全ての有力なサービスプロバイダーはＮＳＡに協力していたことも分かった。企業インフラに取り込んでいたら、リスクとして再評価すべきだろう。ＳＮＳ利用ガイドラインを定めているところは至急レビューするべきだ。一旦利用停止にするのも当然の処置だろう。

.*.

Edward Snowden

..

クローズアップ現代「国家の"サイバー戦争"～情報流出の真相～」を見て懸念するISMSの現状

クローズアップ現代「国家の"サイバー戦争"～情報流出の真相～」を見て懸念するISMSの現状

クローズアップ現代で「国家の"サイバー戦争"～情報流出の真相～」と言うのをやっていた。中国が国家的規模で仕掛けるサイバー戦争の脅威は一地方（四国）の事務方をも狙っていた。ソーシャルエンジニアリングを使ってまんまとウイルスを潜入させ、中央官庁に関連するメアドなどを窃盗していた。足がかりに中央官庁も攻撃される。

重要な基幹産業も関連会社、協力会社などを踏み台に次々と重要な国家資産が奪われていくのは、苦々しい限りだろう。

ISMSへの取り組みが更に積極的に行われなければいけない。立派な社会貢献活動だ。

ここで気になるのはやはりBSIジャパン。甘い審査、緩い審査を続けることは極めて罪深い。クライアントは審査機関のお墨付きがあるので自分のところはレベル以上の取り組みになっていると勘違いしている可能性がある。実際は問題だらけでも不適合は出ない。観察も嫌だといえば取り下げてくれる。

それを続けていると油断が生まれる。長年BSIで審査を受けて入る企業ほど危険な相手は無い。

経営者に本当の危機感が無いから、自動継続みたいな審査で満足してしまうのだろう。

中には、前の審査では、あるいは前の審査員はOKだったことがなぜ今回はNGなんですかと食って掛かるクライアントもいるようだ。手続きとか面子に頭が行って、本当に安全な形は何かを考えなくなった証拠だ。当然、脅威は変動することも考慮しなければいけない。「よく気付いていただけた」と言えれば立派な経営者だけど、無能な事務局は板ばさみを恐れて硬直した判断でとめてしまう。

会社の危機、国家の危機が置くに控えていることなど思いもつかないだろう。

.*.

件のBSIジャパンは認証のデリバリー効率を経営目標にしているようだから、ISMSのプレイヤーとしては大いに問題がある。国を守る仕組み制度の一環ともいえるISMSのなかでBSIがやっていることは制度の無意味化でしょう。

多分、統計データはあまりに少ない不適合件数とぎりぎり最小の審査工数を明るみに出すはずだが、それ自身が違反行為ではない。でも経営の意図を理解するのはたやすい。ルールに触れなければ何をやっても良いとするなら、エクセレントの文字は使うべきでない。

.*.

＜反復＞

いい加減なＩＳＭＳ審査はクライアントに油断を与え、企業の重要資産＝国家の情報資産を流出させることに繋がるもので、決して看過できない犯罪行為にも等しいということ。

不適合は出さず殆どを観察事項で済ます。しかしその観察事項のフォローも全くいい加減であれば、審査というよりメクラ点検。ＮＥＸＣＯ中日本の笹子トンネル崩落事故と全く同じ。無責任なサービスを続け、事故が起きるまで放置するに等しい。

組織の経営者は。3年間も不適合0件だったら、自分の会社がウルトラスーパーエクセレントカンパニーか、その審査機関がウルトラスーパー出鱈目審査機関と心得るべきだ。そんな迎合的な審査は受けるだけ無駄だ。芸者審査・太鼓持ち審査を受けて済ましている企業の担当は説明責任を果たせる訳も無い。

.*.

ビッグデータが牙をむく前にやること「情報社会の正義」

ビッグデータが牙をむく前にやること「情報社会の正義」

ビッグデータの簡単解説が日経プラス1に掲載されていた。

正規化されていないデータ、連携もリンクもあやふやなデータ、日々刻々湧くように溢れてくるデータ、あらゆるもののログデータ、それらから意味を見つけ出す技術。意味は意図したものか想定外のものかは分からない。新しい発見でも有れば沸き立つだろう。

ありとあらゆる情報を傍受し、底から意味を探す。軍とか警察の組織が昔からやっていることだ。

情報の海（ビッグデータ）に目的の光を当てれば、意味の有る情報が浮かび上がってくる。

不健全なものまで浮かび上がってくるようになると、海は荒れる。やがて凍りついてしまうだろう。情報社会の氷河期が来るに違いない。

.*.

情報社会の正義

社会は商売に繋がることはなんでもするが、商売に正義と非正義があるだろうか。ビッグデータは個人を多面的に監視することも出来る。過去を暴くことも出来る。意図しなかったものまで見えてきたときに何が正義かが合意されていないと歪んだ社会へと突き進むことになりかねない。

IT業界に居る人は技術を進めることで満足している。事業家は法律に触れなければひたすら利益を追う。歪んだ社会かもしれないのに。

情報社会における正義に関する議論は何処でどのように進められているのだろうか。

これも立派なセキュリティマネジメントなのに？。

.*.

ネットイヤーグループ：ネット上の情報からサポート課題を抽出するサービスをKDDIに提供。

http://www.netyear.net/

.*.

あふれるような監視カメラに自分が映っていないとでも。誰かが何を写しているカメラのはじに自分が映っていないとでも、GPS端末を持ち歩いていないとでも。誰かが録画録音している中に自分の声が入っていないとでも。通話履歴、メール履歴、閲覧履歴、購買履歴。乗車履歴、移動履歴。GPS付きの車に乗っていないとでも。誰かがどこかで自分のことをささやいていないとでも。何一つ否定できないだろう。人も物も一切の過去がキャプチャーされている。

.*.