2011年10月28日
観察事項を貰ってしまったら如何しますか?
リスクが存在する領域を明示されているのですから、何らかの「調査」「監視」「リスク分析」を実施します。その上で、「予防処置」の可能性を検討します。リスク値が受容レベルを超えていたら「リスク対応(計画と実施)」を実施します。
再度の分析の結果、リスク値が依然受容レベル以下なら受容します。但し、監視活動などは継続する必要があるかもしれない。
.*.
ところで、
グッドポイントを貰ってしまったら如何しますか?
こちらの創意工夫や頑張りに審査員のあなたは気付いてくれた。他にも頑張っているけどそれには気付いてくれなかった。頑張りは部門の事情もある。下手すると他部門からやっかみにもなりかねない。正しくルール通りにやっているのに、それ以上を求めているのかと理解されると返って問題になりかねない。
経営者が受容している以上のリスク軽減活動はコストの面では問題になる。過ぎたるは及ばざるが如し。こういう考え方をする人もいる。
全体のレベルが低すぎるからグッド扱いになるケースもあるだろう。ポジティブな表現をしているが、内容は問題点を指摘しているのかもしれない。もっとストレートに言って欲しいかも。
ただ、会社によっては指摘は嫌がり、グッドポイントは喜ぶことがあるから、審査員も人の子、グッドポイントを乱発して、返って自分で自分の首を絞めている。
事業インパクトも正しく理解できない審査員の分際で、方向付けに関連する余計な書面を残すのは身の程知らず。自分で適合性審査と言っているのだから黙って適合性審査をやれば良い。とする経営者もいるようです。思っていても言わないだけ。
グッドポイントを貰ってしまったもやることは同じ。調査、監視、リスク分析、有効性評価、等。
.*.
リスクが存在する領域を明示されているのですから、何らかの「調査」「監視」「リスク分析」を実施します。その上で、「予防処置」の可能性を検討します。リスク値が受容レベルを超えていたら「リスク対応(計画と実施)」を実施します。
再度の分析の結果、リスク値が依然受容レベル以下なら受容します。但し、監視活動などは継続する必要があるかもしれない。
.*.
ところで、
グッドポイントを貰ってしまったら如何しますか?
こちらの創意工夫や頑張りに審査員のあなたは気付いてくれた。他にも頑張っているけどそれには気付いてくれなかった。頑張りは部門の事情もある。下手すると他部門からやっかみにもなりかねない。正しくルール通りにやっているのに、それ以上を求めているのかと理解されると返って問題になりかねない。
経営者が受容している以上のリスク軽減活動はコストの面では問題になる。過ぎたるは及ばざるが如し。こういう考え方をする人もいる。
全体のレベルが低すぎるからグッド扱いになるケースもあるだろう。ポジティブな表現をしているが、内容は問題点を指摘しているのかもしれない。もっとストレートに言って欲しいかも。
ただ、会社によっては指摘は嫌がり、グッドポイントは喜ぶことがあるから、審査員も人の子、グッドポイントを乱発して、返って自分で自分の首を絞めている。
事業インパクトも正しく理解できない審査員の分際で、方向付けに関連する余計な書面を残すのは身の程知らず。自分で適合性審査と言っているのだから黙って適合性審査をやれば良い。とする経営者もいるようです。思っていても言わないだけ。
グッドポイントを貰ってしまったもやることは同じ。調査、監視、リスク分析、有効性評価、等。
.*.
観察事項の観察期間はどれくらいですか?
観察事項は不適合の卵です。放置していたら不適合になりますよと言うのが基本形。マイナス評価に違いないものです。勝手にグッドポイントとかやってますが、それは適合性審査における所見とは本質を異なるものです。構築・維持・改善のモチベーションになればと勝手に判断して残してくれますが、全く余計なお世話。そんなことをやるから社内にも公開できない。審査員の自己満足でしょう。社員をどの領域へ導くかは経営者の専権事項。グッドポイントを残してくれるくらいなら、何もありませんとしてくれる方がいい。指摘できることが無いから、どうでもいいような事をグッドポイントで残すのは本末転倒だ。と言う人もいます。
観察事項は観察してくれるんですよね。年に1回しか来ないのに観察するんだから、少なくとも観察と指摘した1年後は観察結果を教えて欲しいが、全く何も言わない審査員がいます。ろくに確認もしない。あの観察は一体何んだったのだろう。無責任です。
観察事項自体は不適合ではないから是正の必要は無い。でも放置すると内外の変化要因によっては不適合になる可能性がある。まだ不適合状態ではないから、是正(再発防止)は必要ではないが、要ウォッチと言うこと。
ですが、この観察は誰が観察するんでしょう?人間ドックですとドクターが観察しますね。何処の人間ドックでも、概ね3年間分程度のデータを並べて改善傾向、悪化傾向を説明してくれる。データ(健康状態)の改善努力はクランケではないが受診者のお仕事。自助努力の状況をドクターが観察する。
ですから、観察事項は昨年提示しているものについて仮に改善が見られなくても、トップが受容したリスクと看做して今年は出さないで済ます性格のものではありません。要観察状態が続いている場合は所見に残す必要があります。
改善の苦手な組織では年々観察事項が積み上がってくるはずです。状況が改善されるまではいつまでも継続観察になります。
.*.
もっとも、要観察の判断基準が実は曖昧。単なる審査員個人の懸念の表明でしかありません。審査員が交代するとその懸念の表明すら出てこなくなる時もあります。同じ審査員が続くと偏在した審査になりますが、変わりすぎると継続性・一貫性が弱くなります。審査員が変わっても継続性一貫性を維持するためには明示的に前回の観察事項を確認することはとても重要です。
.*.
観察事項は不適合の卵です。放置していたら不適合になりますよと言うのが基本形。マイナス評価に違いないものです。勝手にグッドポイントとかやってますが、それは適合性審査における所見とは本質を異なるものです。構築・維持・改善のモチベーションになればと勝手に判断して残してくれますが、全く余計なお世話。そんなことをやるから社内にも公開できない。審査員の自己満足でしょう。社員をどの領域へ導くかは経営者の専権事項。グッドポイントを残してくれるくらいなら、何もありませんとしてくれる方がいい。指摘できることが無いから、どうでもいいような事をグッドポイントで残すのは本末転倒だ。と言う人もいます。
観察事項は観察してくれるんですよね。年に1回しか来ないのに観察するんだから、少なくとも観察と指摘した1年後は観察結果を教えて欲しいが、全く何も言わない審査員がいます。ろくに確認もしない。あの観察は一体何んだったのだろう。無責任です。
観察事項自体は不適合ではないから是正の必要は無い。でも放置すると内外の変化要因によっては不適合になる可能性がある。まだ不適合状態ではないから、是正(再発防止)は必要ではないが、要ウォッチと言うこと。
ですが、この観察は誰が観察するんでしょう?人間ドックですとドクターが観察しますね。何処の人間ドックでも、概ね3年間分程度のデータを並べて改善傾向、悪化傾向を説明してくれる。データ(健康状態)の改善努力はクランケではないが受診者のお仕事。自助努力の状況をドクターが観察する。
ですから、観察事項は昨年提示しているものについて仮に改善が見られなくても、トップが受容したリスクと看做して今年は出さないで済ます性格のものではありません。要観察状態が続いている場合は所見に残す必要があります。
改善の苦手な組織では年々観察事項が積み上がってくるはずです。状況が改善されるまではいつまでも継続観察になります。
.*.
もっとも、要観察の判断基準が実は曖昧。単なる審査員個人の懸念の表明でしかありません。審査員が交代するとその懸念の表明すら出てこなくなる時もあります。同じ審査員が続くと偏在した審査になりますが、変わりすぎると継続性・一貫性が弱くなります。審査員が変わっても継続性一貫性を維持するためには明示的に前回の観察事項を確認することはとても重要です。
.*.
どのように利用するのかよく分からないままに記録をとって保管し続けていることがある。いつか何かで役に立つだろうから、取り敢えず、継続作成し継続保管。時間と金とスペースがある場合ならいいが、あまり余裕の無い場合も、後生大事に記録管理。
・・・かも知れないで記録を取っていたら会社は倒産するよ。
審査員の連中ときたら何かにつけ記録はありますか?を繰り出してくる。うんざり。お前らの自己満足のためだと言ってやりたいくらい。
常に記録の目的を確認します。記録が必要と考えた時から時間が経過すると記録管理自体が目的になってしまいます。とっくの昔にその必要性は失せているかも知れないのに。
もっと大事なこと:
目的を達成すること。・・・のために記録を作っていたのに記録をとることで安心して目的が消えていること。これは怖い。よくある話。活用されない記録はやめてしまえ。
・・・かも知れないで記録を取っていたら会社は倒産するよ。
審査員の連中ときたら何かにつけ記録はありますか?を繰り出してくる。うんざり。お前らの自己満足のためだと言ってやりたいくらい。
常に記録の目的を確認します。記録が必要と考えた時から時間が経過すると記録管理自体が目的になってしまいます。とっくの昔にその必要性は失せているかも知れないのに。
もっと大事なこと:
目的を達成すること。・・・のために記録を作っていたのに記録をとることで安心して目的が消えていること。これは怖い。よくある話。活用されない記録はやめてしまえ。
2011年10月27日
産業機器のウイルス感染の常識?
産業機器のウイルス感染の話をしていたら、誰かが、ネットに繋がらないものは絶対にウイルス感染は無いと言い切った。SE系の業務経験もある人間の発言だから驚く。
確かに、リモートメンテナンスなどを考慮してネット接続型の産業機器が増えているから、脅威と脆弱性の関係が怪しくなってきている。
しかし、ネット接続でなくてもメディアを利用して設定変更などは普通のこと。そのメディア内のデータの素性を追いかけないと安心は行かない。
ウイルスの感染ルートはいくらでもある。空気感染。飛沫感染。接触感染。飲食物感染。血液感染。親から子。人ごみの中。動物経由。植物経由。まあまあ思いつきで考えてもキリが無い。
コンピューターウイルスも感染ルートがシンプルとはとても思えない。ライフサイクルのどこかで、ルーツ系譜のどこかで、何が仕掛けられているか。
バグが潜むリスクがあればウイルスが入り込んでいるリスクがある。こういう当たり前のことが、それなりのISMSの経験者でも平気で間違えるのだから困ったものです。
.*.
産業機器のウイルス感染の話をしていたら、誰かが、ネットに繋がらないものは絶対にウイルス感染は無いと言い切った。SE系の業務経験もある人間の発言だから驚く。
確かに、リモートメンテナンスなどを考慮してネット接続型の産業機器が増えているから、脅威と脆弱性の関係が怪しくなってきている。
しかし、ネット接続でなくてもメディアを利用して設定変更などは普通のこと。そのメディア内のデータの素性を追いかけないと安心は行かない。
ウイルスの感染ルートはいくらでもある。空気感染。飛沫感染。接触感染。飲食物感染。血液感染。親から子。人ごみの中。動物経由。植物経由。まあまあ思いつきで考えてもキリが無い。
コンピューターウイルスも感染ルートがシンプルとはとても思えない。ライフサイクルのどこかで、ルーツ系譜のどこかで、何が仕掛けられているか。
バグが潜むリスクがあればウイルスが入り込んでいるリスクがある。こういう当たり前のことが、それなりのISMSの経験者でも平気で間違えるのだから困ったものです。
.*.
物を買うだけで満足する形式主義の事業継続管理?
止めてはいけない止められないシステムがあると、可用性を担保するためにバックアップシステムとかバックアップサイトとかの検討を始める。やがては昔風にデュアルだデュプレックスだの冗長度の高いシステムにする。今ならクラウド構成を考えるかもしれない。
例えば、単純に稼動系・待機系、メイン・サブの切り替え型構成を実現する。メインが扱けたら自動的にサブに切り替わる。そんなシステムを作ってみて、さて、切り替え試験はやりますか?切り戻し試験はやりますか?
世の中のシステム担当はハムレットかな。
いざと言う時に待機系に動いて欲しいから、待機系を入れる。いざと言うときは、しかし、確実に待機系に切り替わって働いてもらわなければいけない。そのことが、待機系を導入する肝心要。
システムダウンの不安に怯えて、システム構成を格好良くするまではやる。ところが、物を買ったら責任を果たしたつもりになるのか、切り替え運用そのものがリスクとして乗りかかってくるのか、結局、当たって砕けろみたいなギャンブル的な運用で済ましているところがある。いや、殆どの企業が"Go For Break"スタイルらしい。
笑えるのは、銀行にしたって計画的なシステム停止が社会的に受容されているのに、1分1秒の停止も駄目として結局、切り替え運用は何もやらないで済ます姿勢。こういう知恵も勇気もないシステム担当は本当に大問題を起こしかねない。チェンジした方が会社のためにも世の中のためにもなるのではないかな。
止めてはいけない止められないシステムがあると、可用性を担保するためにバックアップシステムとかバックアップサイトとかの検討を始める。やがては昔風にデュアルだデュプレックスだの冗長度の高いシステムにする。今ならクラウド構成を考えるかもしれない。
例えば、単純に稼動系・待機系、メイン・サブの切り替え型構成を実現する。メインが扱けたら自動的にサブに切り替わる。そんなシステムを作ってみて、さて、切り替え試験はやりますか?切り戻し試験はやりますか?
世の中のシステム担当はハムレットかな。
いざと言う時に待機系に動いて欲しいから、待機系を入れる。いざと言うときは、しかし、確実に待機系に切り替わって働いてもらわなければいけない。そのことが、待機系を導入する肝心要。
システムダウンの不安に怯えて、システム構成を格好良くするまではやる。ところが、物を買ったら責任を果たしたつもりになるのか、切り替え運用そのものがリスクとして乗りかかってくるのか、結局、当たって砕けろみたいなギャンブル的な運用で済ましているところがある。いや、殆どの企業が"Go For Break"スタイルらしい。
笑えるのは、銀行にしたって計画的なシステム停止が社会的に受容されているのに、1分1秒の停止も駄目として結局、切り替え運用は何もやらないで済ます姿勢。こういう知恵も勇気もないシステム担当は本当に大問題を起こしかねない。チェンジした方が会社のためにも世の中のためにもなるのではないかな。
2011年10月23日
経営者インタビューの要点
トップインタビューの要点 → 経営者インタビューの要点
昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規格で経営陣のところは英文ではManagement(マネジメント)となっている。トップインタビューよりマネジメントインタビューにするかな。まあ、どうでもいいことですね。
さてと、経営者インタビューでは、何が要点となるか?
<経営陣のコミットメント>
直ぐに頭に浮かぶのが、「経営陣の責任」とするところ。経営陣のコミットメントとして列記されていることに対しての説明できるか。
方針。6年前に作ったままですね。特に見直しはしていない。一般論を記述した方針の特徴。企業ビジョンとか理念まで見直しているのに、ISMS方針は不動尊ですか。環境変化に対応させない方針にどんな意味がありますか。
他社等で顕在化した事件・事故・セキュリティ脅威または最新の技術動向・法規制を踏まえた新たな指示、方針への反映は実施しましたか。
ISMSの目的は何ですか。方針と目的の違いは理解していますか。方針は方向付け、目的は達成する内容・レベル。実現目標。担当者に提案させ、承認していますか。前年度の方針レビューを実施していますか。
目的達成のための計画は適切に策定されていますか。担当者に策定させ、承認していますか。反映させ方針展開しているのですか。前年度の計画レビューを実施していますか。
組織・人事的な手当て。経営者として特に配慮していること。
ISMSの周知。経営者として特に配慮していること。
経営資源の提供。経営者として特に配慮していること。主要なセキュリティ投資の内容。この数年の傾向。
受容リスクの水準とレベル。これは無理か。情報セキュリティ事故の被害額がどれくらいなら受容するかとした方がリアリティは出るだろう。コストベースのリスク算定が出来る組織は少ない。
内部監査。監査責任者の任命、目的(狙い)と結果、今後の課題。
マネジメントレビューの主催。重要なインプット事項、主要な議論、指示事項(特記事項)。
<経営資源の提供>
ここは結構難しい。上のコミットメントはやや手続き的・形式的だが、ここは内容の問題になる。特にポイントとなるのは以下の3点。
ISMSと事業との整合性。ISMSを進めることが事業を阻害するものであってはならない。シナジー要求。資源の排他的な取り合いの関係になっても困る。
全ての管理策実施の結果、セキュリティが維持できているか、レビューする。判断の根拠が特に難しい。
全体としてのISMSの有効性を改善する。規格は個々の管理策についても有効性改善を求めているが、経営陣については総合的なISMS全体の有効性改善を求めている。しかし、総合的なISMS有効性指標が提示できない。トータルセキュリティコスト(期待損失+セキュリティ投資)のミニマム化なら分かりやすいが、先ず把握できない。いずれにせよ、結果指標を持ち出す愚かだけは避けて欲しいところ。
<教育・訓練・認識・力量>
ここは経営陣として特記事項があれば話す。一般的・感覚的な内容しかなければ、事務方に答弁させておいて良さそうだ。
.*.
当然ながら、関連する規格項目についても基本的な理解がないと話が振られた(変化球が飛んできた)時に、空振りをやってしまいます。でも、まあ、その場はそれだけのことです。
トップインタビューの要点 → 経営者インタビューの要点
昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規格で経営陣のところは英文ではManagement(マネジメント)となっている。トップインタビューよりマネジメントインタビューにするかな。まあ、どうでもいいことですね。
さてと、経営者インタビューでは、何が要点となるか?
<経営陣のコミットメント>
直ぐに頭に浮かぶのが、「経営陣の責任」とするところ。経営陣のコミットメントとして列記されていることに対しての説明できるか。
方針。6年前に作ったままですね。特に見直しはしていない。一般論を記述した方針の特徴。企業ビジョンとか理念まで見直しているのに、ISMS方針は不動尊ですか。環境変化に対応させない方針にどんな意味がありますか。
他社等で顕在化した事件・事故・セキュリティ脅威または最新の技術動向・法規制を踏まえた新たな指示、方針への反映は実施しましたか。
ISMSの目的は何ですか。方針と目的の違いは理解していますか。方針は方向付け、目的は達成する内容・レベル。実現目標。担当者に提案させ、承認していますか。前年度の方針レビューを実施していますか。
目的達成のための計画は適切に策定されていますか。担当者に策定させ、承認していますか。反映させ方針展開しているのですか。前年度の計画レビューを実施していますか。
組織・人事的な手当て。経営者として特に配慮していること。
ISMSの周知。経営者として特に配慮していること。
経営資源の提供。経営者として特に配慮していること。主要なセキュリティ投資の内容。この数年の傾向。
受容リスクの水準とレベル。これは無理か。情報セキュリティ事故の被害額がどれくらいなら受容するかとした方がリアリティは出るだろう。コストベースのリスク算定が出来る組織は少ない。
内部監査。監査責任者の任命、目的(狙い)と結果、今後の課題。
マネジメントレビューの主催。重要なインプット事項、主要な議論、指示事項(特記事項)。
<経営資源の提供>
ここは結構難しい。上のコミットメントはやや手続き的・形式的だが、ここは内容の問題になる。特にポイントとなるのは以下の3点。
ISMSと事業との整合性。ISMSを進めることが事業を阻害するものであってはならない。シナジー要求。資源の排他的な取り合いの関係になっても困る。
全ての管理策実施の結果、セキュリティが維持できているか、レビューする。判断の根拠が特に難しい。
全体としてのISMSの有効性を改善する。規格は個々の管理策についても有効性改善を求めているが、経営陣については総合的なISMS全体の有効性改善を求めている。しかし、総合的なISMS有効性指標が提示できない。トータルセキュリティコスト(期待損失+セキュリティ投資)のミニマム化なら分かりやすいが、先ず把握できない。いずれにせよ、結果指標を持ち出す愚かだけは避けて欲しいところ。
<教育・訓練・認識・力量>
ここは経営陣として特記事項があれば話す。一般的・感覚的な内容しかなければ、事務方に答弁させておいて良さそうだ。
.*.
当然ながら、関連する規格項目についても基本的な理解がないと話が振られた(変化球が飛んできた)時に、空振りをやってしまいます。でも、まあ、その場はそれだけのことです。
2011年10月22日
スマートフォンの普及のスピードはパソコンのそれよりはるかに速い。
携帯電話、ゲーム機、音楽プレイヤーなどモバイル電子機器としての素地が広いので、その代替という要素も加わって普及は勢いを増している。
企業はスマートフォンの受け入れに慎重だ。基本的には得体が知れないものは受け入れないという姿勢になる。
注意すべきは、企業の標準的な業務ツールとしてどのように位置づけようが、携帯電話の代替品として既に数多くのスマートフォンは企業の中に入っている事実を認めなければいけないことです。
<私物>であっても、社内への持込を禁止するのも一つですが、現実的に考えることが大事です。
スマートフォンのセキュリティについて講習を行い、取り扱い上の注意事項を徹底するのが、より適切な対応。いずれ、企業としてもスマホの導入のタイミングが来るでしょうから、それに備えてセキュリティ要件を予め把握し徹底する方法を探るのも必要なこと。
.*.
具体的には何をどのように教育すべきか?
利用状況調査
今後の利用意向調査
セキュリティ関連設定状況確認
無線LAN接続の可否
リモートログインの可否
関連の会社規定の説明
セキュリティツールの導入促進(可能なら要件とする)
紛失時の対応確認
.*.
現状では、無手勝流の会社が多いようだ。
携帯電話、ゲーム機、音楽プレイヤーなどモバイル電子機器としての素地が広いので、その代替という要素も加わって普及は勢いを増している。
企業はスマートフォンの受け入れに慎重だ。基本的には得体が知れないものは受け入れないという姿勢になる。
注意すべきは、企業の標準的な業務ツールとしてどのように位置づけようが、携帯電話の代替品として既に数多くのスマートフォンは企業の中に入っている事実を認めなければいけないことです。
<私物>であっても、社内への持込を禁止するのも一つですが、現実的に考えることが大事です。
スマートフォンのセキュリティについて講習を行い、取り扱い上の注意事項を徹底するのが、より適切な対応。いずれ、企業としてもスマホの導入のタイミングが来るでしょうから、それに備えてセキュリティ要件を予め把握し徹底する方法を探るのも必要なこと。
.*.
具体的には何をどのように教育すべきか?
利用状況調査
今後の利用意向調査
セキュリティ関連設定状況確認
無線LAN接続の可否
リモートログインの可否
関連の会社規定の説明
セキュリティツールの導入促進(可能なら要件とする)
紛失時の対応確認
.*.
現状では、無手勝流の会社が多いようだ。
2011年10月21日
コンサルが審査プログラムを直接作ることは普通は無い。出てきた計画に対して何を準備すべきかを立案する。文書記録の整備。不要物の廃棄・倉庫送り。教育・周知事項の整理。
審査は普通、大事な部門から実施していく。時間も長めに取る。何か問題が出ても審査期間中に対処できるようにするため。組織人数も少なく、外部との接点も無い、重要な資産を持たないような部署は後ろに持っていく。時間は短め。
経営者、IS管理責任者、事務局は別格として、やはり情報システム部門が最重要。ITガバナンス全体を把握する。
事務局は審査プログラムが出てくる前に、審査日程を関連部門に案内しておくのは当然。プログラム案が出てきたら黙って枠決めを通知するだけ。審査側の都合に委ねる。
ところが、事務局に力が無い場合、全くのやっつけ調整になるから、審査員の案ではまとまらない。経営者に思いが無い場合は、経営者インタビューの時間まで変更される。そもそも審査日程を決めるときに経営者の都合を反映させているのに、である。みんなが勝手を言い始めると事務局は調整不能。
結果、プログラムはぐちゃぐちゃ。
誰が悪いのっですか?
(1)経営者 業務プライオリティを下げてしまった。
(2)コンサル ISMSの有効性を可視化できなかった。
(3)審査員 迎合的な態度をとった。
.*.
審査は普通、大事な部門から実施していく。時間も長めに取る。何か問題が出ても審査期間中に対処できるようにするため。組織人数も少なく、外部との接点も無い、重要な資産を持たないような部署は後ろに持っていく。時間は短め。
経営者、IS管理責任者、事務局は別格として、やはり情報システム部門が最重要。ITガバナンス全体を把握する。
事務局は審査プログラムが出てくる前に、審査日程を関連部門に案内しておくのは当然。プログラム案が出てきたら黙って枠決めを通知するだけ。審査側の都合に委ねる。
ところが、事務局に力が無い場合、全くのやっつけ調整になるから、審査員の案ではまとまらない。経営者に思いが無い場合は、経営者インタビューの時間まで変更される。そもそも審査日程を決めるときに経営者の都合を反映させているのに、である。みんなが勝手を言い始めると事務局は調整不能。
結果、プログラムはぐちゃぐちゃ。
誰が悪いのっですか?
(1)経営者 業務プライオリティを下げてしまった。
(2)コンサル ISMSの有効性を可視化できなかった。
(3)審査員 迎合的な態度をとった。
.*.
産業機器ウイルス「Duqu(ドゥークー)」の衝撃
ソフトウエアがあればバグがありウイルスが入り込む。産業機器でも同じことだと。
イランの核関連施設を昨年サイバー攻撃した「スタクスネット」とドゥークーのソースコードが類似しているため同一犯と見られている。
産業機器メーカーの情報システムに潜入して製品の設計データを漏洩させる恐れがあるとされている。
シマンテックからの情報。
たまたま、その一つが発見されただけ。どこまで続くのか。際限ないからシマンテックの事業も安泰?
※
サイバー攻撃の戦場は、パソコン、サーバーだけじゃないと言うこと。携帯、スマホは当然、チップとファームウエアで動作するものはすべてが攻撃の対象になりうる。
家電
産業機器
クルマ・飛行機・船・列車
病院
図書館
放送局
ライフライン施設
きりが無い。どの段階で潜み込むか分からないが、組織的・長期的・総合的に攻撃を受け続けたら。
悪意の源を断つしかあるまい。
.*.
ソフトウエアがあればバグがありウイルスが入り込む。産業機器でも同じことだと。
イランの核関連施設を昨年サイバー攻撃した「スタクスネット」とドゥークーのソースコードが類似しているため同一犯と見られている。
産業機器メーカーの情報システムに潜入して製品の設計データを漏洩させる恐れがあるとされている。
シマンテックからの情報。
たまたま、その一つが発見されただけ。どこまで続くのか。際限ないからシマンテックの事業も安泰?
※
サイバー攻撃の戦場は、パソコン、サーバーだけじゃないと言うこと。携帯、スマホは当然、チップとファームウエアで動作するものはすべてが攻撃の対象になりうる。
家電
産業機器
クルマ・飛行機・船・列車
病院
図書館
放送局
ライフライン施設
きりが無い。どの段階で潜み込むか分からないが、組織的・長期的・総合的に攻撃を受け続けたら。
悪意の源を断つしかあるまい。
.*.
適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。
ロケーションの変更:
最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所的には同じでもやはり特別審査を行う。移転時の審査だから移転審査。サイトが追加される拡大審査。サイトが統合されてサイト数が縮小する縮小審査。単純にサイト(スペース)が縮小される縮小審査。規模縮小のケースも有れば、特定部門を適用範囲から外すケースもある。
注意すべきは:
①部門を外すケース。適切な理由も無く除外することは全体のセキュリティ強度を下げるリスクを持つため好ましくない。経営者の姿勢に問題がある。
②引越しの後で特別審査をやっているが、引越しと特別審査の間は免許運転状態だということ。無免許運転の期間は短いがいいに決まっている。どこかに明確なガイドラインがあればいいが、この辺はルーズ。半年以上も後になって、特別審査でなく定期審査で変更の是非を審査することがあるようだ。不適合も何も出さないらしい。この間に重大事件が発生しても知らなかったで済ます腹だとしたら、誰の問題か分からなくなる。
③引越しと言う重要なイベントに対するセキュリティ評価は穴が開いたまま。特別審査なのだから引越し計画の審査も含めてやるべきでしょう。
事業の変更:
既存の適用範囲で新しい事業を始める場合。新しいビジネスプロセスと既存のビジネスプロセスの関係からセキュリティを脅かすものが無いかどうか。
法律・契約の変更:
法律・契約の変更の度合いによるが、順守のために既存の仕組みを大きく見直したケースでは特別審査を行う。ISO規格の変更時も特別審査が必要。
組織の変更:
組織変更の程度によるが、大幅変更の場合は実施。人数の大幅変更も該当する。大幅って何人ですか?どこかにガイドがあったかもしれない。例えば、組織人数の10%が増加したケース。また、新たに作られた組織(既存のISMSに属さない組織)が設置されたケース。
技術の変更:
組織の情報マネジメントにおける重要技術を変更する場合。基幹システムのホスト・端末・ベンダーの切り替え、新規にERPを導入、外部のデータセンター利用への切り替え、全社ネット(データ、音声、映像系)のIP化切り替え、など。既存の管理策に大きく影響を与える場合。
.*.
特別審査は実は良く分からない。特別審査を要求するのは誰なのか。余計なコンサル・アドバイスをすると煙たがられるだけです。
重大な変更があったときは組織は審査機関に連絡することになっている。変更のレベルにより特別審査の必要性を審査機関が判断する。組織が残すエビデンスは変更について確かに伝えたという記録。変更と連絡の日付が大きくずれると不味い。後は、審査機関の判断結果の受領記録。
もし、組織から変更連絡が適切に行われなくても、審査機関がそれを咎めなかった場合は、審査機関はルーズな対応を是認したことになり、後々問題が起きた場合も、聞いていませんからの言い訳は出来なくなる。多分。
.*.
ロケーションの変更:
最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所的には同じでもやはり特別審査を行う。移転時の審査だから移転審査。サイトが追加される拡大審査。サイトが統合されてサイト数が縮小する縮小審査。単純にサイト(スペース)が縮小される縮小審査。規模縮小のケースも有れば、特定部門を適用範囲から外すケースもある。
注意すべきは:
①部門を外すケース。適切な理由も無く除外することは全体のセキュリティ強度を下げるリスクを持つため好ましくない。経営者の姿勢に問題がある。
②引越しの後で特別審査をやっているが、引越しと特別審査の間は免許運転状態だということ。無免許運転の期間は短いがいいに決まっている。どこかに明確なガイドラインがあればいいが、この辺はルーズ。半年以上も後になって、特別審査でなく定期審査で変更の是非を審査することがあるようだ。不適合も何も出さないらしい。この間に重大事件が発生しても知らなかったで済ます腹だとしたら、誰の問題か分からなくなる。
③引越しと言う重要なイベントに対するセキュリティ評価は穴が開いたまま。特別審査なのだから引越し計画の審査も含めてやるべきでしょう。
事業の変更:
既存の適用範囲で新しい事業を始める場合。新しいビジネスプロセスと既存のビジネスプロセスの関係からセキュリティを脅かすものが無いかどうか。
法律・契約の変更:
法律・契約の変更の度合いによるが、順守のために既存の仕組みを大きく見直したケースでは特別審査を行う。ISO規格の変更時も特別審査が必要。
組織の変更:
組織変更の程度によるが、大幅変更の場合は実施。人数の大幅変更も該当する。大幅って何人ですか?どこかにガイドがあったかもしれない。例えば、組織人数の10%が増加したケース。また、新たに作られた組織(既存のISMSに属さない組織)が設置されたケース。
技術の変更:
組織の情報マネジメントにおける重要技術を変更する場合。基幹システムのホスト・端末・ベンダーの切り替え、新規にERPを導入、外部のデータセンター利用への切り替え、全社ネット(データ、音声、映像系)のIP化切り替え、など。既存の管理策に大きく影響を与える場合。
.*.
特別審査は実は良く分からない。特別審査を要求するのは誰なのか。余計なコンサル・アドバイスをすると煙たがられるだけです。
重大な変更があったときは組織は審査機関に連絡することになっている。変更のレベルにより特別審査の必要性を審査機関が判断する。組織が残すエビデンスは変更について確かに伝えたという記録。変更と連絡の日付が大きくずれると不味い。後は、審査機関の判断結果の受領記録。
もし、組織から変更連絡が適切に行われなくても、審査機関がそれを咎めなかった場合は、審査機関はルーズな対応を是認したことになり、後々問題が起きた場合も、聞いていませんからの言い訳は出来なくなる。多分。
.*.
自炊は手持ちの書籍などハードコピーから電子化することを言う。自分で吸出し(りっぴんぐ?)のことだから、当てる字は自吸(い)なんだろうけど、自分で書籍をばらしてサイズを揃えてと家事みたいに取り組んでいるので自炊の方が感覚的にもぴったりのようだ。
自炊ではスキャナーのお世話になる。が、スキャナーの出力は透明テキスト付きの画像のPDFファイル。ADOBEのアクロバットか類似のソフトウエアを利用する。スキャナー出力で一気にテキスト付きPDFを作るケースも有れば、一旦は画像(PDF形式でも純粋に画像形式でも構わない)だけ出力して、その後、纏めてテキスト付きPDFにすることもできる(筈)。
一番の問題は、図表の中の文字認識。それに加えて、数式。。外国語。科学や物理学など専門領域の記号類。殆どお手上げ。
変換したファイルの出力をPDF以外のワードとかエクセルにすることは、プレーンなテキストのケースでは可能だが、図表などが入る場合は難しい。プレーンなテキストの場合も、イメージをベースするPDFの方が表示性の保障が出来るので優れたやり方といえる。
。*。
ISMS的な観点から自炊(他者著作物のスキャン・OCR)を見ると、
最大の関心事はやはり著作権問題と言うことになる。自分が利用するために自分で自炊するのは認められている。
他人のために自炊をするのは事業であり自炊の範疇に無いとして、著作権団体が訴えるぞと警告している。既に廃業に追い込まれた自炊屋さんもいる。
自分で真面目に自炊していても誤ってネットに流出させてしまったら?当然、損害賠償責任を問われる話になる。
企業などが自社業務でOCR文書を利用する場合は、
完全性が保障できない(検索保証の問題)
OCRの認識率が100%になることは無い。
.*.
自炊ではスキャナーのお世話になる。が、スキャナーの出力は透明テキスト付きの画像のPDFファイル。ADOBEのアクロバットか類似のソフトウエアを利用する。スキャナー出力で一気にテキスト付きPDFを作るケースも有れば、一旦は画像(PDF形式でも純粋に画像形式でも構わない)だけ出力して、その後、纏めてテキスト付きPDFにすることもできる(筈)。
一番の問題は、図表の中の文字認識。それに加えて、数式。。外国語。科学や物理学など専門領域の記号類。殆どお手上げ。
変換したファイルの出力をPDF以外のワードとかエクセルにすることは、プレーンなテキストのケースでは可能だが、図表などが入る場合は難しい。プレーンなテキストの場合も、イメージをベースするPDFの方が表示性の保障が出来るので優れたやり方といえる。
。*。
ISMS的な観点から自炊(他者著作物のスキャン・OCR)を見ると、
最大の関心事はやはり著作権問題と言うことになる。自分が利用するために自分で自炊するのは認められている。
他人のために自炊をするのは事業であり自炊の範疇に無いとして、著作権団体が訴えるぞと警告している。既に廃業に追い込まれた自炊屋さんもいる。
自分で真面目に自炊していても誤ってネットに流出させてしまったら?当然、損害賠償責任を問われる話になる。
企業などが自社業務でOCR文書を利用する場合は、
完全性が保障できない(検索保証の問題)
OCRの認識率が100%になることは無い。
.*.
2011年10月20日
昨今のスマートフォンブームで、漸くセキュリティ問題も脚光?を浴びる状況となった。
WBS(ワールドビジネスサテライト)の紹介事例。あるアプリ(ゲーム?)をダウンロードして使い始めたら、知らない間に、その端末で利用されているアプリと利用状況が特定のサイトに送信されていた。ダウンロードしたアプリの表の顔(ゲーム?)とは全く関係の無いことを裏でやっていたということだ。
このアプリ(ソフト)はダウンロードサイトから退場させられた。強制退場が出来るのは、アップルのiPhoneの方だ。アンドロイドは退場させる仕組みが無い。悪質ソフトと分かっても指をくわえて見ているだけ?まあ、警告的なことは出来なくもないが、そういう団体も何もないのではないだろうか。
さてと、
アプリの皮を被った悪質ソフトがやって来る。ウイルスのパターンとは違うので普通には捕まえられない。OSのセキュリティ強度を上げるとパフォーマンスとか機能性を犠牲にすることになるだろう。
スマートフォンのセキュリティで怖いのは、裏の動きが全く見えないこと。感覚的には1つのアプリが画面を占有していて、監視ソフト、インジケーター類も見えなければ、モデムやルーターの点滅もない。何よりも、そのアプリを使っている間はある特定用途の専用端末と錯覚する。ネットカフェのパソコンなら意識することも自分専用端末では希薄になる。
.*.
検証サービスが事業として出てくる。有償でも無償でも。ウイルス対策ソフトは当然対応するとして、素性の悪いアプリをあぶりだすサービスも必要。例えば、アプリをダウンロードする時に、「セキュアードダウンロード」ツールを使えばアプリの素性検証までやって、安全率xx%+リコメンデーション情報を付加して、ダウンロードの是非を判断できる類のもの。
今のパソコンベースでも、同じようなサービスがあっても良いが、評価する工数が見合わないのでしょう。スマホもスペックリッチになると同様の状況に追い込まれるだろうか。
.*.
WBS(ワールドビジネスサテライト)の紹介事例。あるアプリ(ゲーム?)をダウンロードして使い始めたら、知らない間に、その端末で利用されているアプリと利用状況が特定のサイトに送信されていた。ダウンロードしたアプリの表の顔(ゲーム?)とは全く関係の無いことを裏でやっていたということだ。
このアプリ(ソフト)はダウンロードサイトから退場させられた。強制退場が出来るのは、アップルのiPhoneの方だ。アンドロイドは退場させる仕組みが無い。悪質ソフトと分かっても指をくわえて見ているだけ?まあ、警告的なことは出来なくもないが、そういう団体も何もないのではないだろうか。
さてと、
アプリの皮を被った悪質ソフトがやって来る。ウイルスのパターンとは違うので普通には捕まえられない。OSのセキュリティ強度を上げるとパフォーマンスとか機能性を犠牲にすることになるだろう。
スマートフォンのセキュリティで怖いのは、裏の動きが全く見えないこと。感覚的には1つのアプリが画面を占有していて、監視ソフト、インジケーター類も見えなければ、モデムやルーターの点滅もない。何よりも、そのアプリを使っている間はある特定用途の専用端末と錯覚する。ネットカフェのパソコンなら意識することも自分専用端末では希薄になる。
.*.
検証サービスが事業として出てくる。有償でも無償でも。ウイルス対策ソフトは当然対応するとして、素性の悪いアプリをあぶりだすサービスも必要。例えば、アプリをダウンロードする時に、「セキュアードダウンロード」ツールを使えばアプリの素性検証までやって、安全率xx%+リコメンデーション情報を付加して、ダウンロードの是非を判断できる類のもの。
今のパソコンベースでも、同じようなサービスがあっても良いが、評価する工数が見合わないのでしょう。スマホもスペックリッチになると同様の状況に追い込まれるだろうか。
.*.
本当かどうか知らない。年間100日も200日も現地審査に出る審査員がいるそうだ。準備もあれば後始末もあるだろう。土日返上と言うわけでもないだろう。だから限りなくデマに違いない。200日は論外としても100日にしたって容易とは思えない。年間365日といっても休日・祝祭日で、150日程度は鼻から使えないから、使えるのは残りの200日程度しかない。文書審査で各回1日〜2日は使うし、報告書だ判定委員会だで更に各回1日〜2日は出て行く。それに、審査員は確か力量とか言って一定回数の講習会にも出なければいけない筈。盆・暮れ・決算期は審査もできないだろうし。
時間を効率的に使えば、なんとか押し込めることができたとしても、ヘビーデューティ審査は少し考えさせられる。審査の大量生産。何もトレードオフは無いのだろうか。審査機関が売り上げ・利益に走ることは本当に何も問題は無いのだろうか。
審査の適正件数はどんな感じだろう。準備と始末の週と審査の週が交互に来ると想定すると、月2回×12ヶ月=24回。示唆の出来ない正月(冬休み)もお盆(夏休み)もあれば、逆に期間の短い審査もあるから、年間30件以下が妥当なところ。25回を超える審査員は観察対象だな。日数は1回平均3.0日程度として、年間90日がマックス。75日を越える辺りから観察対象にするかな。
.*.
ヘビーデューティ審査の歪み(ひずみ)と歪み(ゆがみ)
ひずみもゆがみも漢字は同じ。意味も同じなんだろうか。面白いね。
ひずみ:内在するまたは外部からのエネルギーまたは矛盾が周辺部〜表層部に及んで本来の形が崩れること。崩れる部位、程度には一貫性は無く、不連続的である。
ゆがみ:内在するエネルギーまたは矛盾への対応が表層部に連続的に露出する様。表層部が見せる応力。ストレスに反応して形を変える。
.*.
どういうものが考えられるだろうか?
ゆがみ:審査自体の変質性について考察する。
ひずみ:周囲への悪影響について考察する。
.*.
時間を効率的に使えば、なんとか押し込めることができたとしても、ヘビーデューティ審査は少し考えさせられる。審査の大量生産。何もトレードオフは無いのだろうか。審査機関が売り上げ・利益に走ることは本当に何も問題は無いのだろうか。
審査の適正件数はどんな感じだろう。準備と始末の週と審査の週が交互に来ると想定すると、月2回×12ヶ月=24回。示唆の出来ない正月(冬休み)もお盆(夏休み)もあれば、逆に期間の短い審査もあるから、年間30件以下が妥当なところ。25回を超える審査員は観察対象だな。日数は1回平均3.0日程度として、年間90日がマックス。75日を越える辺りから観察対象にするかな。
.*.
ヘビーデューティ審査の歪み(ひずみ)と歪み(ゆがみ)
ひずみもゆがみも漢字は同じ。意味も同じなんだろうか。面白いね。
ひずみ:内在するまたは外部からのエネルギーまたは矛盾が周辺部〜表層部に及んで本来の形が崩れること。崩れる部位、程度には一貫性は無く、不連続的である。
ゆがみ:内在するエネルギーまたは矛盾への対応が表層部に連続的に露出する様。表層部が見せる応力。ストレスに反応して形を変える。
.*.
どういうものが考えられるだろうか?
ゆがみ:審査自体の変質性について考察する。
ひずみ:周囲への悪影響について考察する。
.*.
2011年10月19日
こんな世界でも残念なことに、パワーハラスメントがあるようだ。特に定年を前に転職した年配の人が狙われる。社会で相当の実績を上げている人でも、コンサル、審査という別の土俵では勝手が違う。実務としては全く問題は無いのに、イベントパフォーマーに長けた若い先輩?が慇懃無礼に新人をいびる。傍で見ていても見苦しいらしい。
老人相手に鬱憤晴らしをしている悪人は、表の顔と裏の顔が極端に変わる。君子だけでなく、悪人も豹変するようだ。
.*.
クライアント先でパワーハラスメントに遭遇したら?
コンサルの立場からは何も言えない。露骨な場合は、嫌味の一つ言うのが関の山でしょう。
.*.
老人相手に鬱憤晴らしをしている悪人は、表の顔と裏の顔が極端に変わる。君子だけでなく、悪人も豹変するようだ。
.*.
クライアント先でパワーハラスメントに遭遇したら?
コンサルの立場からは何も言えない。露骨な場合は、嫌味の一つ言うのが関の山でしょう。
.*.
外部のデータセンターを利用するのは、社内にデータセンター〜サーバールームを設備し運用管理する負担を軽減できて多くの企業では珍しくない。
只、売り手市場でもないのに、安易に言われるままの条件で利用していることが多い。
求める要件を明らかにして、選定に入り、ギャップが出たら、自らの運用策で穴埋めをするという基本が出来ていない。専門家のデータセンターだから任せておいて安心。各社IDCサービスの中身には殆ど差がないと思い込んでいる。
チェック項目の例(順不同):
データバックアップ(オンラインバックアップ、メディアバックアップ)
システムバックアップ
サイトバックアップ(iDCとしての事業継続管理)
トラブルレベルに応じたリカバリープラン(保証値・目標値・実績値)
稼働率・ダウンタイム(保証値・目標値・実績値)
外部からのアタックへの対応性(物理系・サイバー系・アタックテスト)
異常値の通知システム《ホットライン、メール)
サポート体制(24時間、ホットライン、コール待ち時間、メールサポート)
社内クラウド、及び一般クラウドへの移行性
事前監査及び定期監査の受け入れ、定期報告
保守時のデータの保護、システムの交換、メディア廃棄時のデータの確実な廃棄。
保守時の長納期パーツへの対応状況。
機密保持契約。
担当者の特定化
.*.
これから利用する場合は勿論、既に利用している組織に置いてもiDC利用要件と達成レベル及びギャップフィル対策を明確にしておくべきである。
.*.
只、売り手市場でもないのに、安易に言われるままの条件で利用していることが多い。
求める要件を明らかにして、選定に入り、ギャップが出たら、自らの運用策で穴埋めをするという基本が出来ていない。専門家のデータセンターだから任せておいて安心。各社IDCサービスの中身には殆ど差がないと思い込んでいる。
チェック項目の例(順不同):
データバックアップ(オンラインバックアップ、メディアバックアップ)
システムバックアップ
サイトバックアップ(iDCとしての事業継続管理)
トラブルレベルに応じたリカバリープラン(保証値・目標値・実績値)
稼働率・ダウンタイム(保証値・目標値・実績値)
外部からのアタックへの対応性(物理系・サイバー系・アタックテスト)
異常値の通知システム《ホットライン、メール)
サポート体制(24時間、ホットライン、コール待ち時間、メールサポート)
社内クラウド、及び一般クラウドへの移行性
事前監査及び定期監査の受け入れ、定期報告
保守時のデータの保護、システムの交換、メディア廃棄時のデータの確実な廃棄。
保守時の長納期パーツへの対応状況。
機密保持契約。
担当者の特定化
.*.
これから利用する場合は勿論、既に利用している組織に置いてもiDC利用要件と達成レベル及びギャップフィル対策を明確にしておくべきである。
.*.
クリアデスクをやっている組織でも、ノートPCには寛容なことがあるらしい。シンクライアントPCでも無いのに、ノートPCには重要な情報は残さないことにしているから構わないらしい。幸せな人たちだ。
まるごと暗号化ツールが入っているから大丈夫?
.*.
セキュリティの肝心は隙を見せないこと。油断しないこと。弛みを見せないこと。付込む要素を与えないこと。
セーフブート*が入っていようがいまいが、シンクライアントであろうがなかろうが、悪意の第三者は黙って持ち帰りますヨ。機密性の喪失には時間が掛かるとしても完全性・可用性はいきなり喪失します。
.*.
*セーフブート: SafeBoot これは初期の商品名。今は、McAfee Endpoint Encryption。買収されたのかな。
.*.
まるごと暗号化ツールが入っているから大丈夫?
.*.
セキュリティの肝心は隙を見せないこと。油断しないこと。弛みを見せないこと。付込む要素を与えないこと。
セーフブート*が入っていようがいまいが、シンクライアントであろうがなかろうが、悪意の第三者は黙って持ち帰りますヨ。機密性の喪失には時間が掛かるとしても完全性・可用性はいきなり喪失します。
.*.
*セーフブート: SafeBoot これは初期の商品名。今は、McAfee Endpoint Encryption。買収されたのかな。
.*.
教育の有効性評価
結構なベテランの人が教育の有効性なんて規格は求めていないと言って済ませていた。馬鹿だね。教育の手段の有効性は明確に記載があるのに。これでもベテランだから困ったものだ。こんなレベルの審査をやられてはクライアントも堪ったものではない。そのベテランは今でも現役らしい。クソ審査を続けている?
.*.
例えば、何処もかしこもイーラーニング(e-Learning)へ走るが、これは多くの場合は、(1)事務局の手間を惜しむ、(2)受講機会の柔軟性確保の狙いが潜んでいる。必要とする力量がよりよく達成できているかは殆ど議論にならない。事務局h金を使って自分たちが楽になったことは実感できたが目的が達成したかは次の話。
求める力量と計測方法が明らかでないから。まあ、確かにイージーなテーマではありません。
.*.
周知の有効性評価
あまり聞かない。教育ほどには深刻でない。この場合は、確実なフィードバックが論点になる。例えば年金だと、年金通知が配達先不在で戻ってきたら本人死亡の確認をやる仕組みがあるが、家族がそっと受け取って死亡した人の年金を貰い続けた話がある。こんないい加減なフィードバックで済ますの税金で生計を立てている連中がやるのだから国民やってられません。余談はさておき、大事な情報の周知はフィードバックを取ること。規模が大きい組織の場合はフィードバックをとる仕組みを用意することも必要になる。
フィードバックを求めない、だから大事でない情報の周知はどうするか。その場合は、イントラネット・ポータルみたいなところに並べておけばいいでしょう。この場合の肝心は、知らないことを以ってとがめてはいけないという基本姿勢。加えて、並べ方も相当の工夫をして容易に目的の情報に到達できることを実現しなければいけない。この観点からの周知の有効性評価はやっておいていい。
例えば、必然の探索によるクリック数/スクロール数の目標値と実績。イントラネットで此処まで工夫している組織はまだ少ない。
.*.
結構なベテランの人が教育の有効性なんて規格は求めていないと言って済ませていた。馬鹿だね。教育の手段の有効性は明確に記載があるのに。これでもベテランだから困ったものだ。こんなレベルの審査をやられてはクライアントも堪ったものではない。そのベテランは今でも現役らしい。クソ審査を続けている?
.*.
例えば、何処もかしこもイーラーニング(e-Learning)へ走るが、これは多くの場合は、(1)事務局の手間を惜しむ、(2)受講機会の柔軟性確保の狙いが潜んでいる。必要とする力量がよりよく達成できているかは殆ど議論にならない。事務局h金を使って自分たちが楽になったことは実感できたが目的が達成したかは次の話。
求める力量と計測方法が明らかでないから。まあ、確かにイージーなテーマではありません。
.*.
周知の有効性評価
あまり聞かない。教育ほどには深刻でない。この場合は、確実なフィードバックが論点になる。例えば年金だと、年金通知が配達先不在で戻ってきたら本人死亡の確認をやる仕組みがあるが、家族がそっと受け取って死亡した人の年金を貰い続けた話がある。こんないい加減なフィードバックで済ますの税金で生計を立てている連中がやるのだから国民やってられません。余談はさておき、大事な情報の周知はフィードバックを取ること。規模が大きい組織の場合はフィードバックをとる仕組みを用意することも必要になる。
フィードバックを求めない、だから大事でない情報の周知はどうするか。その場合は、イントラネット・ポータルみたいなところに並べておけばいいでしょう。この場合の肝心は、知らないことを以ってとがめてはいけないという基本姿勢。加えて、並べ方も相当の工夫をして容易に目的の情報に到達できることを実現しなければいけない。この観点からの周知の有効性評価はやっておいていい。
例えば、必然の探索によるクリック数/スクロール数の目標値と実績。イントラネットで此処まで工夫している組織はまだ少ない。
.*.
人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混同することにより適切な施策が取られないなら改めて基本に戻って理解を確認しておきたい。
言えば分かるようにするのが教育。正しく理解して正しく実行できるようにするのが教育。ルール改正でも大きく変わる場合は教育が先ず必要。それをメールとか通知とかの周知の手段で済ますのは適切でない。「何度言っても分からない連中が居る」と事務局が口にしたら正に天唾。教育と周知を混同して進めてきた結果でしかないからだ。
教育にも色々ある。新しい概念、新しい方法論。作業をしてもらうには訓練まで必要。うっかりとか凡ミスを繰り返すような場合は躾(しつけ)・懲戒の領域まで視野に入れる必要がある。怖いね。でも、誰かのうっかりで社員が路頭に迷う羽目になるリスクを考えたら無視も出来ない。
要は単なる周知で済ますことが出来るかどうかの見極めが必要だと言うこと。
周知情報・通知内容を受け止めるだけの素地が無ければ周知は実現しない。
.*.
教育は力量の確保が主眼であるのに対して、周知は必要な人全てに対する網羅性が主眼になる。教育の記録は、要件(求める力量)と結果(達成した力量)が基本。方法論の有効性を測る記録についても留意しなければいけない。周知の記録は対象と方法と周知確認の記録となる。いずれの場合も、内容の重要度に応じて経済合理性も考慮して決定すれば良い。
.*.
繰り返す。周知の問題か教育の問題か正しく理解していないと正しい対策が打てない。
.*.
言えば分かるようにするのが教育。正しく理解して正しく実行できるようにするのが教育。ルール改正でも大きく変わる場合は教育が先ず必要。それをメールとか通知とかの周知の手段で済ますのは適切でない。「何度言っても分からない連中が居る」と事務局が口にしたら正に天唾。教育と周知を混同して進めてきた結果でしかないからだ。
教育にも色々ある。新しい概念、新しい方法論。作業をしてもらうには訓練まで必要。うっかりとか凡ミスを繰り返すような場合は躾(しつけ)・懲戒の領域まで視野に入れる必要がある。怖いね。でも、誰かのうっかりで社員が路頭に迷う羽目になるリスクを考えたら無視も出来ない。
要は単なる周知で済ますことが出来るかどうかの見極めが必要だと言うこと。
周知情報・通知内容を受け止めるだけの素地が無ければ周知は実現しない。
.*.
教育は力量の確保が主眼であるのに対して、周知は必要な人全てに対する網羅性が主眼になる。教育の記録は、要件(求める力量)と結果(達成した力量)が基本。方法論の有効性を測る記録についても留意しなければいけない。周知の記録は対象と方法と周知確認の記録となる。いずれの場合も、内容の重要度に応じて経済合理性も考慮して決定すれば良い。
.*.
繰り返す。周知の問題か教育の問題か正しく理解していないと正しい対策が打てない。
.*.
2011年10月17日
パニックドア、パニックオープンドア、パニックオープンシステム、パニック自動ドアなど。これらは緊急時の避難経路を確保するためのもの。通常は、間仕切りとなっている壁(壁に見える)などが大きく開き、避難が容易となる。
不特定の人が多数利用する施設などで防災目的で利用されているのではないだろうか。自動オープンでないと緊急時は使い物にならない。
セキュリティの関連は特に無い。侵入者の逃走経路になっていないか、または逆を辿ることで外からの侵入を用意としていないか、などを点検することが必要と思われる。
もしくは、確実に動作するかどうかを情報管理の観点からチェックすることも求められるだろう。
不特定の人が多数利用する施設などで防災目的で利用されているのではないだろうか。自動オープンでないと緊急時は使い物にならない。
セキュリティの関連は特に無い。侵入者の逃走経路になっていないか、または逆を辿ることで外からの侵入を用意としていないか、などを点検することが必要と思われる。
もしくは、確実に動作するかどうかを情報管理の観点からチェックすることも求められるだろう。
サイバー攻撃/サイバーテロという脅威と脆弱性に関する考察
米国防総省、霞ヶ関、三菱重工、ソニー(米国)などへのサイバー攻撃は、ハッカー集団、特に中国から攻撃はことごとく成功しているようだ。攻撃を受けたことに気付いて発表された情報だけでも十分な事例数。軍事・国防関連、企業の機密、個人情報など。いつでも盗み出せること、集中アクセスによる利用停止、改ざん。CIAのどれも守り切れていない。狙われたら駄目というのが現状。
ハッカー集団が狙いを付けるのは、国家的事業と関連する組織。何処かの誰かと競合する企業、大量の個人情報、利権団体、主義主張に繋がる組織、ライフライン、社会インフラ、教育関連、等々。これもキリが無い。どの組織もどの企業も、全うな経済活動・社会活動をやっていても、誰かが何かを意図するだけで、直ぐに攻撃の対象になる。
国内でも、サイバー攻撃はアングラの世界でなかなか相手を特定できないが、今は、中国が最大のサイバー攻撃の基地。中国政府が肝入りしている攻撃もあるから、取締りなど全く期待できない。地球のどこかで紛争があれば、サイバー紛争も同時に勃発していると考えて良い。そうなると地球の裏側の紛争も無縁・対岸で傍観していることは出来ない。
※
脆弱性は?
インターネットに接続。
自社のホームページを運用する。
ネットを使った情報交換(メール、サーバー)
WEB上の情報・データを活用。
ファイアウォール/DMZの設定
外部のデータセンターを利用(攻撃対象)
部門管理のサーバーが存在する。
テレワーク、モバイルワークを実施している。
クラウドを利用している(クラウドの脆弱性評価はこれから?)
社内インフラとしてスマホも利用(スマホ-無線LAN-社内サーバー等)。
構築運用のIT専門家はベンダー(社内にプロフェッショナルが居ないのに、ルート権限者は存在する)。
普通にITインフラを利用することが脆弱性では困る。組織的に狙われたら手がつけられない。それでも簡単には行かないように手立てを尽くすことは有用だろう。思いつくことを全部やったら脆弱性レベルが1になる訳ではないが無防備では社会的責任も果たせない。
攻撃対象となる情報を持たない。
攻撃対象となる情報はオフライン環境(極端に言えば電子化しない)
社会的ステルス化を図る。(ホームページなどでの露出を抑える)
社内に複数のゲートウェー。籠の中に別の籠のネスティング構造。一緒盛りの構造は避ける。
有効なけん制システム、相互監視システム。
.*.
米国防総省、霞ヶ関、三菱重工、ソニー(米国)などへのサイバー攻撃は、ハッカー集団、特に中国から攻撃はことごとく成功しているようだ。攻撃を受けたことに気付いて発表された情報だけでも十分な事例数。軍事・国防関連、企業の機密、個人情報など。いつでも盗み出せること、集中アクセスによる利用停止、改ざん。CIAのどれも守り切れていない。狙われたら駄目というのが現状。
ハッカー集団が狙いを付けるのは、国家的事業と関連する組織。何処かの誰かと競合する企業、大量の個人情報、利権団体、主義主張に繋がる組織、ライフライン、社会インフラ、教育関連、等々。これもキリが無い。どの組織もどの企業も、全うな経済活動・社会活動をやっていても、誰かが何かを意図するだけで、直ぐに攻撃の対象になる。
国内でも、サイバー攻撃はアングラの世界でなかなか相手を特定できないが、今は、中国が最大のサイバー攻撃の基地。中国政府が肝入りしている攻撃もあるから、取締りなど全く期待できない。地球のどこかで紛争があれば、サイバー紛争も同時に勃発していると考えて良い。そうなると地球の裏側の紛争も無縁・対岸で傍観していることは出来ない。
※
脆弱性は?
インターネットに接続。
自社のホームページを運用する。
ネットを使った情報交換(メール、サーバー)
WEB上の情報・データを活用。
ファイアウォール/DMZの設定
外部のデータセンターを利用(攻撃対象)
部門管理のサーバーが存在する。
テレワーク、モバイルワークを実施している。
クラウドを利用している(クラウドの脆弱性評価はこれから?)
社内インフラとしてスマホも利用(スマホ-無線LAN-社内サーバー等)。
構築運用のIT専門家はベンダー(社内にプロフェッショナルが居ないのに、ルート権限者は存在する)。
普通にITインフラを利用することが脆弱性では困る。組織的に狙われたら手がつけられない。それでも簡単には行かないように手立てを尽くすことは有用だろう。思いつくことを全部やったら脆弱性レベルが1になる訳ではないが無防備では社会的責任も果たせない。
攻撃対象となる情報を持たない。
攻撃対象となる情報はオフライン環境(極端に言えば電子化しない)
社会的ステルス化を図る。(ホームページなどでの露出を抑える)
社内に複数のゲートウェー。籠の中に別の籠のネスティング構造。一緒盛りの構造は避ける。
有効なけん制システム、相互監視システム。
.*.
2011年10月16日
脆弱性の度合いを定量化するのは大変難しい。
脆弱性は、脅威の発生に対して防御できる割合です。努力する割合ではありません。最大限の努力をしたら脆弱性が最小になる訳ではありません。脅威に対して有効な防御策があれば脆弱性は最小に出来ますが、有効な手段が存在しない場合は最小化は出来ません。
通常、脅威に対する防御手段は複数存在します。似たようなアプローチもあれば、全く違ったアプローチを行うものもあります。そのような施策案を仮に20件並べて、その内の何件(何%)を実施しているかどうかで、脆弱性の程度を測ることには何の合理性もありません。
各施策案の有効性を理解していることが必要です。施策案Aの有効性が仮に50%として、その残りの50%に対する有効性を持った施策案が追加されて始めて複数の施策による脆弱性改善が進みます。この作業は想像以上です。
具体的には脅威の構造化を行い、各構成要素に対する施策が当たっているかどうか診ることは必要になります。脆弱性評価を機械化をしようとすると脅威の構造化理解は手順としては欠かせません。
普通は、多くの場合は、感性評価で済ませます。担当者と管理職と2,3名の感性評価を行い、最悪の値を採用しておいても一定の合理性は得られる筈です。
.*.
脆弱性は、脅威の発生に対して防御できる割合です。努力する割合ではありません。最大限の努力をしたら脆弱性が最小になる訳ではありません。脅威に対して有効な防御策があれば脆弱性は最小に出来ますが、有効な手段が存在しない場合は最小化は出来ません。
通常、脅威に対する防御手段は複数存在します。似たようなアプローチもあれば、全く違ったアプローチを行うものもあります。そのような施策案を仮に20件並べて、その内の何件(何%)を実施しているかどうかで、脆弱性の程度を測ることには何の合理性もありません。
各施策案の有効性を理解していることが必要です。施策案Aの有効性が仮に50%として、その残りの50%に対する有効性を持った施策案が追加されて始めて複数の施策による脆弱性改善が進みます。この作業は想像以上です。
具体的には脅威の構造化を行い、各構成要素に対する施策が当たっているかどうか診ることは必要になります。脆弱性評価を機械化をしようとすると脅威の構造化理解は手順としては欠かせません。
普通は、多くの場合は、感性評価で済ませます。担当者と管理職と2,3名の感性評価を行い、最悪の値を採用しておいても一定の合理性は得られる筈です。
.*.
2011年10月15日
クリアデスクは時間の無駄?
クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。
クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため、机上に情報を放置しないことである。
辞書、マニュアル、書籍の類はクリアデスクの対象になるか?
組織によっては、機密性の高い情報に限定してクリアデスクを実施している。また組織によっては、一切を机の上から撤収させている。電話はOKのところもあれば、電話もワイヤレスのコンパクトなものだから同様に撤収の対象にするところもある。
「重要なものだけ仕舞う」と考えると、途端に何が重要かを都度間違わずに判断することを求めることになる。出来ますか?。これは、重要なメールにはパスワードを掛ける施策を入れている組織と同じ発想です。常に間違わずに判断するのは、人間には無理です。
片付けるのが手間。時間の無駄。そういう発想をする人も居ます。どういう生活をしている人なんでしょうか?。食事を毎食用意し、終われば片付ける。1日3回もクリアデスクしてますね。もちろん、キッチンもきれいにします。ベッドメークも毎朝・毎晩やってませんか。万年床?シーツも変えない?。風呂だって、使ったら最期に洗う。
1日8時間も働いた場所を、仕事の終わりで整理することをどういうつもりで否定できますか。不思議です。机もサイドキャビネットも与えられていて、殆どの文書は電子化されていてサーバーに仕舞って置けると言うのに、スペースが無いことをクリアデスクを実施しない理由に加え始めます。面白いですね。
机上が整理されていない時は、別の問題も生みます。資料の行方不明。マグ、ティッシュ、ミネラルウォター、決めたところに仕舞って帰るのだ。
<行き過ぎたクリアデスク?>
机上を滑走路に。決められたアイテム以外が机上に残されてはいけない。
<適度なクリアデスク?>
ここちよいデスクトップは個人管理の備品が並ぶ。大事な書類だけは鍵の掛かるところに仕舞って帰る。
<無用なクリアデスク?>
そもそも社内には社員しかいない。外部の人がオフィス内を闊歩することも無い。見学コースでもない。オフィスは施錠されたドアを経由しないと入れない。そもそもクリアデスクなどは不要。片付けは時間の無駄。
.*.
セキュリティはCIA。個人管理の情報も立派な資産。組織として管理できなければ意味が無い。個人管理と言えども共有情報。その担当者は今日から出社して来ないかもしれない。何が何処にあるか。個人任せの幅が広ければ広いほど、担当者が不在だと困ることになる。担当者自身にしても片付け漏れが積み重なれば可用性の低い管理状態になる。机上にコーヒーマグですか。資料を汚す心配は小さいほどいいですね。行き過ぎたクリアデスクなんかありません。
クリアデスクをやらない会社の言い訳はだらしの無い亭主の言い訳と同じで、どんなことでも理由になる。管理職の率先垂範。管理職だけ大きな机・キャビネを持っていても片づけが出来ないなら全く話にならない。だらしの無い管理職の言い訳など馬鹿馬鹿しい限り。ISMSなどやろうと言わなければ辻褄は合う。
.*.
クリアデスクをいい加減で済ませる組織は、個人管理情報の扱いもいい加減で済ませるだろう。結果的に、資産の洗い出しも中途半端で済ませている筈だ。
.*.
個人デスク片付け用の小さな鍵付きボックス(ロッカー)を用意することもあるらしい。フリーデスク制の場合は、デスクのキャビネが使えないからというのが理由。個人ロッカーなど羨ましい時代になったものです。但し、油断すると資料が乱雑に投げ込まれただけのゴミ箱みたいなロッカーが並ぶだけに終わる。
個人のロッカーに仕舞うものも決めておくことです。(ここは軍隊?)
.*.
クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。
クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため、机上に情報を放置しないことである。
辞書、マニュアル、書籍の類はクリアデスクの対象になるか?
組織によっては、機密性の高い情報に限定してクリアデスクを実施している。また組織によっては、一切を机の上から撤収させている。電話はOKのところもあれば、電話もワイヤレスのコンパクトなものだから同様に撤収の対象にするところもある。
「重要なものだけ仕舞う」と考えると、途端に何が重要かを都度間違わずに判断することを求めることになる。出来ますか?。これは、重要なメールにはパスワードを掛ける施策を入れている組織と同じ発想です。常に間違わずに判断するのは、人間には無理です。
片付けるのが手間。時間の無駄。そういう発想をする人も居ます。どういう生活をしている人なんでしょうか?。食事を毎食用意し、終われば片付ける。1日3回もクリアデスクしてますね。もちろん、キッチンもきれいにします。ベッドメークも毎朝・毎晩やってませんか。万年床?シーツも変えない?。風呂だって、使ったら最期に洗う。
1日8時間も働いた場所を、仕事の終わりで整理することをどういうつもりで否定できますか。不思議です。机もサイドキャビネットも与えられていて、殆どの文書は電子化されていてサーバーに仕舞って置けると言うのに、スペースが無いことをクリアデスクを実施しない理由に加え始めます。面白いですね。
机上が整理されていない時は、別の問題も生みます。資料の行方不明。マグ、ティッシュ、ミネラルウォター、決めたところに仕舞って帰るのだ。
<行き過ぎたクリアデスク?>
机上を滑走路に。決められたアイテム以外が机上に残されてはいけない。
<適度なクリアデスク?>
ここちよいデスクトップは個人管理の備品が並ぶ。大事な書類だけは鍵の掛かるところに仕舞って帰る。
<無用なクリアデスク?>
そもそも社内には社員しかいない。外部の人がオフィス内を闊歩することも無い。見学コースでもない。オフィスは施錠されたドアを経由しないと入れない。そもそもクリアデスクなどは不要。片付けは時間の無駄。
.*.
セキュリティはCIA。個人管理の情報も立派な資産。組織として管理できなければ意味が無い。個人管理と言えども共有情報。その担当者は今日から出社して来ないかもしれない。何が何処にあるか。個人任せの幅が広ければ広いほど、担当者が不在だと困ることになる。担当者自身にしても片付け漏れが積み重なれば可用性の低い管理状態になる。机上にコーヒーマグですか。資料を汚す心配は小さいほどいいですね。行き過ぎたクリアデスクなんかありません。
クリアデスクをやらない会社の言い訳はだらしの無い亭主の言い訳と同じで、どんなことでも理由になる。管理職の率先垂範。管理職だけ大きな机・キャビネを持っていても片づけが出来ないなら全く話にならない。だらしの無い管理職の言い訳など馬鹿馬鹿しい限り。ISMSなどやろうと言わなければ辻褄は合う。
.*.
クリアデスクをいい加減で済ませる組織は、個人管理情報の扱いもいい加減で済ませるだろう。結果的に、資産の洗い出しも中途半端で済ませている筈だ。
.*.
個人デスク片付け用の小さな鍵付きボックス(ロッカー)を用意することもあるらしい。フリーデスク制の場合は、デスクのキャビネが使えないからというのが理由。個人ロッカーなど羨ましい時代になったものです。但し、油断すると資料が乱雑に投げ込まれただけのゴミ箱みたいなロッカーが並ぶだけに終わる。
個人のロッカーに仕舞うものも決めておくことです。(ここは軍隊?)
.*.
2011年10月13日
複数の審査員で一つの審査をやるとき。主任?審査員が他の審査員の所見を直してしまうことがあるらしい。もってのほか。主任は責任者だから審査を統括する役割を負うが、それと所見の修正は意味が違う。見方を変えれば、捏造・改ざん行為に相当するとも考えられる。
質問-気付き-修正。これってコーチングの要領と同じ。しかも、質問するのは責任者に限らない。相互に啓発する関係で無ければいけない。相互性を確保して初めて強い?審査チームになる。
審査員は、しかし、見ていると、コンサルほど柔軟性は持ち合わせていない。意外だね。一人ひとりの独立心が強いと言うか、価値観の共有という裏づけが希薄。どうせ寄せ集め?なんだろうか。組織とかプロジェクトへの帰属意識も薄いようだ。
責任者の立場にあると、勝手に、審査を纏めることに専念する。のかもしれない。何をやっても自分が責任を負うのだから良いだろうと考えること自体が既に資質の欠落を示すものだ。
明確な矛盾、事実誤認、合理性の欠落が無い限り、勝手に修正することは出来ない。質問することまで。自分の趣味・スタイルに合わなくても、同意が無ければ修正してはいけない。という意見の人も居る。
コンサルフェーズの修正と意味が違う。国会とか、経営会議とか、速記録を取られているようなところでは、それ自身が歴史の一部になっている。その修正は大変な作業だ。と言うわけだが、ちょっと大げさかな。
見た目以上に難しい世界なのかもしれない。
.*.
質問-気付き-修正。これってコーチングの要領と同じ。しかも、質問するのは責任者に限らない。相互に啓発する関係で無ければいけない。相互性を確保して初めて強い?審査チームになる。
審査員は、しかし、見ていると、コンサルほど柔軟性は持ち合わせていない。意外だね。一人ひとりの独立心が強いと言うか、価値観の共有という裏づけが希薄。どうせ寄せ集め?なんだろうか。組織とかプロジェクトへの帰属意識も薄いようだ。
責任者の立場にあると、勝手に、審査を纏めることに専念する。のかもしれない。何をやっても自分が責任を負うのだから良いだろうと考えること自体が既に資質の欠落を示すものだ。
明確な矛盾、事実誤認、合理性の欠落が無い限り、勝手に修正することは出来ない。質問することまで。自分の趣味・スタイルに合わなくても、同意が無ければ修正してはいけない。という意見の人も居る。
コンサルフェーズの修正と意味が違う。国会とか、経営会議とか、速記録を取られているようなところでは、それ自身が歴史の一部になっている。その修正は大変な作業だ。と言うわけだが、ちょっと大げさかな。
見た目以上に難しい世界なのかもしれない。
.*.
2011年10月12日
忌避とは文字通り「嫌って避けること」です。
審査員を選択することはできないが忌避することはできる。なんか矛盾しているようだが。
癒着とか利害関係上、好都合な審査員を選択しては制度否定になりかねないので、そえは駄目。その意味では、軽々しく忌避も出来ない。正しい理由が必要。
これは建前。
営業が絡むと所謂サービス精神に溢れたサービス業になる。好都合な審査員が選択できる。不都合な審査員は忌避できる。程度問題だろうが、実態はお客様は神様ですから。
.*.
<審査員の忌避の是非を検討したい気分になる時>
競合企業の出身者。但し、事業部門などが異なる、離籍後十分な時間が経過している、などの場合は懸念は少ないカモ。
審査能力が低い。イベントのパフォーマンスが目立ち、指摘は重箱の隅を突く内容が多い。本質的な問題提起が期待できない。
人間性に魅力を感じない。慇懃無礼、時間にルーズ、謙り過ぎる、横着、世間知らず、自分の成功体験に固執、業界実務経験不足(特にIT分野実務)、話を聞くより自己主張優先、よそよそしい、セールスマンみたいな奴、共感できるものが少ない。
.*.
<逆のケース>
逆もあるようです。あの会社の審査は遠慮したいと思うこともあるらしい。
事務局
事務局
事務局
「事務局の事務局による事務局のためのISMS」をやっているところ。事務局が強い場合、弱い場合で現象は違ってくるが、要の機能の不適切が全体をスポイルしていることがあるらしい。
.*.
審査員を選択することはできないが忌避することはできる。なんか矛盾しているようだが。
癒着とか利害関係上、好都合な審査員を選択しては制度否定になりかねないので、そえは駄目。その意味では、軽々しく忌避も出来ない。正しい理由が必要。
これは建前。
営業が絡むと所謂サービス精神に溢れたサービス業になる。好都合な審査員が選択できる。不都合な審査員は忌避できる。程度問題だろうが、実態はお客様は神様ですから。
.*.
<審査員の忌避の是非を検討したい気分になる時>
競合企業の出身者。但し、事業部門などが異なる、離籍後十分な時間が経過している、などの場合は懸念は少ないカモ。
審査能力が低い。イベントのパフォーマンスが目立ち、指摘は重箱の隅を突く内容が多い。本質的な問題提起が期待できない。
人間性に魅力を感じない。慇懃無礼、時間にルーズ、謙り過ぎる、横着、世間知らず、自分の成功体験に固執、業界実務経験不足(特にIT分野実務)、話を聞くより自己主張優先、よそよそしい、セールスマンみたいな奴、共感できるものが少ない。
.*.
<逆のケース>
逆もあるようです。あの会社の審査は遠慮したいと思うこともあるらしい。
事務局
事務局
事務局
「事務局の事務局による事務局のためのISMS」をやっているところ。事務局が強い場合、弱い場合で現象は違ってくるが、要の機能の不適切が全体をスポイルしていることがあるらしい。
.*.
無線LAN普及の初期では、その脆弱性のために導入を見合わせる企業が多かった。
暗号化方式の脆弱性。簡易なものは破られることが広く知られている。今はさらに強固な暗号化方式を導入できる。
電波強度を確保すると漏洩リスクが高まる。モニターを設置されるリスク?
他社電波との干渉問題。あまり聞かないが問題の有無は確認したい。
無線LANが敬遠される理由は管理の届かないところに経路をむき出しにしているようなものだからでしょう。
さて、いまどきはどのようでしょうか?
一般家庭・個人利用では無線LANが圧倒的に多数になりつつありますが、企業内では依然保守的なスタンスが多いのでは。止むを得ず利用する場合もミニマム化を図る。
<無線LAN導入時の注意>
高いレベル暗号化方式を利用
端末認証は常識
利用時間の制限 i)日中業務時間に限る、ii)接続時間は15分以内(メールチェックに必要な時間)など
もっとも重要なことは技術専門家(無線LANの運用技術に強い人)をアサインすること。常駐の必要はないが、いつでも連絡が付くことと定期的に監視及び確認の作業を行うこと。技術の進歩が早く新たな脆弱性の指摘に対して迅速な対応が求められる。技術専門家を置けない組織が無線LAN導入は危険。業者(ITメーカ)は初期設置はしっかりやっても維持継続・改善までは手が届かないし、そんな責任はない。
.*.
暗号化方式の脆弱性。簡易なものは破られることが広く知られている。今はさらに強固な暗号化方式を導入できる。
電波強度を確保すると漏洩リスクが高まる。モニターを設置されるリスク?
他社電波との干渉問題。あまり聞かないが問題の有無は確認したい。
無線LANが敬遠される理由は管理の届かないところに経路をむき出しにしているようなものだからでしょう。
さて、いまどきはどのようでしょうか?
一般家庭・個人利用では無線LANが圧倒的に多数になりつつありますが、企業内では依然保守的なスタンスが多いのでは。止むを得ず利用する場合もミニマム化を図る。
<無線LAN導入時の注意>
高いレベル暗号化方式を利用
端末認証は常識
利用時間の制限 i)日中業務時間に限る、ii)接続時間は15分以内(メールチェックに必要な時間)など
もっとも重要なことは技術専門家(無線LANの運用技術に強い人)をアサインすること。常駐の必要はないが、いつでも連絡が付くことと定期的に監視及び確認の作業を行うこと。技術の進歩が早く新たな脆弱性の指摘に対して迅速な対応が求められる。技術専門家を置けない組織が無線LAN導入は危険。業者(ITメーカ)は初期設置はしっかりやっても維持継続・改善までは手が届かないし、そんな責任はない。
.*.
同じ居室内に違う会社が席を並べることは珍しいことではない。
先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。
業務委託の関係の無い場合でも同居するケースはある。例えば、親会と子会社、あるいは同じ親会社あるいはグループ会社。これらの場合は流石にサンドイッチの座席配列はないが。異なる会社・違う会社で居室の共有することがある。
業務委託の関係も無い場合は紳士協定のISMSということになる。が、もう少し真面目に取り組むところでは、覚書を交わして、相互にセキュリティについての取り組みを行う。ISMSを取得しなくても入室・退室時のルール、夜間・休日のルール、従業員識別のルールなどを覚書で共有する。
業務委託の関係が有る場合は、委託契約の内容にISMS順守に関連する内容を盛り込むので、管理上の混乱・リスクは少ない。
<業務委託関係のある同居>
簡易的なパーティション等で物理的境界の明確化を図る。
キャビネット類のアクセスも制限しやすいように分別し配置も工夫する。
委託先エリアがセキュリティホール、監視上の死角にならない様なけん制の仕組みを用意する。
情報の持ち込み・持ち出しへの留意。PCは必要な対処をしたものを貸与するのが一般的。
ネットワーク(LAN)はルーティング制御・アクセス制御は必須。
緊急時対応の周知・訓練への参画
可能な限り適用範囲に含めること。これが一番クリアです。
<業務委託関係の無い同居>
入室・退室時のルール化、夜間・休日業務のルール化
従業員識別のルール化
ネットワークインフラの分離、そして/またはアクセス制御の有効化
緊急時対応のルール化(事件・事故・事業継続レベル事態)
適用範囲にある組織の特定のグループが客先に常駐する場合も同居の関係になる。常駐先ルールに従うのが基本。プラス、矛盾の無い範囲で自社ルールに従う。
.*.
先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。
業務委託の関係の無い場合でも同居するケースはある。例えば、親会と子会社、あるいは同じ親会社あるいはグループ会社。これらの場合は流石にサンドイッチの座席配列はないが。異なる会社・違う会社で居室の共有することがある。
業務委託の関係も無い場合は紳士協定のISMSということになる。が、もう少し真面目に取り組むところでは、覚書を交わして、相互にセキュリティについての取り組みを行う。ISMSを取得しなくても入室・退室時のルール、夜間・休日のルール、従業員識別のルールなどを覚書で共有する。
業務委託の関係が有る場合は、委託契約の内容にISMS順守に関連する内容を盛り込むので、管理上の混乱・リスクは少ない。
<業務委託関係のある同居>
簡易的なパーティション等で物理的境界の明確化を図る。
キャビネット類のアクセスも制限しやすいように分別し配置も工夫する。
委託先エリアがセキュリティホール、監視上の死角にならない様なけん制の仕組みを用意する。
情報の持ち込み・持ち出しへの留意。PCは必要な対処をしたものを貸与するのが一般的。
ネットワーク(LAN)はルーティング制御・アクセス制御は必須。
緊急時対応の周知・訓練への参画
可能な限り適用範囲に含めること。これが一番クリアです。
<業務委託関係の無い同居>
入室・退室時のルール化、夜間・休日業務のルール化
従業員識別のルール化
ネットワークインフラの分離、そして/またはアクセス制御の有効化
緊急時対応のルール化(事件・事故・事業継続レベル事態)
適用範囲にある組織の特定のグループが客先に常駐する場合も同居の関係になる。常駐先ルールに従うのが基本。プラス、矛盾の無い範囲で自社ルールに従う。
.*.
改善要望 あるいは リコメンド
それぞれ定義ははっきりしないが何とか一纏めに括ると、改善要望とかリコメンドとかの、こう言う感じになる。方法論として改善の余地アリとやる訳だ。方法論の改善をどういう観点から捉えるかで、見え方は変わる。合理性、経済性などはどちらかといえば品質の問題。セキュリティでは確実性の観点が重要。品質とセキュリティでは守備範囲は自ずと違ってくる。混同した説明に出くわすことがあるが、口を挟むことはしない。らしい。
では、確実性に問題、あるいは不安がある場合は?。これなら普通の不適合か普通の観察事項になる。直接、セキュリティに関わらないところが改善要望として残るのかな。経済合理性の部分は、ある意味では、余計なお世話になりかねません。
岡目八目。コンサルも審査員もいろいろ見ているうちに知恵が付いてくる。だから、コメント(口頭)するくらいはできる。コメントは構わないでしょうが、経済合理性の改善を示唆するのは時として筋違いになる。
.*.
改善要望とかグッドポイントとか、気付いたことをコメントするのは構いませんし、貴重な情報であることにも変わりありません。が、クライアント(あるいは認証制度そのもの)が、本来的な意味合いで求めているメッセージではありません。多分、きっと。その筈です。
改善要望あるいはリコメンドについては、不適合・観察事項とかとは別途に纏めて提示して欲しいものです。例のグッドポイントも同じで不適合・観察事項とは別にして欲しい。
それぞれ定義ははっきりしないが何とか一纏めに括ると、改善要望とかリコメンドとかの、こう言う感じになる。方法論として改善の余地アリとやる訳だ。方法論の改善をどういう観点から捉えるかで、見え方は変わる。合理性、経済性などはどちらかといえば品質の問題。セキュリティでは確実性の観点が重要。品質とセキュリティでは守備範囲は自ずと違ってくる。混同した説明に出くわすことがあるが、口を挟むことはしない。らしい。
では、確実性に問題、あるいは不安がある場合は?。これなら普通の不適合か普通の観察事項になる。直接、セキュリティに関わらないところが改善要望として残るのかな。経済合理性の部分は、ある意味では、余計なお世話になりかねません。
岡目八目。コンサルも審査員もいろいろ見ているうちに知恵が付いてくる。だから、コメント(口頭)するくらいはできる。コメントは構わないでしょうが、経済合理性の改善を示唆するのは時として筋違いになる。
.*.
改善要望とかグッドポイントとか、気付いたことをコメントするのは構いませんし、貴重な情報であることにも変わりありません。が、クライアント(あるいは認証制度そのもの)が、本来的な意味合いで求めているメッセージではありません。多分、きっと。その筈です。
改善要望あるいはリコメンドについては、不適合・観察事項とかとは別途に纏めて提示して欲しいものです。例のグッドポイントも同じで不適合・観察事項とは別にして欲しい。
2011年10月11日
観察事項のグッドポイントって何ですか?
観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある。問題が無ければ問題無しだけで十分なのに余計な一言ははた迷惑だ。規格適合性といっているんだからそれに専念してくれと。
そもそも、グッドとする根拠は確かなのか?という疑問もある。社内の常識、業界の常識もあれば、誰かの単なる頑張りあるいは素質に着眼しただけのこともある。既に体質になっていること、体質化は無理なこと。そんなものをグッドと言われてもああそうですか以外に反応できない。
審査のパフォーマンスは見事としても、業務経験も業界経験も何も無い奴からグッドなんて言われたくない。それこそ失礼というものだ。ですが、その腹立ちをコンサルにぶつけないで欲しいものです。
とは言え、クライアントも人の子。グッドですと言われれば悪い気はしない。中にはグッドをたくさん貰いたがるクライアントもいるとか。
.*.
何も改善課題に相当することが見つけられず、代わりに何かグッドポイントにしている例もあるとか。無理やりのグッドポイントだから根拠も何もない。普通にしていたらグッドだって。勿論、誰かの憶測というか受け狙いの作り話だろうが。
.*.
観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある。問題が無ければ問題無しだけで十分なのに余計な一言ははた迷惑だ。規格適合性といっているんだからそれに専念してくれと。
そもそも、グッドとする根拠は確かなのか?という疑問もある。社内の常識、業界の常識もあれば、誰かの単なる頑張りあるいは素質に着眼しただけのこともある。既に体質になっていること、体質化は無理なこと。そんなものをグッドと言われてもああそうですか以外に反応できない。
審査のパフォーマンスは見事としても、業務経験も業界経験も何も無い奴からグッドなんて言われたくない。それこそ失礼というものだ。ですが、その腹立ちをコンサルにぶつけないで欲しいものです。
とは言え、クライアントも人の子。グッドですと言われれば悪い気はしない。中にはグッドをたくさん貰いたがるクライアントもいるとか。
.*.
何も改善課題に相当することが見つけられず、代わりに何かグッドポイントにしている例もあるとか。無理やりのグッドポイントだから根拠も何もない。普通にしていたらグッドだって。勿論、誰かの憶測というか受け狙いの作り話だろうが。
.*.
観察事項の取り扱い
ISMSに限らないが審査員は観察事項というのを置いていってくれる。「要観察」と言えば分かりやすい。医者でも言われるでしょう。「要観察」は今すぐ入院・手術は求めないものの、放置できないというものだ。改善傾向が確認できなければ、何れ入院・手術です。と仰っている。
観察事項の扱いは審査機関で微妙に違う。審査員によっても微妙に違って見える。
(厳しい態度) 要観察ということは要改善ということ。この場合、観察者はドクター(審査員)で、改善に取り込むのはクランケ(患者?組織?)。是正的取り組みを(敢えて)お願いしますとやるケースもある。
(優しい態度) 観察事項は、放置すると不適合になる懸念をもちながらも、是正的取り組みは不要としてフォローも行わないケース。
(中庸な態度) 是正的取り組みは不要ですが、結局どのような扱いになったのかの確認だけで済ますケース。
ここで、
(優しい態度)は最低最悪レベルの扱い。フォローもしないのは無責任。気付き事項を言っただけで、責任はクライアントに丸投げの図式。こんなコメントは貰うだけ迷惑。
(中庸な態度)は、ミニマムの責任を感じてのことだろうが、「要観察」の根拠も何も雲散霧消させるのでは無責任のそしりを免れない。要観察を解くのか継続するのか重要な判断が不明瞭。
(厳しい態度)は実は普通のこと。自分がクランケになったと思えば要観察と言われて次の定期健診ではどんな判断が出るか最重要関心事。体質・体調改善に取り組んできた結果が十分だったかどうかは一番知りたいところです。
分かること:
前回の観察事項の取り扱いを見れば、その審査機関・審査員の責任意識のありようが理解できますね。
.*.
ISMSに限らないが審査員は観察事項というのを置いていってくれる。「要観察」と言えば分かりやすい。医者でも言われるでしょう。「要観察」は今すぐ入院・手術は求めないものの、放置できないというものだ。改善傾向が確認できなければ、何れ入院・手術です。と仰っている。
観察事項の扱いは審査機関で微妙に違う。審査員によっても微妙に違って見える。
(厳しい態度) 要観察ということは要改善ということ。この場合、観察者はドクター(審査員)で、改善に取り込むのはクランケ(患者?組織?)。是正的取り組みを(敢えて)お願いしますとやるケースもある。
(優しい態度) 観察事項は、放置すると不適合になる懸念をもちながらも、是正的取り組みは不要としてフォローも行わないケース。
(中庸な態度) 是正的取り組みは不要ですが、結局どのような扱いになったのかの確認だけで済ますケース。
ここで、
(優しい態度)は最低最悪レベルの扱い。フォローもしないのは無責任。気付き事項を言っただけで、責任はクライアントに丸投げの図式。こんなコメントは貰うだけ迷惑。
(中庸な態度)は、ミニマムの責任を感じてのことだろうが、「要観察」の根拠も何も雲散霧消させるのでは無責任のそしりを免れない。要観察を解くのか継続するのか重要な判断が不明瞭。
(厳しい態度)は実は普通のこと。自分がクランケになったと思えば要観察と言われて次の定期健診ではどんな判断が出るか最重要関心事。体質・体調改善に取り組んできた結果が十分だったかどうかは一番知りたいところです。
分かること:
前回の観察事項の取り扱いを見れば、その審査機関・審査員の責任意識のありようが理解できますね。
.*.
