2012年07月09日
インフラ制御系システムがサイバー攻撃のターゲット
クローズアップ現代の「サイバー攻撃」は結構深刻な内容だ。
サイバー攻撃のターゲットになった
東京都小平市 光洋電子工業 制御システムの開発メーカー
米国国土安全保証省ICS-CERTからの警告を受けて分った。
光洋電子工業の脆弱性が露呈した。
デジタル・ボンドDigitalBond社が光洋電子工業の脆弱性をついた攻撃プログラムを公開すると発表。デジタル・ボンド社自身は脆弱性対策を売りにする企業。パスワード・ブルーとフォースPassword Brute Force方式によるハッキング手法。高速コンピューターによるパスワード解析。
警告を受けて対策を検討するが簡単でないらしい。
制御システムに既製品を使う、世界中で同じものを使う、インターネットにつなぐ。これが制御システムの弱点。
光洋電子工業はインターネット接続機能を切って今のところ事なきを得ている。
制御系システムの攻撃事例:
1)原子力発電所の監視システム
2)上下水道管理システム
3)生産管理システム
生活の周りにも100個程度の制御系システムが存在するらしい。冷蔵庫の中、ビデオレコーダーの中、テレビの中、エレベーターの中、など考えていけば、まあ、確かにそうだろう。
遠隔利用のために、あるいは危機感連携のために安易にインターネット接続機能、WiFi対応を持たせると攻撃対象になる。
バッファローの事例として2010年のメディア(USBメモリ)経由のウイルス侵入例も紹介された。隔離された領域は安全なはずの管理をやっていたようだ。
ブラックリスト、ホワイトリストの話は古典的だが、制御系業界では対策が遅れているようだ。
国の政策としては「制御システム・セキュリティ・センター」を立ち上げたようだ。とりあえず情報共有ぐらいだろうが、もっと深刻な取り組みが必要ではないか。
東電福島原発事故は原因を想定外で済まし責任も対策もいい加減だが(だから大飯原発も安易に再スタートさせてしまったが)、サイバー攻撃も想定外にされてはいけない。津波というローカルな事象では終わらないリスクがある。
.*.
クローズアップ現代の「サイバー攻撃」は結構深刻な内容だ。
サイバー攻撃のターゲットになった
東京都小平市 光洋電子工業 制御システムの開発メーカー
米国国土安全保証省ICS-CERTからの警告を受けて分った。
光洋電子工業の脆弱性が露呈した。
デジタル・ボンドDigitalBond社が光洋電子工業の脆弱性をついた攻撃プログラムを公開すると発表。デジタル・ボンド社自身は脆弱性対策を売りにする企業。パスワード・ブルーとフォースPassword Brute Force方式によるハッキング手法。高速コンピューターによるパスワード解析。
警告を受けて対策を検討するが簡単でないらしい。
制御システムに既製品を使う、世界中で同じものを使う、インターネットにつなぐ。これが制御システムの弱点。
光洋電子工業はインターネット接続機能を切って今のところ事なきを得ている。
制御系システムの攻撃事例:
1)原子力発電所の監視システム
2)上下水道管理システム
3)生産管理システム
生活の周りにも100個程度の制御系システムが存在するらしい。冷蔵庫の中、ビデオレコーダーの中、テレビの中、エレベーターの中、など考えていけば、まあ、確かにそうだろう。
遠隔利用のために、あるいは危機感連携のために安易にインターネット接続機能、WiFi対応を持たせると攻撃対象になる。
バッファローの事例として2010年のメディア(USBメモリ)経由のウイルス侵入例も紹介された。隔離された領域は安全なはずの管理をやっていたようだ。
ブラックリスト、ホワイトリストの話は古典的だが、制御系業界では対策が遅れているようだ。
国の政策としては「制御システム・セキュリティ・センター」を立ち上げたようだ。とりあえず情報共有ぐらいだろうが、もっと深刻な取り組みが必要ではないか。
東電福島原発事故は原因を想定外で済まし責任も対策もいい加減だが(だから大飯原発も安易に再スタートさせてしまったが)、サイバー攻撃も想定外にされてはいけない。津波というローカルな事象では終わらないリスクがある。
.*.
2012年07月08日
風評・口コミへの対応と管理策
滋賀県大津市の中学2年の少年いじめ自殺事件が報道されている。それ以上に、あちこちの口コミサイトが俄かに炎上状態。加害者とされる少年の名前のほかに、父親の名前・会社名・取引先までが書き込まれている。
自殺事件そのものはISMSとは無関係と言って良いが、関連者の企業、取引先企業が表に出てしまった時に、経営はどういう判断を求められるだろうか。
明らかに反社会的である企業と分かれば、即刻取引停止。反社会性に加担していないことを表明することになる。ところが、この自殺事件は再調査の段階で流動的な状況であるから、扱いは難しい。
1)契約内容の再確認。特に風評被害が出る状況においてどのような扱いが可能なのか?
2)黙って放置した場合の、説明責任の必要性に関する判断。
それ以前の施策として、
3)自分の会社が口コミ上でどのように扱われているのかを継続的に監視する仕組みも必要でしょう。だからと言って口コミをコントロールしようとすると別問題が生じる。監視活動は必要でしょう。
ただし、商品の仕様性能に関する無理解に基づく場合は、適度な介入は一般的な施策として受け入れられている。これはサポート活動の一環とみなせるからだ。
今回のような、一つ間違えば刑事事件になりかねない事態での対応はもっと違った判断が必要でしょう。
.*.
滋賀県大津市の中学2年の少年いじめ自殺事件が報道されている。それ以上に、あちこちの口コミサイトが俄かに炎上状態。加害者とされる少年の名前のほかに、父親の名前・会社名・取引先までが書き込まれている。
自殺事件そのものはISMSとは無関係と言って良いが、関連者の企業、取引先企業が表に出てしまった時に、経営はどういう判断を求められるだろうか。
明らかに反社会的である企業と分かれば、即刻取引停止。反社会性に加担していないことを表明することになる。ところが、この自殺事件は再調査の段階で流動的な状況であるから、扱いは難しい。
1)契約内容の再確認。特に風評被害が出る状況においてどのような扱いが可能なのか?
2)黙って放置した場合の、説明責任の必要性に関する判断。
それ以前の施策として、
3)自分の会社が口コミ上でどのように扱われているのかを継続的に監視する仕組みも必要でしょう。だからと言って口コミをコントロールしようとすると別問題が生じる。監視活動は必要でしょう。
ただし、商品の仕様性能に関する無理解に基づく場合は、適度な介入は一般的な施策として受け入れられている。これはサポート活動の一環とみなせるからだ。
今回のような、一つ間違えば刑事事件になりかねない事態での対応はもっと違った判断が必要でしょう。
.*.
2012年07月07日
経営者インタビュー序章
経営者インタビューに同席する機会はあまりない。それでも最初に口にする言葉は割りと決まり文句。
<審査目的>
今回はどういう審査かを言う。何回目の何々審査で何々を確認しますとか。
<トピックス>
:大災害や新聞などで報道されたセキュリティ事件を引き合いに出して経営者としてどう受け止めたかとか。
一般トピックス:東日本大震災、福島原発問題(地域封鎖など)、防衛省ビデオ流出、ソニー子会社情報漏えい、フィッシング詐欺などきりがないが当該組織に関連の深そうなものを選んでトピックスとする。これらは事業継続管理、予防処置、不定期リスクアセスメントなど関連する取り組みとなる。
固有トピックス:経営者の配下で実際に生じた事件・事故。どのように報告されどのように対応したか。
.*.
経営者インタビューに同席する機会はあまりない。それでも最初に口にする言葉は割りと決まり文句。
<審査目的>
今回はどういう審査かを言う。何回目の何々審査で何々を確認しますとか。
<トピックス>
:大災害や新聞などで報道されたセキュリティ事件を引き合いに出して経営者としてどう受け止めたかとか。
一般トピックス:東日本大震災、福島原発問題(地域封鎖など)、防衛省ビデオ流出、ソニー子会社情報漏えい、フィッシング詐欺などきりがないが当該組織に関連の深そうなものを選んでトピックスとする。これらは事業継続管理、予防処置、不定期リスクアセスメントなど関連する取り組みとなる。
固有トピックス:経営者の配下で実際に生じた事件・事故。どのように報告されどのように対応したか。
.*.
ISMS成功の鍵は"ちょい"管理・"思いつき"管理からの脱却
少しでも良くしようと、あれこれ考え、色々工夫する。思いつき、アイデア、試行錯誤、仮説検証を繰り返す。難関のイベントの度にスクラップ&ビルドの大号令。
その結果は?
段々と良くなっているだろうか?本当に継続的に改善できているだろうか?
力量ある人が集中的に作業してやっよ気付いた管理体系が、そんなに能力の無い後継者の継続的改善を受けてズタボロ(ズタズタでボロボロ)になっていないだろうか。多くの場合はベストを維持することは難しく改善はおぼつかない。ある部分は良くなっても全体としての体系・構想は崩れ始め、カオス的な状況へ追い込まれていく。
数少ない成功例があるとすれば、規格から逸脱しない頑固な取り組みかもしれない。そのもっとも肝心は常に考え常に取り組んでいること。日常の中にISMSが存在する状態。ISMSがイベントになるようでは上手く行かない。気まぐれ、思いつき、チョイ管理では駄目。不断。継続性が鍵だ。職能の一つと位置づけることの凄さが分かる。
.*.
少しでも良くしようと、あれこれ考え、色々工夫する。思いつき、アイデア、試行錯誤、仮説検証を繰り返す。難関のイベントの度にスクラップ&ビルドの大号令。
その結果は?
段々と良くなっているだろうか?本当に継続的に改善できているだろうか?
力量ある人が集中的に作業してやっよ気付いた管理体系が、そんなに能力の無い後継者の継続的改善を受けてズタボロ(ズタズタでボロボロ)になっていないだろうか。多くの場合はベストを維持することは難しく改善はおぼつかない。ある部分は良くなっても全体としての体系・構想は崩れ始め、カオス的な状況へ追い込まれていく。
数少ない成功例があるとすれば、規格から逸脱しない頑固な取り組みかもしれない。そのもっとも肝心は常に考え常に取り組んでいること。日常の中にISMSが存在する状態。ISMSがイベントになるようでは上手く行かない。気まぐれ、思いつき、チョイ管理では駄目。不断。継続性が鍵だ。職能の一つと位置づけることの凄さが分かる。
.*.
フェイスブック(Facebook)の脆弱性
フェイスブック内で利用できるアプリに対する審査機能が実質的に存在しないこと。世界の10億の利用者を狙うアプリ開発者は半端な数じゃないから、少数の担当者を置いても事務的な管理(電話番号とかクレジット番号の管理?)が関の山で、内容審査は出来ていないのだろう。
日経から流れてきた記事を見ると、スマホのアプリで問題となった状況と同じような個人情報を盗み取るアプリが蔓延したようだ。悪質アプリを誰かが使うと友達リストから友達に勝手にこのアプリを使いませんかのメッセージが送られてしまう。連鎖反応的に広がる訳だ。このアプリ自体は設定色を変更できるなどの一見無害な機能提供を謳っている。その実、せっせと個人情報を集めるか(指定のサーバーに送信)、ボットとして待機するか、何れ良からぬ事が推測できる。
.*.
ISMSのメッセージは?
(1)BYOD(バイド〜ビヨド):オフィス業務での自前デバイス利用などとんでもない話と捉えることが出来る。会社へ持ち込んだスマホは音声、静止画、動画、ビジネス文書が溜められるのだから。
(2)自宅のパソコンでSNSをやることはどうだろう。PC対応のアプリもある(もともとPC対応が普通のことです)。自宅パソコンには業務情報はないと言い切れる訳でもない。
だからBYODもSNSもご法度では世間は回らない。セキュリティを確保するルール・基準を作って適用し監視する基本をやればよいのだが、何処まで網を張るのかが難しいと感じられる。
.*.
フェイスブック内で利用できるアプリに対する審査機能が実質的に存在しないこと。世界の10億の利用者を狙うアプリ開発者は半端な数じゃないから、少数の担当者を置いても事務的な管理(電話番号とかクレジット番号の管理?)が関の山で、内容審査は出来ていないのだろう。
日経から流れてきた記事を見ると、スマホのアプリで問題となった状況と同じような個人情報を盗み取るアプリが蔓延したようだ。悪質アプリを誰かが使うと友達リストから友達に勝手にこのアプリを使いませんかのメッセージが送られてしまう。連鎖反応的に広がる訳だ。このアプリ自体は設定色を変更できるなどの一見無害な機能提供を謳っている。その実、せっせと個人情報を集めるか(指定のサーバーに送信)、ボットとして待機するか、何れ良からぬ事が推測できる。
.*.
ISMSのメッセージは?
(1)BYOD(バイド〜ビヨド):オフィス業務での自前デバイス利用などとんでもない話と捉えることが出来る。会社へ持ち込んだスマホは音声、静止画、動画、ビジネス文書が溜められるのだから。
(2)自宅のパソコンでSNSをやることはどうだろう。PC対応のアプリもある(もともとPC対応が普通のことです)。自宅パソコンには業務情報はないと言い切れる訳でもない。
だからBYODもSNSもご法度では世間は回らない。セキュリティを確保するルール・基準を作って適用し監視する基本をやればよいのだが、何処まで網を張るのかが難しいと感じられる。
.*.
2012年07月04日
ソフトバンクショップのSDカード紛失事件
ソフトバンクショップで顧客の情報を紛失させる事件(事故?)が発生した。その顛末に驚いた。メディアの紛失自体はある確率で発生するもので特段驚くことも無いが、紛失が発覚した後の話は聞いてびっくり見てびっくり。完全なマネジメントの問題が横たわっている。
コマーシャルでもプラチナバンドを獲得して盛り上がるソフトバンクだが裏方の実態を見てしまうと一緒に盛り上がるのは難しい。
昔から、攻めは強いが守りは弱かったソフトバンクは何度事件事故を起こしても体質改善は進んでいなかったことが露呈した勘定だ。
ISMS的には、この件で判断する限り最低レベル最低ランク。何処かの認証機関が認証をやっているなら恐らくメクラ審査だろうね。
最もソフトバンク本体とソフトバンクショップは別組織といって逃げ回ることは出来そうだ。ただ、ソフトバンクショップを支援(管理)する機能を本体は持っているので、逃げることは出来ない。
.*.
無反省でなんの謝罪も無く、形式的なサポートに終始し、改善にも取り組まないソフトバンクはその一部ではあってもマネジメントシステムの欠落であることは否めない。
もともとソフトバンクは相当無理をしている企業という印象があるが、このように世間沙汰にならないところで多くの問題を抱えていると思うと、サービス利用に当たってはもっと慎重な態度が必要だ。
.*.
その後のフォローでは紛失させた担当者はショップを異動しているようだ。問題はサポートセンターの方なのに、sポートセンターからのコンタクトは何も無いらしい。内部処理だけでしかも出先の対応で済ます態度、この辺がまるでマネジメント問題を理解していないことの証になる。
.*.
ソフトバンクショップで顧客の情報を紛失させる事件(事故?)が発生した。その顛末に驚いた。メディアの紛失自体はある確率で発生するもので特段驚くことも無いが、紛失が発覚した後の話は聞いてびっくり見てびっくり。完全なマネジメントの問題が横たわっている。
コマーシャルでもプラチナバンドを獲得して盛り上がるソフトバンクだが裏方の実態を見てしまうと一緒に盛り上がるのは難しい。
昔から、攻めは強いが守りは弱かったソフトバンクは何度事件事故を起こしても体質改善は進んでいなかったことが露呈した勘定だ。
ISMS的には、この件で判断する限り最低レベル最低ランク。何処かの認証機関が認証をやっているなら恐らくメクラ審査だろうね。
最もソフトバンク本体とソフトバンクショップは別組織といって逃げ回ることは出来そうだ。ただ、ソフトバンクショップを支援(管理)する機能を本体は持っているので、逃げることは出来ない。
.*.
無反省でなんの謝罪も無く、形式的なサポートに終始し、改善にも取り組まないソフトバンクはその一部ではあってもマネジメントシステムの欠落であることは否めない。
もともとソフトバンクは相当無理をしている企業という印象があるが、このように世間沙汰にならないところで多くの問題を抱えていると思うと、サービス利用に当たってはもっと慎重な態度が必要だ。
.*.
その後のフォローでは紛失させた担当者はショップを異動しているようだ。問題はサポートセンターの方なのに、sポートセンターからのコンタクトは何も無いらしい。内部処理だけでしかも出先の対応で済ます態度、この辺がまるでマネジメント問題を理解していないことの証になる。
.*.
2012年07月03日
クラウドの信頼性に盲点?アマゾンの事例検証
クラウドはハードウエアとサービスの対応関係をフレキシブルにしたものだから、ハードウエアの制約による性能低下、信頼性低下からフリーなのが有利なポイント。
ところが、クラウドサービスをもう一つのビジネスに仕立てているアマゾンでトラブルが立て続けに発生している。原因はアマゾン以外から来ているが、別サイトへの切り替えなどがスムーズに行かず結局サービス停止を招いている。
アマゾンのクラウドサービスのクライアントは小規模事業者が多いが、それだけ専門性の高いエンドユーザーサービスを行なっていてアマゾンクラウドのダウンによる影響は決して小さくない。
アマゾン・クラウドに限らないが、複数のベンダーによる協調型システムにならざるを得ない。しかも個別部分がそれぞれ成長していくので、ますます全容把握は困難。
福島原発も想定外が生じて簡単に弱点を露呈した。想定しなければいけないことまで想定外として扱われていた。会社間の軋轢、監督官庁や発注元との軋轢、技術者の面子、費用負担問題などが表に出てきて、本旨が置いていかれる自体が生じている。
アマゾンのクラウドの障害は、クラウドにもきっと何か特徴的な脆弱性が潜むであろうことを予感させてくれただけでも十分な価値のある現実だ。
.*.
クラウドはハードウエアとサービスの対応関係をフレキシブルにしたものだから、ハードウエアの制約による性能低下、信頼性低下からフリーなのが有利なポイント。
ところが、クラウドサービスをもう一つのビジネスに仕立てているアマゾンでトラブルが立て続けに発生している。原因はアマゾン以外から来ているが、別サイトへの切り替えなどがスムーズに行かず結局サービス停止を招いている。
アマゾンのクラウドサービスのクライアントは小規模事業者が多いが、それだけ専門性の高いエンドユーザーサービスを行なっていてアマゾンクラウドのダウンによる影響は決して小さくない。
アマゾン・クラウドに限らないが、複数のベンダーによる協調型システムにならざるを得ない。しかも個別部分がそれぞれ成長していくので、ますます全容把握は困難。
福島原発も想定外が生じて簡単に弱点を露呈した。想定しなければいけないことまで想定外として扱われていた。会社間の軋轢、監督官庁や発注元との軋轢、技術者の面子、費用負担問題などが表に出てきて、本旨が置いていかれる自体が生じている。
アマゾンのクラウドの障害は、クラウドにもきっと何か特徴的な脆弱性が潜むであろうことを予感させてくれただけでも十分な価値のある現実だ。
.*.
2012年06月28日
サイバー攻撃の恐怖
クローズアップ現代「サイバー攻撃の恐怖 狙われる日本のインフラ」 6月28日
途中から見た。後でビデオで最初から見てみよう。
工作機械のプログラムにもウイルスが入り込む。そのくだりでブラックリスト・ホワイトリストの話が出てくる。世間はまだまだ遅れていると、まだまだ手助けが必要なことが実感させられる。例に挙がった企業はアマダ。CPUの負荷率がブラックリストとホワイトリストで変わるのは意外だった。
あるコードを見つけた時に、これがブラックリストに登録されているかどうか調べるのはブラックの件数が増えると大変。ホワイトは既知情報の範囲だから不可は小さいのかもしれない。まあ、負荷率の問題以前にブラックリストは亜種が入ってくると対応できない欠陥があるのでオンラインサービスでは最初から無理でしょう。
USBメモリーで隔離された工場にウイルス蔓延
インフラの制御システムへの感染リスク
アメリカは国家安全保障としての国を挙げての取り組みが特徴。日本は民間ベース。サイバー戦争の現代ではのんびりした構えで企業自身が防衛的活動を強化せざるを得ない。
.*.
クローズアップ現代「サイバー攻撃の恐怖 狙われる日本のインフラ」 6月28日
途中から見た。後でビデオで最初から見てみよう。
工作機械のプログラムにもウイルスが入り込む。そのくだりでブラックリスト・ホワイトリストの話が出てくる。世間はまだまだ遅れていると、まだまだ手助けが必要なことが実感させられる。例に挙がった企業はアマダ。CPUの負荷率がブラックリストとホワイトリストで変わるのは意外だった。
あるコードを見つけた時に、これがブラックリストに登録されているかどうか調べるのはブラックの件数が増えると大変。ホワイトは既知情報の範囲だから不可は小さいのかもしれない。まあ、負荷率の問題以前にブラックリストは亜種が入ってくると対応できない欠陥があるのでオンラインサービスでは最初から無理でしょう。
USBメモリーで隔離された工場にウイルス蔓延
インフラの制御システムへの感染リスク
アメリカは国家安全保障としての国を挙げての取り組みが特徴。日本は民間ベース。サイバー戦争の現代ではのんびりした構えで企業自身が防衛的活動を強化せざるを得ない。
.*.
2012年06月21日
著作権法の改正(違法ダウンロードに罰則)インパクト
著作権法の改正:違法ダウンロードに罰則規定が付いた。罰則は2年以下の懲役または200万円以下の罰金。ダウンロードは子供でも誰でも出来てしまう実態を踏まえるとこの罰則は行き過ぎていると思われるほどに相当重い。例によって音楽業界の政治的圧力が功を奏した結果だ。米国に比べて日本の音楽関係者への保護は手厚すぎる印象だが、それを更に過剰なものに下のではないか。
サイトにアップした音楽データが違法かどうかは際と運営者では判断が付かないから、その責任はアップする人にありますよとやります。しかし、それで何処まで免罪されるかは分りません。単にチェックを入れるだけでOKとするのか更にエビデンスを求めるのか。何回か裁判でもやれば形は出来てくるでしょう。
しかし、
今回改定された内容:ダウンロードについてはもっと面倒かも知れません。アップされているコンテンツに著作権問題があるかどうかは利用者には判断が付かないからです。多分、違法も合法も全てのアップされているコンテンツは合法と判断するしかないからです。これは違法コンテンツと書いてあれば/表示されていれば判断できます。
サイト運営者が判断付かないものがユーザーに判断できるわけ無いでしょう。
入り口の違法コンテンツをアップロードした人に罰則があり、今度は出口のダウンロードした人に罰則があるなら、場所を貸していただけのサイト運営者にも責任を問われることは予見される。少なくとも説明責任を果たすなど争議に巻き込まれるのは必至でしょう。
.*.
ISMS的には企業はどうすべきか?
1) 自社のサイト、関連サイトへのコンテンツ提供:まあ従来どおり事前にチェックする。変更なし。
2) 社内が外部サイトを利用する。普通にインターネットを使うときに、違法ダウンロードに該当しないことを確認させなければいけない。しかし、その方法が多分、分らない。サイト信頼度を提供するサービスを利用するのかな?。フィルタリングサービスを強化して運用するか。
社員が自宅で利用するときはどうだろう。一定のことは守ってもらう必要がある。コンプライアンス違反は自宅でもNGです。
3) サイト運用者の場合は、最初の誓約書〜契約書のほかに、実際の運用のなかでもコンテンツ毎にチェックするなどの手順を求めることになるでしょう。
違法報告(不適切コンテンツの報告)を受けられる仕組みが必要。メジャーなネットサービスに今は殆どそういうページが用意されている。
一般のメールなどでの警告や、口コミサイトの噂を監視するなどの仕組みも求められる時代になっている。
.*.
日本のYouTubeは魅力的な違法コンテンツが消去され続け今は全く魅力的でない。洋物は数百万ダウンロードを誇るものが幾つも存在するので、再生リストは洋物中心になってしまった。日本の音楽業界の著作権意識が異常な結果ではないか。どの作品だって意識しているか否かに関わらず先人の影響を受けているに違いないのだからもっと寛容でいいのではないか。というより、多くの人に聞いてもらう歌ってもらうことが原点にあったのではないか。
.*.
著作権法の改正:違法ダウンロードに罰則規定が付いた。罰則は2年以下の懲役または200万円以下の罰金。ダウンロードは子供でも誰でも出来てしまう実態を踏まえるとこの罰則は行き過ぎていると思われるほどに相当重い。例によって音楽業界の政治的圧力が功を奏した結果だ。米国に比べて日本の音楽関係者への保護は手厚すぎる印象だが、それを更に過剰なものに下のではないか。
サイトにアップした音楽データが違法かどうかは際と運営者では判断が付かないから、その責任はアップする人にありますよとやります。しかし、それで何処まで免罪されるかは分りません。単にチェックを入れるだけでOKとするのか更にエビデンスを求めるのか。何回か裁判でもやれば形は出来てくるでしょう。
しかし、
今回改定された内容:ダウンロードについてはもっと面倒かも知れません。アップされているコンテンツに著作権問題があるかどうかは利用者には判断が付かないからです。多分、違法も合法も全てのアップされているコンテンツは合法と判断するしかないからです。これは違法コンテンツと書いてあれば/表示されていれば判断できます。
サイト運営者が判断付かないものがユーザーに判断できるわけ無いでしょう。
入り口の違法コンテンツをアップロードした人に罰則があり、今度は出口のダウンロードした人に罰則があるなら、場所を貸していただけのサイト運営者にも責任を問われることは予見される。少なくとも説明責任を果たすなど争議に巻き込まれるのは必至でしょう。
.*.
ISMS的には企業はどうすべきか?
1) 自社のサイト、関連サイトへのコンテンツ提供:まあ従来どおり事前にチェックする。変更なし。
2) 社内が外部サイトを利用する。普通にインターネットを使うときに、違法ダウンロードに該当しないことを確認させなければいけない。しかし、その方法が多分、分らない。サイト信頼度を提供するサービスを利用するのかな?。フィルタリングサービスを強化して運用するか。
社員が自宅で利用するときはどうだろう。一定のことは守ってもらう必要がある。コンプライアンス違反は自宅でもNGです。
3) サイト運用者の場合は、最初の誓約書〜契約書のほかに、実際の運用のなかでもコンテンツ毎にチェックするなどの手順を求めることになるでしょう。
違法報告(不適切コンテンツの報告)を受けられる仕組みが必要。メジャーなネットサービスに今は殆どそういうページが用意されている。
一般のメールなどでの警告や、口コミサイトの噂を監視するなどの仕組みも求められる時代になっている。
.*.
日本のYouTubeは魅力的な違法コンテンツが消去され続け今は全く魅力的でない。洋物は数百万ダウンロードを誇るものが幾つも存在するので、再生リストは洋物中心になってしまった。日本の音楽業界の著作権意識が異常な結果ではないか。どの作品だって意識しているか否かに関わらず先人の影響を受けているに違いないのだからもっと寛容でいいのではないか。というより、多くの人に聞いてもらう歌ってもらうことが原点にあったのではないか。
.*.
東電の福島原発事故調査報告の問題点
昨日の東電福島原発事故調査報告(東電による内部調査)のニュースで面白いやり取りがあった。東電の現場放棄?全員退避?の下り。マニュアル(手順書)には全員退避だが「災害対策要員は除く」と記載があるから全員退避ではないと東電が主張している。
ISMSの関係者なら失笑ものでしょう。
1)この但し書きが記載されたのはいつか。それはどのように周知されたか。周知の確認〜教育の状況はどうであったかを記録から確認されていなければいけない。
2)事故当時の対策要員は誰か?それは本人へはどのように指示されていたか?
3)1)に重複するが一般理解とは別に役割を担当する前提で、対策要員は自分の役割責任を理解していたか?
4)災害対策要員としての活動の記録は手順書に沿って確認されなければいけない。記録が無い場合は記憶に基づいてでもその空間を埋めていかなければいけない。矛盾があればそれも記載しておくべきだ。
A:行動のレビュー:手順どおりに出来たか。
B:手順のレビュー:想定した手順の妥当性
こんなことは初歩的なこと。東電に人材が居ない訳では無いでしょうが、極度に政治的対応が迫られる中では、責任を外に転嫁したり、問題の所在を見せない報告書に纏め上げる方に力が注がれている印象だ。
真実を見ようとしなければ、本質課題を抽出しようとしなければ、改善することを狙いとしなければ、全く無意味な調査報告に終わってしまう。
例えば、この規模の津波は想定外として原因究明に取り込んでいないが、津波のリスクを指摘する外部(内部も?)の声に対して、真摯に取り組む体制もなかった、体制がなくても一人でもその子を聞いてテーブル(会議の席)に上げれば(一声発生すれば)、何らかの判断はされるはずだが、その判断の方法論にも問題は有った可能性が指摘できる。
.*.
分厚い調査報告書は問題を隠すときの常套手段。古典的な手法をとる東電経営陣とスタッフは保身主義に毒されている印象だ。
.*.
昨日の東電福島原発事故調査報告(東電による内部調査)のニュースで面白いやり取りがあった。東電の現場放棄?全員退避?の下り。マニュアル(手順書)には全員退避だが「災害対策要員は除く」と記載があるから全員退避ではないと東電が主張している。
ISMSの関係者なら失笑ものでしょう。
1)この但し書きが記載されたのはいつか。それはどのように周知されたか。周知の確認〜教育の状況はどうであったかを記録から確認されていなければいけない。
2)事故当時の対策要員は誰か?それは本人へはどのように指示されていたか?
3)1)に重複するが一般理解とは別に役割を担当する前提で、対策要員は自分の役割責任を理解していたか?
4)災害対策要員としての活動の記録は手順書に沿って確認されなければいけない。記録が無い場合は記憶に基づいてでもその空間を埋めていかなければいけない。矛盾があればそれも記載しておくべきだ。
A:行動のレビュー:手順どおりに出来たか。
B:手順のレビュー:想定した手順の妥当性
こんなことは初歩的なこと。東電に人材が居ない訳では無いでしょうが、極度に政治的対応が迫られる中では、責任を外に転嫁したり、問題の所在を見せない報告書に纏め上げる方に力が注がれている印象だ。
真実を見ようとしなければ、本質課題を抽出しようとしなければ、改善することを狙いとしなければ、全く無意味な調査報告に終わってしまう。
例えば、この規模の津波は想定外として原因究明に取り込んでいないが、津波のリスクを指摘する外部(内部も?)の声に対して、真摯に取り組む体制もなかった、体制がなくても一人でもその子を聞いてテーブル(会議の席)に上げれば(一声発生すれば)、何らかの判断はされるはずだが、その判断の方法論にも問題は有った可能性が指摘できる。
.*.
分厚い調査報告書は問題を隠すときの常套手段。古典的な手法をとる東電経営陣とスタッフは保身主義に毒されている印象だ。
.*.
2012年05月28日
本当に居るの?ヤクザまがいの審査員&コンサル!
これは、ヤクザさんのレベルをどのように設定するかで違いますが、確かにそういう話は聞きます。火の無いところに煙は立たない。審査員はクライアントを脅していますし、コンサルはクライアントも脅せば審査員も脅しています。多分。癒着の関係は裏返せば恫喝・恐喝の関係です。ご都合・欲得のためにはいつでも手のひらを返すのがこういう世界。でしょう?。
会社レベルでやっているところは流石に有り得ません。審査員とかコンサル個人の資質の問題と捕らえたい。もっとも、個人事業レベルからスタートしている小規模コンサルでは社長が自ら脅しをやっているので会社レベルになりかねません。困りますね。審査とかコンサルはある意味では密室の中ですから、飲み屋さんで聞く件数をはるかに超える実態があるように思います。
.*.
これは、ヤクザさんのレベルをどのように設定するかで違いますが、確かにそういう話は聞きます。火の無いところに煙は立たない。審査員はクライアントを脅していますし、コンサルはクライアントも脅せば審査員も脅しています。多分。癒着の関係は裏返せば恫喝・恐喝の関係です。ご都合・欲得のためにはいつでも手のひらを返すのがこういう世界。でしょう?。
会社レベルでやっているところは流石に有り得ません。審査員とかコンサル個人の資質の問題と捕らえたい。もっとも、個人事業レベルからスタートしている小規模コンサルでは社長が自ら脅しをやっているので会社レベルになりかねません。困りますね。審査とかコンサルはある意味では密室の中ですから、飲み屋さんで聞く件数をはるかに超える実態があるように思います。
.*.
PB商品のコンプライアンス
プライベートブランド商品が増えているがPB商品は通常のメーカー品とは違って下請法の適用を受ける。下請け代金支払地遠投防止法。小売業の利益の源泉になっているが、あくまでもこれは製造委託された商品。他所では売れない。PB商品の契約後の価格の見直し、在庫引き取り、利益供与の要請などはコンプライアンス違反になる。
ISMSとは直接関係無いがそういう事実が確認されたら放置は出来ない。
ISMSでは委託先の情報管理の問題として出てくる。商品の売買契約の相手に対する情報管理とはレベルアップが必要。PB商品のQCDM全てに関わってくる。
.*.
イトーヨーカ堂でもジャスコでももっと事業規模の小さなコンビにでも衣料品店でもプライベート商品は差別化戦略の要として溢れている。当たり外れもあるだろうが、大手メーカーが相手ならいざ知らず、相手が小さいと結果的には虐めが発生する。企画担当者の尻拭いをさせられるわけだ。注意深く監視しましょう。
.*.
プライベートブランド商品が増えているがPB商品は通常のメーカー品とは違って下請法の適用を受ける。下請け代金支払地遠投防止法。小売業の利益の源泉になっているが、あくまでもこれは製造委託された商品。他所では売れない。PB商品の契約後の価格の見直し、在庫引き取り、利益供与の要請などはコンプライアンス違反になる。
ISMSとは直接関係無いがそういう事実が確認されたら放置は出来ない。
ISMSでは委託先の情報管理の問題として出てくる。商品の売買契約の相手に対する情報管理とはレベルアップが必要。PB商品のQCDM全てに関わってくる。
.*.
イトーヨーカ堂でもジャスコでももっと事業規模の小さなコンビにでも衣料品店でもプライベート商品は差別化戦略の要として溢れている。当たり外れもあるだろうが、大手メーカーが相手ならいざ知らず、相手が小さいと結果的には虐めが発生する。企画担当者の尻拭いをさせられるわけだ。注意深く監視しましょう。
.*.
2012年05月27日
DOWAハイテック産廃垂れ流し事件の影響
DOWAグループのDOWAハイテックが産業廃棄物の垂れ流しをやった。実際に手を汚したのは委託先業者とのことだが、管理責任・説明責任は免れない。千葉県などでは取水制限が行われ断水の事態に至った。市民の安全を危うくする重大事故・重大事件だ。当然、刑事罰に加えて損害賠償などの民事罰も発生していいだろう。
このDOWAハイテックのホームページを見て驚く。JQA日本品質保証機構のシンボルマークが2つも並んで表示されている。JQAがDOWAハイテックの品質・環境に関するマネジメントは大丈夫と世間の表明している訳です。DOWAグループでは再犯に近い事態ですが、ですからJQAはしっかり審査しなければいけない分けですが結局いい加減な状態でもOKを出したとなります。
JQAにも、担当した審査員にも説明責任は発生します。断水で迷惑を被った市民には説明を求める権利があります。JQAの問題だけでは有りません。第三者認証制度の信頼性そのものに問題を起こすことになります。ISMSも同じ穴の狢になりかねません。QMSとかEMSだからISMSは無関係では済まされません。
.*.
DOWAハイテック
http://www.dowa-hightech.co.jp/
DOWAハイテックのホームページ(トップページ)を見ても断水の事態を招いた責任に関する文字は何も有りません。こんな無責任な会社に産廃処理を委託して側にも問題があります。こんな無責任会社にお墨付きを与えたJQAにも責任の一端はあります。少なくとも説明責任はあるでしょう。
JQA日本品質保証機構
http://www.jqa.jp/
JQAのホームページ(トップページ)を見てもDOWAホルムアルデヒド薬剤垂れ流しに関する一文字もありません。「我関せず」なんでしょうか?。日本最大の審査機関にしてこの体たらく。無責任姿勢ですからあきれ返ります。耐震偽装の審査機関と同じ無責任な構造です。
.*.
5月29日、親会社になるDOWAホールディングスは埼玉県に今回の廃液処理について 「適切に我意日委託した」とする報告を行ったらしい。埼玉県は黙って受理したのだろうか?
適切でなかったから問題が発生したのであるという基本が両当事者からは何も伝わってこない。適切であれば再発防止策は不要となるわけだから何も変わらず再発リスクを抱えることになる。サルでも分り理屈だ。
適切な委託とは委託先の能力の判定、能力発揮状態の監視まで含むものだ。新聞の報道によると、仁科正行取締役は委託業者に安全管理に必要な情報は「充分に情報提供したと考えている」と発言したらしいが無責任極まりない。役員が勝手に考えたってどうしようもない。そのように判断した根拠を示さなければ意味が無い。こんな馬鹿な発言をする役員が要るというだけで疑問符はドンドン増える。
さらなる説明責任の追及が必要だろうし、これは事件として扱う問題だろう。
.*.
DOWAグループのDOWAハイテックが産業廃棄物の垂れ流しをやった。実際に手を汚したのは委託先業者とのことだが、管理責任・説明責任は免れない。千葉県などでは取水制限が行われ断水の事態に至った。市民の安全を危うくする重大事故・重大事件だ。当然、刑事罰に加えて損害賠償などの民事罰も発生していいだろう。
このDOWAハイテックのホームページを見て驚く。JQA日本品質保証機構のシンボルマークが2つも並んで表示されている。JQAがDOWAハイテックの品質・環境に関するマネジメントは大丈夫と世間の表明している訳です。DOWAグループでは再犯に近い事態ですが、ですからJQAはしっかり審査しなければいけない分けですが結局いい加減な状態でもOKを出したとなります。
JQAにも、担当した審査員にも説明責任は発生します。断水で迷惑を被った市民には説明を求める権利があります。JQAの問題だけでは有りません。第三者認証制度の信頼性そのものに問題を起こすことになります。ISMSも同じ穴の狢になりかねません。QMSとかEMSだからISMSは無関係では済まされません。
.*.
DOWAハイテック
http://www.dowa-hightech.co.jp/
DOWAハイテックのホームページ(トップページ)を見ても断水の事態を招いた責任に関する文字は何も有りません。こんな無責任な会社に産廃処理を委託して側にも問題があります。こんな無責任会社にお墨付きを与えたJQAにも責任の一端はあります。少なくとも説明責任はあるでしょう。
JQA日本品質保証機構
http://www.jqa.jp/
JQAのホームページ(トップページ)を見てもDOWAホルムアルデヒド薬剤垂れ流しに関する一文字もありません。「我関せず」なんでしょうか?。日本最大の審査機関にしてこの体たらく。無責任姿勢ですからあきれ返ります。耐震偽装の審査機関と同じ無責任な構造です。
.*.
5月29日、親会社になるDOWAホールディングスは埼玉県に今回の廃液処理について 「適切に我意日委託した」とする報告を行ったらしい。埼玉県は黙って受理したのだろうか?
適切でなかったから問題が発生したのであるという基本が両当事者からは何も伝わってこない。適切であれば再発防止策は不要となるわけだから何も変わらず再発リスクを抱えることになる。サルでも分り理屈だ。
適切な委託とは委託先の能力の判定、能力発揮状態の監視まで含むものだ。新聞の報道によると、仁科正行取締役は委託業者に安全管理に必要な情報は「充分に情報提供したと考えている」と発言したらしいが無責任極まりない。役員が勝手に考えたってどうしようもない。そのように判断した根拠を示さなければ意味が無い。こんな馬鹿な発言をする役員が要るというだけで疑問符はドンドン増える。
さらなる説明責任の追及が必要だろうし、これは事件として扱う問題だろう。
.*.
2012年05月24日
エーエスアールの検索が相変わらず多いのは何故だ?
エーエスアールASRって、そんなにメジャーな審査機関でもないのにどういうことだろう。普通ならJQAとかBSIとかがメインラインの筈。もっともメインラインはそれぞれしっかりホームページで情報を提供しているので、このブログサイトが検索でヒットすることは無い。このサイトでASRがヒットするのは他で適当な情報が提供されていないからだろう。
この審査会社に対する世間の信頼が未だ出来ていないこと。酷い目に合うことはないか。新参に対して色々心配するのは当然。 企業のセキュリティ情報が何らかの形でその審査会社には洩れてしまうわけで、いくら機密保持契約(NDA)を締結していても、その審査会社あるいは審査員が不始末をやってしまえばそれまでです。
もっとも、大手の審査会社でも中には平気でパワーハラスメントをやっているような悪い審査員も混じりこみますから手放しで安心は出来ません。セクハラでは女性の社員を摘み食いしたり。悪い奴ほど出世する?。
どちらにしても、サラリーマンをさっさっと途中で放り出した若い審査員だったら、遠慮しておきたい。IT技術に長けることとISMSは別物。ITの専門家であるからと言ってマネジメントに優れているわけでない。60歳以下の審査員では、会社組織の理解は表面的なものでしかない懸念があります。件のASRは60歳以下の採用をやっていないのでその辺は心配。
普通の会社でせめて50歳までは働いて十分な管理職の経験があって、その習熟したものを世の中に還元するマネジメント審査なら、受ける価値はあるだろうが、自分ではろくに組織マネジメントの経験実績も無いくせに、言葉面だけでマネジメントの話をされても嫌なものです。
コンサルも似たようなところがある。大手の組織で長年の実績が無い渡り鳥コンサル、渡り鳥審査員は経歴で直ぐ分かること。言葉の表面上の物言いはさわやかでも、帰ってもらいます。
それはそうでしょう。若い審査員やコンサルを使って、結局はビジネス・パフォーマンスばかり追及しているようなところの餌食にはなりたくない。
費用抜きでじっくりお付き合いできる本当のボランティアがいれば、その方がはるかに有用で有り難いものだ。
.*.
異常なアクセスが繰り返されるところから、逆にASRに何らかの問題?特別な事情?があると考えてしまうのは当然のことだろう。
.*.
特に気になるのはクレーム照会の存在。普通に考えれば審査実績の多いJQA(国内)とかBSI(外資)についての照会が多くてもいい筈だが気になるほどでは無い。審査実績の比率で見ると圧倒的にASRが多いのだ。マーケティング手法の違いによるものだろうか。
エーエスアールASRって、そんなにメジャーな審査機関でもないのにどういうことだろう。普通ならJQAとかBSIとかがメインラインの筈。もっともメインラインはそれぞれしっかりホームページで情報を提供しているので、このブログサイトが検索でヒットすることは無い。このサイトでASRがヒットするのは他で適当な情報が提供されていないからだろう。
この審査会社に対する世間の信頼が未だ出来ていないこと。酷い目に合うことはないか。新参に対して色々心配するのは当然。 企業のセキュリティ情報が何らかの形でその審査会社には洩れてしまうわけで、いくら機密保持契約(NDA)を締結していても、その審査会社あるいは審査員が不始末をやってしまえばそれまでです。
もっとも、大手の審査会社でも中には平気でパワーハラスメントをやっているような悪い審査員も混じりこみますから手放しで安心は出来ません。セクハラでは女性の社員を摘み食いしたり。悪い奴ほど出世する?。
どちらにしても、サラリーマンをさっさっと途中で放り出した若い審査員だったら、遠慮しておきたい。IT技術に長けることとISMSは別物。ITの専門家であるからと言ってマネジメントに優れているわけでない。60歳以下の審査員では、会社組織の理解は表面的なものでしかない懸念があります。件のASRは60歳以下の採用をやっていないのでその辺は心配。
普通の会社でせめて50歳までは働いて十分な管理職の経験があって、その習熟したものを世の中に還元するマネジメント審査なら、受ける価値はあるだろうが、自分ではろくに組織マネジメントの経験実績も無いくせに、言葉面だけでマネジメントの話をされても嫌なものです。
コンサルも似たようなところがある。大手の組織で長年の実績が無い渡り鳥コンサル、渡り鳥審査員は経歴で直ぐ分かること。言葉の表面上の物言いはさわやかでも、帰ってもらいます。
それはそうでしょう。若い審査員やコンサルを使って、結局はビジネス・パフォーマンスばかり追及しているようなところの餌食にはなりたくない。
費用抜きでじっくりお付き合いできる本当のボランティアがいれば、その方がはるかに有用で有り難いものだ。
.*.
異常なアクセスが繰り返されるところから、逆にASRに何らかの問題?特別な事情?があると考えてしまうのは当然のことだろう。
.*.
特に気になるのはクレーム照会の存在。普通に考えれば審査実績の多いJQA(国内)とかBSI(外資)についての照会が多くてもいい筈だが気になるほどでは無い。審査実績の比率で見ると圧倒的にASRが多いのだ。マーケティング手法の違いによるものだろうか。
2012年05月08日
消費者庁のコンプ・ガチャ商法違法性を判断へのISMSインパクト
コンプ・ガチャはコンプリートガチャ:Complete Gotcha。ガチャ(アイテム)のセット完成させる。適用法令は景品表示法。パチンコなどと同じ?。ゲームの中のアイテムこれとこれをセットで揃えるとレアもののこれが手に入るなどと過渡に購買を煽る行為ということかな。
ソーシャルゲームの中にも似たような手口?のものが少なくない。キャンペーンと称するものも見ようによってはグレーゾーンに入ってくるだろう。
消費者庁としての明確な基準が引けないことも問題だが、マーケットの実態が変遷する中では後追いになるのは避けられず後追いは止むを得ないところもある。
.*.
ISMSインパクト?
コンプライアンス問題は緊急を要する。マーケティング部門、宣伝部門、販売部門、営業部門に実態を確認させる。もっと、消費者と接点を持たない組織ならただの事例紹介程度でいいだろう。
注意すべきは、
(1)販売委託などを外部に行っているケース
(2)アプリケーションサーバーなどを外部から受託運用しているケース
直接の責任を問われることは無いだろうが、犯罪に利用されていることを放置していては組織に対する信用問題が出てこないとも限らない。
.*.
コンプ・ガチャはコンプリートガチャ:Complete Gotcha。ガチャ(アイテム)のセット完成させる。適用法令は景品表示法。パチンコなどと同じ?。ゲームの中のアイテムこれとこれをセットで揃えるとレアもののこれが手に入るなどと過渡に購買を煽る行為ということかな。
ソーシャルゲームの中にも似たような手口?のものが少なくない。キャンペーンと称するものも見ようによってはグレーゾーンに入ってくるだろう。
消費者庁としての明確な基準が引けないことも問題だが、マーケットの実態が変遷する中では後追いになるのは避けられず後追いは止むを得ないところもある。
.*.
ISMSインパクト?
コンプライアンス問題は緊急を要する。マーケティング部門、宣伝部門、販売部門、営業部門に実態を確認させる。もっと、消費者と接点を持たない組織ならただの事例紹介程度でいいだろう。
注意すべきは、
(1)販売委託などを外部に行っているケース
(2)アプリケーションサーバーなどを外部から受託運用しているケース
直接の責任を問われることは無いだろうが、犯罪に利用されていることを放置していては組織に対する信用問題が出てこないとも限らない。
.*.
2012年04月18日
東京メトロ職員の「パスモ」ストーカー事件の教訓
件の職員は懲戒解雇処分となったが東京メトロとしてはこれで終わらせる訳には行くまい。東京メトロはパスモ端末から間単に個人情報を盗み出すことが出来るという環境を提供してしまった。今回はストーカーと言う側面があったから表に出たが、ひっそりと個人情報は閲覧されていたかもしれないし、っこんかいのストーカーでなくても誰かが何かで問題を起こしたかもしれない。
要するに今回の事件を起こした要因はメトロのシステム管理、情報管理、セキュリティ管理のいい加減差にあります。東京メトロは個人の問題にすり替え、置き換えて、済ましては居ないだろうか?
問題が大きいのはシステム改変の仕組み・手順の方だ。どういうリスクを持つことになるか事前の検討不足は免れない。
当面の対策:
誰が誰の情報にアクセスしたかが分かるようにしておくこと。アクセスの理由。端末利用はログイン機構を利用させること。
本人がカードを持参している時 も、識別されること。
特定の人が相当の複数回アクセスしたらアラートが出ること。過去1年の平均値より10%乖離したらでもいいだろう。
特定の人が特定の人に複数回アクセスしたらアラーとが出ること。
手順の改善:
メーカー任せになっていることからの脱却。
役割責任の再確認。
発注責任者も相当問題が大きい。
.*.
件の職員は懲戒解雇処分となったが東京メトロとしてはこれで終わらせる訳には行くまい。東京メトロはパスモ端末から間単に個人情報を盗み出すことが出来るという環境を提供してしまった。今回はストーカーと言う側面があったから表に出たが、ひっそりと個人情報は閲覧されていたかもしれないし、っこんかいのストーカーでなくても誰かが何かで問題を起こしたかもしれない。
要するに今回の事件を起こした要因はメトロのシステム管理、情報管理、セキュリティ管理のいい加減差にあります。東京メトロは個人の問題にすり替え、置き換えて、済ましては居ないだろうか?
問題が大きいのはシステム改変の仕組み・手順の方だ。どういうリスクを持つことになるか事前の検討不足は免れない。
当面の対策:
誰が誰の情報にアクセスしたかが分かるようにしておくこと。アクセスの理由。端末利用はログイン機構を利用させること。
本人がカードを持参している時 も、識別されること。
特定の人が相当の複数回アクセスしたらアラートが出ること。過去1年の平均値より10%乖離したらでもいいだろう。
特定の人が特定の人に複数回アクセスしたらアラーとが出ること。
手順の改善:
メーカー任せになっていることからの脱却。
役割責任の再確認。
発注責任者も相当問題が大きい。
.*.
2012年04月14日
http://www.sitepoint.com/unix-style-operating-systems/
UNIX(ユニックス)の38年問題へのISMS的対応は済んでますか?
システム担当者、サーバー担当者の間では遠くの昔に話は終わっているはずですが、改めて点検しておきたい警鐘記事が出ていた。
32ビット版UNIXでは、2038年1月に時間カウントが限界を迎える。2000年問題のUNIX版ということだ。2000年問題は大山鳴動ねずみ一匹?
しかし、UNIXの場合は始末が悪い。
1つは、基幹系に利用されているケースが多く、問題が出たら大事になってしまうこと。
2つはUNIXは亜流が実に色々あるから対策の範囲が特定し難いということ。
2004年の銀行20行のATMトラブルの原因がこの38年問題に起因することは多分業界人の常識なんだろうが、 2038年が運用上のタイムスパンに入るだけで問題は表面化することに留意すべきだ。要するに、2038年の問題でなく、。今日的な問題として充分理解できているかということになる。
さて、ISMSです。
脅威(脆弱性?)の概要、あるいは脅威の発端となる概要は理解できる。
対策担当者をどのようにアサインすることが出来るか?基幹系サーバーなら 情報システム部門で話は早い。情報システム部門の目が届かないところにリスクは無いのかという話になる。
<何処に38年問題が潜むか?>
基幹サーバー:情報システム部門
部門サーバー:
部門パソコン:パソコンを勝手にサーバー化利用するケース。
デジタル技術応用機器:コンピューターと思っていないが内部ではUNIX系のコンパクトOSが動いているケース。
設備等のコントロールシステム:デジタル機器と認識できるものの姿も見えない可能性がある。納入業者あるいはメーカーに確認するしか無いだろう。
<脆弱性の状況は?>
64ビット版か、既に対策済みか、など。
<資産価値?>
発生する状況(情報資産の状況)と被害額の算定。直接、間接に脅威を受ける情報資産の洗い出しを行う。最終的なビジネスインパクト。この算定は、しかし、難しすぎる。
<対策?>
脆弱性改善の方法論、必要リソース。優先順位を付けて実施する。影響の大きさ(資産価値?)を理解して 対策を検討する。いつものことだ。
.*.
もし、38年問題を既に脅威の一つとして検討済みならいいが、リスク(脅威)として捉えていなかった場合は、脅威の洗い出しプロセスに穴が開いていたことになる。2004年尾銀行ATMトラブルでも予防処置が回らなかったらそのプロセスも問題だ。
今までのは、結果論ではあるが、ISMSに似て非なるものをやっていたに過ぎない 。
.*.
2012年04月12日
ビジネスマンの新IT非常識
雑誌にビジネスマンの新IT常識(ITリテラシー)とする記事が出ていたが結構これは大変だなと。第3回とあるから連載記事なんだろう。しかし、この記事を書いた人は大手企業のセキュリティ事情と個人事業者のセキュリティ事情を取り違えている可能性がある。注意されたい。
(新常識)
会社と同じメアドで自宅でもメールが出来るようにする。アドレス帳も移行させる。
(非常識)
会社業務関連の情報が自宅に勝手に保管されることになり問題。メアド情報自体も持ち出しは不適切。
( 新常識 )
仕事用のメールはスマホを使って24時間チェック。
(非常識)
私物のスマホ内に会社情報が蓄積されないか。スマホ自体の安全にも対策は出来ているのか。個人のスマホが管理状態にあるのかどうか。
(常識)メールの添付忘れ防止のために、メール送信は一旦送信ボックスに留め置かれる設定にする。
⇒ 確実ではないが一定の効果は期待できそうだ。
( 新常識 )取引先メールをスマホでダブルチェックするために一旦全てをGメールに転送。
(非常識)スマホ利用の是非に加えて、Gメール利用の是非も判断が必要。とは言え企業内にGメールを導入しているケースもあり並みのメールシステムよりはセキュア。フリーソフト禁止で一括りする会社はIT部門が弱い証拠だ。
( 新常識 )
営業活動などでは積極的にそー者ネットワーク(ツイッター、フェイスブック、グーグル+、タンブラー、リンクトインなど)を利用する。
(非常識)
ソーシャルネットは双方向の情報サービスで受ける情報も有れば出す情報もある。利用基準を定めなければうかつには利用できない。異なる顧客の情報が錯綜しないか。その前に組織として利用基準が必要。定めが無いときは取り敢えず自由なのか禁止なのか。問題は、会社では禁止しても私的な情報交換の範疇に入ってくるとどこまで拘束できるか。
( 新常識 )
フェイスブックのビジネス利用ではプロフィールの公開範囲を友達の友達までとかに制限すること。又プロフィールの検索が出来ない設定にすること。仕事仲間のサイトを紹介。
⇒ ソーシャルネットSNSのビジネス利用は個人事業無ければ先ず無理でしょう。個人事業は仲間内の共感・協力を得て進めることができるのでSNS利用にも大きな矛盾を抱え込まないで住む場合もある。
( 新常識 )
外出先・出張先の待ち合わせにスマホSNSのチェックイン機能を使う。FBの場合は情報公開相手を特定して指定するのが面倒だが、Google+のサークルを使えば簡単に出来る。
(非常識)
しかしSNSに参加しているのが前提になるから、一般利用は無理でしょう。
( 新常識 )
ソーシャルネットのプロフィールを個人用と業務用(ビジネス用)と分けて2つ持つ。
⇒目からうろこだね。主催者がいきなり禁止してこなければいいが、公私混同の改善には有用と思われる。その場合も運用の限界、誰がどのようにチェックできるのか、課題も多い。
.*.
雑誌にビジネスマンの新IT常識(ITリテラシー)とする記事が出ていたが結構これは大変だなと。第3回とあるから連載記事なんだろう。しかし、この記事を書いた人は大手企業のセキュリティ事情と個人事業者のセキュリティ事情を取り違えている可能性がある。注意されたい。
(新常識)
会社と同じメアドで自宅でもメールが出来るようにする。アドレス帳も移行させる。
(非常識)
会社業務関連の情報が自宅に勝手に保管されることになり問題。メアド情報自体も持ち出しは不適切。
( 新常識 )
仕事用のメールはスマホを使って24時間チェック。
(非常識)
私物のスマホ内に会社情報が蓄積されないか。スマホ自体の安全にも対策は出来ているのか。個人のスマホが管理状態にあるのかどうか。
(常識)メールの添付忘れ防止のために、メール送信は一旦送信ボックスに留め置かれる設定にする。
⇒ 確実ではないが一定の効果は期待できそうだ。
( 新常識 )取引先メールをスマホでダブルチェックするために一旦全てをGメールに転送。
(非常識)スマホ利用の是非に加えて、Gメール利用の是非も判断が必要。とは言え企業内にGメールを導入しているケースもあり並みのメールシステムよりはセキュア。フリーソフト禁止で一括りする会社はIT部門が弱い証拠だ。
( 新常識 )
営業活動などでは積極的にそー者ネットワーク(ツイッター、フェイスブック、グーグル+、タンブラー、リンクトインなど)を利用する。
(非常識)
ソーシャルネットは双方向の情報サービスで受ける情報も有れば出す情報もある。利用基準を定めなければうかつには利用できない。異なる顧客の情報が錯綜しないか。その前に組織として利用基準が必要。定めが無いときは取り敢えず自由なのか禁止なのか。問題は、会社では禁止しても私的な情報交換の範疇に入ってくるとどこまで拘束できるか。
( 新常識 )
フェイスブックのビジネス利用ではプロフィールの公開範囲を友達の友達までとかに制限すること。又プロフィールの検索が出来ない設定にすること。仕事仲間のサイトを紹介。
⇒ ソーシャルネットSNSのビジネス利用は個人事業無ければ先ず無理でしょう。個人事業は仲間内の共感・協力を得て進めることができるのでSNS利用にも大きな矛盾を抱え込まないで住む場合もある。
( 新常識 )
外出先・出張先の待ち合わせにスマホSNSのチェックイン機能を使う。FBの場合は情報公開相手を特定して指定するのが面倒だが、Google+のサークルを使えば簡単に出来る。
(非常識)
しかしSNSに参加しているのが前提になるから、一般利用は無理でしょう。
( 新常識 )
ソーシャルネットのプロフィールを個人用と業務用(ビジネス用)と分けて2つ持つ。
⇒目からうろこだね。主催者がいきなり禁止してこなければいいが、公私混同の改善には有用と思われる。その場合も運用の限界、誰がどのようにチェックできるのか、課題も多い。
.*.
2012年04月10日
ISO17021の2011改定
何がどのように改定された歯知らない。この規格は審査員又は審査機関にたいするものだから。
これを手掛かりに認定基幹は審査機関を厳しく監視する。結果、審査機関の問題行為は減る。
問題行為とは癒着、なれあい、。
暗躍型のコンサルが困る事態ならほんものだけど、あまり影響は出ていない。多分。
何がどのように改定された歯知らない。この規格は審査員又は審査機関にたいするものだから。
これを手掛かりに認定基幹は審査機関を厳しく監視する。結果、審査機関の問題行為は減る。
問題行為とは癒着、なれあい、。
暗躍型のコンサルが困る事態ならほんものだけど、あまり影響は出ていない。多分。
2012年04月04日
ヒヤリハット対策
ヒヤリハット対策について運送業のクラウド利用事例としてコラム記事が出ていた。川崎市の寺元運送。システム化はユニシス。
ISMSとの関連は?
このケースではビデオ情報の管理だろうか。個人情報、特にプライバシー問題。
.*.
もっと重要なことはISMSとしてヒヤリハット管理への示唆。
ISMS上のヒヤリハット、セキュリティ弱点の把握についても関連がある。ISMSでは本人の自発的な報告が前提だが、この運送会社の事例は常時監視という手段でヒヤリハットを把握しようとしていること。が特徴的。自発的な報告ぐらい当てになら無いものはない。
ここで示されたブレークスルーは「人の監視」に一歩踏み込んだことでしょう。
情報資産に関わる作業の自動監視と分析ツールが必要ですね。人はどういう時にミスをするのか。
既に幾つかあるようですが、有用性についての報告はあまり聞かれません。
まだまだこれからのようです。
.*.
ヒヤリハット対策について運送業のクラウド利用事例としてコラム記事が出ていた。川崎市の寺元運送。システム化はユニシス。
ISMSとの関連は?
このケースではビデオ情報の管理だろうか。個人情報、特にプライバシー問題。
.*.
もっと重要なことはISMSとしてヒヤリハット管理への示唆。
ISMS上のヒヤリハット、セキュリティ弱点の把握についても関連がある。ISMSでは本人の自発的な報告が前提だが、この運送会社の事例は常時監視という手段でヒヤリハットを把握しようとしていること。が特徴的。自発的な報告ぐらい当てになら無いものはない。
ここで示されたブレークスルーは「人の監視」に一歩踏み込んだことでしょう。
情報資産に関わる作業の自動監視と分析ツールが必要ですね。人はどういう時にミスをするのか。
既に幾つかあるようですが、有用性についての報告はあまり聞かれません。
まだまだこれからのようです。
.*.
2012年04月02日
他人事で済まされないグーグル「サジェスト機能」リスク!
グーグル検索のサジェスト機能によって氏名を入力すると氏名の後に犯罪を連想させるような不適切な言葉が自動表示されてしまう事態が発生し、東京地裁は自動表示に対する差し止め命令を出したが、グーグル側は応じない。日本法人では手が打てない。米本社も機械が勝手にやっているとのことd応じない。検索キーワードを勝手に連想して自動表示させるサジェスト機能は時として邪魔なことも多い。どのように切ることができるのか分らない。以前は自分で利用しない設定が出来たが今は良く分らない。
これはある個人に降りかかった災難だ。しかし、これが企業の重要人物(社長など)の名前で発生したらどうします。企業名、商品名、そういったものでも、間の悪いサジェストが行われるケースがあります。
見て見ない振りをしますか?
検索結果でも同じようなことは発生します。検索ランキングで社名を入れたら、会社のホームページの上に、会社を避難するようなサイト記事が表示されることがあります。どうしますか?ホームページで
何か案内をして詳しくはホームページでとやったら会社尾w否定するページが出てきたら商売になりません。
これは事業継続問題ですか、コンプライアンス問題ですか、両方ですか。
手順を決めていますか?
グーグルを訴えるための証拠・記録の収集は確実ですか?
誰にでも、どの企業にも、いつおきるとも知れないリスクケースです。
グーグル検索のサジェスト機能によって氏名を入力すると氏名の後に犯罪を連想させるような不適切な言葉が自動表示されてしまう事態が発生し、東京地裁は自動表示に対する差し止め命令を出したが、グーグル側は応じない。日本法人では手が打てない。米本社も機械が勝手にやっているとのことd応じない。検索キーワードを勝手に連想して自動表示させるサジェスト機能は時として邪魔なことも多い。どのように切ることができるのか分らない。以前は自分で利用しない設定が出来たが今は良く分らない。
これはある個人に降りかかった災難だ。しかし、これが企業の重要人物(社長など)の名前で発生したらどうします。企業名、商品名、そういったものでも、間の悪いサジェストが行われるケースがあります。
見て見ない振りをしますか?
検索結果でも同じようなことは発生します。検索ランキングで社名を入れたら、会社のホームページの上に、会社を避難するようなサイト記事が表示されることがあります。どうしますか?ホームページで
何か案内をして詳しくはホームページでとやったら会社尾w否定するページが出てきたら商売になりません。
これは事業継続問題ですか、コンプライアンス問題ですか、両方ですか。
手順を決めていますか?
グーグルを訴えるための証拠・記録の収集は確実ですか?
誰にでも、どの企業にも、いつおきるとも知れないリスクケースです。
イカタコウイルス作成者に二審も実刑判決の意味
東京高裁3/26の控訴審における判決。中辻正人(28)被告は器物損壊罪の適用を受けている。ウイルスがハードディスクの使用を出来なくしたとして罪を問われている。再初期化すれば利用可能となるが、ファイルの原状回復が困難でハードディスクの効用が害されたことは明らかとしての判決。
これ、ウイルスで無く、バグだったらどうなのか。損害賠償は当然だろうね。
ユーザー視点に立てば、最初期化などが必要な事態に追い込まれたら、損害賠償請求の可能性を検討してもいいとなる。尤も、契約に基づくときは免責事項に入れるだろうか。
ウイルス感染の時は損害賠償請求の可能性を検討する。
その為の情報収集を確実にする手順・監視体制を確立する。
.*.
東京高裁3/26の控訴審における判決。中辻正人(28)被告は器物損壊罪の適用を受けている。ウイルスがハードディスクの使用を出来なくしたとして罪を問われている。再初期化すれば利用可能となるが、ファイルの原状回復が困難でハードディスクの効用が害されたことは明らかとしての判決。
これ、ウイルスで無く、バグだったらどうなのか。損害賠償は当然だろうね。
ユーザー視点に立てば、最初期化などが必要な事態に追い込まれたら、損害賠償請求の可能性を検討してもいいとなる。尤も、契約に基づくときは免責事項に入れるだろうか。
ウイルス感染の時は損害賠償請求の可能性を検討する。
その為の情報収集を確実にする手順・監視体制を確立する。
.*.
自衛隊の個人情報収集に対して賠償命令(仙台地裁判決)
イラク派兵に反対する市民を監視したことに対する訴えを受けたもの。過剰な個人情報の収集は個人の人権を犯す行為になるとするものだ。
ISMSではどうなるか?
企業は個人の活動を少なからず監視しているが、その程度によっては人権問題になりかねない。こうなるとISMS以前の問題。当然、ISMSでもコンプライアンス違反に属する問題としてアウト。でも、過剰が何処からか分らないのが、この問題の難しいところ。
イラク派兵に反対する市民を監視したことに対する訴えを受けたもの。過剰な個人情報の収集は個人の人権を犯す行為になるとするものだ。
ISMSではどうなるか?
企業は個人の活動を少なからず監視しているが、その程度によっては人権問題になりかねない。こうなるとISMS以前の問題。当然、ISMSでもコンプライアンス違反に属する問題としてアウト。でも、過剰が何処からか分らないのが、この問題の難しいところ。
ウェブデザインの意匠権保護に動く特許庁!ややこしくなるぞ?
ウエブ上の掲載情報の著作権はディズニーランドの写真などではよく話題になるが、今度はアイコン、操作画面、壁紙なども衣装ケント紙t保護対象になるよう特許庁で検討を始めた。
これは海外との関連もあって急ぐものらしい。日本は保護されず、海外だけが一方的に保護されてはクールジャパンビジネスもあったものではない。特に悪さばかりしている中国系の無断使用と勝手な主張には閉口させられる。
保護を積極的に進めるには出願の仕組みの大幅な改善が必要だろう。先願方式だけでは金のある大手にばかり有利に働いてしまう。誰でも低料金で簡単に出願できる仕組み。
特許庁は「ヘーグ協定」に2014加盟を目論んでいるとか。
そもそも意匠権はやっかいなものだ。似ている似てないの判断が客観的可能かどうか。小説、音楽でも盗作問題が出ている。アイコンデザインなんて似ない方が可笑しいくらいだ。
.*.
これで立派に「飯が食える」ビジネスの一つになる。
特許権:発明(出願から20年)
実用新案:考察(出願から10年)
意匠権:デザイン(登録から20年)
商標権:ブランド・ロゴマークなど。(登録から10年、更新可能)
ISMS的にはどうするのか?
やることは結構あります。現状を調査してリスク/オポチュニティの有無を調べておくこと。
会社のホームページのデザイン根拠を洗うこと。外部に公開しているサイト、特定ユーザーに限定公開しているサイト。
イントラネットは問題になるケースは少ないだろうが、生産性向上のために無断使用していると見ることも出来るので、やはりリスク対象とする。
製品マニュアルなどをHTML形式、PDF形式で提供している場合もアイコンデザインの盗用リスクを抑えることが必要。
社内独自のもので意匠権主張できるものも洗うこと。
業界的に共有するデザインあるいは意匠権主張の無い一般公開のものについて識別しておくこと。
WEB技術利用標準、WEBサイト制作標準に必要な手順を追加すること。
これは、めちゃめちゃ大変なのは下手をすると海外発の意匠も権利侵害の対象になること。専門の組織、アウトソースが必要になるだろうか。
.*.
ウエブ上の掲載情報の著作権はディズニーランドの写真などではよく話題になるが、今度はアイコン、操作画面、壁紙なども衣装ケント紙t保護対象になるよう特許庁で検討を始めた。
これは海外との関連もあって急ぐものらしい。日本は保護されず、海外だけが一方的に保護されてはクールジャパンビジネスもあったものではない。特に悪さばかりしている中国系の無断使用と勝手な主張には閉口させられる。
保護を積極的に進めるには出願の仕組みの大幅な改善が必要だろう。先願方式だけでは金のある大手にばかり有利に働いてしまう。誰でも低料金で簡単に出願できる仕組み。
特許庁は「ヘーグ協定」に2014加盟を目論んでいるとか。
そもそも意匠権はやっかいなものだ。似ている似てないの判断が客観的可能かどうか。小説、音楽でも盗作問題が出ている。アイコンデザインなんて似ない方が可笑しいくらいだ。
.*.
これで立派に「飯が食える」ビジネスの一つになる。
特許権:発明(出願から20年)
実用新案:考察(出願から10年)
意匠権:デザイン(登録から20年)
商標権:ブランド・ロゴマークなど。(登録から10年、更新可能)
ISMS的にはどうするのか?
やることは結構あります。現状を調査してリスク/オポチュニティの有無を調べておくこと。
会社のホームページのデザイン根拠を洗うこと。外部に公開しているサイト、特定ユーザーに限定公開しているサイト。
イントラネットは問題になるケースは少ないだろうが、生産性向上のために無断使用していると見ることも出来るので、やはりリスク対象とする。
製品マニュアルなどをHTML形式、PDF形式で提供している場合もアイコンデザインの盗用リスクを抑えることが必要。
社内独自のもので意匠権主張できるものも洗うこと。
業界的に共有するデザインあるいは意匠権主張の無い一般公開のものについて識別しておくこと。
WEB技術利用標準、WEBサイト制作標準に必要な手順を追加すること。
これは、めちゃめちゃ大変なのは下手をすると海外発の意匠も権利侵害の対象になること。専門の組織、アウトソースが必要になるだろうか。
.*.
電子手形とISMS
企業が保有する手形や売掛債権を電子化しネットで取引する仕組み。
紛失、盗難などの管理上のリスクが少なく、分割譲渡しやすい特徴を持つ。
NECキャピタルとイー・ギャランティが提携し新会社。
.*.
ISMS的には電子手形の採用は管理策の1つになるでしょうか。手形って情報資産か金融資産かという判別に頭を悩ます前にさっさとリストして管理対象に入れてよい。抜け漏れが無ければ、重複するのは構わない。もっとも、電子手形自身の管理の仕組みを理解してしっかりやらないと、電子化することでセキュリティホールが出来ては意味が無い。やはり大変。
企業が保有する手形や売掛債権を電子化しネットで取引する仕組み。
紛失、盗難などの管理上のリスクが少なく、分割譲渡しやすい特徴を持つ。
NECキャピタルとイー・ギャランティが提携し新会社。
.*.
ISMS的には電子手形の採用は管理策の1つになるでしょうか。手形って情報資産か金融資産かという判別に頭を悩ます前にさっさとリストして管理対象に入れてよい。抜け漏れが無ければ、重複するのは構わない。もっとも、電子手形自身の管理の仕組みを理解してしっかりやらないと、電子化することでセキュリティホールが出来ては意味が無い。やはり大変。
2012年03月28日
リタイア組に啓蒙したいフェイスブックのセキュリティ
最近はフェイスブックを利用する人が急に増えた。団塊世代がリタイアしても組織関係を懐かしんであるいは人生を振り返るついでに、フェイスブックへやって来るからだ。プレ現役(学生新人組)とアフター現役(リタイア定年組)。プレ現役は失うものが限られているからいいが、アフター現役は結構重要な情報を持っているから要注意。しかも彼らは組織の中でセキュリティが守られていたことをあまり理解していない。
要するにセキュリティに無防備な老人世代が重要な情報をフェイスブック上にさらけ出す状況が生まれているということ。これか企業にとっても問題。退職者だからでは済まされない。大概の企業は定年退職した企業OBとも連絡は取っているものだが、社内報を黙って送るだけでなく、情報セキュリティに関する啓蒙を継続することは是非やって欲しい。フィッシングは退職金が狙われるから啓蒙の対象にしていいが、ソーシャルネットワークも利用上の注意は喚起しておきたい。
.*.
基本的な理解:
フェイスブックのデフォルト(標準設定)は基本的に情報は筒抜けであること。フェイスブックの基本的な考え方(コンセプト)はオープンを是とすること。日本人の感覚・価値観に合わない場合も有りうるので、注意しておきたい。フェイスブックのセキュリティの設定がかなり分かり難いのも問題だ。グーグル+のサークルのような概念が無いので、フェイスブックのセキュリティ設定が分かったところで実は途方に暮れる筈だ。もしくはエイッヤッとやってしまうことになる。
フェイスブックは発展途上。これで完成形なら直ぐに誰も居なくなる。グーグル+へ行ってしまうだろう。グーグル+で提案された新しい機能は早晩フェイスブックにも反映されると考えていいでしょう。
それまでの間。安全にフェイスブックを利用するにはどうすればいいか?
最近はフェイスブックを利用する人が急に増えた。団塊世代がリタイアしても組織関係を懐かしんであるいは人生を振り返るついでに、フェイスブックへやって来るからだ。プレ現役(学生新人組)とアフター現役(リタイア定年組)。プレ現役は失うものが限られているからいいが、アフター現役は結構重要な情報を持っているから要注意。しかも彼らは組織の中でセキュリティが守られていたことをあまり理解していない。
要するにセキュリティに無防備な老人世代が重要な情報をフェイスブック上にさらけ出す状況が生まれているということ。これか企業にとっても問題。退職者だからでは済まされない。大概の企業は定年退職した企業OBとも連絡は取っているものだが、社内報を黙って送るだけでなく、情報セキュリティに関する啓蒙を継続することは是非やって欲しい。フィッシングは退職金が狙われるから啓蒙の対象にしていいが、ソーシャルネットワークも利用上の注意は喚起しておきたい。
.*.
基本的な理解:
フェイスブックのデフォルト(標準設定)は基本的に情報は筒抜けであること。フェイスブックの基本的な考え方(コンセプト)はオープンを是とすること。日本人の感覚・価値観に合わない場合も有りうるので、注意しておきたい。フェイスブックのセキュリティの設定がかなり分かり難いのも問題だ。グーグル+のサークルのような概念が無いので、フェイスブックのセキュリティ設定が分かったところで実は途方に暮れる筈だ。もしくはエイッヤッとやってしまうことになる。
フェイスブックは発展途上。これで完成形なら直ぐに誰も居なくなる。グーグル+へ行ってしまうだろう。グーグル+で提案された新しい機能は早晩フェイスブックにも反映されると考えていいでしょう。
それまでの間。安全にフェイスブックを利用するにはどうすればいいか?
2012年03月25日
急激に普及するフェイスブックのセキュリティ対策
猛烈な勢いでフェイスブックが普及・浸透し始めた。一時は期待されたGoogle+の不出来を見限ったからだろうか。ガラパゴスのミクシーmixiに限界を感じたからだろうか。団塊世代がいよいよリタイア、組織を離れて新たなコミュニケーション環境を求めていたからだろうか。
学生組みと定年組み。フェイスブックビジネスの前輪と後輪みたいなものだ。ボディの現役世代はサイバーオフ会、あるいはオフ会補完環境として、非公式に利用されているし、空きあればビジネスそのものに利用しようとしている。まあ、何だかんだとフェイスブックは従前の電話みたいな存在になりつつある。
「フェイスブック」には個人情報が溢れかえっている。その内には組織の重要な情報まで取り込まれていくのは間違いない。(グーグルの検索DBは既にそのような状況にあるのは先刻ご承知の通り)
ここで「セキュリティ」です。
フェイスブック内の個人情報等を利用する前提のゲーム類、ツール類のアプリが出回っている。スマホのアプリと同じような状況です。フェイスブックの中は安全と思い込んでいるユーザーもいる。フェイスブック自身は危険だとは宣伝しない。アンドロイドもアイフォンも危険を積極的にはアナウンスしない。でも、広い意味の個人情報をせっせと収集し、何処かのデータベースに取り込まれ、何らかのサービスが提供されるが、本来目的以上のデータ収集・分析をやれば別の世界が見えてくる。これに悪意や誤解や手違いが入り込めばセキュリティ問題が発生する。
.*.
エフセキュア社からフェイスブックアプリ用のセキュリティソフトがリリースされた。まだベータ版だが、企業のセキュリティ担当は直ぐに評価を開始するべきでしょう。リクルート活動中の学生でも、リタイヤした社員でも、当然現役の社員でも、フェイスブックを利用している可能性があるなら、セキュアな振る舞いを期待すべきだろう。
http://www.f-secure.com
Facebook向けセキュリティ・アプリ「ShareSafe」
.*.
猛烈な勢いでフェイスブックが普及・浸透し始めた。一時は期待されたGoogle+の不出来を見限ったからだろうか。ガラパゴスのミクシーmixiに限界を感じたからだろうか。団塊世代がいよいよリタイア、組織を離れて新たなコミュニケーション環境を求めていたからだろうか。
学生組みと定年組み。フェイスブックビジネスの前輪と後輪みたいなものだ。ボディの現役世代はサイバーオフ会、あるいはオフ会補完環境として、非公式に利用されているし、空きあればビジネスそのものに利用しようとしている。まあ、何だかんだとフェイスブックは従前の電話みたいな存在になりつつある。
「フェイスブック」には個人情報が溢れかえっている。その内には組織の重要な情報まで取り込まれていくのは間違いない。(グーグルの検索DBは既にそのような状況にあるのは先刻ご承知の通り)
ここで「セキュリティ」です。
フェイスブック内の個人情報等を利用する前提のゲーム類、ツール類のアプリが出回っている。スマホのアプリと同じような状況です。フェイスブックの中は安全と思い込んでいるユーザーもいる。フェイスブック自身は危険だとは宣伝しない。アンドロイドもアイフォンも危険を積極的にはアナウンスしない。でも、広い意味の個人情報をせっせと収集し、何処かのデータベースに取り込まれ、何らかのサービスが提供されるが、本来目的以上のデータ収集・分析をやれば別の世界が見えてくる。これに悪意や誤解や手違いが入り込めばセキュリティ問題が発生する。
.*.
エフセキュア社からフェイスブックアプリ用のセキュリティソフトがリリースされた。まだベータ版だが、企業のセキュリティ担当は直ぐに評価を開始するべきでしょう。リクルート活動中の学生でも、リタイヤした社員でも、当然現役の社員でも、フェイスブックを利用している可能性があるなら、セキュアな振る舞いを期待すべきだろう。
http://www.f-secure.com
Facebook向けセキュリティ・アプリ「ShareSafe」
.*.
2012年03月19日
コンサルと審査の癒着で本当に困るのは誰ですか?
ある企業のコンサルを担当したAさん。審査も内でやります。同じコンサル会社のBさんが契約審査員になっているので大丈夫です。コンサル会社でAさんとBさんは逆の立場になったりする同僚。
コンサルは審査してもらう審査機関を決める時に、上の例で言えば審査員B(コンサルB)を暗に指名します。使命がNGなら他の審査機関を選ぶことを暗に伝えます。
自分がコンサルしたところの審査は出来ない。自分の同僚なら構わないのか?。
これは只の想定例ですが、良い訳有りません。独立性とか客観性とか公平性とかの審査の基本要件に触ってきます。審査機関がコンサルティングファームを兼業できないのと同じです。兼業させているところも残っているところもあるかも知れませんが健全な会社と思う人はいないでしょう。
クライアントもコンサルも審査員も「出来レース?」に乗っているので何の心配もなくことが進む。クライアントもコンサルも高い満足度を得られる。
経営者は裸の王様?。
.*.
クライアント(事務局)やコンサルから高い満足度を得ている審査機関があれば何かを疑ってみる必要があるかも知れません。CS(顧客満足度)を経営の目標指標に設定することは、審査機関の場合は要注意かもしれません。
.*.
ある企業のコンサルを担当したAさん。審査も内でやります。同じコンサル会社のBさんが契約審査員になっているので大丈夫です。コンサル会社でAさんとBさんは逆の立場になったりする同僚。
コンサルは審査してもらう審査機関を決める時に、上の例で言えば審査員B(コンサルB)を暗に指名します。使命がNGなら他の審査機関を選ぶことを暗に伝えます。
自分がコンサルしたところの審査は出来ない。自分の同僚なら構わないのか?。
これは只の想定例ですが、良い訳有りません。独立性とか客観性とか公平性とかの審査の基本要件に触ってきます。審査機関がコンサルティングファームを兼業できないのと同じです。兼業させているところも残っているところもあるかも知れませんが健全な会社と思う人はいないでしょう。
クライアントもコンサルも審査員も「出来レース?」に乗っているので何の心配もなくことが進む。クライアントもコンサルも高い満足度を得られる。
経営者は裸の王様?。
.*.
クライアント(事務局)やコンサルから高い満足度を得ている審査機関があれば何かを疑ってみる必要があるかも知れません。CS(顧客満足度)を経営の目標指標に設定することは、審査機関の場合は要注意かもしれません。
.*.
2012年03月13日
特許権侵害に関連した管理策
フェイスブック(Facebook)が米ヤフー(Yahoo!)から特許10件を侵害したとして提訴された。これ自身は只の隣国のニュースだが、ISMSではどのように見るべきだろう。
特許(知的財産)については、①自分が他人の知的財産を侵害しても困るし、②他人が自分の知的財産を侵害しても困る。その為の監視の仕組みをどのように構築しているか。
コンプライアンスに対する管理策(A.15.1.2)は自社の不法行為を回避するだけに留まることが多い。①に対する管理。
②の他社の不法行為に対する監視のしくみの構築は、情報の漏洩を防止する管理策とは別に必要だ。ISMS管理策の枠組みに上手く収まるかどうかはあるが、特許を申請し承認された場合、特許は公開されるが、無断利用はNG。その気は無くても結果的無断使用となったら駄目です。不法行為となりますが、それを監視する仕組みは、企業としては持っていないといけません。
③自社が結果的に他社の特許を侵害していた場合は、業務停止などに追い込まれる懸念もあります。商品、技術、ビジネスモデルなどの領域では特許侵害のリスクを考慮した事業継続管理が求められます。
.*.
フェイスブック(Facebook)が米ヤフー(Yahoo!)から特許10件を侵害したとして提訴された。これ自身は只の隣国のニュースだが、ISMSではどのように見るべきだろう。
特許(知的財産)については、①自分が他人の知的財産を侵害しても困るし、②他人が自分の知的財産を侵害しても困る。その為の監視の仕組みをどのように構築しているか。
コンプライアンスに対する管理策(A.15.1.2)は自社の不法行為を回避するだけに留まることが多い。①に対する管理。
②の他社の不法行為に対する監視のしくみの構築は、情報の漏洩を防止する管理策とは別に必要だ。ISMS管理策の枠組みに上手く収まるかどうかはあるが、特許を申請し承認された場合、特許は公開されるが、無断利用はNG。その気は無くても結果的無断使用となったら駄目です。不法行為となりますが、それを監視する仕組みは、企業としては持っていないといけません。
③自社が結果的に他社の特許を侵害していた場合は、業務停止などに追い込まれる懸念もあります。商品、技術、ビジネスモデルなどの領域では特許侵害のリスクを考慮した事業継続管理が求められます。
.*.