2012年10月10日
ソフトバンクの情報セキュリティはいい加減の極み
これは今日のニュース。ソフトバンクモバイルの顧客情報漏えい事件で、愛知県警は、ソフトバンクの販売代理店の元店員で無職の女3人を、不正競争防止法違反(営業秘密侵害)容疑で名古屋地検に書類送検。
ソフトバンクを巡る一連の漏えい事件で、3人(香川県の22、21歳と広島市の29歳)を含む元店員計7人が2100件以上の個人情報を探偵(誰?平田一雄被告(37))に漏らしていたもの。漏洩件数は3件?で、報酬77万円?。相場に遭わない。少なくとも100件200件の情報漏えいはやったはず。
.*.
プラチナバンドで浮かれているがSBの足元は危うい。孫正義は内政がからっきし駄目なのかもしれない。こういう表に出る事件のほかに、握りつぶしている事件事故もある。その数は想像以上かもしれない。
ソフトバンクショップのいい加減なスタッフを放置して、客のクレームを握りつぶして、それでプラチナだって?。笑わせるんじゃないよ。以前は良く頑張っている会社と思っていたが、今はかなり違った感じになった。
iPhone5もソフトバンクから買う気はなくなった。テザリングサポートの有無に関係なくauです。回線速度がソフトバンクのほうが仮に速くても(実際はauの方が全然速い)、問題が起きたら不誠実なソフトバンクを選択する人はいない。
.*.
ISMSではどう考えるか?
サービススペックばかり見ていてはいけない。サポート体制の絵柄だけで判断できない。サービス利用先の選定は慎重を期すことだ。急成長させた会社は足元はいい加減なことが多い。管理コストを図れていない。ソフトバンクとかヤフーとかはその典型と判断していいのではないか。
表面的な料金の高低で判断すると間違える。
問題が起きたときのリカバリー体制、実績記録、訓練記録。この辺をチェックすることだ。
ソフトバンクは一見するとそういうポジションを用意して問題発生時の受け皿になっているが、実態は問題そのものを隠蔽するなど極めて劣悪。
サポートセンターのスタッフは勝手に電話を切る。そのやり方はコールセンターで昔はやっていた電波が不安定で聞こえませ〜ん。とやって切ってしまうもの。ソフトバンクの回線が劣悪な時ならその技も通じただろうが、今はやぶへび。それでも構わずにそういうことをやらせて平気でいる管理体制は、とてもサービス委託できる相手ではない。
孫正義が直接そのようん悪事を指示する訳はないが、そのような悪事を許容する管理体制で済ませているのだから責任は重大だ。
.*.
これは今日のニュース。ソフトバンクモバイルの顧客情報漏えい事件で、愛知県警は、ソフトバンクの販売代理店の元店員で無職の女3人を、不正競争防止法違反(営業秘密侵害)容疑で名古屋地検に書類送検。
ソフトバンクを巡る一連の漏えい事件で、3人(香川県の22、21歳と広島市の29歳)を含む元店員計7人が2100件以上の個人情報を探偵(誰?平田一雄被告(37))に漏らしていたもの。漏洩件数は3件?で、報酬77万円?。相場に遭わない。少なくとも100件200件の情報漏えいはやったはず。
.*.
プラチナバンドで浮かれているがSBの足元は危うい。孫正義は内政がからっきし駄目なのかもしれない。こういう表に出る事件のほかに、握りつぶしている事件事故もある。その数は想像以上かもしれない。
ソフトバンクショップのいい加減なスタッフを放置して、客のクレームを握りつぶして、それでプラチナだって?。笑わせるんじゃないよ。以前は良く頑張っている会社と思っていたが、今はかなり違った感じになった。
iPhone5もソフトバンクから買う気はなくなった。テザリングサポートの有無に関係なくauです。回線速度がソフトバンクのほうが仮に速くても(実際はauの方が全然速い)、問題が起きたら不誠実なソフトバンクを選択する人はいない。
.*.
ISMSではどう考えるか?
サービススペックばかり見ていてはいけない。サポート体制の絵柄だけで判断できない。サービス利用先の選定は慎重を期すことだ。急成長させた会社は足元はいい加減なことが多い。管理コストを図れていない。ソフトバンクとかヤフーとかはその典型と判断していいのではないか。
表面的な料金の高低で判断すると間違える。
問題が起きたときのリカバリー体制、実績記録、訓練記録。この辺をチェックすることだ。
ソフトバンクは一見するとそういうポジションを用意して問題発生時の受け皿になっているが、実態は問題そのものを隠蔽するなど極めて劣悪。
サポートセンターのスタッフは勝手に電話を切る。そのやり方はコールセンターで昔はやっていた電波が不安定で聞こえませ〜ん。とやって切ってしまうもの。ソフトバンクの回線が劣悪な時ならその技も通じただろうが、今はやぶへび。それでも構わずにそういうことをやらせて平気でいる管理体制は、とてもサービス委託できる相手ではない。
孫正義が直接そのようん悪事を指示する訳はないが、そのような悪事を許容する管理体制で済ませているのだから責任は重大だ。
.*.
2012年10月09日
遠隔操作ウイルス
遠隔操作ウイルスのニュースが流れている。何かをダウンロードして実行させると感染する。OSの上に乗っかる自動実行常駐ソフトになるのかな。何度かリブートしている内に痕跡を消しながら深層に入り込んでいくのだろうか。
大阪と三重で、PCを乗っ取られた被害=誤認逮捕の事件があった。まだ見つかっていない犯人は、乗っ取ったパソコンから公のサイトを改ざんするなどの悪事を働いた。
.*.
対策1
最新のOS,ウイルス対策ソフト常駐(定義ファイルが最新!)は常識。これをやっておけばある程度安心できる。
対策2
不明なサイトに直接アクセスして。いきなりダウンロードは非常識。ダウンロードするソフト〜アプリの評判をチェック、発行元(会社とか)の評判をチェック。違った方法(ダウンロードサイトや検索サイトを経由)でアクセスして、フィッシングサイト(引っ掛けサイト)になっていないことを確認する。
対策3
個人に判断させるのは難しい時もある。社内ならサーバーのところで全てチェックすべきだ。自宅のPCを業務に使う場合は窓だけ作って会社サーバーを経由して仕事をやらせるべき。スマホ利用時も同じ。個人の判断にゆだねるのはミニマムにすべきだ。
これからは一層脆弱なスマホがターゲットになるのは間違いない。
BYODスマホには監視ソフトとピュアな窓ソフトだけを入れること。業務用は窓ソフトから。専用の監視ソフトはスマホの状態を会社のサーバーに送る。そこで改めて安全性をチェックさせるのです。
.*.
遠隔操作ウイルスのニュースが流れている。何かをダウンロードして実行させると感染する。OSの上に乗っかる自動実行常駐ソフトになるのかな。何度かリブートしている内に痕跡を消しながら深層に入り込んでいくのだろうか。
大阪と三重で、PCを乗っ取られた被害=誤認逮捕の事件があった。まだ見つかっていない犯人は、乗っ取ったパソコンから公のサイトを改ざんするなどの悪事を働いた。
.*.
対策1
最新のOS,ウイルス対策ソフト常駐(定義ファイルが最新!)は常識。これをやっておけばある程度安心できる。
対策2
不明なサイトに直接アクセスして。いきなりダウンロードは非常識。ダウンロードするソフト〜アプリの評判をチェック、発行元(会社とか)の評判をチェック。違った方法(ダウンロードサイトや検索サイトを経由)でアクセスして、フィッシングサイト(引っ掛けサイト)になっていないことを確認する。
対策3
個人に判断させるのは難しい時もある。社内ならサーバーのところで全てチェックすべきだ。自宅のPCを業務に使う場合は窓だけ作って会社サーバーを経由して仕事をやらせるべき。スマホ利用時も同じ。個人の判断にゆだねるのはミニマムにすべきだ。
これからは一層脆弱なスマホがターゲットになるのは間違いない。
BYODスマホには監視ソフトとピュアな窓ソフトだけを入れること。業務用は窓ソフトから。専用の監視ソフトはスマホの状態を会社のサーバーに送る。そこで改めて安全性をチェックさせるのです。
.*.
2012年10月07日
アンドロイド・アプリ「全国電話帳」が示すBYOD要件
アンドロイド搭載スマホに個人情報を勝手に収集する不正アプリがまた発見された。セキュリティ会社ネットエージェントの調査によるもの。「全国電話帳」という名前でグーグルプレイ上に公開されたものだ。10月6日までに76万件の個人情報が流出とある。データは横浜にあるサーバーに送られていた。
以前にも「the Movie」というアプリで同様の事件があり容疑先の企業は家宅捜査を受けている。
ここで問題はグーグルの言い分のいい加減差だ。ユーザーが勝手にいい加減なサイトからダウンロードしたアプリに不正があってもグーグルは背k人は終えないが、グーグルプレイのアプリは事前に不正チェックを実施するので大丈夫といっていたこと。
グーグルは嘘をついた。実は不正をチェックなど鼻からやっていないのか抜け道だらけなのか、能力の低いツールしかないのか。英語バージョンしか見ていなかったりしてね。結論としては頼り無い。
アップル側ではこの手のトラブルで問題になることは今まで記憶に無いが、グーグル側は如何に駄目かを世間に知らしめた事件だ。
iPhone5で特にサプライズも無くガッカリした人も安易にアンドロイド・スマホに手を出すのはやはり考え物だ。
.*.
今、大手企業が関心を持っているBYODだが、スマホはアンドロイドで妥協しているところが殆ど。IT担当者が如何にお粗末か分る。アプリ開発の柔軟性を理由にアンドロイドを選択している。愚かなトップが無意味に急がせているのか、開発者がお粗末だから、勝手に作れるアンドロイドしか選択できないのか。
考えても見なさい。”お前たち”が作りやすいなら、ハッカーにとっても作りやすいのだ。ハッカー連中もアンドロイドの柔軟性を武器に攻めてきます。少々の不便は覚悟でiOS6で妥協することです。
もしアンドロイドを選択して、そお脆弱性の犠牲になった場合、あなたは言い訳できません。アンドロイドが危険なことは世界の常識です。オンラインでリスクを監視する仕組みと連動でも出来なければアンドロイドなど使いません。
殆どリスクの無い、だから企業の基幹ネットに接続しない使い方に限定しなければいけません。
事故が起きたら責任とって交代させるのではなく、アンドロイドを選択したいといってきた瞬間に交代させます。
出来なければISMSの責任者を降りる方がことですね。
.*.
iPhoneはダブルベンダーですがどちらでも良い訳ありません。回線品質に目がいくと思いますが、セキュリティ意識の高低にも配慮すべきです。一般ユーザー相手とは言え、ソフトバンクの劣悪なカスタマーサポート体制を理解すればソフトバンクを選択することはありえません。セキュリティ体質の問題は一般ユーザー向けも企業ユーザー向けも共通です。顧客の大事な情報を紛失させてそれを隠蔽して済ましている話を聞けばとてもソフトバンクのユーザーに留まることはできません。
.*.
アンドロイド搭載スマホに個人情報を勝手に収集する不正アプリがまた発見された。セキュリティ会社ネットエージェントの調査によるもの。「全国電話帳」という名前でグーグルプレイ上に公開されたものだ。10月6日までに76万件の個人情報が流出とある。データは横浜にあるサーバーに送られていた。
以前にも「the Movie」というアプリで同様の事件があり容疑先の企業は家宅捜査を受けている。
ここで問題はグーグルの言い分のいい加減差だ。ユーザーが勝手にいい加減なサイトからダウンロードしたアプリに不正があってもグーグルは背k人は終えないが、グーグルプレイのアプリは事前に不正チェックを実施するので大丈夫といっていたこと。
グーグルは嘘をついた。実は不正をチェックなど鼻からやっていないのか抜け道だらけなのか、能力の低いツールしかないのか。英語バージョンしか見ていなかったりしてね。結論としては頼り無い。
アップル側ではこの手のトラブルで問題になることは今まで記憶に無いが、グーグル側は如何に駄目かを世間に知らしめた事件だ。
iPhone5で特にサプライズも無くガッカリした人も安易にアンドロイド・スマホに手を出すのはやはり考え物だ。
.*.
今、大手企業が関心を持っているBYODだが、スマホはアンドロイドで妥協しているところが殆ど。IT担当者が如何にお粗末か分る。アプリ開発の柔軟性を理由にアンドロイドを選択している。愚かなトップが無意味に急がせているのか、開発者がお粗末だから、勝手に作れるアンドロイドしか選択できないのか。
考えても見なさい。”お前たち”が作りやすいなら、ハッカーにとっても作りやすいのだ。ハッカー連中もアンドロイドの柔軟性を武器に攻めてきます。少々の不便は覚悟でiOS6で妥協することです。
もしアンドロイドを選択して、そお脆弱性の犠牲になった場合、あなたは言い訳できません。アンドロイドが危険なことは世界の常識です。オンラインでリスクを監視する仕組みと連動でも出来なければアンドロイドなど使いません。
殆どリスクの無い、だから企業の基幹ネットに接続しない使い方に限定しなければいけません。
事故が起きたら責任とって交代させるのではなく、アンドロイドを選択したいといってきた瞬間に交代させます。
出来なければISMSの責任者を降りる方がことですね。
.*.
iPhoneはダブルベンダーですがどちらでも良い訳ありません。回線品質に目がいくと思いますが、セキュリティ意識の高低にも配慮すべきです。一般ユーザー相手とは言え、ソフトバンクの劣悪なカスタマーサポート体制を理解すればソフトバンクを選択することはありえません。セキュリティ体質の問題は一般ユーザー向けも企業ユーザー向けも共通です。顧客の大事な情報を紛失させてそれを隠蔽して済ましている話を聞けばとてもソフトバンクのユーザーに留まることはできません。
.*.
2012年09月23日
フェイスブックのセキュリティリスク事例:オランダ少女の誕生パーティ暴動
オランダの少女(16歳)が誕生日の案内をフェイスブックで送るのに、友達と間違えて一般公開で送ってしまった。多分、時間、場所などプライベートな情報も載せているだろう。多くの若者(数千人?)が少女の家に集まり、一部は暴徒化して大騒ぎになった。警察は騒ぎを懸念し、少女と家族は事前に避難していたとのことだ。
これがSNSの怖さの一つ。
今のフェイスブックでは流出した情報はシェアとかすることでどんどん広がる仕組みに成っている。普通のウエブサイトの欠点と同じ特性でSNSとしてのよさがない。共有・公開・オープンは正義と信じ込んでいる主催者の愚かさの一つが現れた格好だ。
.*.
取り消し機能。記憶されない権利の実現。追い掛け消去機能。
やろうと思えばSNSなら出来ることだが、やればSNSの優れた特徴として評価されるが、そのことに対する取り組みについては何も情報が示されない。
この閉鎖性が問題なのだ。FBはオープン化のためのツールと主張しているが、その中身はクローズそのもの。
ISMS的に見れば、こんなあやふやなツールを業務インフラに仕立てることは無理がある。
オランダ少女の事件も流出した誕生パーティ情報だが、会社情報の場合は、更に深刻になるかもしれない。
.*.
オランダの少女(16歳)が誕生日の案内をフェイスブックで送るのに、友達と間違えて一般公開で送ってしまった。多分、時間、場所などプライベートな情報も載せているだろう。多くの若者(数千人?)が少女の家に集まり、一部は暴徒化して大騒ぎになった。警察は騒ぎを懸念し、少女と家族は事前に避難していたとのことだ。
これがSNSの怖さの一つ。
今のフェイスブックでは流出した情報はシェアとかすることでどんどん広がる仕組みに成っている。普通のウエブサイトの欠点と同じ特性でSNSとしてのよさがない。共有・公開・オープンは正義と信じ込んでいる主催者の愚かさの一つが現れた格好だ。
.*.
取り消し機能。記憶されない権利の実現。追い掛け消去機能。
やろうと思えばSNSなら出来ることだが、やればSNSの優れた特徴として評価されるが、そのことに対する取り組みについては何も情報が示されない。
この閉鎖性が問題なのだ。FBはオープン化のためのツールと主張しているが、その中身はクローズそのもの。
ISMS的に見れば、こんなあやふやなツールを業務インフラに仕立てることは無理がある。
オランダ少女の事件も流出した誕生パーティ情報だが、会社情報の場合は、更に深刻になるかもしれない。
.*.
2012年09月16日
アップルとサムスンの特許紛争
アップルとグーグルの代理戦争とも言われている。
アップルが作り出したスマートフォン。ほかが真似をしたのは間違いない。ここに市場があると分かって乗り出したのだから。商品と市場を開発したのはアップル。他社は一定のリスペクトを払う必要がある。それが仁義。
.*.
ISMSでは?
事業継続リスクがあります。端末が市場から退出すると、それを前提とした業務アプリに修正を迫られるかもしれません。しかし、利用者が直接リスクに晒されることは希。善意の第3者ですから、訴訟が直接及ぶ可能性はありません。ただ長期計画は修正する必要が出かもしれません。
.*.
アップルとグーグルの代理戦争とも言われている。
アップルが作り出したスマートフォン。ほかが真似をしたのは間違いない。ここに市場があると分かって乗り出したのだから。商品と市場を開発したのはアップル。他社は一定のリスペクトを払う必要がある。それが仁義。
.*.
ISMSでは?
事業継続リスクがあります。端末が市場から退出すると、それを前提とした業務アプリに修正を迫られるかもしれません。しかし、利用者が直接リスクに晒されることは希。善意の第3者ですから、訴訟が直接及ぶ可能性はありません。ただ長期計画は修正する必要が出かもしれません。
.*.
iPhone5のセキュリティ
アイフォンiPhoneの新型iPhone5が発売された。業務端末としている企業も少なくない。自由度は今一だが、アンドロイドのようにハッカーのターゲットに成ることが少ないので、それだけでもセキュアと言えるが、アップル側も更なるセキュリティ強化が図られている筈だ。
.*.
iPhone4/4Sで繋いできて、漸くiPhone5がリリースされた。しかし、開発力の非力さを露呈しただけかもしれない。もともと開発力が高い企業ではない。新しい技術に新しい意味づけをして商品化するのが得意な企業。
アップルは自らのコンピテンシーを履き違えている。最新技術が殆ど取り込められなかったことは明確にiPhone5は失敗プロダクト。サイズを変更しただけ。しかも横幅は同じまま。開発陣に大きな穴が開いたのだろう。外注で済ました部分の肩代わりは簡単でない。
セキュリティ技術も同様。指紋認証の技術を持つ企業を買収したらしい。商品化は未だ先になるだろう。業務用ならセキュリティアクセサリーとして使えるかもしれないが限定的だ。
カリスマが亡くなるとはこういうことなんだ。陳腐な改善を続ける能しかないのだ。法人ユーザーの声しか理解できなかったのかな。事務屋が作った新製品の典型事例になってしまった。
.*.
新しいチャレンジがなければリスクは少ない。馬鹿なことに、変化のないiPhone5だから逆に
セキュアとなる。iPhone4L(ロングバージョン)でも良かったかもしれない。
.*.
アイフォンiPhoneの新型iPhone5が発売された。業務端末としている企業も少なくない。自由度は今一だが、アンドロイドのようにハッカーのターゲットに成ることが少ないので、それだけでもセキュアと言えるが、アップル側も更なるセキュリティ強化が図られている筈だ。
.*.
iPhone4/4Sで繋いできて、漸くiPhone5がリリースされた。しかし、開発力の非力さを露呈しただけかもしれない。もともと開発力が高い企業ではない。新しい技術に新しい意味づけをして商品化するのが得意な企業。
アップルは自らのコンピテンシーを履き違えている。最新技術が殆ど取り込められなかったことは明確にiPhone5は失敗プロダクト。サイズを変更しただけ。しかも横幅は同じまま。開発陣に大きな穴が開いたのだろう。外注で済ました部分の肩代わりは簡単でない。
セキュリティ技術も同様。指紋認証の技術を持つ企業を買収したらしい。商品化は未だ先になるだろう。業務用ならセキュリティアクセサリーとして使えるかもしれないが限定的だ。
カリスマが亡くなるとはこういうことなんだ。陳腐な改善を続ける能しかないのだ。法人ユーザーの声しか理解できなかったのかな。事務屋が作った新製品の典型事例になってしまった。
.*.
新しいチャレンジがなければリスクは少ない。馬鹿なことに、変化のないiPhone5だから逆に
セキュアとなる。iPhone4L(ロングバージョン)でも良かったかもしれない。
.*.
2012年09月07日
付加価値審査から本質審査へ
営業が来て、審査員が来て、付加価値審査をやるという。一帯何をやるというのか。去年も一昨年も同じことを言っていた。お前ら、一体なにをやってくれるんだ。なんて、切れる必要は有りません。
期待以上のものをやってくれるって?。サプライズ審査なのか?。
10年以上も前から付加価値審査って良く聞くけど相変わらず。例えば、「事業にとってより有効であろう観点から審査いたします」って審査員ごときに事業に対する有効性の伝授を受けるのかね?。
余計なことを考えたり言ったりしないで、普通に規格適合性審査をしっかりやってくれ。
付加価値などといけしゃあしゃあ言う向きは鼻から信用できない。こんな審査機関、審査員は切ってしまいましょう。ウン?何処の審査機関も言っているって?。だったらISMSなんか止めてしまおう。
.*.
問題の本質を突き止めた所見
これこそがわれわれの求める所見。色々な現象をとらえて、本質に楔を打つ。
多くの場合、経営者にとって厳しい指摘になる。
ところが審査員と来たら、いいこぶりっこ。嫌なことは言わない。当たり障りのない表面的な指摘をして済ませる。困ったものだ。
.*.
営業が来て、審査員が来て、付加価値審査をやるという。一帯何をやるというのか。去年も一昨年も同じことを言っていた。お前ら、一体なにをやってくれるんだ。なんて、切れる必要は有りません。
期待以上のものをやってくれるって?。サプライズ審査なのか?。
10年以上も前から付加価値審査って良く聞くけど相変わらず。例えば、「事業にとってより有効であろう観点から審査いたします」って審査員ごときに事業に対する有効性の伝授を受けるのかね?。
余計なことを考えたり言ったりしないで、普通に規格適合性審査をしっかりやってくれ。
付加価値などといけしゃあしゃあ言う向きは鼻から信用できない。こんな審査機関、審査員は切ってしまいましょう。ウン?何処の審査機関も言っているって?。だったらISMSなんか止めてしまおう。
.*.
問題の本質を突き止めた所見
これこそがわれわれの求める所見。色々な現象をとらえて、本質に楔を打つ。
多くの場合、経営者にとって厳しい指摘になる。
ところが審査員と来たら、いいこぶりっこ。嫌なことは言わない。当たり障りのない表面的な指摘をして済ませる。困ったものだ。
.*.
2012年09月06日
公益通報者保護法
内部告発を行ったものを保護するのが目的。
これまでも社会正義のために内部告発を行うものはいたが、場合によっては、会社側から懲罰的人事(左遷、冷や飯、別件解雇など)が行われることがあった。
これからは、そのような人事などを含む、告発者への報復は禁止される。馬鹿をやれば、更に告発を受ける。
会社の機密であっても、反社会的(刑罰がある重大な違法行為)であれば、外部に流出させることが出来ることになる。
合法的な情報流出。
(告発先)
社内。しかし、内部告発を内部に行うのは誰が考えても無理がある。
警察など。
消費者団体など。
労働法の一環の位置づけ。保護されるのは労働者のみ。
いい加減な法律なのかな?
.*.
ISMSの関連?
コンプライアンス違反に関連する情報の取り扱いの有無は、リスクアセスメントなどISMSサイクルの中で洗い出されなければいけない。
違法なデータ収集の有無など。
この法律が直接ISMSに関連することはなさそうだが、通報情報(誰がいつ何をどこへ通報したかなど)の取り扱いに特別なものがあれば、コンプライアンス違反の可能性を含め注意を要する。
.*.
内部告発を行ったものを保護するのが目的。
これまでも社会正義のために内部告発を行うものはいたが、場合によっては、会社側から懲罰的人事(左遷、冷や飯、別件解雇など)が行われることがあった。
これからは、そのような人事などを含む、告発者への報復は禁止される。馬鹿をやれば、更に告発を受ける。
会社の機密であっても、反社会的(刑罰がある重大な違法行為)であれば、外部に流出させることが出来ることになる。
合法的な情報流出。
(告発先)
社内。しかし、内部告発を内部に行うのは誰が考えても無理がある。
警察など。
消費者団体など。
労働法の一環の位置づけ。保護されるのは労働者のみ。
いい加減な法律なのかな?
.*.
ISMSの関連?
コンプライアンス違反に関連する情報の取り扱いの有無は、リスクアセスメントなどISMSサイクルの中で洗い出されなければいけない。
違法なデータ収集の有無など。
この法律が直接ISMSに関連することはなさそうだが、通報情報(誰がいつ何をどこへ通報したかなど)の取り扱いに特別なものがあれば、コンプライアンス違反の可能性を含め注意を要する。
.*.
2012年09月04日
ユーザーセキュリティモジュール
ユーザーセキュリティモジュール〜クライアントセキュリティモジュール
セキュリティモジュールの実装機能
セキュリティモジュールの機能
このソフトウエアは何を実装するか?
パスワード
電子印鑑
電子証明書
ログイン
ロール
暗号化機能
ハッシュ機能
署名機能
.*.
ユーザーセキュリティモジュール〜クライアントセキュリティモジュール
セキュリティモジュールの実装機能
セキュリティモジュールの機能
このソフトウエアは何を実装するか?
パスワード
電子印鑑
電子証明書
ログイン
ロール
暗号化機能
ハッシュ機能
署名機能
.*.
ITサービス改善計画
ノーアイデアです。
SLA
サービスレベル目標(SLO)
サービスレベル要件(SLR)
定量化した管理のほかに、ユーザーの声などによるレベル評価、ユーザーの生産性改善による評価など、複眼的なアプローチも必要だ。多分。
.*.
ノーアイデアです。
SLA
サービスレベル目標(SLO)
サービスレベル要件(SLR)
定量化した管理のほかに、ユーザーの声などによるレベル評価、ユーザーの生産性改善による評価など、複眼的なアプローチも必要だ。多分。
.*.
VERSIONS
さらにさっぱり。
Macで使えるGUIベースのSubversionクライアント
.*.
さらにさっぱり。
Macで使えるGUIベースのSubversionクライアント
.*.
トランク(幹)とブランチ(枝)
さっぱり。
バージョン管理における概念、または手法とされる。
変更を行った場合に何処まで影響するか。あるいは影響が及ばないように切り分ける考え方。単なる発想の問題化、具体的な手法にまで落ちているのか分かりません。
リリースの改修・デバッグにおいては特に重要な概念となるだろう。ソフトバンク系ファーストサーバーの事故も安全設計の基本に何か落ち度があったのではないか。
.*.
さっぱり。
バージョン管理における概念、または手法とされる。
変更を行った場合に何処まで影響するか。あるいは影響が及ばないように切り分ける考え方。単なる発想の問題化、具体的な手法にまで落ちているのか分かりません。
リリースの改修・デバッグにおいては特に重要な概念となるだろう。ソフトバンク系ファーストサーバーの事故も安全設計の基本に何か落ち度があったのではないか。
.*.
RUP
Rational Unified Process
オブジェクト指向開発を前提としたソフトウェア開発プロセス・フレームワーク?
米国ラショナルソフトウェア社がまとめた?。
.*.
Rational Unified Process
オブジェクト指向開発を前提としたソフトウェア開発プロセス・フレームワーク?
米国ラショナルソフトウェア社がまとめた?。
.*.
TickITplus
http://www.tickitplus.org/
なんのことやら。SW開発の品質保証に関する複数の標準類(規格要求など)を一つに統合したもの。もしくはそういう統合させるような試み。かな?
世間で特に騒いでいないので、まだ出来てもいないか、広く受け入れられるものになっていないか。いずれにしても途上。でしょう。
.*.
http://www.tickitplus.org/
なんのことやら。SW開発の品質保証に関する複数の標準類(規格要求など)を一つに統合したもの。もしくはそういう統合させるような試み。かな?
世間で特に騒いでいないので、まだ出来てもいないか、広く受け入れられるものになっていないか。いずれにしても途上。でしょう。
.*.
ISO 15504
ソフトウェアプロセスのアセスメントのためのフレームワーク
Software Process Improvement Capability Determination (SPICE)
ソフトウェア開発工程
ウィキペディア
.*.
ソフトウェアプロセスのアセスメントのためのフレームワーク
Software Process Improvement Capability Determination (SPICE)
ソフトウェア開発工程
ウィキペディア
.*.
タイムボックス
ある時間に可能な作業キャパシティのことかな。投入可能は工数のこと。小さい単位に分割できる。
イテレーション
反復型開発における1回の繰り返し。繰り返さない1回分?。スパイラルのサイズ?。返って分かり難いかな。分っていないからですが。
このイテレーションのサイズ(期間)とタイムボックスのサイズから、選択できる開発シナリオが決まってくるのかな。逆に発想すれば、開発シナリオを実現できるタイムボックスの設計(各種手配のこと?)とイテレーションのサイズ設計が必要になる。
.*.
ある時間に可能な作業キャパシティのことかな。投入可能は工数のこと。小さい単位に分割できる。
イテレーション
反復型開発における1回の繰り返し。繰り返さない1回分?。スパイラルのサイズ?。返って分かり難いかな。分っていないからですが。
このイテレーションのサイズ(期間)とタイムボックスのサイズから、選択できる開発シナリオが決まってくるのかな。逆に発想すれば、開発シナリオを実現できるタイムボックスの設計(各種手配のこと?)とイテレーションのサイズ設計が必要になる。
.*.
トレーサビリティマトリックス
サイトの説明を読んでいると返って分りづらい。期待している答えが無いからか。
顧客の言葉、企画の言葉、開発の言葉、・・・。
求めたものが得られているかを確認する手法の一つ。
テスト段階だけで使うものではない。企画断、開発段階でも利用できる。
要件/要求を展開し、それがスペック、実装において正しく受け止められているかを確認するための、マトリクス表。
サイトの説明では、最近ではテストで利用されることが多いみたいだ。その場合は、テストツールの一つとなる。
実際は企画や開発設計のレビューに使うことも多い。というか、以前はこちら(上流プロセス)がメインだったらしい。
.*.
サイトの説明を読んでいると返って分りづらい。期待している答えが無いからか。
顧客の言葉、企画の言葉、開発の言葉、・・・。
求めたものが得られているかを確認する手法の一つ。
テスト段階だけで使うものではない。企画断、開発段階でも利用できる。
要件/要求を展開し、それがスペック、実装において正しく受け止められているかを確認するための、マトリクス表。
サイトの説明では、最近ではテストで利用されることが多いみたいだ。その場合は、テストツールの一つとなる。
実際は企画や開発設計のレビューに使うことも多い。というか、以前はこちら(上流プロセス)がメインだったらしい。
.*.
2012年09月03日
ハドゥープインタフェースを改善した米ハピルスの成果
ビッグデータ処理のためのアマゾン・クラウド利用技術「ハドゥープ」インタフェースを改善した米ハピルスがもたらす成果は?
日本人ベンチャーということで注目されている米ハピルス。この技術により、クラウド利用が進み、ビッグデータへのチャレンジも進むことが期待される。
何が起きるだろう?
充分に混沌としていて大丈夫だろうと思っていたことが、大丈夫でなくなる。想定外の会席が進む結果、何かが、丸裸になるのです。
布をまとって充分に人の目から遮蔽されていたはずなのに、ある日、あなたは丸裸で立たされているのです。
犯罪者も脅かされます。
充分に自分を隠蔽したつもりが、瞬く間に、逮捕されてしまいます。
.*.
ハドゥープ
ハピルス
.*.
ビッグデータ処理のためのアマゾン・クラウド利用技術「ハドゥープ」インタフェースを改善した米ハピルスがもたらす成果は?
日本人ベンチャーということで注目されている米ハピルス。この技術により、クラウド利用が進み、ビッグデータへのチャレンジも進むことが期待される。
何が起きるだろう?
充分に混沌としていて大丈夫だろうと思っていたことが、大丈夫でなくなる。想定外の会席が進む結果、何かが、丸裸になるのです。
布をまとって充分に人の目から遮蔽されていたはずなのに、ある日、あなたは丸裸で立たされているのです。
犯罪者も脅かされます。
充分に自分を隠蔽したつもりが、瞬く間に、逮捕されてしまいます。
.*.
ハドゥープ
ハピルス
.*.
2012年09月01日
クリティカル・リスク領域
こんな言葉があるかどうか分からない。出鱈目です。雰囲気は伝わる。
<1>
金を扱う会社とかサービス。「絶対に」セキュアでないと困る。
<2>
医療分野。病院、医療器具、薬剤。一つ間違えば文字通り命取り。
<3>
原子力。放射能/放射線。ミスをしたら取り返しが付かない。基本的に手に負えないものを扱っている。
<4>
高緯度集積型の社会インフラ。なんのことでしょう。それがこけたら社会が著しく歪む。
<5>
国防、警察、裁判など国家安全保障に関連する機関。
.*.
こういう領域の仕事は本気でISMSをやらないといけない。審査機関などによる認証は必ずしも求めない。審査機関もリスクの一つだから。コンサルも同じだ。
助言(アドバイザリー)については、中に入れない資料も見せないで間接的に助言を貰う形、内部担当者を育成する観点からのコンタクトにとどめるのが良い。
.*.
こんな言葉があるかどうか分からない。出鱈目です。雰囲気は伝わる。
<1>
金を扱う会社とかサービス。「絶対に」セキュアでないと困る。
<2>
医療分野。病院、医療器具、薬剤。一つ間違えば文字通り命取り。
<3>
原子力。放射能/放射線。ミスをしたら取り返しが付かない。基本的に手に負えないものを扱っている。
<4>
高緯度集積型の社会インフラ。なんのことでしょう。それがこけたら社会が著しく歪む。
<5>
国防、警察、裁判など国家安全保障に関連する機関。
.*.
こういう領域の仕事は本気でISMSをやらないといけない。審査機関などによる認証は必ずしも求めない。審査機関もリスクの一つだから。コンサルも同じだ。
助言(アドバイザリー)については、中に入れない資料も見せないで間接的に助言を貰う形、内部担当者を育成する観点からのコンタクトにとどめるのが良い。
.*.
2012年08月30日
やはり企業ユーザーは"Microsoft Surface"を無視できない!
デスクトップ、ノート、タブレット、スマホ、仮想化デスクトップ、スカイドライブ、etc。相互運用性、シームレス運用、既存の情報資産の利用を考慮すると、マイクロソフトしか残らないから。
マイクロソフト純正タブレットの評価は多分このようなことで落ち着くだろう。
.*.
デスクトップ、ノート、タブレット、スマホ、仮想化デスクトップ、スカイドライブ、etc。相互運用性、シームレス運用、既存の情報資産の利用を考慮すると、マイクロソフトしか残らないから。
マイクロソフト純正タブレットの評価は多分このようなことで落ち着くだろう。
.*.
ビッグ・データ
普通のデータベースでは処理できないくらい大きいサイズのデータ。正規化されたデータと非正規ののデータが混在することもある。なかなか手に負えないデータ。それが少しずつ手に負えるようになってきて俄かにビッグデータの言葉があふれ出した。
.*.
ロングテール・ビジネスもビッグデータの一つではないかな。今まで諦めていた雑多なデータの再評価が可能になった。そういうことだろう。
.*.
普通のデータベースでは処理できないくらい大きいサイズのデータ。正規化されたデータと非正規ののデータが混在することもある。なかなか手に負えないデータ。それが少しずつ手に負えるようになってきて俄かにビッグデータの言葉があふれ出した。
.*.
ロングテール・ビジネスもビッグデータの一つではないかな。今まで諦めていた雑多なデータの再評価が可能になった。そういうことだろう。
.*.
Virtual Desktop Infrastructure
VDI
これは何でしょうか?
発展したシンクライアントのコンセプトみたいですね。
デスクトップというかウインドウズは端末上にはダウンロードされない。単なる表示機に過ぎないのでしょうか。
となると通信俯瞰が大変ですね。
.*.
VDI
これは何でしょうか?
発展したシンクライアントのコンセプトみたいですね。
デスクトップというかウインドウズは端末上にはダウンロードされない。単なる表示機に過ぎないのでしょうか。
となると通信俯瞰が大変ですね。
.*.
クラウドをビジネスに利用し始めた企業
クラウドは負荷対応の弾力的運用という側面が評価されている。ミニマムのリソースで最大の効用を得ようというものだが、ぎりぎりで設計するとNTTの通信ダウン事故みたいに何度も失敗する。やはり余裕を持っていないと安心できない訳です。
クラウドのもう1つの側面はインターネット(イントラネットでも)の利用です。企業グループ内や、ビジネスパートナー、あるいはユーザー〜顧客との情報連携がしやすいということです。
これって必ずしもクラウドであることを要求するものでは有りません。ただ、不確定のニーズに対する備えとしてクラウドは取り敢えず有効であろうとの理解は得られます。
.*.
一方で、クラウドは幻滅期に入ったとする観測もある。
実際に、そんな余裕で幾つもサーバーを動かしていなければクラウドに変えるメリットは出ない。頻繁に設備増強に追い込まれるような急激な変化は、クラウドにしても容易ではあるまい。
クラウドにすることで、一部のトラブルが全体に波及するリスクもある。途上技術。
.*.
クラウドは負荷対応の弾力的運用という側面が評価されている。ミニマムのリソースで最大の効用を得ようというものだが、ぎりぎりで設計するとNTTの通信ダウン事故みたいに何度も失敗する。やはり余裕を持っていないと安心できない訳です。
クラウドのもう1つの側面はインターネット(イントラネットでも)の利用です。企業グループ内や、ビジネスパートナー、あるいはユーザー〜顧客との情報連携がしやすいということです。
これって必ずしもクラウドであることを要求するものでは有りません。ただ、不確定のニーズに対する備えとしてクラウドは取り敢えず有効であろうとの理解は得られます。
.*.
一方で、クラウドは幻滅期に入ったとする観測もある。
実際に、そんな余裕で幾つもサーバーを動かしていなければクラウドに変えるメリットは出ない。頻繁に設備増強に追い込まれるような急激な変化は、クラウドにしても容易ではあるまい。
クラウドにすることで、一部のトラブルが全体に波及するリスクもある。途上技術。
.*.
ディザスタリカバリ
DR:disaster recovery
災害復旧。南海トラフ広域地震の想定シナリオが発表されてしまったので、企業は無視できなくなった。つまり、今後の災害復旧プランはこの震災を想定に入れざるを得なくなった。大変なことです。
ISMSの事業継続管理も当然、この想定に引っ張られることになる。
取り敢えずは、社会インフラを担う企業の取り組みを診てからということで、待ちの姿勢になるでしょう。
.*.
DR:disaster recovery
災害復旧。南海トラフ広域地震の想定シナリオが発表されてしまったので、企業は無視できなくなった。つまり、今後の災害復旧プランはこの震災を想定に入れざるを得なくなった。大変なことです。
ISMSの事業継続管理も当然、この想定に引っ張られることになる。
取り敢えずは、社会インフラを担う企業の取り組みを診てからということで、待ちの姿勢になるでしょう。
.*.
ソフトウエア開発における重要な活動
品質計画
製品ライフサイクル管理
開発標準に基づく開発
構成管理
差別化能力と訓練
機密管理
.*.
品質計画
製品ライフサイクル管理
開発標準に基づく開発
構成管理
差別化能力と訓練
機密管理
.*.
Service Level Agreements
所謂SLA(エスエルエー)です。あまりしっかりしたSLAにはお目にかかれません。独立系のITサービス事業会社なら立派なSLAを持っているかもしれません。
それでも、保障《未達成はペナルティ)と努力目標(ペナルティなし)に分けて、妥協の産物になっているでしょうか。
.*.
会社内の情報システム部門の場合は尚更明確なSLAを設定しません。これはいけませんね。CIOとかをおく場合はしっかりこの辺は縛りましょう。
.*.
所謂SLA(エスエルエー)です。あまりしっかりしたSLAにはお目にかかれません。独立系のITサービス事業会社なら立派なSLAを持っているかもしれません。
それでも、保障《未達成はペナルティ)と努力目標(ペナルティなし)に分けて、妥協の産物になっているでしょうか。
.*.
会社内の情報システム部門の場合は尚更明確なSLAを設定しません。これはいけませんね。CIOとかをおく場合はしっかりこの辺は縛りましょう。
.*.
安全なウェブサイトの作り方
IPA(ここも天下り独立法人ですか?)がこのようなサイトを開いている。企業のWEB担当者は一応読んでおかないと説明責任を負えない。
http://www.ipa.go.jp/security/vuln/websecurity.html
.*.
IPA(ここも天下り独立法人ですか?)がこのようなサイトを開いている。企業のWEB担当者は一応読んでおかないと説明責任を負えない。
http://www.ipa.go.jp/security/vuln/websecurity.html
.*.
ISO/IEC 15408
JIS X 5070:セキュリティ技術-情報技術セキュリティの評価基準
これは確か、商品自体の情報セキュリティ達成基準でしたよね。特に通信機器などでは重要とか。ソフトウエアでも関連するところは大事かも。
.*.
JIS X 5070:セキュリティ技術-情報技術セキュリティの評価基準
これは確か、商品自体の情報セキュリティ達成基準でしたよね。特に通信機器などでは重要とか。ソフトウエアでも関連するところは大事かも。
.*.
IT Service Management
これは確か、規格がありました。
.*.
ISO/IEC 20000-1
.*.
ITIL (アイティル)
http://www.itsmf-japan.org/itil/
.*.
ITサービスが社会に与える影響が大きいことを踏まえ、より安定的にITサービスが提供されるように規格を定めている。と言うのが建前。ISMSでも全然問題ないが、議論が寄り適切にフォーカスされるためには、こっちの規格は有用。認証取得と勘違いしないこと。認証はISMSで充分。内容的に参照すべきと言うことです。
「サービスレベル管理」
「サービス記録管理」
「サービス継続性・可用性管理」
「サービス資源管理」
「容量能力管理」
「情報セキュリティ管理」
「顧客関係管理」
「供給者管理」
「インシデント管理」
「問題管理」
「構成管理」
「変更管理」
「リリース管理」
.*.
これは確か、規格がありました。
.*.
ISO/IEC 20000-1
.*.
ITIL (アイティル)
http://www.itsmf-japan.org/itil/
.*.
ITサービスが社会に与える影響が大きいことを踏まえ、より安定的にITサービスが提供されるように規格を定めている。と言うのが建前。ISMSでも全然問題ないが、議論が寄り適切にフォーカスされるためには、こっちの規格は有用。認証取得と勘違いしないこと。認証はISMSで充分。内容的に参照すべきと言うことです。
「サービスレベル管理」
「サービス記録管理」
「サービス継続性・可用性管理」
「サービス資源管理」
「容量能力管理」
「情報セキュリティ管理」
「顧客関係管理」
「供給者管理」
「インシデント管理」
「問題管理」
「構成管理」
「変更管理」
「リリース管理」
.*.
