2013年03月04日
「業務引継ぎ規定」の欠落もセキュリティホールの一つ
「業務引継ぎ規定」を明確に定めていない組織が多い。引継ぎを行うこととしていてもその要件にまで立ち入る例はまれです。
理由は業務内容が様々で一律に規定できないこと、柔軟な役割編成、組織の機能設計の弾力性を損なうなどが上げられる。
無理やり、ミッションと引継ぎとを全従業員に詳細に決めて人事考課とも連携させる試みをやった企業がある。人事コンサルに踊って盲目の人事政策をやったものだが、結果は散々。閉塞感とか硬直感とかが蔓延して急速に業界での競争力を失っていった。愚かしいことだ。
それでも「業務引継ぎ規定」は必要です。
業務の中には必須事項「MUST」と任意事項「WANT」とから構成されます。会社全体の決め事はMUSTに含まれますが、担当者(管理職も含む)の発案・工夫で実施されることWANTも多くありWANTの方が多くの場合は実践的で有効なものです。
MUSTは引き継がれるがWANTは引き継がれない。
これが会社の大問題。大損失です。実際に属人的な内容は引継ぎが困難です。人を動かせない理由にもなります。創意工夫を評価する制度が無いことも手伝っています。
<まとめ>
業務引継ぎ規定を制定する。
引き継ぐ内容はMUSTとWANTの両方を網羅する。(実質的な業務継続の実現)
引継ぎ書(文書)による引継ぎを行う。
管理職限定(人事など)と一般業務とを分けて、一般業務については第3者による確認を可能とする。
前前任からの引継ぎ書も同時に確認する。1世代前にさかのぼって業務を確認できる。これはとても重要です。
引継ぎ期間は最長1年(年1回のイベントを主業務とするケースなど)、最短でも1週間ぐらいは確保したい。前任者が近くに居て随時不明事項の確認が出来る場合は1〜3ヶ月間を当てていいだろう。
引継ぎ書=業務マニュアルの理解。引継ぎ時に貰ったものが0版。後は自分で1版を起こし随時改定していくこと。0版は引継ぎ書だから次の引継ぎに添付するので捨てないこと。
業務内容によっては、顔の引継ぎ(あいさつ回り)、挨拶状、電子メール挨拶状などがタイムリーに行われないと失礼になりかねません。
.*.
さて、ISMS。
ISMSの関連でも多くの創意工夫が行われますが、人が変わると管理策まで消えてしまうことが少なくありません。自分の創意工夫は自慢ですが他人の創意工夫には胡散臭い目で見るものです。好き嫌いで済むことすまないことがあります。セキュリティはそこが重要。
笹子トンネルの点検標準は引継ぎ時に勝手に消えてしまった結果の重大な人身事故を招いています。他人事ではありません。
.*.
「業務引継ぎ規定」を明確に定めていない組織が多い。引継ぎを行うこととしていてもその要件にまで立ち入る例はまれです。
理由は業務内容が様々で一律に規定できないこと、柔軟な役割編成、組織の機能設計の弾力性を損なうなどが上げられる。
無理やり、ミッションと引継ぎとを全従業員に詳細に決めて人事考課とも連携させる試みをやった企業がある。人事コンサルに踊って盲目の人事政策をやったものだが、結果は散々。閉塞感とか硬直感とかが蔓延して急速に業界での競争力を失っていった。愚かしいことだ。
それでも「業務引継ぎ規定」は必要です。
業務の中には必須事項「MUST」と任意事項「WANT」とから構成されます。会社全体の決め事はMUSTに含まれますが、担当者(管理職も含む)の発案・工夫で実施されることWANTも多くありWANTの方が多くの場合は実践的で有効なものです。
MUSTは引き継がれるがWANTは引き継がれない。
これが会社の大問題。大損失です。実際に属人的な内容は引継ぎが困難です。人を動かせない理由にもなります。創意工夫を評価する制度が無いことも手伝っています。
<まとめ>
業務引継ぎ規定を制定する。
引き継ぐ内容はMUSTとWANTの両方を網羅する。(実質的な業務継続の実現)
引継ぎ書(文書)による引継ぎを行う。
管理職限定(人事など)と一般業務とを分けて、一般業務については第3者による確認を可能とする。
前前任からの引継ぎ書も同時に確認する。1世代前にさかのぼって業務を確認できる。これはとても重要です。
引継ぎ期間は最長1年(年1回のイベントを主業務とするケースなど)、最短でも1週間ぐらいは確保したい。前任者が近くに居て随時不明事項の確認が出来る場合は1〜3ヶ月間を当てていいだろう。
引継ぎ書=業務マニュアルの理解。引継ぎ時に貰ったものが0版。後は自分で1版を起こし随時改定していくこと。0版は引継ぎ書だから次の引継ぎに添付するので捨てないこと。
業務内容によっては、顔の引継ぎ(あいさつ回り)、挨拶状、電子メール挨拶状などがタイムリーに行われないと失礼になりかねません。
.*.
さて、ISMS。
ISMSの関連でも多くの創意工夫が行われますが、人が変わると管理策まで消えてしまうことが少なくありません。自分の創意工夫は自慢ですが他人の創意工夫には胡散臭い目で見るものです。好き嫌いで済むことすまないことがあります。セキュリティはそこが重要。
笹子トンネルの点検標準は引継ぎ時に勝手に消えてしまった結果の重大な人身事故を招いています。他人事ではありません。
.*.
2013年03月01日
ネット脅威はサイバーテロからサイバーウォーへ
ネットワークを経由した不正は、最初は個人的な愉快犯のレベルで実質的な被害は無いに等しいところから始まったが、わずかな期間で手口も狙いもエスカレートする一方だ。情報を盗み出すこと、システム機能を停止あるいは遠隔制御させるなどの不正行為に対する有効性を確認するエスカレーションでもあった。
最近は国家インフラに対する攻撃まで始まっている。宣戦布告なき開戦状態だ。
サイバー戦争
Cyber War
攻撃対象は、発電所、空港、電力グリッド、交通管制、証券取引所、など。
仕掛けているのは中国。恐らく中国軍部の影響下にある組織だろう。中国も北朝鮮も同じ。文明の利器を社会のためにつかうことより犯罪に使うことばかり。愛国無罪などと身勝手な理屈で悪事を重ねる。
米国は損害賠償請求を検討中とか。
.*.
対策は簡単?ネットを切る?。中国とやり取りするパケットはインもアウトもカットしてしまう?。
さて、
一つ一つの企業はどのように対処するか深刻です。自社の事業内容が国家リスクの入り口になっていないか早々に検証しておくことですね。
.*.
ネットワークを経由した不正は、最初は個人的な愉快犯のレベルで実質的な被害は無いに等しいところから始まったが、わずかな期間で手口も狙いもエスカレートする一方だ。情報を盗み出すこと、システム機能を停止あるいは遠隔制御させるなどの不正行為に対する有効性を確認するエスカレーションでもあった。
最近は国家インフラに対する攻撃まで始まっている。宣戦布告なき開戦状態だ。
サイバー戦争
Cyber War
攻撃対象は、発電所、空港、電力グリッド、交通管制、証券取引所、など。
仕掛けているのは中国。恐らく中国軍部の影響下にある組織だろう。中国も北朝鮮も同じ。文明の利器を社会のためにつかうことより犯罪に使うことばかり。愛国無罪などと身勝手な理屈で悪事を重ねる。
米国は損害賠償請求を検討中とか。
.*.
対策は簡単?ネットを切る?。中国とやり取りするパケットはインもアウトもカットしてしまう?。
さて、
一つ一つの企業はどのように対処するか深刻です。自社の事業内容が国家リスクの入り口になっていないか早々に検証しておくことですね。
.*.
攻撃型メールのセキュリティリスク対応の基本
今までも数多くの手口が紹介されている。
悪意のサーバーへ誘導するフィッシングは10年近く前から広がって今尚続けられている犯罪行為です。
ストレートにウイルスファイルを添付して送りつけるやりかたはもっと昔からの手口。
フィッシングサイトもサーバーから悪意のファイルあるいはコードをダウンロードさせるので、基本は同じこと。ターゲットのパソコンに何らかのファイルまたはコードが植えつけられる。
見知らぬ人のメールは誰でも警戒する時代になったためか、最近の流行は、身近な人、関係者を装った人からのメールに似せて発信するもの。サンドボックスと読んでいるところもある。爆弾処理を連想させる。
<対策>
システム的対応
(1)メールに添付されたファイルの検疫を行うもの。検疫能力の有効性維持が大変だろう。ニッチマーケットだからコスト面でも大金を吹っかけられるだろう。
(2)メールヘッダーの例外検出によるアラート処理。
人的対応
(3)最終判断は人が行う。ユーザー自身の意識改革が必要(NTTソリューション?)は正しい認識ですが、新たに構築された常識を崩してソーシャル系の犯罪行為が編み出されるので、先読みした啓蒙も欠かせない。
.*.
今までも数多くの手口が紹介されている。
悪意のサーバーへ誘導するフィッシングは10年近く前から広がって今尚続けられている犯罪行為です。
ストレートにウイルスファイルを添付して送りつけるやりかたはもっと昔からの手口。
フィッシングサイトもサーバーから悪意のファイルあるいはコードをダウンロードさせるので、基本は同じこと。ターゲットのパソコンに何らかのファイルまたはコードが植えつけられる。
見知らぬ人のメールは誰でも警戒する時代になったためか、最近の流行は、身近な人、関係者を装った人からのメールに似せて発信するもの。サンドボックスと読んでいるところもある。爆弾処理を連想させる。
<対策>
システム的対応
(1)メールに添付されたファイルの検疫を行うもの。検疫能力の有効性維持が大変だろう。ニッチマーケットだからコスト面でも大金を吹っかけられるだろう。
(2)メールヘッダーの例外検出によるアラート処理。
人的対応
(3)最終判断は人が行う。ユーザー自身の意識改革が必要(NTTソリューション?)は正しい認識ですが、新たに構築された常識を崩してソーシャル系の犯罪行為が編み出されるので、先読みした啓蒙も欠かせない。
.*.
2013年02月26日
あのISMS審査機関の何が問題なの?
注:内容は噂を繋ぎ合わせたものです。特定の審査機関を想定したものではありません。
(順不同)
構造的に出鱈目である。
魔法の審査計画?。物理的に無理な計画が平気で出てくる。移動時間ゼロ?。こいつらはタイムトンネルでも持っているのか。
審査時間は常に短い。リスクの小さいサイトと決めて掛かっている。
見積もりは営業がやっている。工数ミニマムを命題にしている。安い見積もりを出すためだ。質より量なんだろう。
見積もりの妥当性を審査部門がチェックすることにしているが殆ど無抵抗。工数の妥当性は実際に審査した後で見直すことは出来るが実際は希だ。
審査計画をチェックする人は誰もいない。セルフチェック。認定機関への説明責任が果たせるようにミニマムの審査工数は確保する形で計画は作る。クライアントへの費用請求はミニマムにする。しわ寄せは移動時間。そこでタイムトンネルが出現するのだろう。
審査工数ミニマムの中で部門のカバー数も多くなるようにするので、細切れ審査が多い。有効性の低い審査が多い。他所の審査機関なら複数の審査員が手分けしてしっかり工数を掛けるところを一人で次々対応するので通り一遍で終わり。本質課題への到達よりチェックリストのカバーに目が行っている。
理屈をつけて、兎に角、不適合を出さない。殆どの不適合は観察事項で済ます。
不適合を出さないから、どこのコンサルも喜んで推薦してくる。コンサルの顔がつぶされることは無い。
契約審査員がコンサルをやっているのでますます不適合が出ることは無い。
経営者からお目玉を食いたくない事務局スタッフも好んで指名する。
パフォーマンス調査の結果は極めて特徴的なものだったらしい。コピーも既に流れているようだ。世間話が裏付けられた格好だ。
出鱈目なコンサルをやっているところも指名してくる。推奨でなく指名です。他の審査機関では不適合が出てコンサルのいい加減なところがばれてしまいます。
あの審査機関にばかりクライアントを何社も紹介するコンサルは特に問題です。コンサルの実績も中身を見ないと迂闊には判断できません。結果論になりますが不良コンサルが事業拡大を後押ししているともいえます。
第三者認証制度の根幹を脅かす行為ですね。
お目付けのJIPDECの中には疑問に思っている人もいるでしょう。多分は認定審査の機会を捉えて是正ポイントを探そうとしているでしょうね。
グッドポイント大好き。迎合的姿勢が強いので審査と関係のないグッドポイントを多く出てきますが、それは自分が裸の王様にされているのかも知れません。要注意。
観察事項を何十件と出しておいて不適合はゼロということは珍しくありません。不適合を出すと主任審査員/リーダーに何か困ることがあるのでしょうか。
観察事項もクライアントが強くクレームすると削除します。何処から何処まで迎合的。観察事項は記録(審査報告)ではどうでもいいレベルの扱いなのでしょう。
不適合は簡単に観察時効になり、観察事項は簡単にりジェクトされてしまうので、残るのはグッドポイントばかり。噂では、1割はおろか下手すると3件に1件はグッドポイントということもあるようです。
見積の工数単価は高い他所より高いかも知れません。見積もり比較をすると金額はほどほどでも工数が極端に小さい。ガイドラインのミニマムでしか持ってこない。十分時間を掛けてくれない。もしいつもミニマムで済ませば、一種の手抜き審査の懸念があります。工数を統計的に把握すればもっと実態が把握できるでしょう。
最近は珍しくない在宅勤務の弊害も懸念されます。オフィスでの十分な価値共有や自由に討議する環境が無いため、規格運用の基準がぶれる懸念があります。(共通価値も醸成しにくい。規格理解がばらばらになる)
契約審査員への依存が大きい。社員の審査員同様にばらばらの解釈が懸念される。しかし、皮肉なことに社員審査員よりは一般企業での管理業務・実務の経験者が多いので杓子定規にされる懸念は少なく安心できる。
(続く)
2013年02月25日
オフィスからサーバーが消える日?クラウドリスクの本質?
クラウドの領域がミッションクリティカル領域にまで広がるという話がある。いずれは社内サーバーがなくなる日が来るという話も。こういう極端な論争は新たな技術が紹介されるといつも起きることです。
会社に各事業領域をカバーする基幹サーバーが本格的に導入されると部門サーバーはなくなる。でも無くならないから二重投資防止を盾に禁止するしかなかった。決して自然淘汰されない。
パソコンからモバイルまでの個人端末はどうか。通信機能だけでインテリジェンス無しの馬鹿端末に置き換わることは気配すらない。
知的労働者がその生み出す情報の一切を組織に預けることを良しとする訳がない。業務上の成果だからとして組織がむしりとっていこうとするが、個人と組織の間は決して支配・被支配の関係ではない。
とは言え、実質的には既に始まっている個人クラウドは今後ますます日常的なものになる。
部門サーバーは部門に割り当てられたクラウドサービスの利用になる。
.*.
なぜクラウドだけが残るといえるのか?
個人のスモールオフィスは勿論、企業の部門でも、企業の情報統括部門でも、セキュリティの維持が出来なくなるからだ。セキュリティリスクが高まれば対策も中途半端ではすまなくなる。セキュリティの維持に掛かる費用も膨大なものになる。
セキュリティ対策の十分な専門の企業を立ち上げる。大手企業なら資本的にも人材的にも影響を及ぼすことができる専門会社が既にあるだろう。
オフィスの中は中継装置、通信装置だけが残ることになるだろう。
.*.
大規模ネット障害への対策は最後まで残る。二重三重の回線を確保するのは当然だろう。
.*.
ガソリンOILなどエネルギーも社会の基盤で資源は有限であり産油国も限られるからコストは常に不安定です。クラウドの大前提はブロードバンドの普及で実現した安い通信料金があります。しかし、ビジネスが個人の利用を圧迫し始めると法律が動き始めるでしょう。ビッグデータを無尽蔵にネットに流し始めれば歪(いびつ)な状況を生みかねない。先を争うだけでなく健全な発展を意識した業界の取り組みが必要だろう。
.*.
クラウドの領域がミッションクリティカル領域にまで広がるという話がある。いずれは社内サーバーがなくなる日が来るという話も。こういう極端な論争は新たな技術が紹介されるといつも起きることです。
会社に各事業領域をカバーする基幹サーバーが本格的に導入されると部門サーバーはなくなる。でも無くならないから二重投資防止を盾に禁止するしかなかった。決して自然淘汰されない。
パソコンからモバイルまでの個人端末はどうか。通信機能だけでインテリジェンス無しの馬鹿端末に置き換わることは気配すらない。
知的労働者がその生み出す情報の一切を組織に預けることを良しとする訳がない。業務上の成果だからとして組織がむしりとっていこうとするが、個人と組織の間は決して支配・被支配の関係ではない。
とは言え、実質的には既に始まっている個人クラウドは今後ますます日常的なものになる。
部門サーバーは部門に割り当てられたクラウドサービスの利用になる。
.*.
なぜクラウドだけが残るといえるのか?
個人のスモールオフィスは勿論、企業の部門でも、企業の情報統括部門でも、セキュリティの維持が出来なくなるからだ。セキュリティリスクが高まれば対策も中途半端ではすまなくなる。セキュリティの維持に掛かる費用も膨大なものになる。
セキュリティ対策の十分な専門の企業を立ち上げる。大手企業なら資本的にも人材的にも影響を及ぼすことができる専門会社が既にあるだろう。
オフィスの中は中継装置、通信装置だけが残ることになるだろう。
.*.
大規模ネット障害への対策は最後まで残る。二重三重の回線を確保するのは当然だろう。
.*.
ガソリンOILなどエネルギーも社会の基盤で資源は有限であり産油国も限られるからコストは常に不安定です。クラウドの大前提はブロードバンドの普及で実現した安い通信料金があります。しかし、ビジネスが個人の利用を圧迫し始めると法律が動き始めるでしょう。ビッグデータを無尽蔵にネットに流し始めれば歪(いびつ)な状況を生みかねない。先を争うだけでなく健全な発展を意識した業界の取り組みが必要だろう。
.*.
2013年02月21日
相変わらずアクセスが多いASR!何があった?
審査機関エーエスアールASRの検索ヒットが相変わらず多い。極めて不自然なことだ。ここにはASRの情報は何も無いだから。以前にもメモしたが、検索ワードはネガティブな用語を伴うことが多い。何らかの問題を起こしているのではないか。
もう一度サイトチェックをしてみよう!
http://www.armsr.co.jp/
信頼できるISO審査機関と真っ先に出てくる。ここは審査機関としての「信頼」が問題あるいは課題になっているんだろう。
<セミナー>は無料セミナー(ISMSはない)と内部監査員の1日2万5千円のセミナー(ISMSはないは1日しかない)。審査員資格のセミナーは無い。内部監査員要請を1日で済ますのは安直過ぎる。
<見積もり>適正審査かどうかは費用面の話で訴求している。安くやりますといっているみたいだ。他の審査機関の費用が馬鹿高いとも言える。それで迎合的審査に終始するなら考え直してよいでしょう。ASRにチャンスを与えてみるということです。
<審査員>いつの間にか契約採用条件が緩和されているようだ。見込み違いが有ったのか?。
.*.
この1年くらいで事業として少し軌道に乗ってきたように感じる。
.*.
審査機関エーエスアールASRの検索ヒットが相変わらず多い。極めて不自然なことだ。ここにはASRの情報は何も無いだから。以前にもメモしたが、検索ワードはネガティブな用語を伴うことが多い。何らかの問題を起こしているのではないか。
もう一度サイトチェックをしてみよう!
http://www.armsr.co.jp/
信頼できるISO審査機関と真っ先に出てくる。ここは審査機関としての「信頼」が問題あるいは課題になっているんだろう。
<セミナー>は無料セミナー(ISMSはない)と内部監査員の1日2万5千円のセミナー(ISMSはないは1日しかない)。審査員資格のセミナーは無い。内部監査員要請を1日で済ますのは安直過ぎる。
<見積もり>適正審査かどうかは費用面の話で訴求している。安くやりますといっているみたいだ。他の審査機関の費用が馬鹿高いとも言える。それで迎合的審査に終始するなら考え直してよいでしょう。ASRにチャンスを与えてみるということです。
<審査員>いつの間にか契約採用条件が緩和されているようだ。見込み違いが有ったのか?。
.*.
この1年くらいで事業として少し軌道に乗ってきたように感じる。
.*.
管理策有効性の評価は133項目全部ですか?
有効性評価は面倒です。133項目から採用した管理策が100項目としたら、この100項目について有効性評価をやります。
管理策を採用するということは、その施策を管理してしっかりやり抜きますよということですから、その一環として有効性を見るのは当然のことです。
妥協的・迎合的な審査機関や審査員は主要なもので十分といったり、出来るものからやってくださいと一見すると優しい態度を取りますが間違いです。そういう場合は嫌味ですが、有効性評価をやらなくて良い理由を聞いてください。
是正処置で考えれば良いですね。リスクアセスから先手を打つのが管理策、不適合を引き金に後手ながら手を打つのが是正処置ですが、管理策も是正処置も正しくは待っているかどうかの検証が必要なのは当然です。どこかの国の公共事業みたいにコンクリートで何か作って満足するだけでは駄目ですよ。正しい事業だったかどうかは検証しなければ。
有効性をどのように評価するかは管理策の特性に応じて変えても良いでしょう。
.*.
一つの管理目的に対して複数の管理策を当てる場合は個々の管理策の有効性の評価の仕方が難しくなります。知恵が出なければセットで管理するしかありません。
管理目的と管理策の関係を構造化・階層化(ベクトル表現)を踏まえて把握できれば個々に有効性評価が出来るかもしれません。
.*.
有効性評価は面倒です。133項目から採用した管理策が100項目としたら、この100項目について有効性評価をやります。
管理策を採用するということは、その施策を管理してしっかりやり抜きますよということですから、その一環として有効性を見るのは当然のことです。
妥協的・迎合的な審査機関や審査員は主要なもので十分といったり、出来るものからやってくださいと一見すると優しい態度を取りますが間違いです。そういう場合は嫌味ですが、有効性評価をやらなくて良い理由を聞いてください。
是正処置で考えれば良いですね。リスクアセスから先手を打つのが管理策、不適合を引き金に後手ながら手を打つのが是正処置ですが、管理策も是正処置も正しくは待っているかどうかの検証が必要なのは当然です。どこかの国の公共事業みたいにコンクリートで何か作って満足するだけでは駄目ですよ。正しい事業だったかどうかは検証しなければ。
有効性をどのように評価するかは管理策の特性に応じて変えても良いでしょう。
.*.
一つの管理目的に対して複数の管理策を当てる場合は個々の管理策の有効性の評価の仕方が難しくなります。知恵が出なければセットで管理するしかありません。
管理目的と管理策の関係を構造化・階層化(ベクトル表現)を踏まえて把握できれば個々に有効性評価が出来るかもしれません。
.*.
O2O(オンラインtoオフライン)ビジネスのセキュリティリスク
オンライン(ネットビジネスなど)とオフライン(実店舗ビジネスなど)の融合化させたものを言うらしい。まだ試行錯誤過程にあり、いろいろなモデルが提案され始めた。
NTTドコモの「ショッぷらっと」は店舗内の微弱サウンドをスマホに拾わせてサービス情報(クーポンなど)を送り込むサービスを始めた。
http://shoplat.net/
LINE@(ラインアット)はWiFiによる位置情報を収集・分析しマーケティングに活用するサービスが既に提供されている(?)。
※
見方を変えれば自分の行動が監視されている訳です。何らかのリスクを感じますね。いずれ商品側にもICチップが埋め込まれる時代が来ますから、より具体的に行動が監視されます。
何に関心があるか、何を買ったか、それが何日分も補足され分析されれば、次に何を買うかまで本人以上に知られてしまいそうですね。余計なお世話(気が利いたお世話?)のメールなり電話が来る訳です。
ネガティブな情報も入り込んで来るかもしれません。
.*.
ISMSへの示唆?
(利用)社員のスマホにO2Oアプリ導入のガイドを出すこと。仮に社員の個人の持ち物であっても。リスクの見極めの時間は必要だろう。
(提供)クラウド利用、ビッグデータ解析などは外部委託になるが、暗号技術などデータ保護策を積極的に検討すべきだ。
.*.
2013年02月20日
ビッグデータをセキュリティ監視に利用する
ビッグデータの利用がメディアに頻繁に登場するようになった。従来は手に負えないとして捨てられていた情報を最新のハードとソフトなら一定の利用が可能としての取り組みだ。しかし、依然道半ば。利用技術はまだまだ途上だろう。
セキュリティで言えば行動監視。全てのログを取るなんて無理と最初から諦めていたことがこれからは変わってくるだろう。
社内の監視、外部からの電話、訪問、打ち合わせ、ネット、郵送など一切のやり取りも、個別事象でなく一連の連関の中で把握していくやり方が成立するようになるだろう。
もっとも、この手の取り組みは米国の国家安全保障に関連する団体が大昔からやっているだろうが、ITの進化で漸く有用性が目の前に来たのだろう。
実際にソリューションを開発できるのは大手ITベンダーに限られるだろう。ベンダーとしての提供の仕方は難しい。
.*.
概念的にはビッグデータ利用は理解できるが時間を含めてリソースは無尽蔵ではない。具体的なソリューションの開発、具体化が急がれる。
セキュリティなんていくらやってもキリがないという問題に終止符が打てるか?
.*.
ビッグデータの利用がメディアに頻繁に登場するようになった。従来は手に負えないとして捨てられていた情報を最新のハードとソフトなら一定の利用が可能としての取り組みだ。しかし、依然道半ば。利用技術はまだまだ途上だろう。
セキュリティで言えば行動監視。全てのログを取るなんて無理と最初から諦めていたことがこれからは変わってくるだろう。
社内の監視、外部からの電話、訪問、打ち合わせ、ネット、郵送など一切のやり取りも、個別事象でなく一連の連関の中で把握していくやり方が成立するようになるだろう。
もっとも、この手の取り組みは米国の国家安全保障に関連する団体が大昔からやっているだろうが、ITの進化で漸く有用性が目の前に来たのだろう。
実際にソリューションを開発できるのは大手ITベンダーに限られるだろう。ベンダーとしての提供の仕方は難しい。
.*.
概念的にはビッグデータ利用は理解できるが時間を含めてリソースは無尽蔵ではない。具体的なソリューションの開発、具体化が急がれる。
セキュリティなんていくらやってもキリがないという問題に終止符が打てるか?
.*.
2013年02月18日
FBIの操作能力
例の成りすまし脅迫メールで遠隔操作ウイルスが注目されたが、サーバー上のウイルスに容疑者(片山祐輔)の関係先情報が残っていたことが判明したと米国FBIが公表したようだ。誰かが依頼したのか、自発的なものなのか。サーバーはファイル共有サービスで有名なドロップボックス(Dropbox)のもの。FBIの捜査権としてサーバー内を見ることが出来るんでしょうが示唆されるものに留意すべきです。
http://ja.wikipedia.org/wiki/連邦捜査局
http://en.wikipedia.org/wiki/Federal_Bureau_of_Investigation
米国内のサーバーは何かことがあれば米国の操作当局がサーバーに立ち入る。当然のことだが、自分とか関係ないことが要因の場合でも内部を見られる可能性があるということだ。
クラウドサービスの利用をためらう要因でもあったわけだ。結果的には、国内ファシリティを構えるクラウドサービスが出てきて漸く勢いが付いてきたことになる。
しかし、個人が利用するクラウドサービスは海外のものも多いわけで、サービス利用にどのようなリスクを伴うか見ておくべきだろ。
.*.
もっとも国家公安に関わる組織の閲覧は拒否しようが無いのでリスクとすることには疑問が残る。ただ、海外の場合は法律が違いますし、内部捜査の目的も違います。また国家間の関係などは必ずしも常に友好的でもありません。間違っても中国国内や、中国外でも中国資本の影響を受けるサーバーは使用できないでしょう。
クラウドにも中国リスクは存在すると考えるべきです。
.*.
2013年02月17日
隕石落下のリスク評価
ロシアに隕石が落ちた。100年に1度の隕石被害とされた。死者は出ていないが怪我人は出ている。施設は損も出ている。通信障害の有無などは今後の報道になるだろう。
隕石が直撃したら?
その施設は持たない。隕石の程度によっては人類自体が持たないかもしれません。恐竜は滅びました。小さな隕石はのべつ幕なしに落下している。性格的には地震のリスクに似ている。
隕石リスクをアセスした例はあまり見ないが無視してよい訳でもなさそうだ。
.*.
ISMSなら:
バックアップサイト(副本社)、バックアップセンター(データセンター)は十分距離をとること。これは地震と同じこと。隕石の特徴は直撃被害。備えるなら、地下深く。無理かな。情報の維持はギブアップするとして少なくとも流出・漏洩のリスクだけは軽減しておきたい。
リスク管理を考える人は当然、ISMSを担当する人も、隕石落下を想定外で済ますのは許されない。業態によっては深刻な事態になるだろう。
ISMS担当者は脅威の洗い出しリストの中に隕石落下の項目を直ぐにも追加して起きたい。
.*.
原子力発電施設や原子力関連の問題物質の保管はもっと深刻だ。二次被害の大きさが桁違いだからだ。原子力関連の安全管理が確立するまでは大規模運用が無理なんだと改めて考えさせられる。
.*.
2013年02月08日
個人情報の闇売買:狙われる会社員・公務員
クローズアップ現代でやってました。1月23日。
<協力者>金で雇われる協力者
携帯電話の販売員=香川のソフトバンク(女子社員)
定期券販売窓口
就職活動サポート業者・団体=横浜のハローワーク(契約社員)
戸籍住民票に近い役所
運転免許証に関わる職員・警察
コールセンター=トランスコスモス(多摩センター?)
バイトといって近寄り一旦情報を受け取ると後は不正をネタにやめさせない。
<探偵=収集>
協力者を開拓して情報を集める。
<探偵=販売・利用>
個人の素行調査。所謂普通の探偵。
<情報屋>
個人情報のソフトバンクみたいなもの。仲介だけで巨額の富を得る。
四国香川のソフトバンクの店員が顧客データにアクセスして全国の契約者情報をダウンロードできる。ソフトバンクは教育もいい加減だったのだ。
SDメディア紛失の例でも容易に分かるが基本的な管理ができていないことは明白。
<対策>
教育と内部監査だけ?月並み。やらない訳には行かないが大した効果はない。
.*.
番組の中でもコメントされていたが、『個人情報保護法が個人情報の価値(取引価格)を上げて闇取引の犯罪を招いている』と見るのは本質的に間違った発想だ。
.*.
2013年02月07日
秘密録音・盗聴の横行と情報セキュリティ問題
盗聴は専ら他人のやりとりの音声、秘密録音は自分と他人のやりとりの録音。盗聴は興味本位の一種の愉快犯的なものやスパイ行為的なものがメインだが、秘密録音はもっと深刻なケースも含まれる。例えば、虐め被害の子供がその様子を録音するケース、会社上司の無理難題に苦しむ部下がパワハラの様子を録音するケース、押し売りや押し買いに駒って録音するケース、肩たたき退職を強引に迫られた社員がその様子を録音するケースなどである。最近は裁判での証拠資料として採用されるケースが多いらしい。
秘密録音
http://ja.wikipedia.org/wiki/秘密録音
盗聴
http://ja.wikipedia.org/wiki/盗聴
さて?
弱者が自分の身を守る手段として止む無く行う秘密録音の側面を理解した場合に、一律の規制は難しいかもしれない。しかし、一方では、会社が狙いをつけた社員を貶めるために行う秘密録音・盗聴は社会的批判を免れないだろう。
録音は専用のICレコーダーなどを使わなくても携帯電話/スマホでも簡単に出来るので、いつでも誰でも秘密録音は可能なのが現在の状況です。これを検閲することは実際問題としては出来ないでしょう。
.*.
ISMS担当者は;
(1)現在のポリシーがどのように適用されるかを検証すること。
(2)明確でなければポリシー運用ガイドの中身またはポリシー自体を見直すこと。
(3)特に持つべきでない情報の取り扱いについては慎重に検討し決定すること。
.*.
2013年02月06日
デルが国内提供を始めた情報セキュリティサービス「SecureWorks」の魅力?
デルが買収したSecureWorks社のサービスを漸く日本でも提供開始したがその魅力はどんなものだろう。
3つのサービス:
「セキュリティ&リスクコンサルティング(SRC)」
「マネージド・セキュリティ」
「セキュリティ上の脅威解析」
良くは分からないがセキュリティを総合的なソリューションとして提供するものだろう。デルブランドの果たす役割も大きい。
そして、いつものように問題はコストですね。Dell SecureWorksの料金プランの魅力はどんなもの?
※
2013年01月27日
クラウド残業とBYODって従来と何が違うの?
日経を見ていたらいきなり「クラウド残業」の言葉が。何かと思ったがあまり意味の無かったコラムだ。クラウドという言葉を使いたかっただけなのかな。在宅勤務は以前からインターネット環境を経由して会社情報にアクセスし業務を遂行するもので大手に限らず何処の会社でも必要に応じて実施していた。労務管理の方が問題が大きかったから、試験的に管理職から導入した企業もある。
モバイルワークを導入しているところもある。営業系、サービス系の会社。外出して直帰して在宅勤務。割と普通。パソコンあるいは専用端末は会社支給のもの。パソコンがタブレットでもスマホでも理屈は同じ。勝手にプログラムインストールなどを制約している。
リスク:
出先で酒を飲んで端末を奪われてそのまま会社の中を見て回られたら?心配しすぎ?。普通は接続時間の管理策を入れます。行動監視の管理策も。この頃はトラップまで用意しているらしい。例えば、「社長機密室」などと紛らわしいディレクトリー〜フォルダーを用意しておいて、其処は誰もアクセスしない。社員は知っていて、アクセスするとネズミ捕りプログラムが作動する。防御だけでなく犯人特定まで考えた罠を仕掛けるとか。
公私混同は避けるべきだが、スマホ/携帯を個人用と業務用とに分けることは実際は難しい。仕事仲間と遊ぶことだってあるのだから当然。公私混同の回避についても程度問題だろう。一定の規範さえ明確であれば十分だろう。
BYODは合理的な選択の一つかもしれない。
この場合も一定の制約は入るだろう。指定の監視ソフト(アプリ)の導入とか、業務環境とセパレートする仕掛けとか。
.*.
日経を見ていたらいきなり「クラウド残業」の言葉が。何かと思ったがあまり意味の無かったコラムだ。クラウドという言葉を使いたかっただけなのかな。在宅勤務は以前からインターネット環境を経由して会社情報にアクセスし業務を遂行するもので大手に限らず何処の会社でも必要に応じて実施していた。労務管理の方が問題が大きかったから、試験的に管理職から導入した企業もある。
モバイルワークを導入しているところもある。営業系、サービス系の会社。外出して直帰して在宅勤務。割と普通。パソコンあるいは専用端末は会社支給のもの。パソコンがタブレットでもスマホでも理屈は同じ。勝手にプログラムインストールなどを制約している。
リスク:
出先で酒を飲んで端末を奪われてそのまま会社の中を見て回られたら?心配しすぎ?。普通は接続時間の管理策を入れます。行動監視の管理策も。この頃はトラップまで用意しているらしい。例えば、「社長機密室」などと紛らわしいディレクトリー〜フォルダーを用意しておいて、其処は誰もアクセスしない。社員は知っていて、アクセスするとネズミ捕りプログラムが作動する。防御だけでなく犯人特定まで考えた罠を仕掛けるとか。
公私混同は避けるべきだが、スマホ/携帯を個人用と業務用とに分けることは実際は難しい。仕事仲間と遊ぶことだってあるのだから当然。公私混同の回避についても程度問題だろう。一定の規範さえ明確であれば十分だろう。
BYODは合理的な選択の一つかもしれない。
この場合も一定の制約は入るだろう。指定の監視ソフト(アプリ)の導入とか、業務環境とセパレートする仕掛けとか。
.*.
2013年01月25日
審査機関あるいは審査員のSNS利用の是非
審査機関の人間がフェイスブックとかツイッターとかのSNSを実名で利用しているのを見ると奇異に感じる。何故だろう?。普通の学生でも、サラリーマンでも、専業主婦でも、自営業でも、フリーターでも、年金生活者でも、誰も彼もがSNSに染まる時代だ。
SNSは個人名、履歴、信条、交友関係など個人的な詮索の対象になる情報が溢れ返っている。
だから、警察官とか、裁判官とか、教員とか、ある特定の役割を担う職業に付く人は、職務上のことではあっても、個人的な恨みを買うことがあり、また賄賂などによる不正の対象にもなるため、必要以上に個人情報を晒すようなことはしない。
審査員という職業、認証審査という事業はどのように見るか。厳正にやればクライアントと衝突し反感を買うこともある。一方で甘い審査を望めば個人的な懐柔も厭わないものだ。
SNSに晒すということは、厳正・厳格な審査はやりません。個人的アプローチは大歓迎と言っているようなものだ。
李下に冠を正さず。
普通に正しい審査機関はSNSなど利用しないだろう。不適合所見など書かないと決めて掛かっている審査機関ぐらいしかSNSは利用しないだろう。
SNSのメカニズムを社内の情報共有に使うのとではまるで意味が違ってくる。世間のSNS利用はその審査員、その審査機関の意識が何処にあるか推測できるというものです。
.*.
審査機関の人間がフェイスブックとかツイッターとかのSNSを実名で利用しているのを見ると奇異に感じる。何故だろう?。普通の学生でも、サラリーマンでも、専業主婦でも、自営業でも、フリーターでも、年金生活者でも、誰も彼もがSNSに染まる時代だ。
SNSは個人名、履歴、信条、交友関係など個人的な詮索の対象になる情報が溢れ返っている。
だから、警察官とか、裁判官とか、教員とか、ある特定の役割を担う職業に付く人は、職務上のことではあっても、個人的な恨みを買うことがあり、また賄賂などによる不正の対象にもなるため、必要以上に個人情報を晒すようなことはしない。
審査員という職業、認証審査という事業はどのように見るか。厳正にやればクライアントと衝突し反感を買うこともある。一方で甘い審査を望めば個人的な懐柔も厭わないものだ。
SNSに晒すということは、厳正・厳格な審査はやりません。個人的アプローチは大歓迎と言っているようなものだ。
李下に冠を正さず。
普通に正しい審査機関はSNSなど利用しないだろう。不適合所見など書かないと決めて掛かっている審査機関ぐらいしかSNSは利用しないだろう。
SNSのメカニズムを社内の情報共有に使うのとではまるで意味が違ってくる。世間のSNS利用はその審査員、その審査機関の意識が何処にあるか推測できるというものです。
.*.
2013年01月20日
何となく誠実さを感じさせられるDNV
DNVの審査は非常に真面目、誠実な印象を受ける。真面目な分、こちらも真剣でないといけないから多分疲れると思うがそれに見合う価値ある審査が期待できる。そんな印象です。
たまたまDNVのそういう人に遭遇しただけかも知れないが、その何となくというのはとても大事なことだと思う。某社のようにぎらぎらした如何にもやり手というのが出てくると返って安心が行かない。
もっとも、DNVはあまり積極的にISMSを推進しているようには見えない。まあ、其れでもいいでしょう。
DNV デット・ノルスケ・ベリタス
http://www.dnv.jp/
会社のマークが錨(いかり)というのも歴史が感じられて面白い。ノルウェーの会社。邦訳された会社案内でもあれば読んでみたい。どこかに奇特な人は居ないものか?。
.*.
DNVの審査は非常に真面目、誠実な印象を受ける。真面目な分、こちらも真剣でないといけないから多分疲れると思うがそれに見合う価値ある審査が期待できる。そんな印象です。
たまたまDNVのそういう人に遭遇しただけかも知れないが、その何となくというのはとても大事なことだと思う。某社のようにぎらぎらした如何にもやり手というのが出てくると返って安心が行かない。
もっとも、DNVはあまり積極的にISMSを推進しているようには見えない。まあ、其れでもいいでしょう。
DNV デット・ノルスケ・ベリタス
http://www.dnv.jp/
会社のマークが錨(いかり)というのも歴史が感じられて面白い。ノルウェーの会社。邦訳された会社案内でもあれば読んでみたい。どこかに奇特な人は居ないものか?。
.*.
何となく誠実さを感じさせられるDNV
DNVの審査は非常に真面目、誠実な印象を受ける。真面目な分、こちらも真剣でないといけないから多分疲れると思うがそれに見合う価値ある審査が期待できる。そんな印象です。
たまたまDNVのそういう人に遭遇しただけかも知れないが、その何となくというのはとても大事なことだと思う。某社のようにぎらぎらした如何にもやり手というのが出てくると返って安心が行かない。
もっとも、DNVはあまり積極的にISMSを推進しているようには見えない。まあ、其れでもいいでしょう。
DNV デット・ノルスケ・ベリタス
http://www.dnv.jp/
会社のマークが錨(いかり)というのも歴史が感じられて面白い。ノルウェーの会社。邦訳された会社案内でもあれば読んでみたい。どこかに奇特な人は居ないものか?。
.*.
DNVの審査は非常に真面目、誠実な印象を受ける。真面目な分、こちらも真剣でないといけないから多分疲れると思うがそれに見合う価値ある審査が期待できる。そんな印象です。
たまたまDNVのそういう人に遭遇しただけかも知れないが、その何となくというのはとても大事なことだと思う。某社のようにぎらぎらした如何にもやり手というのが出てくると返って安心が行かない。
もっとも、DNVはあまり積極的にISMSを推進しているようには見えない。まあ、其れでもいいでしょう。
DNV デット・ノルスケ・ベリタス
http://www.dnv.jp/
会社のマークが錨(いかり)というのも歴史が感じられて面白い。ノルウェーの会社。邦訳された会社案内でもあれば読んでみたい。どこかに奇特な人は居ないものか?。
.*.
タブレットはパソコンを駆逐するか?
タブレット
タブレットの売れ行きが良いからこういう乱暴なことが出てくる。少なくともノートパソコンは駆逐してしまうだろう。これも意味の無い議論だ。
センターパソコンCPCP、コックピットパソコンCPCの領域へ行けば、タブレットは案外にも操作端末として使われる可能性は残るが、CPCがメインであることには変わりない。
もう一つのシナリオは、ローカル連携でない環境。コックピットの各構成要素も全てクラウド連携してコックピット全体を構成するタイプ。こうなると確かにパソコンの出幕がなくなってくるね。
端末、周辺装置の制御装置は必要だが、中央演算装置は必要ない。
タブレットもスマホも要するにUI用の端末の位置づけです。
.*.
働き方も変わる。
会社へパソコンを持ち込んでもらっても困る。会社のパソコンを持ち出しても困る。ところが携帯端末がパソコンになってしまった。嫌、パソコンが端末になってしまった。
会社支給端末(PC)でも会社持ち込み端末(BYOD)でもいいが、結局はアプリベースでセキュアな環境を作ってそこで仕事をしてもらうしかない訳だ。
.*.
ISMSでは?
個人認証、端末認証、端末監視、行動監視(日頃の行動パターンから外れたら警告)
.*.
タブレット
タブレットの売れ行きが良いからこういう乱暴なことが出てくる。少なくともノートパソコンは駆逐してしまうだろう。これも意味の無い議論だ。
センターパソコンCPCP、コックピットパソコンCPCの領域へ行けば、タブレットは案外にも操作端末として使われる可能性は残るが、CPCがメインであることには変わりない。
もう一つのシナリオは、ローカル連携でない環境。コックピットの各構成要素も全てクラウド連携してコックピット全体を構成するタイプ。こうなると確かにパソコンの出幕がなくなってくるね。
端末、周辺装置の制御装置は必要だが、中央演算装置は必要ない。
タブレットもスマホも要するにUI用の端末の位置づけです。
.*.
働き方も変わる。
会社へパソコンを持ち込んでもらっても困る。会社のパソコンを持ち出しても困る。ところが携帯端末がパソコンになってしまった。嫌、パソコンが端末になってしまった。
会社支給端末(PC)でも会社持ち込み端末(BYOD)でもいいが、結局はアプリベースでセキュアな環境を作ってそこで仕事をしてもらうしかない訳だ。
.*.
ISMSでは?
個人認証、端末認証、端末監視、行動監視(日頃の行動パターンから外れたら警告)
.*.
2013年01月19日
JQA vs. BSI
ISMSの審査では2強の形になってきた。以前はBSIの独壇場だったが相次ぐ戦略ミスのためにみすみすJQAの大接近を招いた。
統合審査はQMSのカスタマーベースを多く有するところに優位に働くという簡単なことが読み取れなかったようだ。
どこの企業でも団体でも管理のベースは品質管理。
EMS審査に強いJACOはEMSを手がかりに統合審査を仕掛け、既存のQMSの勢力図を塗り替えようとした。
ISMS審査に強いBSIはISMSを手がかりに統合審査を仕掛け、既存のQMSの勢力図を塗り替えようとした。
統合審査がもっとも有利に働いたのはQMSのカスタマーベースを有するJQAに対してである。
.*.
規格の枠組みも統一化が進んでいる。統合審査の是非は残るが統合管理は一気に進むだろう。主導権を握るのはQMSの勢力図に基づくことになる。
.*.
ISMSの審査では2強の形になってきた。以前はBSIの独壇場だったが相次ぐ戦略ミスのためにみすみすJQAの大接近を招いた。
統合審査はQMSのカスタマーベースを多く有するところに優位に働くという簡単なことが読み取れなかったようだ。
どこの企業でも団体でも管理のベースは品質管理。
EMS審査に強いJACOはEMSを手がかりに統合審査を仕掛け、既存のQMSの勢力図を塗り替えようとした。
ISMS審査に強いBSIはISMSを手がかりに統合審査を仕掛け、既存のQMSの勢力図を塗り替えようとした。
統合審査がもっとも有利に働いたのはQMSのカスタマーベースを有するJQAに対してである。
.*.
規格の枠組みも統一化が進んでいる。統合審査の是非は残るが統合管理は一気に進むだろう。主導権を握るのはQMSの勢力図に基づくことになる。
.*.
2013年01月18日
LINEユーザー1億人突破で弾みがつくかBYOD?
無料通話アプリはスマホの利用コストを抑えるため?3GもLTEも使わないで通話が出来るから?インスタントなコミュニケーションネットワークが実現できるから?只今ブレーク中。
スカイプ(Skype)がIP電話の世界を切り開き、今後は最大規模NSNフェイスブックにオプションアプリとして通話メッセンジャーが入ってくる。今現在はLINEが大ブレーク中。
<主な無料通話アプリ>
LINE
Viber
Skype
WowTalk
Comm
カカオトーク
Facebookメッセンジャー
.*.
企業は遅かれ早かれスマホを支給するかBYODを認めることになります。加えて通信コストの低減のために無料通話ソフトも導入せざるを得なくなります。その場合、日本製?のLINEを指定したいところだが、今回最大普及アプリとして知らしめたことは多いに背中を押すことになるだあろう。
企業セキュリティ担当は、LINEなど無料通話アプリの評価を急ぐべきだ。より安全に使うためのノウハウの構築も急がれる。
.*.
無料通話アプリはスマホの利用コストを抑えるため?3GもLTEも使わないで通話が出来るから?インスタントなコミュニケーションネットワークが実現できるから?只今ブレーク中。
スカイプ(Skype)がIP電話の世界を切り開き、今後は最大規模NSNフェイスブックにオプションアプリとして通話メッセンジャーが入ってくる。今現在はLINEが大ブレーク中。
<主な無料通話アプリ>
LINE
Viber
Skype
WowTalk
Comm
カカオトーク
Facebookメッセンジャー
.*.
企業は遅かれ早かれスマホを支給するかBYODを認めることになります。加えて通信コストの低減のために無料通話ソフトも導入せざるを得なくなります。その場合、日本製?のLINEを指定したいところだが、今回最大普及アプリとして知らしめたことは多いに背中を押すことになるだあろう。
企業セキュリティ担当は、LINEなど無料通話アプリの評価を急ぐべきだ。より安全に使うためのノウハウの構築も急がれる。
.*.
審査員に営業活動まで要求する審査機関
どこの審査機関でもやっていることです。
審査機関にとってクライアントを一つでも多く獲得することは事業の安定に繋がるので、審査員に対しても営業を支援する活動を要求するのは当然のことだ。
審査員は多くの場合は普通の企業で管理職などを経験して業務改善などの実績を持つため、出身企業に対しては放っておいても自然と営業活動を行うものです。
.*.
経営者は審査員に営業を競わせて当然と思っている。審査員の数を頼りに尻叩きラッパを吹く。審査機関の経営者も頭は完全にアナログな訳です。
.*.
さて、「審査員の営業行為は妥当か?」という問題を考察してみよう。
何かの次いでに営業を紹介しただけならまあ許容できる。しかし、紹介の実績の数字をとって壁に貼るなどして各審査員に知らしめて競争を煽る行為は、次いでの紹介というレベルからは逸脱した行為だ。
紹介したものに金品を提供したり表彰したりする審査機関の経営者は自分たちの仕事が何か理解していないようだ。
第三者認証制度を自ら破壊しているようなものだ。
審査員が自分で営業して厳格な審査ができる訳がない。独り相撲を取っているようなものだ。
こんな審査機関に健全な審査は期待できない。にも関わらず、認定機関(JAB/JIPDEC)は黙って見過ごしている。既に10年以上もそういう視点(不健全営業行為を監視する視点)では捉えていない。多分。
.*.
どこの審査機関でもやっていることです。
審査機関にとってクライアントを一つでも多く獲得することは事業の安定に繋がるので、審査員に対しても営業を支援する活動を要求するのは当然のことだ。
審査員は多くの場合は普通の企業で管理職などを経験して業務改善などの実績を持つため、出身企業に対しては放っておいても自然と営業活動を行うものです。
.*.
経営者は審査員に営業を競わせて当然と思っている。審査員の数を頼りに尻叩きラッパを吹く。審査機関の経営者も頭は完全にアナログな訳です。
.*.
さて、「審査員の営業行為は妥当か?」という問題を考察してみよう。
何かの次いでに営業を紹介しただけならまあ許容できる。しかし、紹介の実績の数字をとって壁に貼るなどして各審査員に知らしめて競争を煽る行為は、次いでの紹介というレベルからは逸脱した行為だ。
紹介したものに金品を提供したり表彰したりする審査機関の経営者は自分たちの仕事が何か理解していないようだ。
第三者認証制度を自ら破壊しているようなものだ。
審査員が自分で営業して厳格な審査ができる訳がない。独り相撲を取っているようなものだ。
こんな審査機関に健全な審査は期待できない。にも関わらず、認定機関(JAB/JIPDEC)は黙って見過ごしている。既に10年以上もそういう視点(不健全営業行為を監視する視点)では捉えていない。多分。
.*.
2013年01月17日
審査員を不愉快にさせるクライアントの態度
お客様は神様です。だからクライアント(審査を受ける組織)は言いたい放題やりたい放題。とはならないのが審査の面白いところ。基本は生身の人間がぶつかるので審査現場はパワーゲームそのものかもしれません。
時間にルーズ。会義の時間も審査の時間もルーズな会社とそうでない会社ははっきりしている。コンサルの打ち合わせでなんでもそうだ。管理職の人も注意しない。
大人数の参加。開始会議/終了会議は共有化が目的でもあるから人数が多いのは良いが、業務インタビューも大人数参加。一言も発言しない人もいる。何を聞かれてもいいように心配な人が大勢で来るのだろう。管理職の掌握の程度が知れる。
タバコを吸い始める。流石に今どきは非常識。休憩時間はタバコたっぷり吸ってきて戻ると部屋が臭くなる。
携帯電話で中座する。しかも何度も。普段の仕事ぶりも見えてくる。
.*.
お客様は神様です。だからクライアント(審査を受ける組織)は言いたい放題やりたい放題。とはならないのが審査の面白いところ。基本は生身の人間がぶつかるので審査現場はパワーゲームそのものかもしれません。
時間にルーズ。会義の時間も審査の時間もルーズな会社とそうでない会社ははっきりしている。コンサルの打ち合わせでなんでもそうだ。管理職の人も注意しない。
大人数の参加。開始会議/終了会議は共有化が目的でもあるから人数が多いのは良いが、業務インタビューも大人数参加。一言も発言しない人もいる。何を聞かれてもいいように心配な人が大勢で来るのだろう。管理職の掌握の程度が知れる。
タバコを吸い始める。流石に今どきは非常識。休憩時間はタバコたっぷり吸ってきて戻ると部屋が臭くなる。
携帯電話で中座する。しかも何度も。普段の仕事ぶりも見えてくる。
.*.
ボーイング787のトラブル多発とISMS問題
ボーイング787
と勝手にテーマを振ってみた。期待の最新鋭機ボーイング787は実は就航まえからトラブル続きだったのは記憶に新しい。技術革新の塊だから品質の確立に手間取ったのだ。787就航から約2年。初期の変動品質・流動性品質が顔を出し始めたのだろう。
.*.
リスクマネジメント問題が集中的に検討できる。
欠航による問題。急ぐから飛行機なのにそれが止まると代替手段は電話?ITネット?など限定される。リスクの移転なども考えざるを得ない。
搭乗機の事故による人身の安全問題。情報メディアの安全問題。
ビジネスパートナーとして787の製造に関わるサプライチェーンを構成していたならその分がビジネス占める比重によって深刻。
更に深刻なのは品質問題に自社が関わるケースだ。損害賠償問題まで出て来るかもしれない。
全日空とボーイングの株価が急落したようだ。事業内容によっては影響を受ける可能性もあるだろう。
.*.
ボーイング787
と勝手にテーマを振ってみた。期待の最新鋭機ボーイング787は実は就航まえからトラブル続きだったのは記憶に新しい。技術革新の塊だから品質の確立に手間取ったのだ。787就航から約2年。初期の変動品質・流動性品質が顔を出し始めたのだろう。
.*.
リスクマネジメント問題が集中的に検討できる。
欠航による問題。急ぐから飛行機なのにそれが止まると代替手段は電話?ITネット?など限定される。リスクの移転なども考えざるを得ない。
搭乗機の事故による人身の安全問題。情報メディアの安全問題。
ビジネスパートナーとして787の製造に関わるサプライチェーンを構成していたならその分がビジネス占める比重によって深刻。
更に深刻なのは品質問題に自社が関わるケースだ。損害賠償問題まで出て来るかもしれない。
全日空とボーイングの株価が急落したようだ。事業内容によっては影響を受ける可能性もあるだろう。
.*.
2013年01月16日
ビーエスアイジャパンがISMSの世界に残したもの?
日本国内の多くの人が、大企業のみならず中小企業の人までが、情報セキュリティを自分の問題と意識して第三者認証制度の中に参加することに大いに貢献したことは評価に値する。
しかし、
マイナスの貢献も無視できない。マイナスの貢献はいびつな現実を生んでいる。いびつな現実は誰もが知っていること。いまやBSIジャパン自身がその呪縛から抜け出せなくなっている。
(1)コンサルとの癒着体質
(2)商業主義/効率主義
(3)規格の緩慢な適用による形骸化
いずれも第三者認証制度そのものを否定しかねない事態だ。他にもあるだろうが、底流に有るものは共通している。粗製乱造。ビジネスの方法論として採用されているように見える。
クライアントの数が増えれば事業採算性が上がる。敷居を極端に低くしてクライアントに取り込む。
.*.
憶測はあくまでも憶測。根拠も何もない。噂ですらない。興味本位の人が面白おかしく綴ったものだ。気にすることはない。目を通す必要もない。
憶測-1
本国ビーエスアイでも日本のビーエスアイジャパンのISMS審査は問題になっているだろう。極端な統計データは異質なものの存在を如実に示しているからだ。懸念は多方面から示されているかも知れない。ビーエスアイ本部はいろいろな場所で嫌味を言われているかもしれない。そのためか、外部の調査会社を使って実態をデータで明確にしたという話がある。審査員も唐突にこれからは不適合を出しますからご了承くださいとやっていたようだ。前後して日本法人のトップも変えている。体質改善を担っているのか、一層のビジネス成果を期待されているのか。
.*.
憶測-2
中途採用者の集団、しかも殆ど野放し。玉石混合だが玉が磨かれるチャンスも少ない。在宅勤務の弊害だ。しっかりした密度の高い審査は内部から嫌われる。まかり通るパワーハラスメントと高い離職率。ブランドに群がるハイエナコンサル。無能な社員と有能な契約社員との軋轢。仕事よりもマイレージとポイント収集に奔走。接待・歓待大好き。
.*.
憶測-3
ビーエスアイジャパンから認証を受けていることは今後何の自慢にもならなくなるだろう。今までだって馬鹿にされていたかもしれない。あれは審査の名を借りた粗製乱造装置でしかないとか。確かに、一面を捉えて全体を述べるのはフェアじゃない。
.*.
ガートナーレポートに見る情報セキュリティ問題
ガートナーレポート
魅力的なレポートですが結構お値段が高い。レポートのテーマが常に字部門との関連が強い訳ではない。それでも手元においておきたいとの理由で各部門が勝手に購読している。会社が儲かっているときはこういう無駄が放置される。景気が悪くなって一律に購読がカットされる。
不出来の管理職はどうしてガートナーレポートを欲しがるか。情報の差が支配力に繋がるとでも思っているのだろう。
全社で1冊でいいか?サイトで1冊かな?
ガートナーレポートは話題は提供するけど、答えが書いてある訳ではない。たまには昔のレポートにも目を通してみよう。
.*.
ガートナー
http://www.gartner.co.jp/
.*.
フェイスブックなどSNSが企業の事業活動や情報管理にどのように関わっていくかについてもレポートも多分あるだろう。ストレートにISMSに関するものがあれば目を通しておいて良いだろう。
.*.
ハンコとカギの話
文書にハンコを押すのは日常的に行われている。
ハンコは本人だけが持っていてハンコが押してあればその人が確認した、承認した、発行したなどと理解される。
ハンコは何処にでも売っているので厳密に言えば本人確認の証拠には出来ない。業務用の日付データなどを入れるデート印とかデータ印を用意する会社もある。これだと三文判ほどには簡単に手に入らない。
ハンコが何処にしまってあるかも問題だ。容易に取り出せれば成りすますことが出来る。そうでなくても本人が他のものに替わりに押印を求めることもある。
部署は一家(家族?)の日本のオフィスでは全く持って普通のことだ。
ここに杓子定規の審査員がくると返って話がややこしくなる。和風に洋風を取り入れるときの知恵が無いからだ。
これが、今度はデジタルの世界に持ち込まれる。輪を掛けて杓子定規なセキュリティの審査員が来るとそこらじゅうに必要悪をばら撒いてくれる。
.*.
初期の頃にはこういう審査員が居た。今でも居るかもしれない。見つけたら希少価値かも。是非、名前と振る舞いを記録しておいて欲しいね。
.*.
基本的にはリスクとの見合いで決めるだけの話だ。慣れの中に潜むリスクを認識して一定の規律を確立するのは悪い話でもあるまい。
カギ(鍵)の管理も同様だ。ハンコと似たようなところがある。馬鹿な審査員が通った後は、鍵を管理する鍵のオンパレード。ついには暗証番号で使うキーロッカーまで現れた。しかも操作ログが残るのだ。
.*.
文書にハンコを押すのは日常的に行われている。
ハンコは本人だけが持っていてハンコが押してあればその人が確認した、承認した、発行したなどと理解される。
ハンコは何処にでも売っているので厳密に言えば本人確認の証拠には出来ない。業務用の日付データなどを入れるデート印とかデータ印を用意する会社もある。これだと三文判ほどには簡単に手に入らない。
ハンコが何処にしまってあるかも問題だ。容易に取り出せれば成りすますことが出来る。そうでなくても本人が他のものに替わりに押印を求めることもある。
部署は一家(家族?)の日本のオフィスでは全く持って普通のことだ。
ここに杓子定規の審査員がくると返って話がややこしくなる。和風に洋風を取り入れるときの知恵が無いからだ。
これが、今度はデジタルの世界に持ち込まれる。輪を掛けて杓子定規なセキュリティの審査員が来るとそこらじゅうに必要悪をばら撒いてくれる。
.*.
初期の頃にはこういう審査員が居た。今でも居るかもしれない。見つけたら希少価値かも。是非、名前と振る舞いを記録しておいて欲しいね。
.*.
基本的にはリスクとの見合いで決めるだけの話だ。慣れの中に潜むリスクを認識して一定の規律を確立するのは悪い話でもあるまい。
カギ(鍵)の管理も同様だ。ハンコと似たようなところがある。馬鹿な審査員が通った後は、鍵を管理する鍵のオンパレード。ついには暗証番号で使うキーロッカーまで現れた。しかも操作ログが残るのだ。
.*.
審査員の不愉快な態度
(順不同)あとで整理しておこう。
上から目線での物言い。オープニングで上から目線はやりませんと言っていること自体が上からの物言いになっている。
トレーニング中の審査員に対する失礼な態度を見れはこの審査員の根性ははっきり上から物を見る人だと分かる。
業種業務の知識を仕込まないで来る人。結局、必要な知識が殆ど無い人。知らなくて質問しているのか分かっていて質問してくるのか、その辺は区別する必要があるが、全く話が噛み合わないと審査自体の有効性が低下していい加減なものになる。審査員のための勉強会じゃ有りません。
IT業務の経験が無いままISMSの審査をやっている人。門前の小僧で話を合わせてくるが所詮知ったかぶりと紙一重。IT部門の苦労も共感できない奴に何んだかんだ言われたくない。
通信系大手N社の出身と効いて安心していたら配線工事をやっていただけでとか、ただのパソコン大好きだけでIT経験者みたいに振舞われてもいまいち安心が行かない。
審査員用語を多用する。時にはわざと審査員用語を使って説明する。典型的なのは質問を返したとき。向きになって説明するときは決まって審査員用語。
審査員が嘗て所属していた業界や組織の用語を使うのも困る。いくら大企業でも遠慮して欲しい。
個人または審査機関が勝手に作ったチェックリストでチェックばかり。中身の確認をしない。営業からはプロセスベースの審査と聞いていたのに蓋を開けたらチェックリストのオンパレード。
どういう問題があっても観察事項で済ます妥協的な態度。リーダー権限と称して他の審査員の不適合所見まで観察事項に変えているのはどうかと思う。
観察事項を20も30も出しておいて不適合はありませんなんて何しにきたのと聞きたくなる。
所見の日本語がおかしい。口頭で説明してくれるけど書いてあることと噛み合わない。読むだけで分かる所見を書いてくれ。
結婚式の司会者みたいなイベント演出にばかり気を回す審査員。議事進行が上手く如才なく仕切ってくれても返って不愉快になる。セレモニー屋ですか。
議論しない審査員。5時になったらさっさと帰る。
時間にルーズ。朝は遅れないで。遅れるときは一方入れてよ。東京の電車は直ぐ止まるから遅れるときも有る。
タバコ吸うな。衣服や頭髪に染み付いていて臭い。審査中だけ吸わなければすむものじゃない。
馴れ馴れしい態度。
攻撃的な態度の審査員。管理不行き届きを責めるような態度は不愉快。時には恫喝的。
観察事項3件でお茶を濁す審査員。
本当の問題に目を瞑る審査員。誰が見ても内のやり方はおかしいのに全然指摘しない。観察所見にも入れない。クロージングのコメントに挟むだけで済ましている。是正が大変だと指摘しないのか。
前任の審査員のミス(見過ごし)をそのまま受け入れる審査員。
審査先組織に対する理解度が低く、初歩的なあるいは表層的なやり取りに終始。
情報技術の知見が低い。情報システム部門への審査時間を十分に割かない。話が直ぐに途切れる。
指摘と仕組み改善の相関について全く説明が無い。
リスクアセスなんて意味無いと規格を否定しながら審査している。
休憩時間になると女子社員を捕まえて無駄話ばかり。態度が馴れ馴れしい。何しに来たの?。
.*.
