2005年12月31日土曜日

’情報セキュリティ’ということ

情報セキュリティコンサルタントのおき楽Blog、久々で今年最後の投稿です。
’情報セキュリティ’について、改めて考えることがあります。セキュリティとは何なのでしょうか。securityという単語の意味を調べてみると、

安全、無事
安心、心丈夫
(財政上の)安定,保障
危険・危害などに対する〕防衛(手段), 警備(態勢), 安全保障
(負債の支払いに対する)保証,担保,抵当(物件)
[通例複数形で] 有価証券
安全[保安]の(ための), 安全保障の


以上、exciteの翻訳ページの結果から引用



National securityは、国家安全保障予約されます。では、Information securityは、何と訳すれば良いのでしょうか。私は、’情報の安全保障’なのだと思います。では、情報とは何なのでしょうか。

DATA : 情報
information : 情報
inteligense : 情報

いずれも日本語で、情報という訳がついています。英語で三つの単語があるということは、意味の上で違いがあるということだと思われます。以下は、受け売りなのですが、上記の疑問に答えてくれます。

dataは、資料という段階です。単に収集されただけで、整理されていない状態。名簿でいるならば、氏名と住所、電話番号などが無秩序に集められているだけで、体系化されていない。例えば、同窓会名簿を作るために氏名と住所は集めました。しかし、年次別、男女別、クラス別、学部学科別等に整理されていない。したがって、使用不可能とまでは言えないが、使いづらいでしょうね。

Informationは、収集されたdataが整理された状態。上記の例で例えれば、集められた名簿に関するdataが、年次別、男女別、クラス別、学部学科別等に整理された状態。これならば、使い勝手が良いし、価値が向上するでしょうね。

intelligenseは、informationに付加価値が付いた状態。同窓会名簿にプラスして、現在の職業や収入、家族構成等との情報とリンクされれば、所謂情報資産としての価値は向上しますし、情報の漏洩が危惧されます。

この、情報の3段階の定義は、そのまま情報資産としての価値の評価を表しているように思われます。特に付加価値のついたIntelligenseレベルの情報が漏洩した時の影響は、計り知れないものがあります。

’情報の安全保障’とは、こういった情報の安全を保障するあらゆる方策、行為なのだと思います。

国家安全保障が、単に軍事的対応のみでなく、政治的経済的政策や社会政策な等にも及ぶ、広範囲な概念であるとの同じように、’情報の安全保障’も単にIT関係の施策だけでは包括できないものであろうと思います。国家安全保障が一国の政策の根幹を成すように、’情報の安全保障’も企業経営上の重要施策であると言っても過言でないと思います。

’情報の安全保障’を如何に構築していくか。それが、この業界で活動する我々の課題命題ですね。新年を迎えるにあたり、改めて情報セキュリティについて考えてみました。皆さんのご意見等待っております。

2005年12月22日木曜日

保証ということ

日本セキュリティ監査協会(JASA)で、保証型セキュリティ監査の促進を目的としたプロジェクトが進行中です。私も、メンバーの1人としてこのプロジェクトに参画しています。プロジェクトの発足後、間も無くして構造計算偽造問題が発覚し、プロジェクトの会合の席でも酒席でも、この話題がでないとことはありません。

①建物の設計/構造計算 → ②建築確認申請 → ③審査機関(民間/自治体)による審査

①の段階での不正や不備(リスク)を③の審査で低減する、というのがこのシステムの要諦だと思います。しかし、初めから想定された①のリスクを③でコントロールできず、システム全体の信頼性が大きく揺らいでいます。では、このシステムは不要なのでしょうか。それは断然否だと、私は思います。一戸建てであろうとマンションであろうと、建築の専門家でない一般の消費者が設計図や構造計算書を見て、耐震強度を自らチェックするなど不可能です。そこで、審査機関(民間/自治体)による審査を通過したことで信頼/信用する、言わば代行のシステムは必要であろうと思います。今回は、その代行システムが全く機能しなかったという深刻な問題が露呈した訳です。
では、システム(制度)が必要だとして、どこを改善改革すべきでしょうか。元々、①のリスクは想定済です。そのリスクを③で回避しようと図り、機能しなかった訳ですから、改善改革ポイントは③でしょうね。そこで、私案であうが、

1
審査機関(民間/自治体)は、被審査者が初回の審査の場合、構造計算書の強い審査を行う。再計算も辞さない強さが必要でしょう。

2
被審査者の申請が一定回数、例えば10回に達した場合は、再度強い審査を行う。

3
強い再審査を回避するために、所定の回数に達する直前に審査機関を変更することも予想される。そこで、審査機関(民間/自治体)は無作為抽出による強い審査を行う。

所定審査回数とランダムの審査を組み合わせることで、被審査者への牽制効果を期待できます。これで、リスクをゼロにすることはできません。また、この私案の前提として、審査機関(民間/自治体)に一定の力量を要求することになります。審査機関(民間/自治体)の淘汰も必要です。審査業務量が増えることに審査機関(民間/自治体)は抵抗するでしょう。しかし、失われた信頼を取り戻すには、かなりの改革が必要です。

JASAの保証型情報セキュリティ監査促進プロジェクトで、「保証」を与えることの難しさ、責任の重さを感じています。まあ、びびっているとも言えるかもしれません。これは、他のメンバーも多かれ少なかれ同様だと思います。その上で、なんとか保証型情報セキュリティ監査を広がっていけばと念じています。

2005年12月15日木曜日

このところ、仕事や忘年会で帰りが遅く、週末は飲みに行って朝帰り、なんで状態でこのBlogの更新を怠っていました。世の中は、例の建築士の問題が拡大の一途ですね。セキュリティ監査の関係者も無関心ではいられず、「保証」するということの責任を改めて感じてます。この件は、いずれこのBlogでも取り上げてみます。

ところで、この記事の本題は12月10日行われたCISA/CISM試験です。今年から年2回制になり、12月の試験は今回が最初でした。初めて受験する方、6月の試験にリベンジの方、年内にCISA/CISMの完全制覇を目指す方。多くの方が受験されたようです。12月はCISMは英語のみなので、受験者少なかったようですが、CISAと合せて500名を超える受験者であったそうです。6月の受験者と合計すると、今年の受験者は延べ1,000人を越えました。受験者の皆さん、長丁場の試験、本当にご苦労様でした。皆様のお手元に吉報が届き、ISACAのメンバーの加わって頂ける事を祈念しています。
CISA/CISM受験者の増大 → 合格者の増大 → ISACAメンバーの増加 というスパイラルで東京支部の会員も1,000名を突破しました。おそらく、1,000名突破より早いペースで2,000名を超えることと思います。
システム監査、情報セキュリティ、ITガバナンスなどCISA/CISMの活躍する場は増えています。これからも受験者は益々増えていくのでしょうね。思いを新たにISACA東京支部の活動を行っていこうと思います。
では。

2005年12月4日日曜日

12月10日土曜日に、公認情報システム監査人(CISA)と公認情報セキュリティマネージャ(CISM)の試験が行われます。年2回制になって初めての12月試験でう。CISMは英語のみの試験ですが、この年2回の試験はCISA/CISM志望者のとってメリットが大きいですね。
私自身は、CISAは最初の試験は不合格でした。しかし、年に1回の試験なので、また来年か~ と落胆したものです。これで、再挑戦を諦めてしまう人もいます。年に2回ならば、半年後に再受験出来ますし、CISA/CISM双方の試験に同じ年に合格する可能性もあります。受験者に有益な制度改正であったと思います。最初の挑戦に方もリベンジの方も、4時間の試験、頑張って下さい。
皆さんが合格し、ISACAの活動に参加されること期待しています。

2005年11月29日火曜日

マンション耐震設計偽装問題

以下、朝日新聞よりの引用です。

 マンションなどの耐震強度に関する構造計算書の偽造を見過ごした民間検査機関イーホームズ(東京都新宿区)に、国土交通省がほぼ毎年、定期的に立ち入り検査をしながら、同社の審査態勢の不備を指摘してこなかったことが明らかになった。帳簿の保管状況や検査員数の点検が中心で、建築確認の審査方法の中身は詳しく調べていなかった。こうした事態を受け、国交省は、民間検査機関への検査のあり方を見直す。

 また、現行の建築確認制度では、書類審査ですべての偽造を見抜くのは困難として、欠陥建築物の被害者に対する補償の強化にも乗り出す。

 国交省によると、民間検査機関への立ち入り検査は建築基準法に基づき、年1回程度で、「建築基準適合判定資格者」の資格を持った1級建築士の数や確認書類の保存状況、利害関係のある業者への検査の有無など、事務上の不備に関する点検が中心。構造計算書を個別に再計算することはなかった。

 イーホームズに対しては、ほぼ毎年度末に実施。10月24日には抜き打ちの検査もしたが、書類の保管の不備について改善を指導しただけで、構造計算書の審査状況は調べなかった。今回の偽造問題発覚後に立ち入り検査をするまで、審査手続きの違反には気づかなかったという。

 昨年は立ち入り検査をせず、建築基準法で定められた定期報告で事務概要や財務状況の書類を提出させていた。

 国交省は偽造見過ごしの再発防止策として、立ち入り検査の強化を検討。構造計算書など重要書類の一部を抽出して詳しく点検するなどの案が浮上している。

 ただ民間検査機関は122あり、建築確認の総数は年間約75万件。国交省は審査ミスを完全になくすのは困難とみており、建築確認の審査をすり抜けた欠陥建築物の被害者に対する補償の実効性確保が今後の検討課題だとしている。建物に欠陥があった場合に補償金が支払われる保険の売り主への加入義務などを軸に検討する。国交省幹部は「これまでの建築確認制度は性善説で運用してきた。今後は性悪説で制度全体を考える必要がある」と話している


前にもこのBlogで取り上げましたが、性善説/性悪説の話題がでてきました。いい加減にして欲しい、これが率直な感想です。情報セキュリティの分野に性善説/性悪説のような哲学論争を持ち込むな、が私の主張です。これは、情報セキュリティだけでなく、今回問題なっている建築確認の制度のなかでも同じであろうと思います。性悪説によって、人を信じるなということでなく、制度の中で発生しうるリスクに備えるということに関しては、考え方は同じでしょう。国交省幹部の言いようは、性善説に考えてきたから何もしてこなかったいう言い訳にしか思えません。
ある制度は設計、構築し運用していくに当たり、性善説/性悪説のような決着の付かない論争を持ち込むのでなく、制度に潜むリスクをいかにコントロールしていくかを重視すべきではないでしょうか。

性善説/性悪説という哲学的思考を否定するつもりは全くありませんし、自分でも考えることがあります。しかし、もう一つのシステム、制度の中に持ち込むことは止めにして欲しいものです。

2005年11月28日月曜日

構造計算偽造問題

A一級建築士による強度計算偽造の問題は、更なる広がりを見せ、各方面に多大なる影響を与えています。この、Blogでも取り上げましたが、認識が甘く不適切な点があります。が、修正したり削除することはせず、そのままにしておくことにします。

この件では、言うまでも無く問題の分譲マンションを購入した居住者の方々が最も深刻な被害を受けています。その補償の道筋もはっきりせず、販売会社も建設施行会社も審査会社も責任の投げ合い、最も大きな責任があるはずのA建築士も被害者であるかのような言動があります。居住者の皆さんにとっては、怒り心頭でしょう。
営業停止に追い込まれたホテルやその従業員にとっても、大きな影響がでていますね。建物の解体も予想され、場合によっては従業員の雇用問題に発展する可能性があります。これかの進展で、様々な問題が吹き出てくるのであろうと思います。

その他に、’建築設計(構造計算含む) → 建築確認申請 → 審査 → 認可’という一連のプロセス、制度に対する信頼性が著しく低下してしまった、ということも、この事件により派生した大問題ですね。
この一連のプロセスが信頼に足るという前提条件が崩れかけている訳ですから、この制度の立て直し、信頼回復は急務であると同時に難しい課題です。
地方自治体の審査でも件のA建築士の偽造を見逃していた可能性が指摘されており、一審査会社関係の物件だけでなく、疑惑の建物が止め処なく広がりそうです。

先週末、日本情報セキュリティ監査協会の会合の後に、数人の方と、この件は情報セキュリティの関係者においても注視していくべきであると、話していました。現在協会では、情報セキュリティにおける助言やコンサルティング、構築支援、将来的には保証をも視野にいれて活動しています。特に「保証」という観点に立った時、制度としての信頼性を如何に担保し、構築/維持していくか。大きな課題です。
この構造計算偽造問題から得られる教訓を情報セキュリティ監査制度の推進に中に取り込んでいくことが肝要でしょう。

制度の信頼性維持のためには、予防/発見/修正、PDCAの一連のサイクルを情報セキュリティ監査制度のなかに確立されること。重い課題ですね。

2005年11月26日土曜日

あはは

以下は、朝日新聞のHPからの引用です

 地球から約3億キロ離れた小惑星イトカワへの着陸を目指していた探査機「はやぶさ」について、宇宙航空研究開発機構は26日朝、「2度目の着陸に成功し、試料採取装置が作動した模様だ」と発表した。重要な目的だった表面からの試料採取に成功したとみられる。月以外の天体に着陸して試料採取できたとすれば、世界初の快挙となる。
 宇宙機構によると、はやぶさはイトカワへ、岩が少ない「ミューゼスの海」と呼ばれる付近を目指して接近。1個残っていたターゲットマーカーは結果的に使わず、20日の着陸時に投下したターゲットマーカーを目印に、レーザー光で高度を測りながら下りた。

 その後、着陸に向けて姿勢を変更し、しばらく地上と通信できない状態が続いた。午前8時過ぎに送られてきたデータによると、午前7時すぎ、試料採取装置を表面に接触させて金属球を撃ち込んだことが確認された。

 装置の中で、舞い上がった砂などを採取する仕組みになっており、数百ミリグラムの試料採取に成功したとみられる。実際にどれだけ入っているかは、地球に回収するまでわからないという。
 20日の着陸時は、太陽光を浴びて高温になったイトカワの表面に、はやぶさが約30分とどまり続けるトラブルがあり、試料採取はできなかった。今回の着陸は、ほぼ順調に進んだようだ。はやぶさにかけられた経費は約127億円で、7月に彗星(すいせい)へ弾丸を撃ち込むのに成功した米国の探査機「ディープインパクト」と比べると、半分以下の額になっている。

 地球との位置関係や燃料の残量を考慮すると、はやぶさは12月上旬にイトカワを離れる必要がある。地球帰還は07年6月の予定で、オーストラリアの砂漠地帯に試料のカプセルを落とす。



以前にもこのBlogで取り上げた日本の小惑星探査衛星の「はやぶさ」が2度目の挑戦で小惑星イトカワに着地、試料採取に成功した模様です。模様という言い方しかできないのは、引用した記事にもあるように試料の入ったカプセルを実際に回収するまで確認できなきないからです。

中国が有人飛行を成功させ、宇宙開発技術で遅れをとったという見方があります。これは、ちょっと言い過ぎかなと思います。中国の有人飛行は、やはり快挙であり、この面で米国、ロシア(旧ソ連)に続く有人飛行技術を確立させつつあるのは事実で、先進的なことでしょう。しかし、はやぶさの成功も別な観点からみて素晴らしい成功です。

小惑星イトカワまでの3億キロ以上の距離では、地球から遠隔操作することは困難です。地球からの電波が往復するのに30分もかかってしまい、適時に的確なオペレーションを行うことはできません。はやぶさは、自律航行/制御システムでイトカワに近接しながら飛行し、着陸、試料採取に成功したのです。

また、イトカワまで往復させるため衛生本体や観測機器などが小型軽量化されました。燃料を節約するためにです。

はやぶさとイトカワをランデブーさせるための軌道計算、最も効率的な飛行経路の計算と選定、地球など引力を利用したスイングバイなど科学技術計算。

日本が持つ宇宙開発技術、そのバックボーンとなった科学技術水準の高度さを証明しています。

宇宙開発技術は、有人飛行だけで比較考量されべきではないでしょう。米国やロシア(旧ソ連)、それに中国が持ちつつあり、欧州が追随しようとしている有人飛行技術も宇宙開発上の重要な要素です。しかし、月以上の遠方に有人飛行させる術を持たない現状では、無人探査も宇宙開発の基盤となる技術要素ですし、単に送り込むだけでなく地球に帰還させ回収という一連のサイクルを成功させつつあることも高く評価すべきと思います。

観測試料の採取に成功しただけででは、この計画全体の成功とは言えません。はやぶさを地球に帰還させ、試料の入ったカプセルを回収させるまでは、安心できません。はやぶさは、飛行制御装置が故障し、2度の試料採取で燃料を消費し、帰還までぎりぎりの状態です。過酷な宇宙空間で何が起こるかも想像できません。太陽フレアに起因する宇宙線で、日本の地球観測衛星や火星観測衛星など各国の宇宙探査機が機能不能に陥ったこともあります。満身創痍のはやぶさを無事に帰還させことは、今まで以上の困難が付き纏うでしょう。しかし、この世界初の快挙を何としても成功させて欲しいものです。

宇宙航空技術開発機構


小学生のころ、アポロ11号の月面着陸に驚きを覚えました。それ以来の興味を持って、この計画の成功を祈っています。

なぜ、情報セキュリティのBlogに宇宙探査の話題かというと、単純に小生の個人的興味です。ただ、それだけなのです。

2005年11月18日金曜日

社内監査

建築の耐震強度を偽装したことが大問題になっています。茅場町のホテルは、営業を停止し、マンションに入居している人たちには、転居が必要とされる事態になりかねないようです。関連の記事の中で気になることが。
以下、2005年11月18日、読売新聞のHPから引用です。

千葉県の建築設計事務所が首都圏のマンションなど21棟の耐震強度を偽装していた問題で、このうち20棟の建築確認を行った民間の指定確認検査機関「イーホームズ」(東京都新宿区)の藤田東吾社長ら幹部が18日、東京・霞が関の国土交通省で記者会見し、構造計算書のずさんな偽造を見逃したことについて「(検査で)ミスはあったが、本質的な問題ではない。検査は適正に行われており、当社に過失はない」と責任を否定した。

 問題の偽造書類には、耐震基準を満たしていれば、印字されるはずの「認定番号」がなく、大臣印付きの「認定書」なども添付されていなかった。

 偽造発覚につながったかもしれない、こうした不備を見逃したことについて、同社の担当者は「計算方法によっては認定番号が印字されないこともある」と釈明。認定書などの不備についても「認定書の代わりに(コンピューターソフト会社が利用者に発行する)証明書が付いていたので実質的に事足りると判断した」と独自の解釈を展開した。

 しかし、「正規の手続きではなく、まずいことはまずかった。さらに検査の適正化を図っていきたい」とミスがあったことを認めた。

 この問題は、今年10月、同社が定期的に行っている社内監査で、抜き取りにより監査対象となった書類に「認定番号」が印字されていないことに監査担当者が疑問を抱き、詳しく調べたところ、偽造がわかったという。p>





建築関係は全くの素人なので、この確認検査機関の責任ついて云々することは出来ません。しかし、内部監査で問題が発覚したことは注目したいです。社内の問題を発見する内部統制が機能していた、ということでしょう。また。監査人が不審を見逃さなかったこと、評価されて然るべきかと。だから、免責だということにはなりませんが。

2005年11月15日火曜日

ヤフー、オークションに不正検知システム導入

以下、朝日新聞からの引用です

ヤフー、オークションに不正検知システム導入へ
2005年11月14日20時55分

 インターネット・オークション(競売)での詐欺などのトラブルの急増を受け、最大手のヤフーは14日、不正利用を自動的に検知するシステムを12月から導入すると発表した。売り手と買い手との間のトラブルには原則として介入しない立場だったが、不正取り締まりに積極的に協力する方針に転換する。業界では初めての試みで、他社にも広がりそうだ。

 新システムは、過去の問題取引をデータベースに蓄積することで、似たような取引を早期に発見して被害を防ぐ仕組み。例えば、出品の実績がなかった利用者が突然ノートパソコンを大量に出品した場合などは、詐欺につながる可能性が高いパターンとして検知され、ヤフーが利用停止などの措置をとる

 ネット競売市場は1兆円規模に膨らんでいるが、警察庁によると、05年上半期のネット詐欺の検挙件数は672件で、既に昨年1年間の件数を上回っている。競売を使った犯罪が多く、昨年11月には、商品も仕入れ資金もないのにカーナビなどの出品を登録し続け、全国の約1200人から計約1億6700万円をだまし取った事件が摘発されている。

 異常な取引を検知して被害の拡大を防ぐ仕組みは、クレジットカードでは一般的だ。偽造・盗難キャッシュカード犯罪の増加を受け、ATM(現金自動出入機)システムでも同様の仕組みが広がっている。



以前に、このblogの記事にしましたが、クレジットカード会社では、カード会員に購買動向、カード使用動向を分析して、不審なカードの使用を検知する仕組みがあります。クレジットカード会社の方に聞いたところ、100%の確率では勿論ないですが、顧客の被害を防止するのに役立っているそうです。
たしかに、殆ど出品実績のないのに突然、パソコンを大量出品すれば怪しい可能性が高いですね。ただし、高いということで絶対ではありません。本当に突然に大量の出品をしたのかもしれません。その場合、Yahooは収益を逸したことになります。しかし、詐欺の被害を未然に防ぐという観点からみれば、大きな前進です。このYahooの決定は、詐欺被害を完全に防ぐわけではありませんが、消費者保護の施策として評価していいと思います。

銀行も同じような仕組みを導入とのこと。確かに、突然まとまった金額が必要であった時、常のお金の動きと違うのでATMから払い戻しが出来ない、という事態も考えられますが、その時は窓口で対応すれば良いことですからね。
利便性を犠牲にしますが、この仕組みを預金者の選択制にしても良いと思います。利便性を犠牲にしても良い人と、そうでない人。預金者がリスクを選択する方法も考慮の余地ありと思います。

2005年11月14日月曜日

以下は、共同通信からの引用です。

北海道職員らの情報が流出 ウィニーで3500人分か [ 11月14日 20時41分 ]
共同通信

 北海道は14日、地方職員共済組合北海道支部に所属していた職員の私物パソコンから、退職者を含む道職員ら約3500人の氏名や電話番号、給料額などの個人情報がインターネットに流出した可能性があると発表した。
 道によると、総務省から地方職員共済組合の個人情報が流出していると連絡があった。職員が個人情報を、ファイル交換ソフト「Winny(ウィニー)」を使用している私物パソコンに保存したため、ウイルスに感染して流出したとみられる
 道は「事態を厳粛に受け止め、二度とこのような過ちを起こさないよう情報管理の徹底を図りたい」としている。



またまた、Winnyによる情報流失です。この事件に限らず、Winnyによる情報流失は、

① 職場で個人情報を私物のパソコンに保存
② そのパソコンにWinnyがインストールされている
③ そのパソコンにウイルスが感染
④ 個人情報流失

同じ事が繰り返されますね。しかも、地方自治体や警察など公共団体に目立ちますね。

① 私物PCの職場での使用を規制
② USBなどの記憶メディアの規制
③ 個人情報のダウンロードの規制

特に難しい対策が必要な訳ではりません。思うに、漏洩が起きた団体でも無策であった訳ではないと思います。しかし、個々人がしっかりとルールを守らないと、対策が有名無実になります。
情報セキュリティに対する意識の向上が大切なのでしょうね。

2005年11月13日日曜日

銀行の合併

以下は読売新聞からの引用です

 

東京三菱銀行とUFJ銀行は11日、予定通り来年1月1日に合併してコンピューターシステムを統合しても、重大な問題は起こらないとの最終判断を固めた。来週中にも金融庁に説明する見通しだ。

 東京三菱銀とUFJ銀は、システム統合に万全を期すため、合併を当初予定していた10月1日から3か月延期した。

��2005年11月12日3時17分 読売新聞)



これで、合併銀行が2006年1月1日にスタートすることが正式に決定しますね。単にシステムの統合の難しさだけでなく、異なる企業文化を如何に融合させるか、大きな課題ですね。そして、その企業文化に影響される情報セキュリティの融合も、また難しい宿題であろうと思います。

とある銀行のシステム関係者から銀行の合併での頭痛の種は、預金通帳だという話を聞いたことがります。A銀行とB銀行が合併した場合、一時期において3種類の通帳が出回ることになります。

旧A銀行の通帳
旧B銀行の通帳
合併銀行の通帳

預金者の中には、通帳の記帳をせずにいる人もいますから、新銀行の通帳に一本化されるまでには、結構時間を食うし、旧通帳のサービスを停止の時期の選択も課題のようです。

今回の合併、滞りなく行われることを期待します。私も給与振込みはUFJ銀行なもので。

2005年11月7日月曜日

東京証券取引所 システム障害の原因発表

2005年11月1日に発生した東京証券取引所のシステム障害の原因が、東証より発表されました。
以下、2005年11月7日、朝日新聞のWebよりの引用です。
 

東京証券取引所は7日、今月1日の売買停止を起こしたシステム障害の原因について「プログラムの開発元の富士通が作成した作業指示書に誤りがあった」とする調査結果を公表した。会見した鶴島琢夫社長は、損害賠償請求など今後の対応について「契約内容などを検討のうえ決める」と述べた。

 東証によると、10月8~10日に売買の処理能力をあげるためにシステムを更新した際、証券会社の端末データを読み込んだり、注文の受け付け情報を証券会社に知らせたりするプログラムに不良があることを発見。富士通が自ら修正し、コンピューターに「仮登録」した。

 その後、テスト運行を経て、10月13日に、東証の関連会社でシステム管理を担う東証コンピュータシステムが、富士通からの指示をもとにプログラムを「本登録」したが、その際、富士通が作成した指示書に記載漏れがあったという。これが原因で、コンピューター内のデータを圧縮して整理する10月末を境に、プログラムが正常に機能しなくなったという。

 鶴島社長は会見で、損害賠償請求の可能性について「もう少し事実関係を詳細に検討し、富士通との契約内容を十分に検討したうえで今後の対応を決める」と述べた。誤りをチェックできなかった東証自身の態勢も「今後、検証する必要がある」とし、東証の経営陣の処分は10日の臨時取締役会で決める方針だ。

 今回の調査結果について、富士通は朝日新聞の取材に対し「指示書に記載漏れがあったとしか説明できない」としている。



原因はベンダーの作業指示書への記載ミスということです。が、それだけでしょうか。東証に責任は無いのでしょうか。システムのオーナーは東証ですから、オーナーとしての責任はあると思います。
システムの修正やテスト、受け入れに関する手順を定め、システムとしての安全、保全を維持する責任は東証にあります。
ベンダーの重大な過失は過失として、責任は問われて然るべきですが、必要なテストを漏れなく行っているか、結果は良好であるか、確認する責任はシステムのオーナーにもあります。
今回の障害は、テストにより事前に防止することが可能であったように思われます。ベンダーの責任以外にもシステムオーナーの責務も反省されるべきではないでしょうか。

2005年11月5日土曜日

個人情報保護法

やはり、というか早目に手を打つんだなというか・・・・
内閣府において、個人情報保護法の見直しが検討されるとのことです。
以下、読売新聞からの引用です。

個人情報保護法、運用見直しを協議へ…過剰反応に対応
 今年4月に個人情報保護法が全面施行されたのに伴い、過剰反応が相次いでいる問題で、同法を所管する内閣府は、運用などの見直しを視野に、中断している国民生活審議会(首相の諮問機関)の個人情報保護部会を今月末に再開することを決めた。

 保護法を巡っては、各地の消費生活センターに、悪質業者の電話勧誘が同法の規定では止められない点などに苦情・相談が多数寄せられており、同部会ではこの点も協議する。

 保護法では、営利・非営利を問わず、5000人を超える個人情報を取り扱う事業者に、情報の目的外利用や第三者提供を原則禁じている。このため、本来は問題がないのに、医療機関が警察の捜査照会にもけが人の容体を教えないなどの過剰反応が起きている。

 一方、保護法では、個人情報の目的外利用や不正取得の事実がなければ、本人の希望でも企業の持つ個人データの利用停止を強制できない。4月以降、国民生活センター(東京)の専用相談窓口だけでも、同法に関する苦情・相談が約900件寄せられ、その約7割は、電話勧誘やダイレクトメール(DM)の送付を停止させられないことなどの苦情や不満という。

 こうした状況から、内閣府は、個人情報の保護と有効利用のバランスが取れていない現状が一部に起きていると判断。保護法に関する重要事項を審議する同部会に、国民センターから施行後半年の状況を報告させ、同法の解釈・運用にあたっての基本方針、省庁ごとの運用指針の見直しなど改善策について協議するよう求める。


��2005年11月5日3時5分 読売新聞)



一部とはいえ、法律の本来目指すところと実際の施行結果にずれが生じている、逆の結果になっているのであれば、見直しは当然ですね。
企業においても、個人情報に関する問い合わせは、少ないようです。個人情報保護法に関する理解が低い、勘違いしている、関心がない、知らないといった事が要因の一部でしょう。見直しの中に、啓蒙ということも含めて欲しいものです。
ただ、気になることがあります。個人情報保護法は、民間向け、独立行政法人向け、行政機関向けと複数の法律があります。個人情報保護法と特に冠詞を付けずに言えば、民間向けを指すのが暗黙の了解事項のようです。今回の運用見直しは記事の文面からすると民間向けが主体のようですが、医療機関も対象になるのなら、独立行政法人も含まれるのかなという気もします。行政や独立行政法人には甘いと言われる意見もあるので、その事も含まれた見直しであって欲しいものです。


過ちては則ち改むるに憚ること勿れ

http://app.cocolog-nifty.com/t/trackback/6904393

2005年11月3日木曜日

東証のシステム障害

一昨日(2005年11月1日)、既報の通りというか、各マスメディアが連日競って取り上げていますが、東京証券取引所のシステムで大障害が発生しました。
このBlogでも、当然取り上げるべきと思い、注視していましたし、職場でもこの件で同僚と議論をしていました。昨晩、Blogにアップしようと思っていたのですが、今日が祝日(11月3日)ということで、晩酌をしてしまい、ほろ酔い気分で寝てしまいました。なもので、ちょっと鮮度が落ちてます。

以下は毎日新聞の11月2日の故事からの引用です

◇「安全網」機能せず--プログラムミス

 

専門家は、東証のシステム拡張の際、実際に運用する前に行う「動作試験」が不十分だったことが今回の障害につながったとみている。大手行のシステム担当者は「プログラムのミスは避けられない。基本的なミスを、動作試験で見つけられなかったことが問題」と指摘する。

 システム増強などに伴うプログラム変更は手間をかけ動作試験を行うのが常識だが「納期を優先すると真っ先に削られるのが動作試験」が業界の実態という。動作試験を繰り返す基本動作が十分でなかったことが原因究明の遅れにもつながり、半日近いシステムダウンを招いた可能性が高い。

 「安全網」も働かなかった。東証はコンピューターの記憶装置などハードが故障した時に備え、バックアップシステムを備えている。しかし、コンピューターサーバー3基が同じプログラムで処理する仕組みのため、ソフトが原因のトラブルには機能しなかった。

 また、今回の障害は月替わりの日に起きた。「月や年の替わり目は、コンピューターのソフトで注意すべきところだ」と担当者は口をそろえる。



この記事の通りですね。私は、現在は情報セキュリティコンサルタントを名乗っていますが、元々は情報システム/データセンターの運用管理が専門でした。新システムのカットオーバーや改修後のリリース等は、神経質なまでにテストを繰り返すのが常でした。その際、可能な限り本番環境に近いテスト環境を構築するか、空き時間を狙って本番環境を使用します。そうでないと、実行環境相違で、不備不具合を見逃してしまう可能性は高いからです。
情報システムの運用は、
 (1) 日次処理 
 (2) 週次処理
 (3) 月次処理
 (4) 4半期処理
(5) 半期処理
 (7) 年次(決算)処理
 (8) 不定期処理、スポット処理
など多様な処理サイクルがあります。テストの際は各処理サイクルでの検証を行い、確認後に検収します。
今回の障害は、月をまたがった最初の営業日での月次処理に不具合があり、システム全体の障害に至ったようです。これは、テストが不十分であったと判断されても致し方ないですね。
年次(決算)処理の場合、企業によってはその1ヶ月、2ヶ月前から当該システムへの修正を凍結し、処理が遺漏無く行われるように万全を期す企業が少なくありません。ベンダーの責任が厳しく問われるのでしょうが、東証自体の検収/受け入れ態勢にも問題ありだと思います。ベンダーの報告を鵜呑みにせず、自らリスクを判定しコントロールする姿勢/体制が重要です。

再び、毎日新聞の記事から引用です

東証は年2回、システム監査をしているが、いずれも外部委託。企業の内部のシステム監査は、日本監査人協会が認定する公認資格「システム監査人」が実施するが、東証にはこの有資格者がいない。内部、外部からの二重チェック不在を危ぶむ声も強まりそう。東証自身が上場問題を抱える中、危機管理の手薄さを露呈したことは大きな痛手と言える。

 

システム監査を行うのは(行っていいのは)、日本システム監査人協会の「公認システム監査人」だかけのか? 
我々、Information System Audit and Control Association(ISACA 情報システムコントロール協会)のCISA(Certified Information System Auditor)、「公認情報システム監査人」は? と突っ込みを。

本筋に話を戻して。所謂、「システム監査」では、客観的で公正妥当な基準に従い、ITに関するマネジメントが適切に行われているかを監査する、ということだと思います(ちょっと粗い定義ですが)。ですから、システム監査では、システム内に内在する不備/不具合を直接見つけ出すことは出来ませんし、目的ともしてません。不備/不具合を事前に検知し、障害を未然に防止する態勢や手続きが整備され、有効に機能しているか、当該のリスクに適切なコントロールが実施されているかを見定めるのが監査ということでしょう。
東証の検収態勢(体制)が如何なるものであったか。システム監査を実施していたとすれば、その辺を如何に判断していたか。興味ある課題です。

現在のところ、システム監査に当たっての客観的で公正妥当な基準ということのなると経済産業省の「システム管理基準」一般的ですね。同基準の中には、システムの検収受け入れ体制、手続きに関する項目もあり、改めて読み直してみようと思います。

法的な規制/規定がありませんが、情報システムの安全/安定を維持する上でのシステム監査、そして情報の安全のための情報セキュリティ監査を広めていく上で、教訓の多い障害事例でありました。

日本システム監査人協会

システム管理基準

システム監査基準
 

2005年10月27日木曜日

12月のCISA/CISM試験も近づいてきました。受験予定の皆さんは、準備に余念がないことと思います(多分)。試験に合格後、所定の職務経歴を申請してCISA/CISMに晴れて認定される訳ですが、其の後も関門があります。このBlogでも以前に触れましたが、継続教育プログラム(CPE)がそれです。毎年、その年のCPEポイントを国際本部に申請するのですが、正しく申請しているか本部で監査を行います。被監査者は、本部が無作為に選択します。被監査者は、指定された年に申請したCPEポイントの証拠を本部まで送らねばなりません。
このことは、試験合格者に度々お話させて頂いていたのですが・・・・
この度、晴れて小職が被監査者に選ばれてしまいました。昨日、ISACA国際本部より、小職宛に封書が郵送されてきました。年会費の請求にしては早いな、などと能天気に開封したところ、CPEの監査対象になったとの通知でありました。まさか、自分が選ばれるとは・・・・・  なんてこったい。人には散々言ってきたが、自分の身に降りかかるとは夢にも思っていませんでした。正直、他人事、もし選ばれたたら嫌だな、くらいに思っておりました。
これも経験、エビデンスを揃えて本部に郵送します。

CISA/CISMの皆さん、他人事と思わず、CPEの申請と過去3年分のエビデンスの保存、しっかりとしておきましょう。

追伸
皆さんの参考になるように、監査の結果がでたら、このBlogで報告いたします。


継続教育プログラム

2005年10月21日金曜日

ISACA東京支部10月度月例会が開催されました

昨日、10月20日に日本教育会館でISACA東京支部の10月度月例会がありました。今月のテーマは、「重要インフラにおける情報セキュリティ対策の強化に向けて」題して、内閣官房情報セキュリティセンターの内閣参事官の方を講師に迎えでスピーチして頂きました。内閣官房情報セキュリティセンター(NISC)は、わが国の情報セキュリティに関するナショナルセンターとして設立された機関です。
講演内容の概略は

我が国では震災は差し迫った脅威として認識され、様々な取組みの下、国民生活や経済活動を支える重要インフラの備えにも関心が集まっている。しかし、ITが各重要インフラのサービス供給の根幹を占めるに至った現在、物的防護や災害対策の視点だけで対策が進められようとしていることには不安がある。
政府が平成12年に「重要インフラのサイバーテロ対策に係る特別行動計画」を決定してから5年近くが経過した。
サイバーテロへの関心が先行したため、自然災害等も含めたコンピュータ・システムの停止リスクはあまり認識されていないが、実社会では人為的ミスや自然災害によってITシステムが機能不全に陥るケースは後を絶たない。
今こそ、ITに立脚する脅威全般を想定し、重要インフラ防護の体系を再設計する必要があり、本講演では、9月
15日の情報セキュリティ政策会議決定で示された我が国の新たな重要インフラ防護の基本理念について紹介する。


ということなのですが、内閣官房情報セキュリティセンターでは、「政府機関の情報セキュリティ対策のための統一基準」なるものを策定中とのことです。パブリックコメントを募集しているそうです。私も、対象の文書をダウンロードして、印刷してみました。ちょっと、ボリュームがあるのですが、一通り目を通してみようと考えています。

内閣官房情報セキュリティセンター

2005年10月17日月曜日

個人情報保護法と捜査照会

以下、2005年10月17日の読売新聞掲載記事よりの引用です。

 刑事訴訟法に基づく警察の正式な捜査照会に対し、各地の病院や自治体などが個人情報保護法などを理由に回答を拒否するケースが、今年4月の同法全面施行から6月までの3か月間だけで、約500件に上っていることが警察庁の調査で分かった。

 うち約4割は医療機関で、福岡県のように県警と県医師会が「出来るだけ捜査に協力する」と申し合わせたところもある。医療関係者は、厚生労働省や日本医師会の作成した同法関係の指針が誤解や拡大解釈を招き、独り歩きしている影響があると指摘している。

 保護法は、本人の同意なく第三者に個人情報を提供することを原則禁じているが、「法令に基づく場合」「生命、身体、財産の保護のため必要な場合」「本人の同意を得ることで事務の遂行に支障を及ぼすおそれがあるとき」などは例外と明記されている。「法令」には、令状による捜査や、刑訴法197条に基づく捜査照会なども含まれる。

 しかし、実際には、捜査に協力を得られないケースが相次いでいるため、警察庁は、刑訴法に基づく「捜査関係事項照会書」を医療機関などに示して協力を求めたのに拒否されたという例を調べた。

 同庁によると、判明した約500件のうち、病院関係は約200件。回答拒否の内容としては、事件・事故でけがをした当事者の容体や、事件関係者の病名・病歴、変死者の既往歴などが目立ち、容疑者の入院の有無についても「本人の許可がないと答えられない」としたケースがあった。また、約100件は市町村などの自治体関係で、回答を拒否されたのは、公共料金の支払い状況や生活保護費の受給の有無などだったという。

 刑訴法に基づく捜査照会のほか、警察が事件・事故のけが人の容体を口頭で問い合わせた場合に病院が応じないケースも相次いでいることが、読売新聞がこれまでに実施した全国調査で明らかになっているが、公益性のあるこうした問い合わせについては、応じても保護法には違反しない。

 警察庁では「保護法の全面施行前はあまり見られなかった現象で、捜査に深刻な支障が出ている」として、調査結果を詳細に分析するとともに、今後、関係機関に理解を求める方針。

 医療機関の対応の背景について、医療関係者は、厚労省や日本医師会の指針に「照会に応じても保護法違反ではないが、本人から損害賠償を求められるおそれもある」などと記されている点を挙げる。これに対し、同省では「一般論として例示しただけで、過剰に受け取られるのは本意ではない」としている。

��2005年10月17日3時0分 読売新聞)



個人情報保護法の施行後、警察の捜査に支障が出ているとの記事です。しかし、これは事前にある程度予想されていた事態ではないでしょうか。医療機関側の明らかな過剰反応ですね。捜査照会以外でも似たような事例があるのだと思います。

医療機関というか、医師には以前から患者の秘密に関する証言拒否権があり、また患者の秘密に関しては押収命令を拒否する権利もあるそうです。これは、患者の事柄は、むやみ漏らすなということ、所謂、医師の守秘義務の根拠のなのでしょうね。ならば、個人情報法保護法施行以前に、医師の守秘義務を根拠とした、捜査照会の拒否ということはあったのでしょうか。あっても不思議ではないはずです。個人情報保護法は、個人の責任を問いませんが、仮に医師が患者の情報を漏洩した場合、刑法第134条の秘密漏示罪(親告罪)で告発される可能性はあるそうですから。個人情報保護法より医師個人には厳しいものがあります。しかし、以下のような判決もでています。

以下、2005年7月19日 読売新聞掲載記事より引用です

覚せい剤の反応が出た尿を医師が警察に引き渡したのは、医師に課せられた守秘義務に違反するかどうかが争われた裁判で、最高裁第1小法廷(横尾和子裁判長)は、「必要な治療や検査の過程で採取した尿から違法な薬物を検出した場合、捜査機関に通報するのは正当な行為であり、守秘義務に違反しない」との初判断を示した。

 そのうえで、覚せい剤取締法違反(使用)の罪について無罪を主張した女性被告(26)の上告を棄却する決定をした。決定は19日付。懲役2年とした1、2審判決が確定する。

 決定によると、女性被告は2003年4月、腰に刺し傷を負って東京都内の病院に搬送された。医師は、腎臓からの出血の有無を調べようと採尿し、さらに薬物の影響を確かめるため尿を検査したところ、覚せい剤の反応があったことから警察に通報。

 被告側は、刑法が定める守秘義務に違反して捜査機関に渡った尿を証拠採用したのは違法だとして、無罪を主張していた。




犯罪行為が係わる場合は、患者の情報を捜査機関に通報することは、医師の守秘義務違反に当たらないということです。この事例の他にも、幼児/児童虐待が医師の通報により発覚、子供達が悲劇的結果になる前に保護されるという報道もありました。

患者の情報を守るということが結果として、法令違反や生命の危機をを見逃すことになりかねません。医師の守秘義務は、その適用範囲に判断は、難しいですね。

しかし、10月17日付けの記事では、医師の守秘義務より、個人情報保護法の取扱により慎重である印象があります。何か、本末転倒という気がします。

医療機関や福祉関係機関が、個人情報保護法を理由として、個人情報の提供に慎重になり、ボランティア活動や行政の施策が支障がでる例などもあるようです。個人情報の保護という前提は崩さずに、法律の実際の運用面での実情の検討が必要なのだと思います。どうでしょうか。

2005年10月16日日曜日

被災者名簿の扱い

以下、日本経済新聞よりの引用です。


東京・中野区、豪雨被災者名簿をNHKなどに提供
 東京都中野区が、今年9月の集中豪雨で床上浸水の被害を受けた約800世帯の被災者名簿を、中野都税事務所とNHKに提供していたことが15日、分かった。

 中野区は本人の同意を得るか、個人情報保護審議会に諮るべきだったとして、16日発行の区報に田中大輔区長名で「個人情報の不適切な取り扱いで区民にご迷惑をおかけしたことを深くおわびする」との文書を掲載する。

 中野区によると、都税事務所とNHKから、それぞれ都税減免と受信料免除の手続きを通知するため、被災者名簿の提供を依頼された。

 個人情報保護条例は、区の機関以外に対する個人情報の提供を制限しているが、区は「被害を受けた区民の経済的負担を軽減する上で有効と考えた」と説明している。

 被災者の一部から指摘があり、あらためて検討した結果、問題があったと判断し、名簿を回収した。税の減免と放送受信料免除以外には利用されず、複写もされていないことを確認したという。



災害対策や被害対応など、必要な範囲での個人情報が記載されたリストの作成とうのは必須のことです。問題は、そういった情報を如何に適切に利用していくかというこでしょうね。上記の記事の例の場合、利用目的には問題はありませんが、その提供の手続きが不適切ですね。確かに中野都税事務所とNHKに提供する前に個人情報保護審議会に諮ることが必要だと思います。ただ、800世帯で「個人の同意を得る」というのは現実的でしょうか。同意を得る事務作業の間にNHKの受信料の振替などは終わってしまう気がします。

この事例の場足の場合、事前手続きの事務作業の時間的余裕があるようにも思えます。しかし、もしそのような余裕が無い場合、どうなるのでしょうか。
個人情報保護と被害の救済等の緊急施策の兼合い、難しいところですね。

2005年10月12日水曜日

CISA/CISM試験合格者説明会

丁度一週間前の10月5日に日本教育会館でISACA東京支部によるCISA/CISM試験合格者説明会が開催されました。CISA/CISM合格者80数名の方が参加されたとのことです。私も、ISACA東京支部理事会メンバーの末席に連なる者として、出席し懇親会で合格者の皆さんとお近づきになりたかったのですが、所要のために参加できませんでした。
しかし、合格者説明会の参加者数には隔世の感があります。私がCISA試験に合格し説明会に参加したときは、合格者が10数名、説明会参加者が7名、説明会会場は、CISA担当理事の勤務先の会議室でした。あれから、10年です。感慨深いものがあります。

合格者の皆さんは、これから認定申請ですが、年内に申請するか年明けにするか、それぞれの事情で判断されるでしょうね。CISA/CISMの認定を受けることにより、国内外の別の資格認定/試験で優遇処置が受けられることがあります。その中には、年内までであるとか来年3月までとか、期限が設定されている場合があります。それらの条件を吟味した上で判断されることをお勧めします。

優遇処置がある資格認定

公認情報セキュリティ監査人  日本セキュリティ監査協会
公認システム監査人      日本システム監査人学会
ISMS審査員          情報処理開発協会
公認内部監査人        日本内部監査協会

この他にもあるかもしれませんが、取り合えず代表的というか、知る範囲の中でのご紹介です。

2005年10月2日日曜日

シンクライアント

以下は、日本経済新聞からの引用です

日立、情報漏えい対策を施したPC導入を容易に

 日立製作所は29日、情報漏えい対策を施したパソコン「セキュリティPC」をシステム構築無しで導入できる「FLORA Se210リモートアクセスパック」を30日に発売すると発表した。セキュリティPCはハードディスクを持たないなど盗難や紛失に備えたPCで、単体では動作せずサーバーなどに接続して使用する。導入には認証・暗号化サーバーの設置やシステム構築が必要だったが、同機能をASP(ソフトの期間貸し)方式で提供することで導入時の作業が不要となった。

 USB認証キーを付けた販売価格は20万7900円。サービス利用料は1ユーザーの場合で初期費用が1台あたり1万500円、月額5250円としている。



これは、7年程前であったでしょうか、シンクライアントの発想と同じですね。動機が情報セキュリティとTCO削減と違いはありますが。
日の目をみなかったシンクライアントが、装いも新たに再登場といったところでしょうか。

(久々の投稿でありました。m(_ _;)m )

2005年9月24日土曜日

キャッシュカードの異常取引を早期発見

以下、日本経済新聞よりの引用です。

キャッシュカードの異常取引を早期発見・富士通などが監視システム

 富士通と富士通アドバンストシステムソリューションズは21日、偽造キャッシュカードなどによる異常取引を早期発見する監視システムを金融機関向けに販売開始したと発表した。

 新監視システムは、過去の不正取引のデータを基に、異常だと思われる取引をリストアップ。疑惑があると思われる取引が発覚した場合、オペレーターに伝達する。希望する顧客に対し、不正出金の監視を携帯電話やパソコンへメールで通知できる。

 従来は一覧表を基に顧客の取引状態を照会・判断してきたが、この手法では不正の特定に時間がかかる上、監視する側もスキルを必要としていた。



「偽造・盗難カード預貯金者保護法」が、来年の3月に施行されます。原則的に銀行に補償義務がありますから、不正使用を事前に検知する仕組みが必要なのでしょうね。数年前にあるクレジットカード企業の方と話をした時、顧客の過去の購買パターンからカードの不正使用を警告するシステムがあると聞きました。クレジット会社は、以前から不正にしようされたカードの補償をしていましたから、このような警告システムが必要だったのだと思います。銀行業界も遅まきながら、対策に乗り出していくのしょうね。
キャッシュカード犯罪への抑止力という意味でも、こういった対策が広がるといいですね。

2005年9月14日水曜日

日本の宇宙開発

日本の宇宙航空研究開発機構(JAXA)が打ち上げた小惑星探査衛星「はやぶさ」が、目的とする小惑星「イトカワ」から20キロの空間に到着しました。
以下、読売新聞からの引用です。

世界で初めて小惑星の岩石採取に挑む宇宙航空研究開発機構(JAXA)の探査機「はやぶさ」が12日、地球から3億キロ・メートル離れた小惑星「イトカワ」の近くに到達した。

 はやぶさは、イトカワから20キロ・メートル離れた位置にとどまり、岩石の組成などを調べた後、来月には7キロ・メートルまで近づく。

 11月に1秒だけ着地し、金属球を秒速300メートルで表面に打ち込んで砕け散った岩石破片の採取を試みる。

 12月に小惑星から離れ、2007年6月に地球に帰還する予定。

 小惑星には、約46億年前に太陽系が生まれた時の物質が残っていると考えられる。試料採取により、地球など太陽系惑星の起源を知る手がかりが得られると期待される。イトカワは日本の宇宙ロケット開発の父、糸川英夫博士にちなみ命名された。

 地球と火星の間の軌道を回る直径500メートルのジャガイモ形小惑星で、クレーターとみられる地形も確認されている。

 はやぶさは03年5月に打ち上げられた。

��2005年9月12日14時36分 読売新聞)



この計画が成功すれば、地球以外の天体の物質を持ち帰るという、アポロ計画以来の画期的成果になります。これは、日本の宇宙探査技術の水準を示す、大きな出来事ですね。中国が有人飛行を成功させ、日本でも有人宇宙船とをいう声もあるようです。しかし、コストを考えると中々に難しいことです。
今回の「はやぶさ」は、遠隔制御技術、軌道計算、天体の重力を利用したスイングバイなど、高度な宇宙開発技術が駆使されています。これは、有人宇宙飛行技術にも応用可能で、しかも引けを取らないものです。
こういった分野で、日本の独自性を発揮しつつ、宇宙開発技術を発展させていってもらいたいものです。


もう一回読売新聞から引用を

宇宙航空研究開発機構(JAXA)は13日、太陽エックス線観測衛星「ようこう」が12日午後6時16分ごろインド付近の上空で大気圏に再突入し、軌道から消滅したと発表した。

 衛星は再突入の際に燃え尽きたとみられ、地上に落下することはないという。

 ようこうは1991年8月30日に打ち上げられ、太陽コロナの変動の観測や爆発現象のメカニズム解明などの成果をあげた。設計寿命は3年だったが、2001年12月に姿勢制御異常で電源を喪失するまで10年以上も観測を続けた。2004年4月に運用を終了、高度600キロ・メートルから徐々に軌道を下げていた。

��2005年9月13日19時59分 読売新聞)



「ようこう」は、太陽X線観測に大きな威力を発揮し、その成果が世界の研究者から賞賛されたそうです。有人宇宙飛行に隠れていましたが、こういった地味だけど大きな成果をあげる、それが日本の宇宙開発/観測の真骨頂という気がします。

2005年9月4日日曜日

事業継続計画

米国でのハリケーン、カトリーナによる被害が連日、大きく報道されています。米国史上最大に自然災害による被害にということ。犠牲者や被災者の窮状のみならず、経済活動にも多大な影響を与え、その影響も全世界に波及しそうですね、原油高と米国経済へのマイナス要因で。
犠牲者のご冥福をお祈りするとともに、一刻も早い復旧を期待するのみです。

この大きな厄災を情報セキュリティ、ITガバナンスという観点から考えてみます。色々と考えるべき事柄は多いのですが、最近の時流にのるとすれば、事業継続計画(BCP)でしょう。カトリーナの被害で、石油会社等の民間企業の事業活動が停止状態ですが、行政各機関も事実上の活動停止状態に追い込まれているようです。
BCPの役は、ビジネス継続計画でしょうが、あえて事業継続計画というべきかと思います。とうのは、BCPが必要なのは民間企業だけとは限らないからです。医療や水道など、ライフラインに関するものから災害への対応、復旧などの行政活動も当然、事業(行政)活動を継続、もしくは早急に復旧してもらわなければいえkません(と、私は考えます)。

事業継続計画は、
① 予想される災害の規模と被害予想
② 事業活動に対する影響
③ 事業継続計画の対象となる業務の絞込み
④ 計画立案
⑤ 教育/訓練
などと粗く分類できるかと。

事業継続計画は、大風呂敷を広げるのでなく、実現可能性も考慮すべきでしょう。ですから、③の対象範囲の絞込みは大事なステップでしょうね。優先順位の高い対象業務にリソースを集中させる、そういった選択と集中も必要でしょう。それて、教育訓練。

10年前の阪神淡路大震災の時に、外資系の食品メーカーの社屋が被害にあい、IT関連の設備が大きく損壊しました。しかし、その企業はデータのバックアップを頻繁に行い、情報システムの復旧計画をもち、リハーサルも行っており、代替センターでのシステムの仮復旧に成功しています。

調査では、事業復旧計画を持つ企業は2割程度です。すべての企業に必要だとはおもいませんが、もっと検討されていいですね。それと、民間企業だけでなく、地方/中央の行政機関にも考えて頂きたいです。

事業継続計画を巡る政府内の動き

事業継続ガイドライン

企業における情報セキュリティガバナンスのあり方に関する研究会 報告書

2005年8月29日月曜日

このBlogへのアクセス記録を見ると、検索エンジンでCPEというキーワードを検索して当Blogをアクセスする方が見受けられました。おそらく、CISA/CISM試験の合格者なのでしょうね。合格の喜びの後に、資格維持のための継続教育プログラム(CPE)の事が、気になり始めたということでしょうか。

公認情報システム監査人(CISA)継続教育プログラム

CISA/CISMには、3年間で120CPE、1年で最低20CPEの獲得が義務付けられており、条件を満たさないと認定が取り消されます。これは、専門家のとしての能力を維持するためのもので、米国に資格制度では一般的に取り入れられているようです。医師や教師といった場合も例外ではないようです。
一旦、資格試験に合格してしまえば、途中で取り消される事が稀な日本では、馴染みではないですね。しかし、考えてみれば理に適った制度です。所謂ペーパードライバー、何年も運転してなかった人が、教習所でならった運転技術を身に付けているでしょうか。教育の現場から何年も離れて、いきなり復帰できるでしょうか。
専門家としての能力の維持とその証明を求めるのも頷けるものがあります。日本でも、ISMS審査員制度や公認情報セキュリティ監査人制度では、このCPEと似た制度が取り入れられています。また、最近の報道だと、教員免許も更新制度の導入が議論されているようです(ただ、既存の免許取得者は無条件に更新されるようです。導入効果半減という気がします)。

3年で120CPE、1年で最低20CPEという条件ですが、ISACA東京支部で開催する月例会に参加すれば、年間20CPEは何とかなります。あと、20CPE程度で個人の努力でカバーすることになります。他の団体の月例会や研究会もCPEの対象にカウントできます。

まあ、そんなに無理な条件ではないと思います。少なくとも私も知る範囲では、CPEが満たせずに認定取り消しになった事例は知りません。

私個人は、今年は白浜のコンピュータ犯罪シンポジウムや3月のISACA東京支部設立20周年記念行事、月例会参加などで40CPE以上を確保しているので、今年は安泰です。

10月頃にCISA/CISM試験合格者説明会が開催されます。そこで、認定申請の方法やCPEについての説明が行われます。合格者の皆さん、是非ともご参加下さい。

2005年8月21日日曜日

2枚の登録証カード

私の手元に2枚の資格登録証カードがあります。日本情報セキュリティ監査協会(JASA)認定の公認情報セキュリティ監査人補(CAIS)、日本情報処理開発協会(JIPDEC)認定のISMS審査員補の登録証カードです。私の顔写真と氏名、登録番号、有効期限など記載され、双方とも似ような作りです。

私は、この他にInformation System Audit and Control Association(ISACA)認定のCISA(Cetified Information System Auditor 公認情報システム監査人)とCISM(Certified Information Secuirity Manager 公認情報セキュリティマネージャ)でもあります。しかし、CISAとCISMはレターサイズの登録証(勿論、英文)は送られてきますが、先の2枚のカードような立派なものありません。毎年、12月31日が期限の簡単なカードです。氏名が記載され、そその脇にCISAとCISMの印字があるだけです。至極簡単な作りで、1枚でCISAとCISMを兼用する、まあ合理的なんでしょうね。以前は、結構立派なカードが送られて来た時期があったとも聞きますが、私がCISAになって以降は、現在の簡単なカードです。

今年の試験で、新たなCISAとCISMが誕生しました。そういった方々が既にISMS審査員や情報セキュリティ監査人であった場合、登録証カードの違いに驚かれるような気がします。

JIPDECやJASAとISACAでは、組織の成り立ちが根本的に異なるので、単純な比較は危険ですが、日本とアメリカのある種の相違を表しているようで(良い悪いということでなく)、ちょっと面白いと思いました。

ところで、立派な2枚のカードですが、活用する機会はあるのでしょうか。ISMS審査員補の方は、審査の際に提示を求められるのでしょうね。しかし、CAISの方は、どうなのかな。

以上、あくまで私見ですが、雑談までに。

2005年8月15日月曜日

日本の宇宙探査

毎日新聞の宇宙航空研究開発機構(JAXA)が2003年5月に打ち上げた小惑星探査機「はやぶさ」の記事が載っていました。以下、毎日新聞からの引用です。

小惑星:探査機が「イトカワ」の撮影に成功 JAXA

公開された小惑星「イトカワ」の写真=宇宙航空研究開発機構提供 宇宙航空研究開発機構(JAXA)は15日、小惑星「イトカワ」を目指して飛んでいる探査機「はやぶさ」が、「イトカワ」の撮影に成功したと発表した。先月29日から今月12日にかけ、星の位置から探査機の姿勢を計算する装置で写した。

 「はやぶさ」は03年5月に打ち上げられた。長径約500メートルの「イトカワ」に着陸して地表のサンプルを取り、地球に持ち帰ることなどが目的だ。現在は「イトカワ」から約3万キロの位置にあり、時速約137キロで接近している。来月中旬に到達し、07年7月ごろに地球に帰還する予定。

 またJAXAは「はやぶさ」の姿勢制御装置3基のうち、1基が故障したと明らかにした。先月31日に判明したが当初から2基での運用も想定しており、観測に支障はないという。
2005年8月15日 毎日新聞より



「はやぶさ」は、地球と火星の間にある小惑星帯にある小惑星「イトカワ」に接触し、サンプルを持ち帰るという、野心的な計画です。遠隔操作技術や、自律飛行技術等々、日本の宇宙開発技術の集大成したということです。若田さんが搭乗したスペースシャトルに注目が集まっていて、日本独自の宇宙開発に関する報道は少ないですが、日本の宇宙探査計画が着々と進んでますね。

私は、小学生の時にアポロ11号の月面着陸のニュースを驚きながら見ていた世代なので、宇宙開発関係の話題にとても興味があります。この計画も成功することを願っています。日本の惑星探査/観測計画は必ずしも順調ではありません。火星探査衛星は失敗し、最近打ち上げたX線探査衛星も「すざく」も、最も重要な観測機器が故障し、観測不能になりました。日本はX線天文学で世界をリードしていただけに残念なことです。

この、「はやぶさ」に計画が成功すれば、太陽系形成の歴史に迫れるだけでなく、日本の宇宙開発技術の大きなステップになるでしょうね。JAXAの皆さんに頑張っていただき、是非とも成功してもらいたいですね。

2005年8月13日土曜日

東京三菱銀/UFJ銀 合併延期

東京三菱FGとUFJFGの傘下銀行の合併延期が発表されました。

三菱東京フィナンシャル・グループとUFJホールディングスは12日、10月に予定していた傘下の東京三菱銀行とUFJ銀行の合併を来年1月1日に延期すると正式発表した。金融庁の指摘を受け、合併に伴うコンピューターシステムのトラブル回避のため、事前準備を徹底する必要があると判断した。持ち株会社や傘下の信託銀行、証券会社の合併は予定通り10月1日に実施する。両グループは同日、金融庁から統合の予備認可を得たことも明らかにした。

 三菱東京の畔柳信雄社長(東京三菱銀行頭取)は記者会見で「ご迷惑をおかけする」と陳謝。合併延期に伴ってデータの修正作業などを強いられる法人顧客などに対しては、発生するコストを負担する意向を示した。

 現在、東京三菱銀は日本IBM、UFJ銀は日立製作所と、異なるメーカーのコンピューターシステムを使っている。10月1日の合併時に2つのシステムを接続する計画で準備作業を進めてきた。

日本経済新聞記事より引用



以前から、合併延期だろうと報道されていましたが、とうとう正式に記者発表されました。みずほ銀行の二の舞を避けるという金融庁に強い決に現れということでしょうね。
経営的要請ではなく、システムの事情が経営判断を覆したという大手企業では初めてのケースではないでしょうか。

銀行合併の難しさは、以前に銀行関係者に聞いたことがあります。取りあえず、双方のシステムをゲートウエイ機で繋いで、データの交換をするとしても、双方の金融サービスを各々が取り込まなければならず、単なるデータ交換ではすまないので、複雑です。その他に、悩ましいのは通帳だそうです。合併する二つの銀行の通帳、新銀行の通帳の三種の通帳が一時期に出回ることになります。新銀行のシステムとATMは、三種の通帳に対応する仕様にしなければなりません。この通帳への対応は、かなりの負担ということです。

経営の要請にシステムの統合を合わせるのでなく、システム統合に合併を合わせる、従来になかった稀有のことがおきました。この事をニュースとしたBlogへに書き込みが盛んになるのでしょうね。小職も、その流れにのってみました。

2005年8月9日火曜日

PCがぶっ飛びました

本日は私事です。先週の土曜日、自宅PCが突然、大不調に。ハングアップして動かなくなり、仕方なくリブートを試みても、ブートエラーになる始末。起動FDでブートさせ、Windowsの再インストールを行いました(以前に同じような現象をこれで回復)。しかし、これも途中でエラーで失敗。元来はメインフレームエンジニアの小職はすっかりお手上げです。

今のPCは、平成12年、西暦2000年に購入したもの。OSはWindows MEというベテラン、IBMにユーザ登録はしてありますが、今まで世話になったことのない、サポートセンターに初めて電話しました。自分としては、付属のリカバリーキットを使って、初期化するしか手はないと思っていたのですが、一応プロに相談。ハードディスクは2分割してあり、住所録や写真などはDドライブあるので、Cドライブにある小職と我妻のメールのデータ等をDOSプロンプトでDドライブにコピーしたので、その状況を説明したところ、電話対応の若い女性は無情にもFDISKでフォーマットが必要とのこと。それでは、Dドライブのデータも消えてしまうではないかと。FDISKが本当に必要か、執拗に確かめたところ、困ったように、それでは保障はしないけど、FDISKなしで試して、駄目だったらデータは諦めて欲しいとのこと。PCに素人のメインフレームSEとしては、Cドライブのフォーマットで十分の筈。

FDISKなしで、リカバリーキットでの初期化に挑戦、途中で何度もエラーが発生、その度に電源を落として、しばらくしてから起動FDからブートしてに再トライ、Windows98をインストール、その後MEにグレードアップ、最後まで無事に終わったのがAM3時でした。シャワーを浴びて、布団に転がり、7時半頃起きて、Officeのインストールやら、Browserやメールソフト導入など、必要なソフトインストールやカスタマイズが終わったのは日曜の夕方でした。思ったとおり、FDISKは不要でした。

一番困ったのがメールソフト。我が家ではメーラーとしてNetscapeの4.7を使用、これが見つからないのです。ようやくダウンロードして、セットアップ、避難したメールデータをインポートしました。が、私のミスで我妻のメールとアドレス張一部をロスト。我妻は、PCのメールはほとんど使ってないから、かまわないとのこと(彼女は、携帯メールが主要な通信手段)。ありがたし。

いまだに原因はわかりません。個人用データの殆どをDドライブに保存しておいたのが、復旧作業の上で大きな助けとなりました。古いPCなので、CD-ROMドライブしかなく、外部メディアにバックアップすることができませんでした。今回の件で、データの外部メディアへのバックアップの重要性を再認識しました。次回のPC更新時には、バックアップという事を念頭に入れて機種の選択をしようと思います。まあ、本当はその前に財務最高責任者の承認を得るのが一苦労なのですが。

2005年8月1日月曜日

CISA/CISM試験結果

7月29日金曜日に本年6月11日行われたCISA/CISM試験の結果が、メールにて受験者に通知されました。本日出勤したところ、弊社の合格者数名から合格した旨のメールがきていました。残念ながら受験者全員合格とはいきませんでしたが、12月に改めて挑戦して頂きたいと思います。

合格がそのままCISA/CISM認定ではなく、別途職務経歴を証明する申請が必要です。認定後も資格を維持するための継続教育プログラム(CPE)のポイントが必須になります。そこで、10月か11月にISACA東京支部主催で合格者説明会を行い、申請方法やCPEについて説明する予定です。合格者の皆さんは参加されることをお薦めします。懇親会も行われるので、ご参加の上で、プロフェッショナルとしての交流の輪を広げられるのも宜しいかと思います。

残念ながら合格ラインに達しなかった方々も、今年から12月の試験が新設されたので、是非とも再挑戦して下さい。

このBlogのアクセス記録を見ると、29日から'CISA 合格'というサーチキーワードで探索して、このBlog見つけてアクセスした方々がいました。多分、合格者なのでしょうね。合格を喜んでいる様子が想像されます。合格者の皆さん、心よりお祝い申し上げます。そして、皆さんが、ISACAの活動に参加されることを期待いたします。

2005年7月25日月曜日

金融コンサルティングのKFiがコンプライアンスの専門家の認定事業の乗り出しました。

産経新聞記事

コンプライアンス・オフィサー認定機構

有限責任中間法人「コンプライアンス・オフィサー認定機構」が設立され、年2回の試験が実施が予定されているそうです。既に昨年のから今月までに2回の試験が実施され、数十人の方が認定されたそうです。
昨年には、情報セキュリティ監査人制度が発足し、コンプライアンスの一角を担う意味もあり、その普及が推進されているところです。従来のシステム監査団体や内部監査団体もコンプライアンスの観点を強く打ち出しています。これらに加えて、新たにコンプライアンスに専門家の養成と認定制度。各制度が個々にコンプライアンスを打ち出して、企業の方は如何に対応すべきですかね。
何は兎も角、コンプライアンス・オフィサー制度の成功を祈念させて頂きます。

2005年7月18日月曜日

性善説/性悪説

以下は、丸ちゃんの情報セキュリティ気まぐれ日記の記事への私のコメントの再録です。一度、このBlogでも取り上げようと思っていた話題なので、そのまま引用しました。皆さんのご意見だの投稿していただくとありがたいです。

以下、引用

10年程前でしょうか、CISA試験のための勉強会に出席した折のことです。アクセスコントロールの件でちょっとした議論になりました。当時は、日本企業でアクセスコントロールを厳密に実施しているケースは少なく、出席者の一人はその理由として「日本企業は外資系と違って性善説だから」と、日本企業=性善説、外資系企業=性悪説とステロタイプな理由を言っていました。その勉強会に出席していた外資系企業の社員が、外資系企業でも、しっかり面接をして信頼できる人を採用しようと努力している、基本的に社員を信用しないと組織は維持できない、アクセスコントロールを行うのは性悪説だからではなく、リスクに対する備えだと、静かにですが、断固たる態度で反論していました。

私は、この性善説/性悪説の議論ほど不毛なものはないと思ってますし、害あって益無しと認識しています。決着することは決して無く、極端になるとアクセスコントロールを行うのは社員を信用していないことになる、だからやらないなどということになります(実際にこういうお客様がいました)。

悪意はなくとも不注意な権限無きアクセス、不用意なアクセスもあり、そこには漏洩リスクも存在します。性善説/性悪説によるアクセスコントロールではなく、リスクに対する備えとしてのアクセスコントロールなんだと認識したのが上記勉強会でした。

哲学的思考として性善説/性悪説を考えていくことは兎も角、情報セキュリティの中で、性善説/性悪説を議論するのは、もう止めにすべきではないでしょうか。



2005年7月14日木曜日

セキュリティ市場規模

��DCジャパンの調査によると、2009年末のセキュリティ市場の規模は3,700億円だそうです。この市場規模が大きいのか小さいのか、検討もつきませんが、これだけは言えると思います。企業も情報セキュリティ、ITの安全のためにコストを負担するようになったということです。

IDCの調査

自分の給料も増えるといいのですがね (笑)

2005年7月12日火曜日

電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究

「まるちゃんの情報セキュリティ気まぐれ日記」の記事から、トラックバックしました。
内閣官房からとある委託研究報告が発表されました。

電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究

早速目を通してみました。オレンジブックなど、今では懐かしい単語がでていました。ところで、内容自体は目新しいものとは思えず、違和感も感じませんでした。何故かいうと、報告書に書かれている内容自体、メインフレームでアクセス管理に携わった経験があれば、理解し易い(というか当たり前の)内容です。Role-Base Access ontrolも、一般的な考え方であったし、ポリシーの定義やその維持管理、定期的にアクセスログの点検が重要だということも旧来から言われていたことです。メインフレームでのアクセスコントロールのノウハウがあり、継承されていれば十分に対応可能でしょう。私のようにメインフレームにエンジニア上がりには、新規なことには感じませんでした。

セキュアOSというのは、アクセスコントロールの機能をOSに直にビルドインされているのようですね。
メインフレーム(といってもIBMですが)では、アクセスコントロール機能は、OSに直接ビルドインされていません。アクセスコントロールに関するプロトコル、System Authorization Facility (SAF)が定義され、このSAFに準拠しIBM社からアクセスコントロールのためのミドルウェアとしてRACF、サードベンダーからCA-Top SecretやCA-ACF2がリリースされています。SAFに準拠すれば、アプリケーションレベルでのアクセスコントロールを容易に
実施することができます。

OSに直接アクセスコントロール機能をビルドインするのではなく、必要な機能用件とプロトコルを定め、そのインターフェースをOSの実装した方がアプリケーションの柔軟性が確保できる気がします。共通のプロトコルに従ったインターフェースをアプリケーションに側に実装すれば良いので、OS毎にアプリケーションを作るの必要がなくなります。また、複数のベンダーのOSが混在して場合も、共通のポリシーデータベースを共有可能になり、管理負荷の軽減にもなります。

メインフレームでのアクセスコントロールという貴重なノウハウがあるのですから、利用しない手はないと思いますが、なかなか難しいのでしょうね。

2005年7月10日日曜日

ネットワークセキュリティワークショップ in 越後湯沢

まるまる1週間振りの更新です。

越後湯沢で開催されるネットワークセキュリティワークショップの募集が開始されました。

ネットワークセキュリティワークショップ in 越後湯沢

今年のテーマは、 「今、私について考えるだそうです。個人認証の問題が中心なり、全体のプログラムが構成されるようですね。「私が私であることの証明」とか「貴方(女)が彼(彼女)であることの認証」等、昨今何かと話題になっていることの議論が展開されるのでしょうか。

ご存知のように、このワークショップは白浜のコンピュータ犯罪シンポジウムとは姉妹関係にあります。白浜のシンポジウムはISACA大阪支部、このワークショップはISACA東京支部が共催として参加します。白浜のシンポジウムに負けないようにしたいものです。

私自身は参加するのかというと、今のところ参加の方向で考えています。当然、会社の許可が必要ですが、恐らく参加するとう事は問題はなく、あとは私の業務との兼ね合いです。業務に滞りがでてはいけませんから。白浜のシンポジウムも何だかんだとチャンスがなく、今年が初参加。湯沢もチャンスに恵まれず、まだ参加したことがありません。今年は、何とかしたいものです。

9月5日までに申し込まれると早期割引が適用されます。皆さん、ふるってご参加を!

2005年7月3日日曜日

ある企業買収

ニュースとしては旬を過ぎているのですが、サンマイクロシステムがストレージ装置大手のストレージ・テクノロジー社を買収することが発表されました。

米サン、記憶装置のストレージを4400億円で買収

このニュースを耳にした時、一瞬の驚きと感慨と感傷が一度に訪れました。何故にか? 私自身がかつて日本ストレージ・テクノロジーの社員だったからです。また、ストレージ・テクノロジーはストレージ大手とは言っても、EMC等とは異なりメインフレーム向けが主力であり、サンマイクロシステムはCEOのスコット・マクネリーが、「いまだに過去の遺物であるメーンフレームを使っている人がいる」と言って憚らない人物だからです。

息吹き返すメインフレーム、“恐竜”IBMの復活に慌てるライバルたち

メインフレームを生きた化石、滅び行く恐竜というサンマイクロシステムは、ストレージ・テクノロジー社のメインフレーム部門はどうする気なのか? 日立か富士通とかに売却するのか? はたまたIBMへの売却もありか? いずれにしても、このままとは行かないだろうな。
かつての同僚はどうするのかな。ストレージ・テクノロジー社製品ユーザの知人も吃驚すると同時にメインフレーム部門がどうなるか、大変に気にされていました。
驚きと感慨と感傷と複雑な気持ちでした。

米国の企業買収は、事業の再編成のためには、不用部門の売却をも伴います。かつて在籍した企業の買収、このまま関連ニュースに耳を傍立たせる日が暫く続きそうです。

2005年7月1日金曜日

情報セキュリティEXPOに行ってきました

東京ビッグサイトで開催された第2回情報セキュリティEXPOに行ってきました。とは言っても、仕事の関係で10時から11時までと文字通り駆け足で見て回りました。個人的には、暗号化に興味があったのですが、出展企業側の熱意が今一つという感じでした。

個人情報保護法元年らしく、個人情報保護/個人情報漏洩防止というフレーズ、キーワードが目立ちました。今しばらくは、個人情報保護のウェーブが続くのでしょうか。

2005年6月27日月曜日

クレジットカードのリスク

引き続きこの話題です。今回の漏洩事件でクレジットカードのリスクが改めて白日の下の晒された訳ですが、覚えの無いクレジットカード会社からの請求、私も経験があります。4年前にニュージーランドに出張に行った際、ホテル代その他の支払いはクレジットカードが主でした。帰国後、その時の請求がきたのですが、明細を見ると憶えのない請求が、それもニュージーランドドルではなく米ドルです。すぐに当該カードの発行会社に連絡して、不正請求ということで対応してもらいました。発行会社が調べたところ、翌月の請求がきているとのこと。金額は50ドルほどでした。その時に応対してくれたクレジットカード会社によると、

(1) ニュージーランドからカード情報が漏れてた可能性が高いがはっきりした証拠は無い 
(2) 米国のインターネットショップでの買い物である
(3) 4~5,000円程度の不正請求を数回あっても気づかないことがある
(4) 必ず、引き落し請求は確認して欲しい
(5) カードを使った時のレシートは捨てず引き落しまで保管する

などなど、言われました。この時はニュージーランドドルの中での米ドルの請求だったので、直ぐに気が付きましたが、それからは引落とし請求は、必ず確認しています。

スキミングなど、カード名義人からの漏洩だけでなく、カード会社からの漏洩リスクもあるという認識が必要ですね。日本のクレジットカード会社も米国のカード情報管理会社のように決済機能を集約化する動きがあります。そうなると、クレジットカード会社と情報管理会社双方からの漏洩リスクがあると考えなければいけませんね。日本のクレジットカード会社は、そのリスクに如何に対応するのか。大きな課題です。また、我々にとってもですが。

2005年6月26日日曜日

暗号化

米国の情報管理会社からのクレジットカード情報の被害が日本や欧州でも広がっています。今更ながらに、個人情報の流失の影響の大きさを認識させられました。情報の窃取の詳細な方法は模倣犯を防ぐために公開されないでしょうが、ある程度の内容は公開してもらいたいですね。
ところで、個人情報を守るという事は、勿論重要ですが、それだけでなく、漏洩してしまったらどうするという発想も必要です。例えば、暗号化。漏洩した情報が使えなければ、意味がないのですから、暗号化は有効な手段だと思います。読めない、もしくは解読に時間が掛かれば、それまでに顧客のカード番号を変更するとか、被害防止もできます。データの暗号化と解読でレスポンスタイムに影響がでるでしょうが、甘受すべきことと思いますが、どうでしょうか。

2005年6月20日月曜日

米国で大量の個人情報漏洩 Part Ⅱ

米国大手クレジット会社の個人情報漏洩、国内にも波及し実際の被害も明らかになりました。日本国内企業は、この4月の個人情報保護法施行に合わせて、保有個人情報対策を重ねていたにも関わらず、自らの力の及ばぬ所で顧客情報が漏洩してしまうとは、臍を噛む思いでしょうね。
事業提携先の情報セキュリティや個人情報保護体制を如何に検証し、担保するか、大きな課題ですね。特に今回のように国境を跨いだ定型の場合、尚更ですね。IT関連業界、コンサルティング業界、監査法人等々、難しい宿題を課せられた感じです。

朝日新聞

読売新聞

産経新聞

日経新聞

2005年6月19日日曜日

米国で大量の個人情報漏洩

米国で、大手カード会社から委託を受けた情報処理会社会社から大量の個人情報が漏洩したようです。流出した情報の数からみて、最大級の情報セキュリティ事故と言っていいでしょう。以下、朝日新聞の記事から引用です。

ビザ、マスターなど米大手クレジットカードの個人情報が最大4000万件余り流出していた可能性が明らかになった問題で、17日午後(日本時間18日午前)、マスターカード・インターナショナルの発表に続き、ビザUSAも情報が「危険にさらされた」との談話を出し、米当局の捜査に協力していると認めた。米紙ロサンゼルス・タイムズ(電子版)は、マスターカードだけで少なくとも6万8000枚分のデータが不正使用され被害が出たと報じた。

 米紙ワシントン・ポスト(電子版)は不正アクセスが起きたのは昨年後半と報じた。マスターカード幹部の話として、約2週間前に不正に気づいた、とも伝えた。

 ビザ、マスターなどの場合、カード契約者が利用明細などで不正な使用に気づいて銀行などのカード発行者に連絡すれば、支払いの義務は負わない。不正防止対策としては、別の番号の新たなカードに切り替える方法などがあるが、カード発行金融機関が不自然な取引が増加するかどうかを見極めてから判断するという。

 ネットワークへの不正アクセスを受けたとみられる米情報処理会社「カードシステムズ・ソリューションズ」はカード会社から委託されて、カードが使われた飲食店や小売店などからの情報を金融機関に転送している。扱う情報は小売店などの端末に応じて異なり、カード番号と有効期限だけの場合も、名前やカードに記入されているセキュリティーコードと呼ばれる3、4ケタの数字を含む場合もあった。

 米紙ニューヨーク・タイムズは、マスターカードの話として、この処理会社が本来は転送するだけで社内に記録しないはずのカード情報をマスターカードとの契約に反して保存していた、と報じている。

 米調査によると、米国で利用されているクレジットカードは約13億枚。多額の現金を持ち歩くことへの不安もあり、3億人弱の人口をはるかに上回っている。米国では6月に入って、銀行最大手シティグループが、顧客情報390万人分を配送会社が運搬中に紛失したと発表。5月には複数の大手行の顧客情報10万件以上が元行員らに盗まれていたことが明らかになるなど個人情報の流出が相次いでおり、防止策の強化が求められている。
 



4,000万人分の個人情報が漏洩したいうことで、カードの不正使用等、これら被害が顕在化していく、拡大する可能性があります。

各カード会社は、業務委託先の監督/監査をどうしていたのでしょうか。記事によると契約違反の行為もあったようです。カード会社の業務委託先に対する管理責任が問われそうです(というより、ほぼ間違いなく問われますね)。
又、一企業に米国の大手カード会社が業務を委託していたことに驚きました。ですから、一社でなく複数社の情報が一括して漏洩する結果になったのは明白ですね。

(1) 業務委託先との契約条件と実施監視
(2) 個人情報に関する重大な業務を外部委託することの妥当性
(3) 一部の情報処理サービス企業に集中するリスク

業務の効率性やコスト等の理由で、外部委託したのでしょうが、闇雲な外部委託は再考の余地があると思います。また、業務委託先に対する監査/監視体制の見直しも必要ですね。

コンプライアンス

月刊文芸春秋の7月号にJR西日本脱線事故にについての、工学院大学畑村洋太郎教授の論文が掲載されました。以下、同誌より引用です。

実は、私のような工学専門家がコンプライアンスと聞くと、「柔らかさ」「柔軟性」というイメージが浮かぶ。「物質に一定の力を加えたときにどれだけ変形が起きるか」という意味の言葉だからだ。反対語は「剛性」である。

「遵法精神」というと、法律や条令をきっちり守るというお堅い印象を受けるが、語源から考えると「社会順応」と訳するのが適当でないか。コンプライアンスとは、「社会の要求に対して、組織がしなやかに協力すること」なのだと思う。

畑村洋太郎氏著 月刊文芸春秋7月号 「失敗学なき組織は滅びる」より引用 



氏は失敗学で著名ですが、この記事は興味深く読みました。コンプライアンスを「社会順応」と捉え、法令法規だけでなく、社会の要求に対しても柔軟に対応していくこと、これは非常に印象的でした。
コンプライアンスが盛んに称えられていますが、法令法規だけに囚われると、それを守っていれば良いという方向に行きかねませんね。法令法規だけでなく、社会的要求にも応えていくことが大事だなと、読み終わった後に、そんな感想を持ちました。

2005年6月15日水曜日

ISACA東京支部総会

2005年6月14日、東京教育会館にて情報システムコントロール協会(Information System Audit and Control Association ISACA)東京支部の総会が開催されました。近年、CISA/CISM受験者数も大幅に増加し、支部会員数も今年度中には1,000名を突破することは確実でしょう。ここ数年来の課題であったNPO法人化も、ようやく実現しました。任意団体、ISACA東京支部からNPO法人 ISACA東京支部への晴れて衣替えです。

個人的なことで恐縮ですが、一年間のブランクをへて今年から教育担当理事に返り咲きです。教育委員2年、教育担当理事2年、教育担当常務理事2年、教育委員1年で通算7年、再び教育委員です。これで、月例会担当も8年目に突入しました。支部の20年の歴史の中でも、他に例がないです。理事会でも古顔になってきました。が、会員の皆さん、これからも宜しくお願いします。

2005年6月12日日曜日

金融庁の一斉点検

以下、朝日新聞からの引用です。

金融庁は、6月末をめどに銀行や保険会社など金融機関の個人情報紛失状況や管理態勢を一斉点検する。各金融機関に現状を報告させ、紛失や漏洩(ろうえい)がわかった場合は改善を求める。みちのく銀行(本店・青森市)など金融機関による個人情報の紛失が相次いだため、一斉点検で金融分野での個人情報保護を徹底する。

 個人情報の適正な取り扱いを定めた個人情報保護法が4月に全面施行されたことも受けた措置だ。6月末までに金融機関から報告を受け、大量の紛失やずさんな管理態勢が見つかった場合には、同法に基づく是正勧告などで改善を求め、再発防止に向けた態勢整備を徹底させる。貸金業者に対しては、今年度決算から、決算報告の際、個人情報の管理状況について報告を求める方針だ。

 金融機関の個人情報の紛失では4月、みちのく銀行がほぼ全顧客分の住所や氏名などが入ったCD―ROM3枚を紛失し、金融庁から金融機関として初めて同法に基づく是正勧告を受けた。大手でも、三菱信託銀行が6月に顧客約17万人分の情報を記録した資料を紛失したことがわかり、金融庁が報告を求めている。

 同法施行前の3月には、みずほ銀行が27万人分の顧客情報を紛失したことが判明したほか、金融庁自身も、金融機関が提出したフロッピーディスクを2度紛失している。
 


何れの事例も人為的な個人情報の漏洩ではなく、不適切な管理よる紛失ということですね(勿論、今後に漏洩という事態に発展する可能性がありますが)。それも、日々のルーチンワークの中での紛失という気がします。
個人上保護法対応だとか情報セキュリティ対策というカテゴリーに捉われず、通常のルーチンワークの中での対策が必要なのでしょうね。

2005年6月11日土曜日

CISA/CISM試験 PART Ⅲ

三度CISA/CISM試験についてです。
本日2005年6月11日に本年度の第一回目のCISA/CISM試験が実施されました。四時間の長丁場の試験、受験者の皆さん ご苦労様でした。
大体 お盆過ぎ頃に受験者の手元に結果が郵送されます。スケールドスコア75ポイント以上で合格です。この時点では、CISA/CIMSではなく、職務経歴の判定を得て認定を受ける必要があります。また、認定後も資格維持にハードルがあります。

ISACA東京支部では、10月過ぎに合格者説明会を開催するはずです。認定手続きの仕方や、継続教育プログラム、ISACAの支部活動等の説明や懇親会が行われます。多くの方々が参加されえる事を祈念しています。

私の時の合格者説明は7名位の参加で、支部理事の勤務先の会議室でした。今では、数十名の参加者予定されており、CISA/CISMの知名度と有用性が上がったということでしょうか。

最後に 受験者の皆さん お疲れ様でした。

2005年6月7日火曜日

CISA/CISM 試験 Part Ⅱ

引き続きCISA/CISM試験について。
自分自身での経験でもそうですし、他の受験経験者の話でもそうですが、矢張り試験時間の4時間をいかに乗り切るか、これが合格の大きな要素だと言えそうです。

体験談

集中力
4時間、持続し続けるのは困難。集中力が続かない事を前提に途中で持ち直す方法を考えよう。私は、あえてトイレに行き、顔を洗い、リフレッシュして再起動しました。

時間配分
事前に時間配分については、計画をたてましょう。見直しの時間も含め、50問、100問、150問、200問と区切りの時間を決めておきましょう。あらかじめ、予定を決めておけば途中で慌てたり、気力が萎える事もないです(と思います)。

回答は、ブランクにはしない
回答は4択。鉛筆倒しでも確率は25%、ブランクだと0%。

体調 
前日の就寝時間から試験が始まり。4時間を乗り切る為には朝食は欠かせません。試験途中の水分補給も大事です。


再び受験者の皆さん
頑張って下さい。

2005年6月4日土曜日

CISA CISM試験

来週の6月11日に2005年度のCISA(公認情報セキュリティ監査人)、CISM(公認情報セキュリティマネージャ) 試験が実施されます。今年は、CISAが約500名、CISMが約100名、合計約600名の方が日本国内で受験さるようです。私がCISA試験に合格したのは、丁度10年前の1995年ですが、その年の受験者が100名程度、合格したの13名だったと記憶してます。勿論、まだCISMはりません。それから10年、かつての受験者総数程度の合格者が想定されるようになりました。

これは、ISAの知名度が上がったのも一因でしょうが、やはり需要がでてきたということでしょうね。システム監査、情報セキュリティ分野のビジネスも大きくなってきましたし、その為の専門家も必要です。そして、その専門家としての資格要件を認証する仕組みもまた必要であるということでしょう。
しかし、CISA、CISM、CISSP、公認情報セキュリティ監査人(CAIS)、公認システム監査人、ISMS審査員・・・・  なんとかならいかな、と思うのは私だけでしょうか。

今年から、試験が年に2回になりました。これで、CISAとCISMを同一年度で取得することも可能ですし、その年の内に再チャレンジできるのも良いですね。私は、最初の試験で不合格だったので、次のチャレンジまで1年といのは、心情的に辛かったし、その為に受験そのものを諦めてしまう人もいましたので、この制度改革には拍手を送りたいです。ただ、秋のCISM試験は英語のみの受験になるので、一刻も早く日本語で受験できるようになって欲しいものです。
(私は、グランドファザリングでCISMの認証を受け、試験をうけてないので、偉そうなことは言えないのですが)

200問、4時間ぶっ通しの試験、結構キツイです。もう2度と受けたくないですね。

受験者の皆様、あと1週間です。頑張って下さいね。合格者説明会でお会いしましょう。

学校の個人情報

以下、読売新聞より引用です

-----------------------------------------------------------
校長名で中学のサーバーに侵入、同級生の成績など入手
 北海道江別市の私立立命館慶祥中(西脇終校長)で、生徒が学内のパソコンネットワークに不正にアクセスし、同級生ら約200人の名前や成績、住所などの個人情報を入手していたことが、4日わかった。

 同中によると、生徒は学内のパソコンから校務用サーバーに、校長の名前をパスワードに使って侵入できることをみつけ、5月30日、自分の携帯用音楽プレーヤーを接続してデータをコピー。一部を印刷して同31日に教頭に示した。本人は「管理の不十分さを指摘したかった」と話しているという。

 同中では、全教職員にパスワードを変更させたほか、生徒が校務用のサーバーにアクセスできないようにした。3日には保護者に陳謝した。

 西脇校長は「私のパスワード管理の不十分さが原因で、統括する者として責任を痛感している」と話している。

��2005年6月4日20時5分 読売新聞)

-----------------------------------------------------------

基本的なセキュリティ対策が施されていない典型例ですね。
 Ⅰ 本人の名前がパスワードに使えてしまう。
   ユーザアカウント管理に問題あり
 Ⅱ 業務用サーバーと教育用サーバが同一のネットワークに混在

Ⅰは、ユーザアカウント管理で対応でき、Ⅱはネット-ワークの構成で対応可能。何れも、難易度の高いものではなく、基本的な事柄です。
基本的な対応が等閑になっていては、情報セキュリティ対策の施しようがありません。情報セキュリティと大上段に構える前に、基本的な約束事の徹底が大事ですね。

2005年6月1日水曜日

古いメディアの情報管理

以下、読売新聞からの引用です。

---------------------------------------------------------
三菱信託銀行は1日、17万3000人分の顧客情報などが記載された小型フィルム計251枚を紛失したと発表した。

 紛失した小型フィルムの一部231枚には、顧客13万4000人分の氏名のほか、生年月日、電話番号、残高、入出金明細など個人情報が記載されていた。残る20枚には、3万9000人分の情報が記載されているが、氏名など人物を特定できる情報はなかったという。251枚のうち、198枚は20年以上前のもので、外部から利用されたという情報もないことから、同行では誤って廃棄した可能性が高いとしている。

 問い合わせは同行(0120・322・171)。受け付け時間は、3日までは午前9時~午後7時、4日以降は午前9時~午後5時。

��2005年6月1日13時40分 読売新聞)


---------------------------------------------------------

金融機関を含め、各企業は電子メディア内の個人情報の保護には、充分な対策を施したとしても、こういった古いメディアや紙等に記録された情報への対策に思わぬ盲点があるかもしれません。
本件では、マイクロフィッシュに記録されていたのでしょうね。マイクロフィッシュそのままでは、閲覧のしようもないので、実害はないのでしょうが、古いメディアの管理体制に再考が必要なのでしょう。

情報源の秘匿 ウオーターゲート事件から

以下、朝日新聞からの引用です。

-----------------------------------------------------------

「ディープスロート」はFBI元高官 米誌で自ら明かす
2005年06月01日07時26分

ウォーターゲート事件での情報源「ディープスロート」だったことを明らかにしたマーク・フェルト氏=AP

 ニクソン米大統領の辞任という米国史を揺るがすスキャンダルに発展した72年のウォーターゲート事件で、事件を暴いた米紙ワシントン・ポストの記者の情報源「ディープスロート」が連邦捜査局(FBI)の当時ナンバー2だったマーク・フェルト元副長官(91)であることが31日、明らかになった。フェルト氏本人が月刊誌「バニティー・フェア」で明かした。ワシントン・ポストも同日、事実であることを認めた。

 米調査報道の頂点とされる事件報道の最大の謎が、33年後に初めて明らかになった。公表された月刊誌の記事内容によると、フェルト氏は「私がディープスロートと呼ばれた男だ」と述べた。同氏は事件発覚当時、FBI副長官として機密を知りうる立場にいた。

 フェルト氏の孫ニック・ジョーンズ氏は同日、「祖父は職務を越えて危険を冒し、恐るべき不正から米国を救った偉大な英雄だと信じる」と語った。フェルト氏は「ディープスロートはこれまで犯罪者と思われてきたが、今では英雄だと思われている」と家族に打ち明けていたという。

 ワシントン・ポストの担当記者だったボブ・ウッドワード(現編集局次長)、カール・バーンスタインの両氏は情報源が死ぬまで公表しないとの約束を守ってきたが、同日、「フェルト氏がディープスロートで、ウォーターゲート事件取材で計り知れないほどの支援を受けた」との声明を発表した。

 ディープスロートの正体を知っていたのは両記者のほか、当時のブラドリー編集局長の3人だけ。ブラドリー氏も同日、「これほどの秘密が長期間守られたことは驚きだ」と述べ、「情報源の質の高さ」から当時の報道に自信を持っていたと述べた。

 情報は、匿名で発言を直接引用しないことを条件に、もたらされたという。

   ◇

 〈ウォーターゲート事件とディープスロート〉 72年、ニクソン米大統領(当時、共和党)再選支持派がワシントンのウォーターゲートビルにある民主党全国委員会本部に盗聴器を仕掛けるため侵入し、逮捕された。ホワイトハウスは関与を否定したが、ワシントン・ポスト紙のボブ・ウッドワード、カール・バーンスタイン両記者が調査報道で追及。ニクソン大統領自身のもみ消し工作も明らかになり、74年8月、米国史上初めて現職大統領として辞任した。

 ウッドワード氏らは情報源の仮名を「ディープスロート」とし、その正体について「本人との約束があり、死去するまでは明かせない」と沈黙を守っていた。事件から30年の02年に正体捜しが改めて話題を集めたが、特定できなかった。


------------------------------------------------------------

情報セキュリティに直接関係ないのですが、記事にもあるように、情報源が33年もの間秘匿されたのは驚異的です。秘密が守られたのは、情報源を知っていたのがボブ・ウッドワード、カール・バーンスタイン両記者とブラドリー編集局長の三人だけてあったことが大きな理由でしょうね。need to knowの原則に通ずるものがあるように感じられました。

2005年5月31日火曜日

携帯電話

以下は朝日新聞の記事からの引用です。

--------------------------------------------------------
2005年05月30日19時21分

 日興コーディアル証券は30日、松戸支店(千葉県松戸市)の社員が、顧客の個人117人と2法人の計119件の名前と電話番号を登録した携帯電話を盗まれたと発表した。ただ、電話は暗証番号を入力するか、持ち主の指紋による認証を経なければ登録したデータが閲覧できない仕組みになっているという。

 同社によると、この社員は26日夜、帰宅途中に埼玉県内の自宅近くでひったくりにあい、同社から貸与された携帯電話などが入ったカバンを盗まれた。


---------------------------------------------------------

会社から貸与された携帯電話の盗難ですね。私も個人用よ社用の携帯電話を持ち歩いています。こういったケースは珍しくなく、2台以上持ち歩く人も珍しくありません。
ところで、皆さんは携帯電話のアドレス帳に何件登録していますか?
そして、登録内容は?
 電話番号    当然ですね
 氏名      これも当然
 メールアドレス 個人の携帯電話では、ほぼ100%。社用には僅か
 住所      社用には無し、個人用にも少し。

いずれにしても、個人情報には間違いなく、携帯電話の盗難と紛失による個人情報の漏洩にも対策が必要ということでしょうね。
携帯電話のアドレス帳をリモートから操作して削除するサービスを提供する携帯電話会社もでました。モバイルPCの情報セキュリティ対策の次は、携帯電話、かな。

情報漏洩も大事ですが、個人用携帯電話の場合は盗難/紛失すると直ちに友達に連絡不能になるので、バックアップが必要ですが、何か方法あるのでしょうか。ご存知の方、教えて下さい。

2005年5月27日金曜日

不正アクセスが多発していますね

最初の記事投稿以来、少しばかり間が空きました。そこは、飽くまでお気楽Blog、ご容赦下さい。

不正アクセスに起因する価格.comや静岡新聞のサイト閉鎖は、まだ耳に新しいところですが、それだけでなく今月に入って不正アクセスのニュースが多いですね。

スターツ出版サイト一時閉 
http://www.ozmall.co.jp/index.html


5月13日から15日の3日間、国内サイトをターゲットとしたWebサイト改竄が20件以上集中して発生した。・・・
https://www.netsecurity.ne.jp/1_2770.html


発表によると価格.comは、不正アクセスへの防御はしていたということです。

最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明
http://www.itmedia.co.jp/news/articles/0505/16/news077.html





不正アクセスへの防御を行うのは勿論ですが、何事にも完全は無いことを前提に、不正に浸入された場合の対策も必要ですね。
価格.comでは、自社Webサイトの巡回中に不正アクセスの痕跡を発見したそうです。その為には

(1) 自社サイト、データ等へのアクセスログの収集
(2) アクセスログの定期的検査

等がが必要です。防御したから大丈夫という発想は危険ですね。リスクはゼロに出来るものではなく、極力小さくするしかないということでしょうか、残念ながら。


不正アクセスによる浸入が発生した場合に、不正アクセス禁止法に基づき捜査当局に告発することができます。そのためにも証拠としてのログ、監査証跡が必要です。また、証拠保全のための方策も事前に研究しておく必要がありますね。

2005年5月23日月曜日

朝日新聞によるとパソコン教室運営のアビバで、社員により生徒の個人情報が不正に持ち出され、名簿業者に売却されたとのこと

---------------------------------------------------------
パソコン教室アビバ(本社・名古屋市)のイオン旭川西校(北海道旭川市)は23日、社員が顧客131人分の個人情報を名簿業者に売却したと発表した。これまでに18人分のクレジットカード情報が第三者に不正使用され、約30万円の被害が出たことが確認されており、近く旭川中央署に被害届を出す方針。

 同社によると、流出したのは同校が運営するインターネットプロバイダーへの申込書131人分。氏名や住所、電話番号のほかクレジットカードやキャッシュカードの番号が書かれており、1冊のファイルに閉じられていた。

 内部調査によると、4月中旬から休職していた女性社員が、今月8日に同校を訪れてファイルを持ち出し、30人分の個人情報を携帯電話メール経由で名簿業者に売却したことを認めたという。顧客2人からカードの不正使用があったと連絡があり発覚した。

 アビバの能勢尚夫副社長は「これまで(管理が)少しルーズだった。お客様の信頼を損なって、まことに申し訳ない」としている。


---------------------------------------------------------

手口は、ファイルを持ち出すという極めて古典的方法で、今時珍しいくらいですね。しかし、この決して長くはない記事から幾つかの疑問点が浮かんできます。

(1) 生徒の個人情報が簡単に持ち出される状況にあったこと。
   施錠されたラック等に保管されていたのでしょうか

(2) 顧客二人から連絡がくるまで発覚しなかったこと。
   大事な個人情報ファイルのチェックはしていなかった。

(3) 休職中の社員が簡単にファイルを持ち出している。
   元々、当該ファイルを扱う権限があったのかもしれませんが、
   休職社員に管理はどうなっていたのでしょうか。

(4) 個人情報保護の体制が出来ているのでしょか。

と、色々と問題点が指摘できます。しかし、ファイルの持ち出しとは、久し振りですね。

2005年5月22日日曜日

Blog開設

前々からBlogというものに興味があり、いつか自分でも作ってみようと思っていたのですが、ここでようやく重い腰をあげてみました。

きっかけは、5月19日から21日まで開催された「第9回コンピュータ犯罪に関する白浜シンポジウム」に参加したこと。このシンポジウム、第1回から参加したかったのですが、急にキャンセルしたり会社の許可がおりなかったりで、ようやく今回参加しました。

白浜シンポジウム

ITや情報セキュリティの分野での有名無名に関係なく多くの人達と隔意無く語り合え、大変収穫の多い3日間でした。そして、多くの人達がBlogを使って情報発信を行っていることを認識したというか確認しました。大いに触発され、早速このBlogを開設した次第です。
先達の皆さんのような情報発信まではいきませんが、このBlogにあるようにお気楽に、飽くまでお気楽にいこうと思います。

皆さん 宜しくお願いします。

多くの先達の後を追いながらも、テーマにあるようにあくまでお気楽にいこうと思います。では、皆様 宜しくお願いします。