金融コンサルティングのKFiがコンプライアンスの専門家の認定事業の乗り出しました。
産経新聞記事
コンプライアンス・オフィサー認定機構
有限責任中間法人「コンプライアンス・オフィサー認定機構」が設立され、年2回の試験が実施が予定されているそうです。既に昨年のから今月までに2回の試験が実施され、数十人の方が認定されたそうです。
昨年には、情報セキュリティ監査人制度が発足し、コンプライアンスの一角を担う意味もあり、その普及が推進されているところです。従来のシステム監査団体や内部監査団体もコンプライアンスの観点を強く打ち出しています。これらに加えて、新たにコンプライアンスに専門家の養成と認定制度。各制度が個々にコンプライアンスを打ち出して、企業の方は如何に対応すべきですかね。
何は兎も角、コンプライアンス・オフィサー制度の成功を祈念させて頂きます。
2005年7月25日月曜日
2005年7月18日月曜日
性善説/性悪説
以下は、丸ちゃんの情報セキュリティ気まぐれ日記の記事への私のコメントの再録です。一度、このBlogでも取り上げようと思っていた話題なので、そのまま引用しました。皆さんのご意見だの投稿していただくとありがたいです。
以下、引用
以下、引用
10年程前でしょうか、CISA試験のための勉強会に出席した折のことです。アクセスコントロールの件でちょっとした議論になりました。当時は、日本企業でアクセスコントロールを厳密に実施しているケースは少なく、出席者の一人はその理由として「日本企業は外資系と違って性善説だから」と、日本企業=性善説、外資系企業=性悪説とステロタイプな理由を言っていました。その勉強会に出席していた外資系企業の社員が、外資系企業でも、しっかり面接をして信頼できる人を採用しようと努力している、基本的に社員を信用しないと組織は維持できない、アクセスコントロールを行うのは性悪説だからではなく、リスクに対する備えだと、静かにですが、断固たる態度で反論していました。
私は、この性善説/性悪説の議論ほど不毛なものはないと思ってますし、害あって益無しと認識しています。決着することは決して無く、極端になるとアクセスコントロールを行うのは社員を信用していないことになる、だからやらないなどということになります(実際にこういうお客様がいました)。
悪意はなくとも不注意な権限無きアクセス、不用意なアクセスもあり、そこには漏洩リスクも存在します。性善説/性悪説によるアクセスコントロールではなく、リスクに対する備えとしてのアクセスコントロールなんだと認識したのが上記勉強会でした。
哲学的思考として性善説/性悪説を考えていくことは兎も角、情報セキュリティの中で、性善説/性悪説を議論するのは、もう止めにすべきではないでしょうか。
2005年7月14日木曜日
セキュリティ市場規模
��DCジャパンの調査によると、2009年末のセキュリティ市場の規模は3,700億円だそうです。この市場規模が大きいのか小さいのか、検討もつきませんが、これだけは言えると思います。企業も情報セキュリティ、ITの安全のためにコストを負担するようになったということです。
IDCの調査
自分の給料も増えるといいのですがね (笑)
IDCの調査
自分の給料も増えるといいのですがね (笑)
2005年7月12日火曜日
電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究
「まるちゃんの情報セキュリティ気まぐれ日記」の記事から、トラックバックしました。
内閣官房からとある委託研究報告が発表されました。
電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究
早速目を通してみました。オレンジブックなど、今では懐かしい単語がでていました。ところで、内容自体は目新しいものとは思えず、違和感も感じませんでした。何故かいうと、報告書に書かれている内容自体、メインフレームでアクセス管理に携わった経験があれば、理解し易い(というか当たり前の)内容です。Role-Base Access ontrolも、一般的な考え方であったし、ポリシーの定義やその維持管理、定期的にアクセスログの点検が重要だということも旧来から言われていたことです。メインフレームでのアクセスコントロールのノウハウがあり、継承されていれば十分に対応可能でしょう。私のようにメインフレームにエンジニア上がりには、新規なことには感じませんでした。
セキュアOSというのは、アクセスコントロールの機能をOSに直にビルドインされているのようですね。
メインフレーム(といってもIBMですが)では、アクセスコントロール機能は、OSに直接ビルドインされていません。アクセスコントロールに関するプロトコル、System Authorization Facility (SAF)が定義され、このSAFに準拠しIBM社からアクセスコントロールのためのミドルウェアとしてRACF、サードベンダーからCA-Top SecretやCA-ACF2がリリースされています。SAFに準拠すれば、アプリケーションレベルでのアクセスコントロールを容易に
実施することができます。
OSに直接アクセスコントロール機能をビルドインするのではなく、必要な機能用件とプロトコルを定め、そのインターフェースをOSの実装した方がアプリケーションの柔軟性が確保できる気がします。共通のプロトコルに従ったインターフェースをアプリケーションに側に実装すれば良いので、OS毎にアプリケーションを作るの必要がなくなります。また、複数のベンダーのOSが混在して場合も、共通のポリシーデータベースを共有可能になり、管理負荷の軽減にもなります。
メインフレームでのアクセスコントロールという貴重なノウハウがあるのですから、利用しない手はないと思いますが、なかなか難しいのでしょうね。
内閣官房からとある委託研究報告が発表されました。
電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究
早速目を通してみました。オレンジブックなど、今では懐かしい単語がでていました。ところで、内容自体は目新しいものとは思えず、違和感も感じませんでした。何故かいうと、報告書に書かれている内容自体、メインフレームでアクセス管理に携わった経験があれば、理解し易い(というか当たり前の)内容です。Role-Base Access ontrolも、一般的な考え方であったし、ポリシーの定義やその維持管理、定期的にアクセスログの点検が重要だということも旧来から言われていたことです。メインフレームでのアクセスコントロールのノウハウがあり、継承されていれば十分に対応可能でしょう。私のようにメインフレームにエンジニア上がりには、新規なことには感じませんでした。
セキュアOSというのは、アクセスコントロールの機能をOSに直にビルドインされているのようですね。
メインフレーム(といってもIBMですが)では、アクセスコントロール機能は、OSに直接ビルドインされていません。アクセスコントロールに関するプロトコル、System Authorization Facility (SAF)が定義され、このSAFに準拠しIBM社からアクセスコントロールのためのミドルウェアとしてRACF、サードベンダーからCA-Top SecretやCA-ACF2がリリースされています。SAFに準拠すれば、アプリケーションレベルでのアクセスコントロールを容易に
実施することができます。
OSに直接アクセスコントロール機能をビルドインするのではなく、必要な機能用件とプロトコルを定め、そのインターフェースをOSの実装した方がアプリケーションの柔軟性が確保できる気がします。共通のプロトコルに従ったインターフェースをアプリケーションに側に実装すれば良いので、OS毎にアプリケーションを作るの必要がなくなります。また、複数のベンダーのOSが混在して場合も、共通のポリシーデータベースを共有可能になり、管理負荷の軽減にもなります。
メインフレームでのアクセスコントロールという貴重なノウハウがあるのですから、利用しない手はないと思いますが、なかなか難しいのでしょうね。
2005年7月10日日曜日
ネットワークセキュリティワークショップ in 越後湯沢
まるまる1週間振りの更新です。
越後湯沢で開催されるネットワークセキュリティワークショップの募集が開始されました。
ネットワークセキュリティワークショップ in 越後湯沢
今年のテーマは、 「今、私について考える」だそうです。個人認証の問題が中心なり、全体のプログラムが構成されるようですね。「私が私であることの証明」とか「貴方(女)が彼(彼女)であることの認証」等、昨今何かと話題になっていることの議論が展開されるのでしょうか。
ご存知のように、このワークショップは白浜のコンピュータ犯罪シンポジウムとは姉妹関係にあります。白浜のシンポジウムはISACA大阪支部、このワークショップはISACA東京支部が共催として参加します。白浜のシンポジウムに負けないようにしたいものです。
私自身は参加するのかというと、今のところ参加の方向で考えています。当然、会社の許可が必要ですが、恐らく参加するとう事は問題はなく、あとは私の業務との兼ね合いです。業務に滞りがでてはいけませんから。白浜のシンポジウムも何だかんだとチャンスがなく、今年が初参加。湯沢もチャンスに恵まれず、まだ参加したことがありません。今年は、何とかしたいものです。
9月5日までに申し込まれると早期割引が適用されます。皆さん、ふるってご参加を!
越後湯沢で開催されるネットワークセキュリティワークショップの募集が開始されました。
ネットワークセキュリティワークショップ in 越後湯沢
今年のテーマは、 「今、私について考える」だそうです。個人認証の問題が中心なり、全体のプログラムが構成されるようですね。「私が私であることの証明」とか「貴方(女)が彼(彼女)であることの認証」等、昨今何かと話題になっていることの議論が展開されるのでしょうか。
ご存知のように、このワークショップは白浜のコンピュータ犯罪シンポジウムとは姉妹関係にあります。白浜のシンポジウムはISACA大阪支部、このワークショップはISACA東京支部が共催として参加します。白浜のシンポジウムに負けないようにしたいものです。
私自身は参加するのかというと、今のところ参加の方向で考えています。当然、会社の許可が必要ですが、恐らく参加するとう事は問題はなく、あとは私の業務との兼ね合いです。業務に滞りがでてはいけませんから。白浜のシンポジウムも何だかんだとチャンスがなく、今年が初参加。湯沢もチャンスに恵まれず、まだ参加したことがありません。今年は、何とかしたいものです。
9月5日までに申し込まれると早期割引が適用されます。皆さん、ふるってご参加を!
2005年7月3日日曜日
ある企業買収
ニュースとしては旬を過ぎているのですが、サンマイクロシステムがストレージ装置大手のストレージ・テクノロジー社を買収することが発表されました。
米サン、記憶装置のストレージを4400億円で買収
このニュースを耳にした時、一瞬の驚きと感慨と感傷が一度に訪れました。何故にか? 私自身がかつて日本ストレージ・テクノロジーの社員だったからです。また、ストレージ・テクノロジーはストレージ大手とは言っても、EMC等とは異なりメインフレーム向けが主力であり、サンマイクロシステムはCEOのスコット・マクネリーが、「いまだに過去の遺物であるメーンフレームを使っている人がいる」と言って憚らない人物だからです。
息吹き返すメインフレーム、“恐竜”IBMの復活に慌てるライバルたち
メインフレームを生きた化石、滅び行く恐竜というサンマイクロシステムは、ストレージ・テクノロジー社のメインフレーム部門はどうする気なのか? 日立か富士通とかに売却するのか? はたまたIBMへの売却もありか? いずれにしても、このままとは行かないだろうな。
かつての同僚はどうするのかな。ストレージ・テクノロジー社製品ユーザの知人も吃驚すると同時にメインフレーム部門がどうなるか、大変に気にされていました。
驚きと感慨と感傷と複雑な気持ちでした。
米国の企業買収は、事業の再編成のためには、不用部門の売却をも伴います。かつて在籍した企業の買収、このまま関連ニュースに耳を傍立たせる日が暫く続きそうです。
米サン、記憶装置のストレージを4400億円で買収
このニュースを耳にした時、一瞬の驚きと感慨と感傷が一度に訪れました。何故にか? 私自身がかつて日本ストレージ・テクノロジーの社員だったからです。また、ストレージ・テクノロジーはストレージ大手とは言っても、EMC等とは異なりメインフレーム向けが主力であり、サンマイクロシステムはCEOのスコット・マクネリーが、「いまだに過去の遺物であるメーンフレームを使っている人がいる」と言って憚らない人物だからです。
息吹き返すメインフレーム、“恐竜”IBMの復活に慌てるライバルたち
メインフレームを生きた化石、滅び行く恐竜というサンマイクロシステムは、ストレージ・テクノロジー社のメインフレーム部門はどうする気なのか? 日立か富士通とかに売却するのか? はたまたIBMへの売却もありか? いずれにしても、このままとは行かないだろうな。
かつての同僚はどうするのかな。ストレージ・テクノロジー社製品ユーザの知人も吃驚すると同時にメインフレーム部門がどうなるか、大変に気にされていました。
驚きと感慨と感傷と複雑な気持ちでした。
米国の企業買収は、事業の再編成のためには、不用部門の売却をも伴います。かつて在籍した企業の買収、このまま関連ニュースに耳を傍立たせる日が暫く続きそうです。
2005年7月1日金曜日
情報セキュリティEXPOに行ってきました
東京ビッグサイトで開催された第2回情報セキュリティEXPOに行ってきました。とは言っても、仕事の関係で10時から11時までと文字通り駆け足で見て回りました。個人的には、暗号化に興味があったのですが、出展企業側の熱意が今一つという感じでした。
個人情報保護法元年らしく、個人情報保護/個人情報漏洩防止というフレーズ、キーワードが目立ちました。今しばらくは、個人情報保護のウェーブが続くのでしょうか。
個人情報保護法元年らしく、個人情報保護/個人情報漏洩防止というフレーズ、キーワードが目立ちました。今しばらくは、個人情報保護のウェーブが続くのでしょうか。
登録:
投稿 (Atom)