2005年12月31日土曜日

’情報セキュリティ’ということ

情報セキュリティコンサルタントのおき楽Blog、久々で今年最後の投稿です。
’情報セキュリティ’について、改めて考えることがあります。セキュリティとは何なのでしょうか。securityという単語の意味を調べてみると、

安全、無事
安心、心丈夫
(財政上の)安定,保障
危険・危害などに対する〕防衛(手段), 警備(態勢), 安全保障
(負債の支払いに対する)保証,担保,抵当(物件)
[通例複数形で] 有価証券
安全[保安]の(ための), 安全保障の


以上、exciteの翻訳ページの結果から引用



National securityは、国家安全保障予約されます。では、Information securityは、何と訳すれば良いのでしょうか。私は、’情報の安全保障’なのだと思います。では、情報とは何なのでしょうか。

DATA : 情報
information : 情報
inteligense : 情報

いずれも日本語で、情報という訳がついています。英語で三つの単語があるということは、意味の上で違いがあるということだと思われます。以下は、受け売りなのですが、上記の疑問に答えてくれます。

dataは、資料という段階です。単に収集されただけで、整理されていない状態。名簿でいるならば、氏名と住所、電話番号などが無秩序に集められているだけで、体系化されていない。例えば、同窓会名簿を作るために氏名と住所は集めました。しかし、年次別、男女別、クラス別、学部学科別等に整理されていない。したがって、使用不可能とまでは言えないが、使いづらいでしょうね。

Informationは、収集されたdataが整理された状態。上記の例で例えれば、集められた名簿に関するdataが、年次別、男女別、クラス別、学部学科別等に整理された状態。これならば、使い勝手が良いし、価値が向上するでしょうね。

intelligenseは、informationに付加価値が付いた状態。同窓会名簿にプラスして、現在の職業や収入、家族構成等との情報とリンクされれば、所謂情報資産としての価値は向上しますし、情報の漏洩が危惧されます。

この、情報の3段階の定義は、そのまま情報資産としての価値の評価を表しているように思われます。特に付加価値のついたIntelligenseレベルの情報が漏洩した時の影響は、計り知れないものがあります。

’情報の安全保障’とは、こういった情報の安全を保障するあらゆる方策、行為なのだと思います。

国家安全保障が、単に軍事的対応のみでなく、政治的経済的政策や社会政策な等にも及ぶ、広範囲な概念であるとの同じように、’情報の安全保障’も単にIT関係の施策だけでは包括できないものであろうと思います。国家安全保障が一国の政策の根幹を成すように、’情報の安全保障’も企業経営上の重要施策であると言っても過言でないと思います。

’情報の安全保障’を如何に構築していくか。それが、この業界で活動する我々の課題命題ですね。新年を迎えるにあたり、改めて情報セキュリティについて考えてみました。皆さんのご意見等待っております。

2005年12月22日木曜日

保証ということ

日本セキュリティ監査協会(JASA)で、保証型セキュリティ監査の促進を目的としたプロジェクトが進行中です。私も、メンバーの1人としてこのプロジェクトに参画しています。プロジェクトの発足後、間も無くして構造計算偽造問題が発覚し、プロジェクトの会合の席でも酒席でも、この話題がでないとことはありません。

①建物の設計/構造計算 → ②建築確認申請 → ③審査機関(民間/自治体)による審査

①の段階での不正や不備(リスク)を③の審査で低減する、というのがこのシステムの要諦だと思います。しかし、初めから想定された①のリスクを③でコントロールできず、システム全体の信頼性が大きく揺らいでいます。では、このシステムは不要なのでしょうか。それは断然否だと、私は思います。一戸建てであろうとマンションであろうと、建築の専門家でない一般の消費者が設計図や構造計算書を見て、耐震強度を自らチェックするなど不可能です。そこで、審査機関(民間/自治体)による審査を通過したことで信頼/信用する、言わば代行のシステムは必要であろうと思います。今回は、その代行システムが全く機能しなかったという深刻な問題が露呈した訳です。
では、システム(制度)が必要だとして、どこを改善改革すべきでしょうか。元々、①のリスクは想定済です。そのリスクを③で回避しようと図り、機能しなかった訳ですから、改善改革ポイントは③でしょうね。そこで、私案であうが、

1
審査機関(民間/自治体)は、被審査者が初回の審査の場合、構造計算書の強い審査を行う。再計算も辞さない強さが必要でしょう。

2
被審査者の申請が一定回数、例えば10回に達した場合は、再度強い審査を行う。

3
強い再審査を回避するために、所定の回数に達する直前に審査機関を変更することも予想される。そこで、審査機関(民間/自治体)は無作為抽出による強い審査を行う。

所定審査回数とランダムの審査を組み合わせることで、被審査者への牽制効果を期待できます。これで、リスクをゼロにすることはできません。また、この私案の前提として、審査機関(民間/自治体)に一定の力量を要求することになります。審査機関(民間/自治体)の淘汰も必要です。審査業務量が増えることに審査機関(民間/自治体)は抵抗するでしょう。しかし、失われた信頼を取り戻すには、かなりの改革が必要です。

JASAの保証型情報セキュリティ監査促進プロジェクトで、「保証」を与えることの難しさ、責任の重さを感じています。まあ、びびっているとも言えるかもしれません。これは、他のメンバーも多かれ少なかれ同様だと思います。その上で、なんとか保証型情報セキュリティ監査を広がっていけばと念じています。

2005年12月15日木曜日

このところ、仕事や忘年会で帰りが遅く、週末は飲みに行って朝帰り、なんで状態でこのBlogの更新を怠っていました。世の中は、例の建築士の問題が拡大の一途ですね。セキュリティ監査の関係者も無関心ではいられず、「保証」するということの責任を改めて感じてます。この件は、いずれこのBlogでも取り上げてみます。

ところで、この記事の本題は12月10日行われたCISA/CISM試験です。今年から年2回制になり、12月の試験は今回が最初でした。初めて受験する方、6月の試験にリベンジの方、年内にCISA/CISMの完全制覇を目指す方。多くの方が受験されたようです。12月はCISMは英語のみなので、受験者少なかったようですが、CISAと合せて500名を超える受験者であったそうです。6月の受験者と合計すると、今年の受験者は延べ1,000人を越えました。受験者の皆さん、長丁場の試験、本当にご苦労様でした。皆様のお手元に吉報が届き、ISACAのメンバーの加わって頂ける事を祈念しています。
CISA/CISM受験者の増大 → 合格者の増大 → ISACAメンバーの増加 というスパイラルで東京支部の会員も1,000名を突破しました。おそらく、1,000名突破より早いペースで2,000名を超えることと思います。
システム監査、情報セキュリティ、ITガバナンスなどCISA/CISMの活躍する場は増えています。これからも受験者は益々増えていくのでしょうね。思いを新たにISACA東京支部の活動を行っていこうと思います。
では。

2005年12月4日日曜日

12月10日土曜日に、公認情報システム監査人(CISA)と公認情報セキュリティマネージャ(CISM)の試験が行われます。年2回制になって初めての12月試験でう。CISMは英語のみの試験ですが、この年2回の試験はCISA/CISM志望者のとってメリットが大きいですね。
私自身は、CISAは最初の試験は不合格でした。しかし、年に1回の試験なので、また来年か~ と落胆したものです。これで、再挑戦を諦めてしまう人もいます。年に2回ならば、半年後に再受験出来ますし、CISA/CISM双方の試験に同じ年に合格する可能性もあります。受験者に有益な制度改正であったと思います。最初の挑戦に方もリベンジの方も、4時間の試験、頑張って下さい。
皆さんが合格し、ISACAの活動に参加されること期待しています。