CISAかCISMか 究極の選択？

先週開催したISACA東京支部の月例会終了後、ある参加者の方から質問を受けました。それは、なんとも回答の難しいものでして・・・・

とある女性会員の方からの質問であったのですが、それはCISAかCISMかどちらを受験すべきかということでした。どちらがISMSに近いのとう問いもありまして。
私見ですがISMSを念頭におかれているのであれば、CISMだと思います。外部監査機関や審査機関での職務を考えているのであればCISAが良いのかとも思います。合格/認定後、たの資格などでの特典、例えば一部試験の免除などに有利なのはCISAです。
試験では、双方の試験を受けられないので、どちらかを選択することになります。私の公式的立場では、片方に合格したら残りを受験して下さい・・・です　　
まあ、試験の申し込み際し選択しなければならないのですが、現在の職務やお立場、既に保持認定されている資格などを勘案してご判断いただくしかないと思います。例えば既にCISSPの認定を受けているのであれば、CISAにするとか。
このお問い合わせに関しては、定型的な回答はありません、というのが正直なところです。中途半端な回答で　重ねて　

先週報道されたいた太陽系の惑星が増えるとの話題、今週になってどんでん返しの展開になりそうです。

以下は、産経新聞Webからの引用です。

太陽系１２惑星へ　新定義「自己重力で球形」提案
≪国際天文学連合総会　候補さらに１２個≫
　太陽系の惑星が、これまでの９個から１２個に増える可能性がでてきた。チェコのプラハで開催中の国際天文学連合（ＩＡＵ）総会で１６日、新たな惑星の定義の原案が示された。原案のまま承認されれば、冥王星の発見（１９３０年）以来、７６年ぶりに太陽系の全体像が大きく書き換えられることになる。ＩＡＵは、２４日に新定義を承認するかどうかを投票で決める予定だ。
　国立天文台によると新しい惑星の定義の柱は、「恒星を周回する天体で、自己の重力でほぼ球形になるもの」としており、直径８００キロ以上が目安になる。この定義だと、火星と木星の間に位置する最大の小惑星「セレス」、冥王星の衛星とみなされてきた「カロン」、昨年夏に米航空宇宙局（ＮＡＳＡ）が「第１０惑星」と発表した「２００３ＵＢ３１３」が、新たに惑星の仲間入りをする。
　しかし、近年は観測技術の進歩で太陽系の外縁部で次々に新たな天体が発見されており、３個の新惑星候補のほかにも、１２個の天体が惑星に昇格する可能性があるという。
　惑星の定義をめぐる議論は、昨年７月に米国の研究チームとＮＡＳＡが、冥王星より大きいことを理由に「２００３ＵＢ３１３」を第１０惑星と発表したことが直接のきっかけ。それ以前にも、直径が月の７割しかなく、公転軌道も他の惑星に比べて特異な冥王星を惑星とすることの妥当性が議論されてきた。
　こうした経緯を踏まえて、原案では、（１）水星から海王星までの８個の惑星を「古典的惑星」とする（２）冥王星とカロン、「２００３ＵＢ３１３」の３個は「プルートン（冥王星族）」と呼ぶ（３）セレスについては「矮（わい）惑星」と呼ぶ－ことを提案している。
　また、小惑星や彗星（すいせい）などと呼ばれている惑星より小さい天体についても「太陽系小天体」と総称することを提案した。
　これまで、科学的に明確な惑星の定義がなかったことが議論の根底にある。原案では明確さはあるが、惑星の中に「古典的」な８個とそれ以外の区別ができることになる。また、今後は新たな惑星候補が次々と見つかり、惑星の総数が収拾がつかないほど増える可能性も否定できない。
　２４日の議決で、原案への反対意見や慎重論が多い場合には、３年後の次回総会に決着が持ち越される可能性もあるという。

元々、冥王星が他の8惑星と同じ扱いで正しいのかは、以前から議論の的だったんですね。冥王星は発見された当時は観測技術も未熟であり、冥王星の正確な軌道だとか大きさだとか組成などは良く分かったおらずに惑星と認定してしまったのが真相のようです。その後の観測技術の発達、惑星理論、惑星形成理論、太陽系形成理論などが発達してくる中で、冥王星が本当に惑星なのかという議論が起きてきたようです。
何故か？　惑星に関する定義がなかったからです。冥王星の軌道は、一部が海王星の内側に入り込んでいます。1979年から1999までは、最果ての惑星は海王星でした。このうような軌道は、同一の原始太陽系円盤から太陽と、その回りを周回する惑星が誕生したとする現在の太陽系形成理論では説明できません。
冥王星の組成は未だ未解明のことが多いのですが、水生金星地球火星の岩石惑星型、木星土星の巨大ガス惑星型、天王星海王星の巨大氷惑星型の中では、岩石惑星型に近いように思われますが、研究の余地があるようです。
惑星の定義を広めにして、冥王星を惑星としてしまう、その為他の天体も惑星にする、という少しばかり強引な手法が反論を招き、逆に冥王星を惑星の分類からはずすという厳密解釈が提案されてのですね。
物事の定義をどうするか、重要な課題です。そこには、学問的、科学的、論理的明解さこそが必要ですね。
混乱状態の占星術業界の皆様のためにも、一刻も早い決着が望まれます。　

CISA/CISM試験の結果

もう、既に6月のCISA/CISM試験の結果は受験者の皆様のお手元に届いていることと思いますが、12月の試験を受験される予定の方々は、これから受験準備の入ることと思います。

受験予定者の方から、よくどのように試験勉強をしたのか、聞かれます。そこで、軽く体験談を！

私の場合はCISAは試験で、CISMはグランドファザリングで特別認定されたので、CISA試験の体験ということになります。
まず第一にCISAレビューマニュアルを読み込むことをしました。1回、レビューマニュアルを読み通します。この時は、熟読するのではなく、全体をざっと目を通す感じです。2回目に要点に赤線を引いたり、不明な箇所に印を付けました。
レビューマニュアルの読み通しが終わったあとは、試験までひたすらに問題集に取り組みました。答合わせを行い、間違った問題番号を控えます。同じ問題集を2回、3回と繰り返しました。その度に間違った問題番号を控えます。そうすると、やはり同じ問題を間違える傾向にありましたね。そうした問題が、私のとっての苦手、知識経験上の弱点であり、また間違った思い込みをしている分野と理解しました。この傾向を押さえておくことが、実際の試験でも役に立ちました。
レビューマニュアルの読み込みや問題集は、平日帰宅後にしていました。土日や休日にやろうとしたのですが、結局挫折しました。子供の相手をしたり、本読みが趣味なので、読み掛けの本に目を通したりと、やはり生き抜きに使ってしまいました。そこで、土日休日は息抜きの日と割り切り、受験準備は平日帰宅後のみとしました。結果として、私にとってはそのほうが効果的であったと思います。仕事の緊張が持続していた方が良かったようです。
私の従兄弟に突然変異を起こし、都立高校から東京大学の理科へ進学した変人がおります(天下の東大に合格したのに、入学を辞退するとゴネて、家族親戚を困らせました)。その従兄弟と久し振りに会って、話をしたのですが、お互いに子供を持つ身、将来の子供たちの受験勉強の話になりました。そこで、東大受験にどんな勉強をしたのか聞いてみました。当人は、受験予備校などには通わず、自宅での勉強だけで合格していたのです。
当人曰く、日曜日は一切勉強しなかった、学校のある日だけとのことでした(当時は、週休二日でなく、土曜日は半ドンでしたからね)。日曜日は、遊んだり本を読んだりと、息抜きにあてていたようです。やはり、学校に行かない日は、勉強をする気にならなかったと言っておりました。その代わり、学校に行った日は、午後11時までは机に向かい、11PMを見て、床に就くとうことはしっかり行っていたようです。
東大受験とCISA/CISM試験、一緒にしていいか分かりませんが、自分のリズムに合わせていくことは大事かと思います。土日休日に息抜きをしましょうと、決め付けることしませんが、平日も休日もと張り切り過ぎないことも重要かと思います。要は継続させることが大事なのですから。
過去に、ANJOのCISA受験対策講座の講師を務めたさいに使った資料を使って、このBlogで私流受験対策術を数回に分けて掲載していこうと思います。多少でもCISA/CISM受験者の皆様のお役立てればと思います。

太陽系の惑星が12個へ

残暑厳しい日が続きますが、皆様健やかにお過ごしでしょうか。私は、グロッキー寸前です。この2週間、ご無沙汰でしたが、母親の実家に行ったりと家を空けていたのもあったのですが、夏バテでPCの前に座ることも少なかったのも理由です。
ところで、本日の新聞各紙で太陽系の惑星が9個から12個へとの記事が掲載されていました。

以下は、産経新聞Webからの引用です・

太陽系１２惑星へ　新定義「自己重力で球形」提案
≪国際天文学連合総会　候補さらに１２個≫
　太陽系の惑星が、これまでの９個から１２個に増える可能性がでてきた。チェコのプラハで開催中の国際天文学連合（ＩＡＵ）総会で１６日、新たな惑星の定義の原案が示された。原案のまま承認されれば、冥王星の発見（１９３０年）以来、７６年ぶりに太陽系の全体像が大きく書き換えられることになる。ＩＡＵは、２４日に新定義を承認するかどうかを投票で決める予定だ。
　国立天文台によると新しい惑星の定義の柱は、「恒星を周回する天体で、自己の重力でほぼ球形になるもの」としており、直径８００キロ以上が目安になる。この定義だと、火星と木星の間に位置する最大の小惑星「セレス」、冥王星の衛星とみなされてきた「カロン」、昨年夏に米航空宇宙局（ＮＡＳＡ）が「第１０惑星」と発表した「２００３ＵＢ３１３」が、新たに惑星の仲間入りをする。
　しかし、近年は観測技術の進歩で太陽系の外縁部で次々に新たな天体が発見されており、３個の新惑星候補のほかにも、１２個の天体が惑星に昇格する可能性があるという。
　惑星の定義をめぐる議論は、昨年７月に米国の研究チームとＮＡＳＡが、冥王星より大きいことを理由に「２００３ＵＢ３１３」を第１０惑星と発表したことが直接のきっかけ。それ以前にも、直径が月の７割しかなく、公転軌道も他の惑星に比べて特異な冥王星を惑星とすることの妥当性が議論されてきた。
　こうした経緯を踏まえて、原案では、（１）水星から海王星までの８個の惑星を「古典的惑星」とする（２）冥王星とカロン、「２００３ＵＢ３１３」の３個は「プルートン（冥王星族）」と呼ぶ（３）セレスについては「矮（わい）惑星」と呼ぶ－ことを提案している。
　また、小惑星や彗星（すいせい）などと呼ばれている惑星より小さい天体についても「太陽系小天体」と総称することを提案した。
　これまで、科学的に明確な惑星の定義がなかったことが議論の根底にある。原案では明確さはあるが、惑星の中に「古典的」な８個とそれ以外の区別ができることになる。また、今後は新たな惑星候補が次々と見つかり、惑星の総数が収拾がつかないほど増える可能性も否定できない。
　２４日の議決で、原案への反対意見や慎重論が多い場合には、３年後の次回総会に決着が持ち越される可能性もあるという。
(08/17 01:19)

太陽系内の惑星の定義の変更が定義され、新定義によると既知の天体が惑星として追加定義されるとのことのようです。実は、記事にある「古典的定義」では、冥王星を惑星として扱う事に疑義がでていました。
冥王星が惑星ならば、新天体「２００３ＵＢ３１３」も同様に扱う必要がある、しかし、現在の最新の天体探査から分かった事実から考えると冥王星は、他の8天体とは成り立ちが異なる、従って太陽系の惑星とはい難いと。他の8天体は、太陽の形成に伴って誕生、成長したようですが、冥王星は、その公転軌道からも物質構成からも別の歴史を歩んできたと考えられているからです。
そこで、太陽系内惑星の再定義が提案されたようです。この提案が議決されるか、予断を許さないようです。もし、この新定義が議決された場合、星占いなど現在の9惑星を基にしたものはどうなるのしょうか。
昔、惑星直列がおきると天変地異が起こるとかありましたよね(実際は、各惑星の公転面の傾きが異なり、直列することはないのですが)。
これからは、12惑星直列でしょうか。各記事によると、新定義では追加3天体以外にも候補の天体があようです。
定義の変更は、様々な影響が予想されます。それは、情報セキュリティの分野でも同様ですね。

住民基本台帳カードを取得しました

識者や評論家諸氏、情報セキュリティ業界で評判の芳しくない住民基本台帳カード、通称住基カード。業界の端くれの私も全く無関心でおりました。が、とある事情で宗旨替えして、市役所で申請して取得しました

。

大いに差し支えのある部分は隠してありますが、私の住基カードです。
写真付きとそうでないものと2種類があります。私は、写真付きを選択しました。
私が宗旨替えした理由ですが、ここ一ヶ月で本人確認の為に写真付きの公的な身分証明になるものを求めらることが続きました。
この条件を満たすのは、パスポートか運転免許証になるかと思います。他に写真付きだとISMS審査員登録証カードと公認情報セキュリティ監査人登録カードがあるのですが、一般的なものでないので如何なものでしょうね。
ところで、私のパスポートは、期限切れ失効しますし、持ち歩く性質のものでもないと思います。運転免許証ですが、私は持ち歩かないことにしています。日頃は、自宅の机の引き出しで保管し、必要な時に持ち出すことにしています。以前に財布にいれて落としてしまったことがあって、再発行されるまで運転が出来ずに不便を感じたことがったので、それ以来、極力持ち歩かないようにしています。
運転免許証と住基カード、両者の比較してみました。何らかの原因で紛失した場合に、悪用を防ぐために直ちに届出が必要です。これは両者同じです。急ぎの場合は電話でも構いませんし、交番などに申し出て記録にとって貰う手もあります。私のようなサラリーマンでも、可能な範囲です。
再発行の手続きですが、こればかりは本人が市役所、所轄の警察署、運転免許センター等に出向く必要があります。サラリーマンの場合、その時間をとるのは簡単ではないでしょうね。私の場合もそうでした。
しばらく、運転免許証なり住基カードを無いことを覚悟する必要があります。その場合、運転免許証が無いことの方が不便ですね。何故ならば、車の運転が出来ないのですから。運転免許証の再発行の手続きに所轄署に車で行く訳にはいきませんしね。
悪用される可能性ですが、住基カードの発行が低調な現時点では、利用価値としては運転免許証の方が遥かに高いです、というか私はそう考えています。
よく言われる、住基ネットの脆弱性とかリスク、情報が集約されることの是非ですが、よくよく考えると運転免許証も同じだと思います。
私の免許証は埼玉県公安委員会より発行されていますが、県外で交通違反を犯しても、直ちに照会可能です。当然といえば当然なのですが、これは各都道府県の運転免許センターのデータが相互参照可能だからです。住基ネットと規模が違いますが、想定される危険性などは程度の問題ではないでしょうか。
などなどの理由で、やはり運転免許証を持ち歩くことは避けようと思いました。そこで、宗旨替えして住基カードを申請して取得しました。
公的個人認証サービスも使用可能してあるので、近いうちにICカードリーダを購入して試してみようと思ってます。その時は、試行結果をこのBlogで報告させていただきます。

外部委託先の管理 ふじみ野市の事故から (2)

休みなので家にいることもあり、また地元での出来事でもあるので、このニュース、関心と暗澹たる気落ちで接しています。
昨日、犠牲になった女の子が出場する予定だった水泳の記録会、長男が行ってきました。女の子が通学していた小学校は出場を辞退したとのことでした。

続報の中で、注目すべきことが・・・

再委託
プールの管理を請負っていた管理会社は、その業務を契約に違反して、市の承認を得ずに下請け会社に丸投げしていたとのこと。市はその事実を把握していなかったという報道です。
(1)　無断で再委託、論外です。しかも社長の昔の仲間に委託。
(2)　市が、その事実を把握せず。委託先の業務実態を管理指導すべき
委託元には委託先の業務実態を正確に把握し、契約内容を履行させる責任がありますね。市が業者に委託し、その後の管理意識が弛緩していたと言われても反論できないでしょう。
管理会社も無断で下請けに再委託した上に、やはり下請会社にお任せ意識があったのは否めないでしょうね。
委託元の委託先管理の問題、よくよく考えてみなければいけませんね。
マニュアル
管理会社の社長の会見では、管理マニュアルは作成されていたとしています。しかし、現場のアルバイトの監視員は、その存在を知らないとインタビューに答えています。また、実際にあったとして、その事が下請け会社に浸透していたか、その内容を市が把握し承認していたか、内容が適切であったかなど、疑問点が少なくありません。
(1)　マニュアルは、本当にあったのでしょうか。
(2)　マニュアルは活用されていたのか。活用されないと、無意味です。
(3)　市は、マニュアルの内容を把握していたのか。
(4)　マニュアルの内容は適切であったか
(5)　マニュアルは、周知徹底されていたか
プール管理の最高責任は市にあります。市の求められる安全水準の基づく要求事項がマニュアルの反映されているか、網羅されているかを確認する責任が市にあります。その点は、どうだったのでしょうか。現時点での報道では、よく分かりません。
私がかつて勤務していたソフトウェアベンダーで、よく同僚とこんなことを話していました。「使われないマニュアルは意味がない」。
マニュアルは適切に作成され、有効に使われることが重要です。仮に、今回問題となっているマニュアルが適切に作成されていたとしても、周知徹底されていなければ、意味がありません。この点については、市と管理会社の責任が問われて然るべきですね。
今回の事故からは、プールの事故ということと、行政だけでなく民間を含め、安全に関係する業務の外部委託ということへの教訓があります。
ここでいう安全と大きな意味で考えており、その範疇に情報セキュリティも含みます。その他に、食品であるとか生活に関連する製品あるとか。例えば、パロマのガス給湯器の事故が問題となっていますが、販売会社や保守会社に対するパロマの対応に問題がなかったのか。このプールでの悲惨な事故とガス中毒事故とには、根が同じ問題があるような気がします。
　　

外部委託先の管理 ふじみ野市の事故から

埼玉県ふじみ野市の市営プールで、大変痛ましい事故がありました。
亡くなった女児は所沢市在住の小学二年生、私も実は所沢市に住んでいます。また、事故のあったプールは、私も我家の息子二人を連れて何度か行った事があります。そういう訳で、このニュースをなんとも痛ましく聞いておりました。
犠牲になった小学生に心よりお悔やみを申し上げます。
合掌

報道によると、プールの管理は民間業者に委託され、緊急時のマニュアルも整備されていたとの事です。
吸水口のガードに異常に気が付いたあとの処置が今後の捜査や損害賠償交渉、裁判の焦点になるのは間違いないでしょう。その中で、マニュアルの適切性や関係者への周知の状況など問題となりますね。管理者のしての市が、外部委託先へのどれだけ関与し、安全性を確保する責任を果たしていたかなど、解明すべき課題は重要で少なくありません。
ところで、情報セキュリティの観点からも、外部委託先管理は重要な課題です。個人情報や営業情報、製品情報、行政情報など当該組織や消費者、利用者、国民/市民、生徒/学生などの重要情報などが外部委託先で保管管理されることが少なくありません。この際、委託元は、自らが求められる、もしくは必要と考えるセキュリティ水準を委託先に要求し、実現させる義務がありますね。上記の事故では、直接てき過失責任を民間業者が問われることになるでしょうが、だからと言って市が免責になる訳ではありまえん。多くの人達が集まるプールの安全を確保、維持する管理責任は免れません。
どのようなケースでも、委託元は委託先に対して、責任を丸投げすることはできず、要求される様々な事項を果たしていく義務があります。
中央省庁の情報セキュリティに関する統一基準でも、委託元に委託先の情報セキュリティ水準を確保させることとされています。
委託したから委託先に全てお任せ、宜しくねとはいきません。
一部報道で気になることがあります。事故の原因を民間委託に収斂させてしまうようなコメントがりました。官尊民卑というか、官の無謬神話の名残なのでしょうか。私は、行政の民間委託はこれからも必要であるし、進めていくべきであろうと思います。民間だから無責任に事故を起こし、公務員だから大丈夫だと誰も証明できません。今回の事故のような悲劇を繰り返さないためにも、事故の教訓を生かし、民間委託の制度を改善しく必要があります。情報セキュリティの分野でも然りです。
犠牲者のご冥福を祈りつつ、再発防止に努めなければいけません。
再度　合掌