2006年11月18日は、ITGI-Japan設立記念カンファレンスでした。私もスタッフとして参加いたしました。基調講演と事例が2例と計3件の講演でした。スタッフでしたので、受付にいたりスクリーンの切り替え、PCの操作などしていたので、講演を落ち着いて聴ける状況ではなかったのですが、大いに勉強になりました。11月30日が締め切りのSecurity Eyeの記事の参考にもなりました。

SOX法への対応事例の中で参考になったなど幾つかピックアップしてみます。
⑴　文書化が基本であり大事であること
⑵　文書化してみると想定した以上の文書量なったこと
⑶　当初の見積もった工数より超過したこと
⑷　ID管理やアクセスコントロールが重要であること
⑸　COSOやCobitのフレームワークを自社の状況に合わせてカスタマイズ
⑹　リスクの高い課題を優先的に
など等です。
特に⑷については、Security Eyeの記事で取り上げようと考えていたことと同じで、参考になると同時に十分の着眼点に間違いがなかったと安心しました。
(丸山さんが内容を要領よく纏められてBlogに掲載しているので参考にしてください)
丸山さんのblog
カンファレンス終了後、講師の方3名と奥様、ITGI-Jの松尾会長や運営スタッフの皆さんと打ち上げを行いました。そこで、サンマイクロシステムの下道さんと名刺を交換させていただきました。氏もBlogでこのカンファレンスのことを取り上げています。
下道さんのblog
その席で話したのですが、SOX対策ソリューションと銘打った製品宣伝がありますが、未だ実施基準さえ発表されず、何を持ってソリューションと言うのか実に不思議だなぁと、参加者共通の感想でした。
その他、在宅勤務のコントロール、行き過ぎた個人情報保護法対応、お笑いISMS認証支援裏話など、有意義でもあり可笑しくもありの楽しい時間でした。
しかし、この打ち上げ、共通言語が英語であり、また松尾会長はじめ、日本側参加者の皆さんも堪能で、英会話の苦手な私は端の方で日本語の会話に専念していたのでありました。。
このカンファレンスの発表資料は、スピーカーの同意をいただけた場合は、PDF化した上でITGI-JのHPに掲載、ダウンロード可能する予定です。ITGI-JのHPは準備中ですが、オープンしたらこのBlogでもお知らせしようと思います。
しかし、丸山さんも下道さんも会場で、Note PCを駆使して、カンファレンス中にblogにUP、実に素早い対応でした。更新が滞りがちな上にタイムリーではない私にはとても太刀打ちできません。脱帽です。とは言いながらも少しは見習わねばとは思った私でした。