2007年3月25日日曜日

ご無沙汰しています。ご質問です。

10数年ぶりに風邪でダウンしました。会社も有休にして、一日中自宅で伏せていました。皆様の風邪やインフルエンザのお気をつけ下さい。
で、今回はISACA東京支部の紹介第三回目です。

ISACA東京支部の国際化、何を今更言っているのか、ISACAは、元々国際化された団体だろうと突っ込まれそうですが、国際本部はともかくとしてISACA東京支部としての国際化ということです。

外国籍会員
ISACAの規約で、会員は居住地の直近、最も近くに所在する支部に所属しなければなりません。最近は日本企業の国際化や外資系企業の日本進出、外国資本による日本企業との提携や買収なで、外国籍のCISAやCISMホルダーが日本に勤務するケースが多くなっています。それだけでなく、CISA/CISM試験を日本で受験する外国籍の方もいます。そのような人達がISACAに入会した場合、日本国内3支部の何れかに所属することになります。現在東京支部には、私が知る限り40人以上の外国籍会員がいます。非会員の外国籍CISA/CISMホルダーもいれると、恐らく一つの支部の設立が許可される規模にはなるかと思います。
こうなると、東京支部としても外国籍会員への会員サービスという課題について真剣に考えていく必要があり、数年前から理事会で度々討議されてきました。そこで、年に数回英語セミナを開催していたのですが、最近は全ての出席者が日本人だったということあり、見直しを進めています。
ちょっと脱線しますが、英語セミナに通訳はありません。それでも、出席者の皆さんは英語で質疑応答していますので、その語学力に感心しています。英語で四苦八苦している、私から見れば別世界の出来事のようです。
現在の状況では、外国籍会員の皆さんとっては、年会費に見合うサービスが提供されていないと思われていても致し方ないと思います。なんと言ってもCPEの獲得機会が少ないと言うのは、CISA/CISMホルダーとしては致命的だからです。
日本語を解さない(最近は、日本語の会話は驚くほど達者な方はいますが、やはり読み書きは難しいようです)外国籍の会員に適切なサービス、つまりCPEの獲得機会を提供すること、日本人会員との交流の機会を増やすことなどは、重大な課題として取り組んでいます。海外のシステム監査やコントロール、情報セキュリティなどの実相をISACA東京支部の外国籍会員から教わることは、日本人会員にとっても有益です。今後も、外国籍会員は増加していくことでしょうし、その対応としてのISACA東京支部としての国際化は避けることの出来ない課題だろうと思います。
ISACA東京支部の国際化、やはり言葉の問題が大きな壁として横たわっています。しかし、英語のセミナにおける日本人会員の英語力、読み書きは兎も角も十分な日本語会話力を持つ外国籍会員の存在。実に貴重なヒューマンリソースだと思います。こういった方々の協力を得られれば、支部の国際化という課題にも光明がさしてくると思います。個人的には、ある程度楽観しているのですが、英語力に乏しい、私目としては側面からの支援に徹しようと決めています。
ISACA国際本部
国際本部との関係性も重要です。国内3支部よりISACA国際本部の委員や役員にメンバーを送り込んでいます。日本国内支部の地位の向上や本部の最新の動向を掴んでおくこと、CISA/CISM試験と本部の運営に日本の事情を反映させることなど、そのメリットは小さくありません。英語力があり、年一回程度はシカゴの本部に行く、日程的な条件をクリア可能なことなど、前提条件があるのですが、途切れなく適切な人材を国際本部に送り出すことは重要です。残念ながら、私は英語力も日程的な条件もクリアできませんので、これも側面からの支援に徹することにしています。じゃあ、側面支援とはなんじゃいと問われると・・・・・・・??????  ノーコメントです。
イベント
数年前に木更津においてISACA国内3支部主催でASIA/CACSいうイベントを開催しました。このイベントは、アジア各国のISACAメンバーを対象としたもので、各種セッションを開催しました。英語をベースとし、日本語通訳者を依頼して、国内参加者にも配慮を行いました。このような国際化したセミナを日本で開催し、支部会員に国際交流の機会をと海外の情報に直接触れる機会を提供することも支部国際化の流れの中で重要だと思います。
以上、ISACA東京支部の国際化についての私見です。本稿は私の個人的見解であり、ISACA東京支部としての公式見解ではないことを最後にお断りしておきます。

2007年3月15日木曜日

待ちに待ったITガバナンスのフレームワーク、COBIT 4.0が公開されました。まるちゃんの情報セキュリティ気まぐれ日記でお馴染みのISACA東京支部副会長の丸山さんが中心となっていたプロジェクトチームのご苦労の賜物です。

COBIT4ダウンロード先

プロジェクトチームの皆さん、ご苦労様でした。

業界関係者の皆さん、ご活用下さい。

2007年3月14日水曜日

企業の評価 - 全日空機の事故から

全日空機が高知龍馬空港で車輪の故障のため、胴体着陸を行いました。乗客乗員全員無事でしたが、パイロットの沈着冷静な判断と行動によるところが大きいようですね。

まずは、この事故機の機長と副操縦士と乗員、パニックを起こさずに冷静に非難した乗客に敬意を表したいと思います。
事故機はかねてより事故や故障が目立っていたようです。昨日のテレビニュースでは、そのような機体を使用したことに対して、全日空を非難する論調がありました。今回の事故の教訓として、全日空の評価を行うことは当然でありましょう。しかし、見事な操縦で、事故機を胴体着陸させ、乗客乗員に一人の怪我人も出さなかった機長を養成したことも、また事実です。
機長は、定められたあらゆる方法を試し、最終的に胴体着陸を決断、乗客には正確な情報による説明を欠かさなかったとのこと。これも、乗客が落ち着いていた大きな要因だと思います。
この機長を養成したのも同じ企業です。このことも、評価するべきであろおうと思います。企業の評価とは、プラスマイナス両面を余さず行うべきできで、マイナス面だけを殊更取り上げるのは、公平でないでしょう。
以上、今回の事故から、考えたことでありました。

2007年3月12日月曜日

ISACA東京支部(2)

今回は、ISACA東京支部と国内の諸団体との交流について紹介したいと思います。国内には、システム監査や情報セキュリティ監査、内部監査などに関連した団体が活動しています。ISACA東京支部の濃淡の違いがあっても、それらの団体と交流がありますし、今後も関係作りを強化、進めていくべきとも思っています。

日本セキュリティ監査協会
私はISACA東京支部の理事としての活動の他に、情報セキュリティ監査協会(JASA)の幾つかのプロジェクトのメンバーともなっています。といっても、ここ数ヶ月は、すっかり幽霊メンバーとなっていますが。JASAとISACA東京支部、対立している訳ではありません。JASA幹事会メンバーの中にISACA東京支部の理事や理事経験者の方が多くいます。JASA主催のイベントに参加すると月例会や理事会など、ISACAの会合やイベントでも顔を会わせる方々が珍しくありません。時折、JASAなのかISACAの会合なのか、判らなくなることがあります。
JASAが設立される前に、ISACAの理事会でどんな応援が出来るか話し合った記憶があります。ISACA東京支部の歴代理事で、JASA設立に尽力された方は少なくありません。JASAが認定している公認情報セキュリティ監査人資格(CAIS)の最高グレードである公認情報主席監査人は、現在4人が認定されていますが、其の内3人がISACA理事経験者です。人的交流というか人脈が被っているのが実情です。ですから、双方に友好的な関係を構築できる素地は元々あったと言えます。
JASA主催にイベントをISACAが後援することもあります、その逆もあります。要請があれば、JASA主催イベントについてISACAメンバーに広報することもあります。当然、ISACA東京支部からお願いすることもあります。このように密接にとまではいっていませんが、可能な範囲の協力を行っています。
JASAでは、公認情報セキュリティ監査人(CAIS)の認定を行っています。私自身もホルダーの一人でもありますが、CISA/CISMとのダブルホルダー、トリプルホルダーという例も珍しくありません。CAISもCISA/CISMと同様に、資格認定維持にCPEが必要です。そこで、一昨年より、CAISホルダーの方に限って、ISACA東京支部月例会の参加費をビジターの三千円から引下げ、千円としました。これは、私が支部の理事会に提案し、了承を得られたので実施したものです。千円の根拠は、月例会で配布する資料代や講師料、会場費用などから概算したものです。
JASAの方でも、ISACAの月例会をCAISのCPEとして認定しているので(主任監査人資格以上は別途確認して下さい)、例えばCISAとのダブルホルダーの方は、双方のCPEとして申請可能です。ISACA東京支部とJASAとの交流の一環として有意義だろうと考えたのですが、当然CPEの獲得機会という実利も頭にありました。将来、JASA主催のイベントにISACAメンバーも積極的に参加する道が開ければ、さらに両団体交流の価値が高まることと思います。
JASAが発行する機関紙、Security Eyeを月例会で配布することもあります。前回の月例会(2007年2月26日)でも300部程、配布しました。実は、最新のSecurity Eyeには、私の書いた記事が掲載されているので、何か気恥ずかしく配布は止めようかと真剣に考えました。
この月例会では、私は司会をすることになっていたので、その場で自分の記事が掲載されたSecurity Eyeを配布されるのが格好悪くて、今でも止めればよかったと思っています。
翌2月27日に開催されたJASA主催の情報セキュリティ人材育成セミナでは、CISA/CISMのパンフレットを配布して貰いました。
このように、JASAとは一歩一歩、協力関係が構築されています(と私は考えています)。そして、現時点ではISACA東京支部として、最も縁の深い団体と言えるかもしれません(と、私は感じています)。
日本システム監査人協会
この日本システム監査人協会は、業界関係では老舗の団体ですね。公認システム監査人資格の認定をしている団体でもあります。公認情報システム監査人(CISA)と名称が似ているので、勘違いされる人が少なくないようです。
日本システム監査人協会(SAAJ)の会員も月例会の参加費を千円としています。SAAJ主催行事の後援を行うこともありますし、その行事について支部メンバーに連絡を行うこともあります。私自身の個人的見解ですが、団体間交流はここまでで留まっているとも感じています。
何故、SAAJ会員の方の参加費を千円としたのか、現支部理事会メンバーの誰も知らず、故に団体間交流も停滞していると言うのが、率直な感想です。交流の活性化を図るためにも初心に帰って見直すことも必要なのでしょうか。ご意見があれば、お願いしたいと思います。
日本内部監査協会
日本内部監査協会(IIA)とは団体としては密接な交流があるとは言い難いかもしれません。ISACA東京支部の年次総会では、IIAの役員の方を招待していますし、毎年出席されるのですが、私の知っている範囲ではそこまでという気がします。J-SOX対応において、内部監査とシステム監査、情報セキュリティ監査、決して無関係ではありません。今後は、密接に関係してくることは明白です。企業の中で内部監査やシステム監査に携わるISACA会員の中には、公認内部監査人資格(CIA)を保持する方も少なくありません。個々の会員単位では、双方の団体活動されているケースもあるでしょう。今後は、ISACAとIIAの交流の機会も増えてくることと思います。ちなみにCISAを保持していると、CIAの試験で多少、有利であったと記憶しています。
日本ITコーディネーター協会
日本ITコーディネーター協会(ITGA)とは、団体間の交流がどうなっているか、正直知りません。正式な交流は無いのかもしれません。しかし、個人として両団体のメンバーになっていることは珍しくないので、将来は交流の道が開ける可能性はありますし、そうあるべきかと思います。
ISC2
CISSPを認定しているISC2とは、現在のところ交流は全くありません。私は、ISACA東京支部の理事、そしてCISA/CISMのホルダーとしてCISMも知名度や有資格者の拡大に関心がありますし、推進していく立場でもあります。そうすると、どうしてもCISM vs. CISSPという図式が頭をちらつくのですが、しかし、個人的には何とか交流の道を開くべきかと思っています。このBlogに度々登場する長谷川さんはCISSPのホルダーで、しかも私などと違い、情報セキュリティの業界での存在感や、CISSPコミュニティでの影響力も大きい方です。長谷川さんを通じて、何とかならないかと思案中です(今のところ、私個人の考えでISACA東京支部の見解ではありません)。情報セキュリティ人材教育セミナの名刺交換会の席でも長谷川さんとは話したのですが、現在は個人的な人脈、ネットワーク作りが出発点として大事だと考えています。
蛇足ながら書き添えると、CISSPコミュニティという表現をされる方がいますが、これ言い当てていて妙だと思います。CISSPホルダーの皆さんの相互交流の雰囲気を良く表していませんか。CISAコミュニティとかCISMコミュニティとか言いませんし、ISACAとの相違点の一つだと、個人的には思っています。
日本セキュリティマネジメント学会
ISACA会員で、日本セキュリティマネジメント学会の会員になっている人も少なくありません。しかし、団体としての性格の違いからでしょうか、密接な交流があるとは言えないですね。ISACAと異なり、学術的な性格の強い団体ですから、互いが接触する機会が少ないと思えます。日本セキュリティマネジメント学会も月例会を開催しているので、お互いの月例会の情報を交換するようなことは考えてもいいのかもしれません。実務ベースのISACAのメンバーが、学術/研究的な月例会に出席することは有益ですし、日本セキュリティマネジメント学会会員が実務的なISACA月例会出席することも同じだと思います。
日本ネットワークセキュリティ協会
一回だけ、日本ネットワークセキュリティ協会主催の例会に出席したことがあるだけなので、私自身の個人的な人脈も無く、ISACAとの関係も正直なところ希薄です。日本セキュリティマネジメント学会以上に接点が少ないのかなと思います。情報の交換などは検討すべきかと、個人的には思います。
日本ITガバナンス協会
最後に日本ITガバナンス協会。交流があるどころか、全面的にバックアップしています。Cobitとの普及促進など、これから二人三脚で活動していかなければ成らない団体なのです。今後も当Blogで日本ITガバナンス協会の事を取り上げる機会は多くなると思います。
私自身が、ISACAとJASAの双方の活動に参加している関係で、当記事はJASAとの交流が主になってしまいました。他の諸団体とも、私が知っている以上に密接な交流があるのかもしれません。従いまして、本稿は私の個人的見解であり、ISACA東京支部としての公式見解ではないことを最後にお断りしておきます。

2007年3月6日火曜日

ISACA東京支部(1)

私は、情報システムコントロール協会(ISACA)東京支部に所属し、教育担当理事を勤めています。時折、何故東京支部なのですか、と質問を受けます。皆さん、国単位の組織があって、その下部に地域毎の支部が所属するという構造をイメージされていて、「東京支部」という組織名に違和感があるようです。そこで、ISACA東京支部について、簡単な紹介をしたいと思います。

ISACA(Information Systems Audit and Control Association)の本部はシカゴにあります。各国の地域支部は、国際本部に直接所属し、国単位の統括機関は存在しません。従ってISACA日本本部とか日本協会という組織はないのです。日本には、東京/大阪/名古屋の3支部がありますが、各々が本部に直属していますので、その立場は対等です。これは、日本だけでなく、全世界で同様です。
東京支部は、3支部の中で最も古い支部というだけで、大阪支部/名古屋支部を参加に置くという構造になっていないのです。3支部は、各々管轄地域で独自の活動を行う他に3支部共同の活動も行っています。また、毎年一回、3支部合同理事会も開催し、3支部間の協力などについて協議しています。CISA/CISMのプロモーションパンフレットの作成やCobitの普及活動等は、3支部共同で取り組んでいます。東京支部では、毎月の月例会の参加費は、会員であれば無償としています。そして、大阪/名古屋支部会員も無償で参加できることとしています。名古屋支部の理事や会長
を歴任したY氏にいたっては、何故か毎月参加され、毎回顔を会わしています。本当に名古屋支部のなんだろうかと思うほどです。
このように、国単位の組織はありませんが、国内3支部は協力しながら活動しています。3支部の連合体が、仮想のISACA日本本部(支部)と言えるかもしれませんね。
ISACA会員になった場合、国際本部の規定で、直近の支部に所属することになります。もし、大阪支部/名古屋支部の会員が東京支部担当地区に転勤になった場合、所属支部の変更ということになります。当然、逆も真なりで、そのような場合は、転籍先並びに元の支部に連絡を行い、移動の手続きを行う必要があります。東京支部の現副会長の丸山さんは、かつては大阪支部の会長でした。また、大阪支部の理事職のお一人は、
数年前までは、東京支部の副会長でしたし、支部間の移動は決して珍しいことではありません。
福岡、というか九州は、諸所の事情により、東京支部管轄となっています。これは、国際本部の規定からは異例のことです。何故、こうなったのか、申し訳ありませんが、私は知りません。12年前に東京支部に入会して時点で、既でに東京管轄でした。
規定上は大阪支部管轄ということになりますが、将来的には福岡支部の設立が望ましいでしょうね。と言うのは、九州の会員にとって、東京所属か大阪所属かで、実質的な差異は無いような気がします。地元支部の設立の方が会員としてのメリットが大きいのは明白ですからね。福岡支部設立も既存3支部の共通課題といえるかもしれません。
各支部では、月例会を開催しています。これは、会員の知識/スキル向上とCPEの獲得機会の提供のためです。東京支部を例にすると、年間の月例会及び6月の総会全てに参加すると20CPE以上になります。CPEは、一年で最低20CPEの獲得が義務付けられているいるので、この条件はクリアできます。3年間で120CPE以上ですから、1年では40CPE以上が目安になります。その半分、年間義務の20CPEの獲得機会を提供しようと言うのが目標
です。12月にCPEの申告を行う必要があるので、年末に近づくに従って、月例会の参加率が上がっていく傾向があります。会員の皆さんのお気持ち、良くわかります。
CISSPやISO27000(ISMS)審査員など、他の資格制度でもCPEが必要で、その条件もISACAとほぼ同じです。同じようにCPEを要求しながら、その獲得機会を恒常的に提供しているのは、ISACA3支部のみです(私の知識範囲ではそうなのですが間違っていたら御免なさい。また、特別なイベントは別です)。とあるCISSPホルダーの方から羨ましいと言われました。この月例会の開催、少しは誇って良いのかなと自負しています。この月例会、参加者の急増で会場探しが大きな課題となっています。現在は、多い時は700名近い申込みがあるのですが、予算との兼ね合いもあり、そうそう大きい会場を借りることが難しいからです。私が、入会した自分は、理事会メンバーの所属企業の会議室などで、15人から多いときでも25人程度、30名を超えれば凄いと驚いていたのですから、隔世の感があります。
月例会の他にも研究会活動も行っているので、会員の皆さんには積極的にご参加いただきたいと思います。
ここまで、打ち込んで、ふと思い立ちました。この際、紹介したいことを2回乃至3回程度に分割し、小連載にしようかと思います。というのは、ちょっとした紹介のつもりだったのですが、以外に長くなりそうだからです。Blogの投稿、長すぎると良くありませんからね。
ということで、続きは次回に。次回は、他団体との交流について、紹介致します。