本日(2008/12/13)は、CISACIMS/CGEITでした。受験者の皆さん、朝早くから、4時間の長丁場の試験、誠にご苦労様でした。
今回の試験では、900名の超える申し込みがありました。CISAが最も多く、922名でした。史上最多ですね。前回試験の2倍近く、正直びっくりしました。
CGEITでも、果敢に英語での試験に挑戦された方々も居られました。そのチャレンジ精神に脱帽です。どのような試験であったか、体験談を是非伺いたいです。
2009年1月半ば以降に、合否の連絡があると思います。受験者された皆さんが、一人でも多く合格されることを祈っております。
2008年12月7日日曜日
2008年11月27日木曜日
たいへんな手術のようですが頑張ってください
既報の通り、慢性中耳炎の治療のため、2週間の予定で防衛医科大学校病院に入院、その間に鼓室形成手術を受けます。我が家の最高主権者に、病院まで車で送ってもらう予定です。
病院には、PCを持ち込むことはしませんので、当Blogの更新もできません。また、投稿されたコメントやトラックバックの承認もできません(当Blogは、spam防止のためにコメント投稿とトラックバックは、管理者承認制です)。
それでは、退院後に!
病院には、PCを持ち込むことはしませんので、当Blogの更新もできません。また、投稿されたコメントやトラックバックの承認もできません(当Blogは、spam防止のためにコメント投稿とトラックバックは、管理者承認制です)。
それでは、退院後に!
2008年11月17日月曜日
今年の9月8日から23日まで、防衛医科大学校病院耳鼻咽喉科病棟に入院しておりましたが、11月26日から二週間の予定で再入院します。前回は、外耳道の炎症と腫れを治癒させるための入院でしたが、今回は慢性中耳炎の根治を目的としており、そのために鼓室形成手術を受けることになりました。
慢性中耳炎について
26日に入院、28日手術の予定です。
鼓室形成術について
乳突削開術というのを受けるのですが、耳(私の場合は、右耳)の後ろを切開、そこにある骨の高まり(これは乳突洞と呼ばれる空洞だそうですが)を削り、そこから中耳まで広がっている空洞を利用して、患部の治療を行うのだそうです。つまり、頭蓋骨の一部を削る訳です。何か、凄いことになってきました。
私の場合、中耳内の炎症の除去と鼓膜再生、耳小骨治療がが予定されています。
炎症の治療ででは、中耳内で炎症を起こしている患部を切り取ってしまうようです。これで、すっきりしますね。
鼓膜再生は、中耳内にある筋肉に一部(筋膜)を切除、それを鼓膜も代わりとして用いて再生するそうです。
耳小骨は、慢性中耳炎の影響を受けている可能性があり、変形していた場合は正常な形態に戻すようです。
頭部の手術なので全身麻酔、二時間程度の予定だそうです。防衛医大病院から貰った説明資料には、頭蓋骨をドリルで削る、切開する、除去するなど生々し説明があります。著作権の問題等もあり、このBlogに掲載できないのが残念です。
可能性が低いが想定される合併症は以下の通りです。
(1) 味覚障害
耳小骨近くに味覚を司る鼓索神経があり、誤って傷つけると味覚障害になるそうです。まあ、今までも味音痴なので、大した影響じゃないかも(藁)
(2)顔面神経麻痺
耳小骨の奥に顔面神経があるので、やはり誤って傷つけることで発生するようです。しかし、味覚障害よりは、発生可能性は低いようです。
(3)めまい、感音難聴
めまいは、手術の結果内耳に強い力が加わった場合に発生するようですが、術後に安静にしていれば治るそうです。感音難聴、問題ですね。要は、聴覚が機能的に障害を受けること。今は、慢性中耳炎等による伝音難聴、つまり音が内耳内で正常に伝わっていないので、その音の伝わりを回復させようとしています。しかし、中耳炎での内耳の破壊が酷い場合は、音を感じる機能が阻害されているので、音の伝わりの回復、つまり鼓膜や耳小骨の再生による伝音回復だけでは、難聴が回復しないのです。これは、合併症と言うよりは、患部の状態によるので、蓋を開けるまでは、判らないのだと思います。日頃の行い次第でしょうか。
(4)髄液漏、髄膜炎
略
とまあ、説明書には色々と書いてあります。実家の兄に入院同意書の保証人欄の印を貰いに行ったとき、心配するからおばあちゃん(母)には見せないようにしようと言われました。事前のリスクの説明なのですが、確かに読んでいると、決して明るい気分のなるものではありません。
前回の入院と異なり、今回は外出ができません。終日病院です。前回は、日曜日のみ病院にいたのですが、それでも暇で困ったのに、今度は二週間です。暇潰しが最大の課題ですかね。
ふぅ~
慢性中耳炎について
26日に入院、28日手術の予定です。
鼓室形成術について
乳突削開術というのを受けるのですが、耳(私の場合は、右耳)の後ろを切開、そこにある骨の高まり(これは乳突洞と呼ばれる空洞だそうですが)を削り、そこから中耳まで広がっている空洞を利用して、患部の治療を行うのだそうです。つまり、頭蓋骨の一部を削る訳です。何か、凄いことになってきました。
私の場合、中耳内の炎症の除去と鼓膜再生、耳小骨治療がが予定されています。
炎症の治療ででは、中耳内で炎症を起こしている患部を切り取ってしまうようです。これで、すっきりしますね。
鼓膜再生は、中耳内にある筋肉に一部(筋膜)を切除、それを鼓膜も代わりとして用いて再生するそうです。
耳小骨は、慢性中耳炎の影響を受けている可能性があり、変形していた場合は正常な形態に戻すようです。
頭部の手術なので全身麻酔、二時間程度の予定だそうです。防衛医大病院から貰った説明資料には、頭蓋骨をドリルで削る、切開する、除去するなど生々し説明があります。著作権の問題等もあり、このBlogに掲載できないのが残念です。
可能性が低いが想定される合併症は以下の通りです。
(1) 味覚障害
耳小骨近くに味覚を司る鼓索神経があり、誤って傷つけると味覚障害になるそうです。まあ、今までも味音痴なので、大した影響じゃないかも(藁)
(2)顔面神経麻痺
耳小骨の奥に顔面神経があるので、やはり誤って傷つけることで発生するようです。しかし、味覚障害よりは、発生可能性は低いようです。
(3)めまい、感音難聴
めまいは、手術の結果内耳に強い力が加わった場合に発生するようですが、術後に安静にしていれば治るそうです。感音難聴、問題ですね。要は、聴覚が機能的に障害を受けること。今は、慢性中耳炎等による伝音難聴、つまり音が内耳内で正常に伝わっていないので、その音の伝わりを回復させようとしています。しかし、中耳炎での内耳の破壊が酷い場合は、音を感じる機能が阻害されているので、音の伝わりの回復、つまり鼓膜や耳小骨の再生による伝音回復だけでは、難聴が回復しないのです。これは、合併症と言うよりは、患部の状態によるので、蓋を開けるまでは、判らないのだと思います。日頃の行い次第でしょうか。
(4)髄液漏、髄膜炎
略
とまあ、説明書には色々と書いてあります。実家の兄に入院同意書の保証人欄の印を貰いに行ったとき、心配するからおばあちゃん(母)には見せないようにしようと言われました。事前のリスクの説明なのですが、確かに読んでいると、決して明るい気分のなるものではありません。
前回の入院と異なり、今回は外出ができません。終日病院です。前回は、日曜日のみ病院にいたのですが、それでも暇で困ったのに、今度は二週間です。暇潰しが最大の課題ですかね。
ふぅ~
2008年11月15日土曜日
匠の会
昨晩(2008年11月14日)、新宿で開かれたあるパーティに出席して参りました。仕事関係でなく、純粋に私的な集まりです。その集まりを「匠の会」といいうます。
匠の会HP
仕事は、定時で切り上げ、そそくさと会社を出て新宿へ、時間一杯楽しいひと時を過ごして参りました。
その昔、まだ携帯電話もなく(220代前半以下の世代は、このこと自体が信じられないこともしれません)、NTTドコモもauもなく、日本電信電話公社(略称電電公社)が民営化のため日本電信電話株式会社(NTT)に改組されてから、まだ日が浅い頃ことです。NTTで、顧客情報管理システム「CUSTOM」の構築が進められていました。
匠の会は、そのCUSTOM構築に関わったNTT内外の関係者の交流会、OB会です。毎会、労を厭わず幹事役を務めていただいている、NTTコミュニケーションズのI氏に誘われ、私も参加させてもらってます。
私自身がCUSTOMに関わったのでは、かなり初期段階からで、幹事役のI氏の名刺に書かれた日付は1988年でした。会のメンバーの中でも古い方です。当時は、私も独身、華麗な職歴の最初に会社に在籍していた頃、メインフレーム全盛の時代です。
その後、月日は流れ、数回の転職を経験し現在に至るわけですが、参加者の皆様の中には、定年を迎えた方も居られました。月日の流れを感じさせられることです。その他に一時期に一緒の会社で働いた方、全然別な現場で再開した方、最初の会社の後輩など、様々な参加者の皆さんと会話が弾み、仕事を忘れ楽しんできました。
参加者の総意で、来年の同じ時期の開催が決まりました。その一年後が、今から楽しみです。
匠の会HP
仕事は、定時で切り上げ、そそくさと会社を出て新宿へ、時間一杯楽しいひと時を過ごして参りました。
その昔、まだ携帯電話もなく(220代前半以下の世代は、このこと自体が信じられないこともしれません)、NTTドコモもauもなく、日本電信電話公社(略称電電公社)が民営化のため日本電信電話株式会社(NTT)に改組されてから、まだ日が浅い頃ことです。NTTで、顧客情報管理システム「CUSTOM」の構築が進められていました。
匠の会は、そのCUSTOM構築に関わったNTT内外の関係者の交流会、OB会です。毎会、労を厭わず幹事役を務めていただいている、NTTコミュニケーションズのI氏に誘われ、私も参加させてもらってます。
私自身がCUSTOMに関わったのでは、かなり初期段階からで、幹事役のI氏の名刺に書かれた日付は1988年でした。会のメンバーの中でも古い方です。当時は、私も独身、華麗な職歴の最初に会社に在籍していた頃、メインフレーム全盛の時代です。
その後、月日は流れ、数回の転職を経験し現在に至るわけですが、参加者の皆様の中には、定年を迎えた方も居られました。月日の流れを感じさせられることです。その他に一時期に一緒の会社で働いた方、全然別な現場で再開した方、最初の会社の後輩など、様々な参加者の皆さんと会話が弾み、仕事を忘れ楽しんできました。
参加者の総意で、来年の同じ時期の開催が決まりました。その一年後が、今から楽しみです。
2008年11月14日金曜日
Asia-Pacific CACS 2009
ISACA国内三支部会員の皆様のお手元には、2009年に大阪支部主催で開催される、Asia-Pacific CACS 2009のお知らせが届いていることと思います。
CACSとは、Computer Audit, Control and Security略で、世界各地のISACA支部が持ち回りで、
地域毎に開催しています。2001年には、東京支部主催で、Asia-Pacific CACS 2001が木更津で開催されました。
この度、Asia-Pacific CACS 2009を大阪支部が主催することなりました。勿論、東京/名古屋支部も協力をすることは言うまでもありません。
Asia-Pacific CACS 2009について
2001年のAsia-Pacific CACSでは、開催中に9.11テロが発生し、全米の空港が閉鎖されたために、ISACA国際本部か来日した本部職員が帰国できなくなるという事態になりました。
CACSは、ITの監査や統制、セキュリティ、ガバナンス、リスク管理等のの専門家集団のISACAが、会員や関係者の知識やスキル向上、人的ネットワークの拡大、国際交流等の機会として開催するものです。今回は「イノベーション。ITとの一体化に向けて」というテーマで開催されます。
Asia-Pacific CACS 2009について
開催期間は、2009年2月23日、24日です。12月10日までに申し込めば、早期割引が適用されます。
申込みは、ISACA国際本部宛となりますので、ドル建てです。円高のこの時期に是非早期申込みをお願いします。但し、(円安転じれば為替差益が、更なる円高になれば差損が発生します。くれぐれも自己責任で(藁)
私の参加検討中です。
CACSとは、Computer Audit, Control and Security略で、世界各地のISACA支部が持ち回りで、
地域毎に開催しています。2001年には、東京支部主催で、Asia-Pacific CACS 2001が木更津で開催されました。
この度、Asia-Pacific CACS 2009を大阪支部が主催することなりました。勿論、東京/名古屋支部も協力をすることは言うまでもありません。
Asia-Pacific CACS 2009について
2001年のAsia-Pacific CACSでは、開催中に9.11テロが発生し、全米の空港が閉鎖されたために、ISACA国際本部か来日した本部職員が帰国できなくなるという事態になりました。
CACSは、ITの監査や統制、セキュリティ、ガバナンス、リスク管理等のの専門家集団のISACAが、会員や関係者の知識やスキル向上、人的ネットワークの拡大、国際交流等の機会として開催するものです。今回は「イノベーション。ITとの一体化に向けて」というテーマで開催されます。
Asia-Pacific CACS 2009について
開催期間は、2009年2月23日、24日です。12月10日までに申し込めば、早期割引が適用されます。
申込みは、ISACA国際本部宛となりますので、ドル建てです。円高のこの時期に是非早期申込みをお願いします。但し、(円安転じれば為替差益が、更なる円高になれば差損が発生します。くれぐれも自己責任で(藁)
私の参加検討中です。
2008年11月11日火曜日
訂正
12月13日(土)、本年後期のCISA/CISM試験の第1回です。また、CGEITの初めての試験も実施されます。現在のところ、CISAは900名を超える方が受験予定です。これ、東京支部史上空前の数字です。国単位ならともかく、一支部単位での数字としては、ISACA全体でも例の無いことではないでしょうか。全く、驚くべきことです。
CGEITは、英語での試験が実施されます。東京会場でも数名の方が挑戦されます。日本語試験の実現、頑張らねばと思います。
さて、多くの方が合格を目指して受験されますが、200問で4時間、途中休憩無しの長丁場、少なからず方が不安を感じられています。当Blogでも何度か掲載しましたが、私の受験体験談再掲です(一部表現を変更します)。
1 時間を区切る
見直しの時間を含めて、事前に時間を区切った計画をたてましょう。私は、見直しの時間を一時間として、回答時間を4時間としました(私が受験した時は、250問5時間でした)。
2 必ず回答する
全て4択です。ブランクにすると0点、鉛筆倒しでも確率25%です。必ず回答しましょう(つまりブランクには絶対しない)。鉛筆倒しで回答した問題には、印を付けておきます。
3 長考しない
判らない問題を長考せず、取り敢えず解答をしておいて、次の問題にかかります。この問題にも印を付けておきます。長考は、焦りを招きます。
4 問題をよく読む
回答は必ずしも唯一の正解を求めるものではありません。
問題の傾向
(1)唯一の正解を選択
(2)唯一の間違いを選択
(3)最も適切なものを選択
(4)最も適切でないもの選
(1)と(2)は意外に易しいのですが、(3)と(4)は迷ってしまうことが少なくありません。しかも、この傾向の問題の方が多く出題されます。しかし、問題をよく読むとヒントが隠されています。問題を読むという行為、大事です。
5 見直し
全問回答後の見直しも重要です。2と3で保留した問題も考え直しましょう。 最初は分からなくても、全問を回答しているうちに、理解できるものもあります。段々と問題と回答の傾向を把握できていくことで、最初は迷ってしまった問題でも、後から読み直すとすんなり理解できるのでしょうね。実際、見直しで理解できた問題はありました。
意外に回答の選択間違いもあります。回答AなのにBにしていた何てのが。
見直しで、確実に何問かを拾えます。私は1回目の試験は駄目でした。合格した時は、見直しをすることで、複数の問題を確実に回答することができました。そして、合格。恐らく最初の試験でも見直しをしておけば、合格できたのではと思います。
6 集中力
4時間集中力を維持するのは難しいと思います。私は、維持するのではなく、回復させることを考えました。一時間経過後に深呼吸、気を落ち着かせます。試験時間が半分ほど経過したところで、トイレに行きました。顔を洗い、うがいをして深呼吸、後半戦に望む前にリフレッシュしました。そして、途中で適時に深呼吸です。
7 飲み物、飴
途中の水分補給も大事ですね。現在も飲み物の持ち込みは許されているはずなので、喉の渇きを覚えたら、水分補給を心がけましょう。私が受験した当時は許されていたのですが、飴も持ち込んで、途中で糖分補給もしました。ただ、現在では飴などの持込が許されていないかもしれません。
水分補給、集中力の回復にも役立ちますので、忘れないようにしましょう。
8 試験前日と当日
試験前日は、残業厳禁です。アルコール摂取も控えましょう。早めに就寝、早めに起床しましょう。試験に開始時には、頭脳が全開になっているようにしましょう。そして、朝食を欠かしていけません。試験は、だいたい9時から開始されます。途中で空腹を感じ始めると、つらいようです。空腹が焦りや苛立ちを増幅させるのでしょうか。私は、常日頃も朝食は欠かさないので判らないのですが、朝食抜きで試験に臨んだ人が辛かったと言っていました。
以上、私の経験からです。受験者の皆さん、試験まであと一ヶ月と数日です。年末にかかり、仕事も忙しくなってきますが、頑張って下さい。
CGEITは、英語での試験が実施されます。東京会場でも数名の方が挑戦されます。日本語試験の実現、頑張らねばと思います。
さて、多くの方が合格を目指して受験されますが、200問で4時間、途中休憩無しの長丁場、少なからず方が不安を感じられています。当Blogでも何度か掲載しましたが、私の受験体験談再掲です(一部表現を変更します)。
1 時間を区切る
見直しの時間を含めて、事前に時間を区切った計画をたてましょう。私は、見直しの時間を一時間として、回答時間を4時間としました(私が受験した時は、250問5時間でした)。
2 必ず回答する
全て4択です。ブランクにすると0点、鉛筆倒しでも確率25%です。必ず回答しましょう(つまりブランクには絶対しない)。鉛筆倒しで回答した問題には、印を付けておきます。
3 長考しない
判らない問題を長考せず、取り敢えず解答をしておいて、次の問題にかかります。この問題にも印を付けておきます。長考は、焦りを招きます。
4 問題をよく読む
回答は必ずしも唯一の正解を求めるものではありません。
問題の傾向
(1)唯一の正解を選択
(2)唯一の間違いを選択
(3)最も適切なものを選択
(4)最も適切でないもの選
(1)と(2)は意外に易しいのですが、(3)と(4)は迷ってしまうことが少なくありません。しかも、この傾向の問題の方が多く出題されます。しかし、問題をよく読むとヒントが隠されています。問題を読むという行為、大事です。
5 見直し
全問回答後の見直しも重要です。2と3で保留した問題も考え直しましょう。 最初は分からなくても、全問を回答しているうちに、理解できるものもあります。段々と問題と回答の傾向を把握できていくことで、最初は迷ってしまった問題でも、後から読み直すとすんなり理解できるのでしょうね。実際、見直しで理解できた問題はありました。
意外に回答の選択間違いもあります。回答AなのにBにしていた何てのが。
見直しで、確実に何問かを拾えます。私は1回目の試験は駄目でした。合格した時は、見直しをすることで、複数の問題を確実に回答することができました。そして、合格。恐らく最初の試験でも見直しをしておけば、合格できたのではと思います。
6 集中力
4時間集中力を維持するのは難しいと思います。私は、維持するのではなく、回復させることを考えました。一時間経過後に深呼吸、気を落ち着かせます。試験時間が半分ほど経過したところで、トイレに行きました。顔を洗い、うがいをして深呼吸、後半戦に望む前にリフレッシュしました。そして、途中で適時に深呼吸です。
7 飲み物、飴
水分補給、集中力の回復にも役立ちますので、忘れないようにしましょう。
8 試験前日と当日
試験前日は、残業厳禁です。アルコール摂取も控えましょう。早めに就寝、早めに起床しましょう。試験に開始時には、頭脳が全開になっているようにしましょう。そして、朝食を欠かしていけません。試験は、だいたい9時から開始されます。途中で空腹を感じ始めると、つらいようです。空腹が焦りや苛立ちを増幅させるのでしょうか。私は、常日頃も朝食は欠かさないので判らないのですが、朝食抜きで試験に臨んだ人が辛かったと言っていました。
以上、私の経験からです。受験者の皆さん、試験まであと一ヶ月と数日です。年末にかかり、仕事も忙しくなってきますが、頑張って下さい。
2008年11月10日月曜日
ISACAが新しく発足させた認定制度
ISACAが新しく発足させた認定制度Certified in Governance of Enterorise IT(CGEIT、日本語名称は検討中)の特例処置による申請、Grandfathering Provisionの期限が2008年12月末まで延長されました。
ISACA東京支部では、これに伴い第3回CGEIT Grandfathering申請書記入ワークショップを開催することになりました。詳細は、下記HPを参照して下さい。
ISACA東京支部CGEIT委員会HP
参考
2008年11月10日現在、東京支部会員中39名の方が、CGEITの認定を受けています。
ISACA東京支部では、これに伴い第3回CGEIT Grandfathering申請書記入ワークショップを開催することになりました。詳細は、下記HPを参照して下さい。
ISACA東京支部CGEIT委員会HP
参考
2008年11月10日現在、東京支部会員中39名の方が、CGEITの認定を受けています。
2008年11月8日土曜日
情報セキュリティ管理基準(平成20年改正版) 告示
私も作成プロジェクトメンバーとして名前を連ねていた、情報セキュリティ管理基準平成20年改正版が、経済産業省から告示されました。ISO27001を基にしつつ、ISMS認証取得だけでなく、情報セキュリティの確立や監査等での指標として、情報セキュリティ関係者が活用できるものを目指しています。
情報セキュリティ関係者の皆様、是非ご活用下さい。
経済産業省関係ホームページ
現在、本基準に基づく情報セキュリティ監査手続作成プロジェクトが、進行中です。この監査手続が正式発表後は、合わせてご活用頂ければ幸いです。
情報セキュリティ関係者の皆様、是非ご活用下さい。
経済産業省関係ホームページ
現在、本基準に基づく情報セキュリティ監査手続作成プロジェクトが、進行中です。この監査手続が正式発表後は、合わせてご活用頂ければ幸いです。
2008年11月7日金曜日
バーセルⅡのためのIT統制目標
日本ITガバナンス協会のホームページより、IT Control objectives for BASEL Ⅱの日本語訳「バーセルⅡのためのIT統制目標」がダウンロード可能になりました。
本書は、KPMGビジネスアシュアランス社の協力を得て、日本ITガバナンス協会が翻訳したものです。
BASEL Ⅱは、金融機関におけるリスク管理のフレームワークですが、本書は金融機関のIT管理者向けのBASEL Ⅱに対応した、ITリスク管理のガイドです。興味ある方、ダウンロードしてみては如何でしょう。
日本ITガバナンス協会のホームページ
本書は、KPMGビジネスアシュアランス社の協力を得て、日本ITガバナンス協会が翻訳したものです。
BASEL Ⅱは、金融機関におけるリスク管理のフレームワークですが、本書は金融機関のIT管理者向けのBASEL Ⅱに対応した、ITリスク管理のガイドです。興味ある方、ダウンロードしてみては如何でしょう。
日本ITガバナンス協会のホームページ
2008年11月2日日曜日
セカンド・オピニオン
既報の通り、不幸な出来事で前歯三本(1番2本、左1本)を損傷、右1番は手の施しようがないということで、抜歯しました。残り2本(左1番と2番)ですが、二週間様子をみて歯科医より抜歯を考えてはと言われました。非常に判断が難しいので、絶対抜歯が必要と断言できないが、回復すると保証も出来ないとのこと。このまま、経過を観察するとし場合、最低半年程度の期間が必要で、結局抜歯となる可能性が高い、その間の食事などで不自由があり、早目に処置する選択肢もあるとの話でした。
しかし、非常に判断が難しく、次回通院までに良く考えて欲しいとのことで、一旦帰宅しました。
可能性ゼロと言われれば、否応はなく抜歯の同意しましたが、何とも悩ましい判断を迫られました。そこで、家族の勧めもあり、別な歯科医で診察を受け、相談することにしました。所謂、セカンド・オピニオンです。
私は、抜歯を薦めた歯科医に不信感がるある訳ではありません。抜歯を言われた時も、レントゲンや模型を使い、30分以上説明してくれました。次の患者の予約時間に食い込んでも、丁寧に説明してくれて、有り難かったですね。
しかし、抜歯してしまうと取り返しはつかないので、自分が納得できるためにも第3者の意見を聞いておくべきと考えたのです。
勤務先近くの歯科医(仮にB医師とします)をインターネットで探し、メールでセカンド・オピニオンを頼めるか問い合わせ。大丈夫であるが、セカンド・オピニオンの場合、保険適用が不可で、全額自己負担、1万円程度になりますとの回答でした。自己負担の拳は、承知の事でしたので、電話で診療予約をし、10月31日に受診しました。
結果ですが、やはり判断が難しいとのこと。抜歯を薦めた歯科医(仮にA医師します)の判断を間違っているとは言えない、十分に理解でき、どんな歯科医も悩むとの話でした。レントゲン撮影と電気のよる検査で、残り2本の歯の神経は完全に轢断していること、歯茎はそれほど痛んでないが炎症を起こしている、歯の周りの骨も、影響は小さいと思われるとの所見でした。
B医師として、抜歯をするのは最後手段とすべきとの意見でした。保証は出来ないのであるが、抜歯後の事を考えると、費用面からも慎重な判断が必要だとのことです。B医師としては、前歯が三本連続で抜歯してしまうと、入歯かインプラントしか方法はなく、ブリッジは無理でないかと判断があったようです。A医師は、ブリッジも可能であると判断しており、この点は見解が分かれておりました。
インターネットで検索したのですが、前歯三本の欠損でもブリッジ治療をした実績はありました。ただ、そのためにブリッジの土台にするため、最低3本場合によっては4本の健康な歯を削って加工する必要があります。ここも、判断の材料になりますね。
B医師は、治るとの保証確約できないが、半年程度は抜歯しない治療を継続する価値はある、試してみる治療方は、残っているということが、最終的な意見でした(セカンドオピニオンの場合、あくまで意見であり、診断はしないのだそうです)。
��医師にセカンド・オピニオンを求めたことを隠さず話し、轢断した神経を抜いて経過を診る事の是非を判断して欲しいとのアドバイスを貰いました。
この他に、これも既報ですが中耳炎の治療を受けていることも重要な判断材料でした。11月26日に再入院、同28日に鼓室形成手術を受けることが決まっているので、この治療を優先し、退院後に歯の治療に専念することも選択肢としてあります。
本日、A医師の診察を受けました。日曜に受診できるのが有り難いです。セカンド・オピニオンの事を話しました。結論としては、抜歯はせずに中耳炎の入院手術を優先、退院後可能な限り早く、歯の治療を再開、当面は歯を残す治療を行うこととなりました。
セカンド・オピニオン、結果として受診して良かったと思います。治療費は、1万5百円ほど掛かりましたが、十分に納得のいくアドバイスを受けられました。抜歯してしまった後では、取り返しはつきません。最終的に抜歯ということになっても、公開することもないと思います。セカンド・オピニオン、嫌がる場合もあるそうですが、引き受けていただいたB医師、その事を話しても改めて相談に応じてくれたA医師。初めての経験でしたが、お二人に感謝します。
しかし、非常に判断が難しく、次回通院までに良く考えて欲しいとのことで、一旦帰宅しました。
可能性ゼロと言われれば、否応はなく抜歯の同意しましたが、何とも悩ましい判断を迫られました。そこで、家族の勧めもあり、別な歯科医で診察を受け、相談することにしました。所謂、セカンド・オピニオンです。
私は、抜歯を薦めた歯科医に不信感がるある訳ではありません。抜歯を言われた時も、レントゲンや模型を使い、30分以上説明してくれました。次の患者の予約時間に食い込んでも、丁寧に説明してくれて、有り難かったですね。
しかし、抜歯してしまうと取り返しはつかないので、自分が納得できるためにも第3者の意見を聞いておくべきと考えたのです。
勤務先近くの歯科医(仮にB医師とします)をインターネットで探し、メールでセカンド・オピニオンを頼めるか問い合わせ。大丈夫であるが、セカンド・オピニオンの場合、保険適用が不可で、全額自己負担、1万円程度になりますとの回答でした。自己負担の拳は、承知の事でしたので、電話で診療予約をし、10月31日に受診しました。
結果ですが、やはり判断が難しいとのこと。抜歯を薦めた歯科医(仮にA医師します)の判断を間違っているとは言えない、十分に理解でき、どんな歯科医も悩むとの話でした。レントゲン撮影と電気のよる検査で、残り2本の歯の神経は完全に轢断していること、歯茎はそれほど痛んでないが炎症を起こしている、歯の周りの骨も、影響は小さいと思われるとの所見でした。
B医師として、抜歯をするのは最後手段とすべきとの意見でした。保証は出来ないのであるが、抜歯後の事を考えると、費用面からも慎重な判断が必要だとのことです。B医師としては、前歯が三本連続で抜歯してしまうと、入歯かインプラントしか方法はなく、ブリッジは無理でないかと判断があったようです。A医師は、ブリッジも可能であると判断しており、この点は見解が分かれておりました。
インターネットで検索したのですが、前歯三本の欠損でもブリッジ治療をした実績はありました。ただ、そのためにブリッジの土台にするため、最低3本場合によっては4本の健康な歯を削って加工する必要があります。ここも、判断の材料になりますね。
B医師は、治るとの保証確約できないが、半年程度は抜歯しない治療を継続する価値はある、試してみる治療方は、残っているということが、最終的な意見でした(セカンドオピニオンの場合、あくまで意見であり、診断はしないのだそうです)。
��医師にセカンド・オピニオンを求めたことを隠さず話し、轢断した神経を抜いて経過を診る事の是非を判断して欲しいとのアドバイスを貰いました。
この他に、これも既報ですが中耳炎の治療を受けていることも重要な判断材料でした。11月26日に再入院、同28日に鼓室形成手術を受けることが決まっているので、この治療を優先し、退院後に歯の治療に専念することも選択肢としてあります。
本日、A医師の診察を受けました。日曜に受診できるのが有り難いです。セカンド・オピニオンの事を話しました。結論としては、抜歯はせずに中耳炎の入院手術を優先、退院後可能な限り早く、歯の治療を再開、当面は歯を残す治療を行うこととなりました。
セカンド・オピニオン、結果として受診して良かったと思います。治療費は、1万5百円ほど掛かりましたが、十分に納得のいくアドバイスを受けられました。抜歯してしまった後では、取り返しはつきません。最終的に抜歯ということになっても、公開することもないと思います。セカンド・オピニオン、嫌がる場合もあるそうですが、引き受けていただいたB医師、その事を話しても改めて相談に応じてくれたA医師。初めての経験でしたが、お二人に感謝します。
2008年10月14日火曜日
怪我をしてしまいました
10月10日の金曜日、帰宅途上で思わぬ怪我を負ってしまいました。
金曜日に、友人たちと待ち合わせて、一杯やってから帰宅しました。駅近くの駐輪場から自宅まで、自転車での帰宅途上、おそらくカバンのストラップが前輪にからまり、自転車が前方に回転し、私自身は投げ出されて顔面を強打し、怪我をしてしまいました。
怪我の状況は、唇の上下に裂傷、上側前歯3本が損傷、内1本は救いようがないという診断でした。放置しておくと回りの歯に悪影響を与えるということで抜歯しました。残り2本は、亀裂が入っており、暫く様子をみて、抜歯をするか判断することになっています。昨日の診察では、普段の状態で痛みがないので、抜歯しない方向で検討しましょうとのことで、少しばかり希望が。残り二本も駄目となると、部分入れ歯にしか方法が無くなります。金銭的にも痛いですから。
外科医と歯科医の診療を受けました。外科の方は、特に施すことはなく、自然に治癒するのを待ちましょうと言うことで、特に変わったことがない限り、通院しないことになりました。
歯科の方は、少し症状が深刻で、暫く通院になります。通院しながら、損傷した残り2本の前歯の様子を見つつ、治療方法を模索することになります。亀裂が回復した想定すると、治療の選択肢は下記の通りです。
�� ブリッジ
2 インプラント
3 入れ歯
2のインプラントは、人工の歯根を顎骨に植え込み、その人工歯根に義歯を装着する術式です。今後のことを考えると、一番望ましい方法らしいのですが、惜しむらくは保険適用外とのこと。中耳炎の手術で費用が嵩んでいるので、保険外診療は選択できません。
1のブリッジは、抜歯した歯の両側(前後)の歯を支柱にし、義歯をブリッジ状に装着する方法です。両側(前後)の歯を削り、支柱として利用できる形に整形します。そこの3本の連続した歯に相当する形に作成された義歯を装着します。この方法の条件は、両側(前後)が健全であること。私は、連続した3本の歯が損傷し、前から見て右端の歯を抜歯しました。従って、抜歯した歯の右側は無傷ですが、左側に亀裂があり様子身状態です。この左側の歯が回復すれば、この治療を選択可能です。奥歯の場合、金属色でしか保険適用が出来ないようですが、幸い前歯は色の調整も保険適用とのこと。デメリットとしては、支柱のなる健全な歯を削ってしまう、三本の歯にかかる力を2本で支える、支柱の歯の寿命が短くなるということ等らしいです。ですから、若い人にとっては決心が必要らしいです。場合によっては、歯列の矯正により抜歯した歯の隙間を埋めるのもあり、とのことです。
私も場合、若くもないので、デメリットを把握しつつ食事方法というか、咀嚼方法の改善することで、このブリッジ両方を選択しよう考えています。いずれにしても、元には戻らないのですから。
3の入れ歯ですが、もし残りの2本の歯も諦めることになった場合、費用面からインプラントを選べない以上、他に選択肢がありません。3本以上の連続した歯の欠損には、ブリッジという方法は使えないのだそうです。ブリッジなる2本の歯で、五本分の圧力に耐えることは出来無いからです。
兎にも角にも、亀裂が入った2本の歯の回復を祈るしか、現時点ではありませんね。
10月10日から、食事はヨーグルトや食パンを牛乳に浸したもの、ご飯の水漬けなどなどです。歯科医から、前歯で噛み切るという行為を禁止されているのと、唇の裂傷が口内にあるので、刺激物や熱いものが、駄目だからです。殆ど、口から直接流し込むしかないので、満腹感というか満足感もなく、大変です。唇の裂傷が治癒してくれれば、もう少し何とかなると思います。裂傷の方は、思いのほか早く回復しているので、今週末か来週初めには元に戻りそうです。それまでは、栄養的にはともかく、満足感のない食事が続きます。
歯は、大事ですね。
金曜日に、友人たちと待ち合わせて、一杯やってから帰宅しました。駅近くの駐輪場から自宅まで、自転車での帰宅途上、おそらくカバンのストラップが前輪にからまり、自転車が前方に回転し、私自身は投げ出されて顔面を強打し、怪我をしてしまいました。
怪我の状況は、唇の上下に裂傷、上側前歯3本が損傷、内1本は救いようがないという診断でした。放置しておくと回りの歯に悪影響を与えるということで抜歯しました。残り2本は、亀裂が入っており、暫く様子をみて、抜歯をするか判断することになっています。昨日の診察では、普段の状態で痛みがないので、抜歯しない方向で検討しましょうとのことで、少しばかり希望が。残り二本も駄目となると、部分入れ歯にしか方法が無くなります。金銭的にも痛いですから。
外科医と歯科医の診療を受けました。外科の方は、特に施すことはなく、自然に治癒するのを待ちましょうと言うことで、特に変わったことがない限り、通院しないことになりました。
歯科の方は、少し症状が深刻で、暫く通院になります。通院しながら、損傷した残り2本の前歯の様子を見つつ、治療方法を模索することになります。亀裂が回復した想定すると、治療の選択肢は下記の通りです。
�� ブリッジ
2 インプラント
3 入れ歯
2のインプラントは、人工の歯根を顎骨に植え込み、その人工歯根に義歯を装着する術式です。今後のことを考えると、一番望ましい方法らしいのですが、惜しむらくは保険適用外とのこと。中耳炎の手術で費用が嵩んでいるので、保険外診療は選択できません。
1のブリッジは、抜歯した歯の両側(前後)の歯を支柱にし、義歯をブリッジ状に装着する方法です。両側(前後)の歯を削り、支柱として利用できる形に整形します。そこの3本の連続した歯に相当する形に作成された義歯を装着します。この方法の条件は、両側(前後)が健全であること。私は、連続した3本の歯が損傷し、前から見て右端の歯を抜歯しました。従って、抜歯した歯の右側は無傷ですが、左側に亀裂があり様子身状態です。この左側の歯が回復すれば、この治療を選択可能です。奥歯の場合、金属色でしか保険適用が出来ないようですが、幸い前歯は色の調整も保険適用とのこと。デメリットとしては、支柱のなる健全な歯を削ってしまう、三本の歯にかかる力を2本で支える、支柱の歯の寿命が短くなるということ等らしいです。ですから、若い人にとっては決心が必要らしいです。場合によっては、歯列の矯正により抜歯した歯の隙間を埋めるのもあり、とのことです。
私も場合、若くもないので、デメリットを把握しつつ食事方法というか、咀嚼方法の改善することで、このブリッジ両方を選択しよう考えています。いずれにしても、元には戻らないのですから。
3の入れ歯ですが、もし残りの2本の歯も諦めることになった場合、費用面からインプラントを選べない以上、他に選択肢がありません。3本以上の連続した歯の欠損には、ブリッジという方法は使えないのだそうです。ブリッジなる2本の歯で、五本分の圧力に耐えることは出来無いからです。
兎にも角にも、亀裂が入った2本の歯の回復を祈るしか、現時点ではありませんね。
10月10日から、食事はヨーグルトや食パンを牛乳に浸したもの、ご飯の水漬けなどなどです。歯科医から、前歯で噛み切るという行為を禁止されているのと、唇の裂傷が口内にあるので、刺激物や熱いものが、駄目だからです。殆ど、口から直接流し込むしかないので、満腹感というか満足感もなく、大変です。唇の裂傷が治癒してくれれば、もう少し何とかなると思います。裂傷の方は、思いのほか早く回復しているので、今週末か来週初めには元に戻りそうです。それまでは、栄養的にはともかく、満足感のない食事が続きます。
歯は、大事ですね。
2008年10月10日金曜日
金融危機と会計監査
当Blogに記のコメントが投稿されました。ので、サブプライム・ローン問題を起点とする現在の金融危機について、考えていることを述べます。
http://masse01.blog11.fc2.com/blog-entry-234.html#comment130
私が、最も気になっているのは、このサブプライム・ローンのリスク管理です。このサブプライム・ローンは、返済可能性の低い人達に、将来の住宅価格の値上がりを見越して貸し付けたものですね。‘将来の住宅価格の値上がり’という前提を除外した場合、債務者の収入の観点からの返済可能性が低く、焦げ付きリスクの高い債権であった筈です。
債務者に融資した金融機関は、サブプライム・ローン関連の債権を売却して現金化します。債権を買い取った企業は、証券化して販売する。焦げ付きリスクの高い債権ですから、売却価格も証券の利回りもリスクに相応したものになっていたと考えられます。サブプライム・ローンの本来のリスクが反映したいたとも言えるでしょう。私もこの段階までは、金融手法として問題ないと、素人ながら思っています。その理由は、顕在化しているリスクが債権売却価格、証券の利回りに反映されていたであろうと予想されるからです。
焦げ付きリスクの高い債権ですから、売却価格も足元を見られるでしょうし、その証券も高利回りでないと売り物にならない、高リターンであるが高リスクでもある金融商品として認識されたでしょう。
証券化されたサブプライム・ローン、さらに分割されます。リスクを小口に分けるということですね。素人考えですが、リスクが利回りに反映している限り、問題はないと思います。
次の段階で、分割さえたサブプライム・ローン証券、他の金融商品と組み合わされ、パッケージされた新たな金融商品として生まれ変わります。私は、ここに落し穴あったのだと思えるのです。他の、優良な金融商品と抱き合わせることで、分割さえたプライム・ローン証券が持つ高いリスクが水面下に隠れてしまったのではないかと思うのです。優良な金融商品と組み合わせたからと言って、借り手の破綻の可能性が低くなることはなく、債権が焦げ付くリスクが無くなることはありません。しかし、優良な金融商品と組み合わせることで、あたかも債務者が持つリスクが解消したかのように錯覚してしまった、させたいたのでないか。そのような気がしてなりません。
サブプライム・ローン関連の債権を売却する、証券化する、小口化する。ここまでの金融手法は、リスクが顕在化(債権売却価格、利回り)しており、問題なしと思います。次の段階で、他の金融商品と抱き合わせることで、顕在化していたリスクが隠されてしまったとしたら、その手法に問題無しとは言えないのでは。これが、素人判断でありますが、私の見解です。
金融の専門家のご意見を伺いたいのですが、個人投資家を市場に呼び戻したいのであれば、個人が正しくリスクを判断できるということが重要だと思います。
http://masse01.blog11.fc2.com/blog-entry-234.html#comment130
私が、最も気になっているのは、このサブプライム・ローンのリスク管理です。このサブプライム・ローンは、返済可能性の低い人達に、将来の住宅価格の値上がりを見越して貸し付けたものですね。‘将来の住宅価格の値上がり’という前提を除外した場合、債務者の収入の観点からの返済可能性が低く、焦げ付きリスクの高い債権であった筈です。
債務者に融資した金融機関は、サブプライム・ローン関連の債権を売却して現金化します。債権を買い取った企業は、証券化して販売する。焦げ付きリスクの高い債権ですから、売却価格も証券の利回りもリスクに相応したものになっていたと考えられます。サブプライム・ローンの本来のリスクが反映したいたとも言えるでしょう。私もこの段階までは、金融手法として問題ないと、素人ながら思っています。その理由は、顕在化しているリスクが債権売却価格、証券の利回りに反映されていたであろうと予想されるからです。
焦げ付きリスクの高い債権ですから、売却価格も足元を見られるでしょうし、その証券も高利回りでないと売り物にならない、高リターンであるが高リスクでもある金融商品として認識されたでしょう。
証券化されたサブプライム・ローン、さらに分割されます。リスクを小口に分けるということですね。素人考えですが、リスクが利回りに反映している限り、問題はないと思います。
次の段階で、分割さえたサブプライム・ローン証券、他の金融商品と組み合わされ、パッケージされた新たな金融商品として生まれ変わります。私は、ここに落し穴あったのだと思えるのです。他の、優良な金融商品と抱き合わせることで、分割さえたプライム・ローン証券が持つ高いリスクが水面下に隠れてしまったのではないかと思うのです。優良な金融商品と組み合わせたからと言って、借り手の破綻の可能性が低くなることはなく、債権が焦げ付くリスクが無くなることはありません。しかし、優良な金融商品と組み合わせることで、あたかも債務者が持つリスクが解消したかのように錯覚してしまった、させたいたのでないか。そのような気がしてなりません。
サブプライム・ローン関連の債権を売却する、証券化する、小口化する。ここまでの金融手法は、リスクが顕在化(債権売却価格、利回り)しており、問題なしと思います。次の段階で、他の金融商品と抱き合わせることで、顕在化していたリスクが隠されてしまったとしたら、その手法に問題無しとは言えないのでは。これが、素人判断でありますが、私の見解です。
金融の専門家のご意見を伺いたいのですが、個人投資家を市場に呼び戻したいのであれば、個人が正しくリスクを判断できるということが重要だと思います。
2008年10月9日木曜日
連日の受賞 - 下村脩博士にもノーベル化学賞授賞
ノーベル物理学賞に続き、化学賞での日本人受賞者です。報道を読む限る、やはり基礎科学における業績のようですね。
同一年に4人のノーベル賞受賞者誕生、金融危機や株価下落、経済の先行き不安など暗いニュースが続くなかでの明るい話題が続きのはいいですね。
(そういえば、小柴博士と田中氏が受賞した6年前も、拉致問題で日本全国が憤慨して、国内の雰囲気としては、決して明るいとはいえない状況でしたね)
同一年に4人のノーベル賞受賞者誕生、金融危機や株価下落、経済の先行き不安など暗いニュースが続くなかでの明るい話題が続きのはいいですね。
(そういえば、小柴博士と田中氏が受賞した6年前も、拉致問題で日本全国が憤慨して、国内の雰囲気としては、決して明るいとはいえない状況でしたね)
2008年10月8日水曜日
南部博士 益川博士 小林博士 - ノーベル物理学賞受賞
やりました。6年ぶりのノーベル賞受賞、それも物理学部門で3人です。厳密に言うと、南部博士は米国に帰化しているので、受賞国のカウントでは日本ではありませんが。
南部博士が自発的対象性の破れの理論、益川博士と小林博士がCP対象性の破れの理論的解明がが受(授)賞理由とのことですが、社会学専行の私にはお手上げです。
賞金は、南部博士が総額に1/2、益川博士と小林博士が1/4づつということ。これは、自発的対象性の破れが南部博士単独の、CP対象性の破れが益川博士と小林博士の共同の実績ということだからでしょうね。
解説は、報道に委ねることにして、今回の受賞についての感想です。
十数年前、気紛れに買った一冊の本がありました。題名は「ホーキング、宇宙を語る」。著者は筋萎縮性側索硬化症(ALS)で体の自由が無くなっていた、車椅子の天才物理学者スティーヴン・ホーキング博士です。宇宙の成り立ちについての、一般向けの本ということですが、難しかったですね。特殊相対性理論、一般相対性理論、量子力学、宇宙論、天体物理学・・・てんこ盛りです。それから、数年の間に物理学、天文学、宇宙論、相対論等の解説書、科学雑誌などを買って、読み耽っていた時期がありました。現在も毎月購読している科学雑誌のニュートンも、実はこの時期に買い始めたのです。今でも自宅には、この時期に買い集めた解説書やエッセイ雑誌などが、おそらく100冊以上、本棚に眠っています。
で、理解できたかと問われると、理解できないことを悟ったというのが正直なところです。
これらの解説書等で、量子力学や宇宙論などで必ず触れられるのが、自発的対象性の破れ、CP対象性の破れであり、その理論の提唱者として、今回ノーベル証を受賞した南部陽一郎博士、益川敏英博士、小林誠博士の三人が紹介されていました。そして、ノーベル賞受賞に値する画期的な業績であるとも強調されていました。報道にあるように、遅すぎた受賞というのも肯けます。
6年前の小柴博士は、ニュートリノに関する実験や観測で画期的な成果を生み出したことによって受賞しました。今期は、純粋な理論的業績に対しての受(授)賞であり、実験と理論の両面において、我が国の物理学の水準が高きレベルのあることを示したと言えます。
とある報道番組で、評論家の立花隆氏が、今回の三人の受賞は、日本の物理学会全体の悲願であり、そのために学会全体が取り組んできたとの発言がありました。様々な書籍での、3人の取上げ方をみると、そうだろうなと納得できます。
三人の受賞者の研究成果が、日常の生活のどのような影響を及ぼすかについては、何とも言えません。少なくとも、現在は物理学の真理の追究という範疇に留まっています。しかし、100年前にアルバート・アインシュタイン博士が特殊相対性理論を世に送り出し、世界で最も単純で美しい方程式と言われた、e = mc2も当初は、理論上の存在だと認識されていました。しかし、その後に原子核分裂反応、原子核融合反応が実現し、実態社会に正負様々な影響をもたらしていることは周知の事実です。物理学の真理の追究のみと言い切ってしまうことには躊躇を覚えます。将来、三人の受賞者の成果が、人類に何らかの影響を及ぼす(平和的なものであることが望ましいですが)こともあるかもしませんね。
今回の受賞のニュースを聞きつつ、考えたことです。
南部博士、益川博士、小林博士 ノーベル賞受賞おめでとうございます。
南部博士が自発的対象性の破れの理論、益川博士と小林博士がCP対象性の破れの理論的解明がが受(授)賞理由とのことですが、社会学専行の私にはお手上げです。
賞金は、南部博士が総額に1/2、益川博士と小林博士が1/4づつということ。これは、自発的対象性の破れが南部博士単独の、CP対象性の破れが益川博士と小林博士の共同の実績ということだからでしょうね。
解説は、報道に委ねることにして、今回の受賞についての感想です。
十数年前、気紛れに買った一冊の本がありました。題名は「ホーキング、宇宙を語る」。著者は筋萎縮性側索硬化症(ALS)で体の自由が無くなっていた、車椅子の天才物理学者スティーヴン・ホーキング博士です。宇宙の成り立ちについての、一般向けの本ということですが、難しかったですね。特殊相対性理論、一般相対性理論、量子力学、宇宙論、天体物理学・・・てんこ盛りです。それから、数年の間に物理学、天文学、宇宙論、相対論等の解説書、科学雑誌などを買って、読み耽っていた時期がありました。現在も毎月購読している科学雑誌のニュートンも、実はこの時期に買い始めたのです。今でも自宅には、この時期に買い集めた解説書やエッセイ雑誌などが、おそらく100冊以上、本棚に眠っています。
で、理解できたかと問われると、理解できないことを悟ったというのが正直なところです。
これらの解説書等で、量子力学や宇宙論などで必ず触れられるのが、自発的対象性の破れ、CP対象性の破れであり、その理論の提唱者として、今回ノーベル証を受賞した南部陽一郎博士、益川敏英博士、小林誠博士の三人が紹介されていました。そして、ノーベル賞受賞に値する画期的な業績であるとも強調されていました。報道にあるように、遅すぎた受賞というのも肯けます。
6年前の小柴博士は、ニュートリノに関する実験や観測で画期的な成果を生み出したことによって受賞しました。今期は、純粋な理論的業績に対しての受(授)賞であり、実験と理論の両面において、我が国の物理学の水準が高きレベルのあることを示したと言えます。
とある報道番組で、評論家の立花隆氏が、今回の三人の受賞は、日本の物理学会全体の悲願であり、そのために学会全体が取り組んできたとの発言がありました。様々な書籍での、3人の取上げ方をみると、そうだろうなと納得できます。
三人の受賞者の研究成果が、日常の生活のどのような影響を及ぼすかについては、何とも言えません。少なくとも、現在は物理学の真理の追究という範疇に留まっています。しかし、100年前にアルバート・アインシュタイン博士が特殊相対性理論を世に送り出し、世界で最も単純で美しい方程式と言われた、e = mc2も当初は、理論上の存在だと認識されていました。しかし、その後に原子核分裂反応、原子核融合反応が実現し、実態社会に正負様々な影響をもたらしていることは周知の事実です。物理学の真理の追究のみと言い切ってしまうことには躊躇を覚えます。将来、三人の受賞者の成果が、人類に何らかの影響を及ぼす(平和的なものであることが望ましいですが)こともあるかもしませんね。
今回の受賞のニュースを聞きつつ、考えたことです。
南部博士、益川博士、小林博士 ノーベル賞受賞おめでとうございます。
2008年10月7日火曜日
MRI(核磁気共鳴画像法)検査を受けてきました.
本日午前中、埼玉県内某市の某医院において、MRI(核磁気共鳴画像法)検査を受けてきました。これは、治療継続中の右耳内耳内の‘ゴミ’(主治医の表現)の診断のためです。CT(コンピュータ断層撮影)は済んでいるのですが、内耳が‘ゴミ’で塞がれているのは確かなのですが、その‘ゴミ’の正体を判断するための検査です。
真珠腫性中耳炎なのか、それとも慢性中耳炎なのかが、今回の検査ではっきりするかもしれません。ただ、いずれにしても手術のため再入院が必要なのですがね。
しかし、核磁気共鳴画像法、何とも凄い名称ですね。放射線を目一杯浴びてしまいそうです。何と言っても、‘核’ですから。でも、このMRI(核磁気共鳴画像法)、放射線は一切発生しないそうです。磁気を利用することでおこる人体を構成する物質(おもに水素)の変化を画像にするそうです。詳しいことは全然分かりませんが、CTと異なり放射線を人体に放射しないことが特徴のようです。もちろん、CTとは目的が異なるので、MRIだけでいいじゃないかとは、ならないのですが。
MRI(核磁気共鳴画像法)
今回は防衛医科大学校病院からのMRI検査依頼ということで、某医院に行ってきました。防衛医科大学校病院にもMRI検査の機器はあるのですが、順番待ち状態なので、外部の提携医療機関に依頼し、受診とあいなったのです。
MRI装置に横たわり、頭部を専用の台に乗せます。そうすると、検査技師さんが撮影中に頭部が動かないように固定します。まず、ベルトで頭頂部と顎を固定、顔全体にマスク(キャッチャーが使っているようなもの)を被せ、頭部を置いた台に固定します。この状態で、まず5分~10分程度撮影しました。その後、造影剤を注射後に再度撮影です。造影剤には副作用がでる場合があるようですが、私は幸いに無事でありました。
撮影データは、全てデジタル化されているようなので、結果が分かるまで時間は掛からないようですが、私の場合は防衛医大からの委託なので、来週の通院時に検査結果を聞く予定になっています。
本日の医療費、\10,760でありました。防衛医大でのCTスキャンが約\50,00でしたから、2倍です。入院費は、健保からの高額療養費と特別給付、生命保険の入院給付金で100%カバーしましたが(実際の給付まで、タイムラグがありますが)、日々の通院にかかる費用が馬鹿になりません。
この検査結果で、手術の様式がきまり、再入院の日程の話にもなると思います。越年はしたくないな、というのが正直なところですね。
真珠腫性中耳炎なのか、それとも慢性中耳炎なのかが、今回の検査ではっきりするかもしれません。ただ、いずれにしても手術のため再入院が必要なのですがね。
しかし、核磁気共鳴画像法、何とも凄い名称ですね。放射線を目一杯浴びてしまいそうです。何と言っても、‘核’ですから。でも、このMRI(核磁気共鳴画像法)、放射線は一切発生しないそうです。磁気を利用することでおこる人体を構成する物質(おもに水素)の変化を画像にするそうです。詳しいことは全然分かりませんが、CTと異なり放射線を人体に放射しないことが特徴のようです。もちろん、CTとは目的が異なるので、MRIだけでいいじゃないかとは、ならないのですが。
MRI(核磁気共鳴画像法)
今回は防衛医科大学校病院からのMRI検査依頼ということで、某医院に行ってきました。防衛医科大学校病院にもMRI検査の機器はあるのですが、順番待ち状態なので、外部の提携医療機関に依頼し、受診とあいなったのです。
MRI装置に横たわり、頭部を専用の台に乗せます。そうすると、検査技師さんが撮影中に頭部が動かないように固定します。まず、ベルトで頭頂部と顎を固定、顔全体にマスク(キャッチャーが使っているようなもの)を被せ、頭部を置いた台に固定します。この状態で、まず5分~10分程度撮影しました。その後、造影剤を注射後に再度撮影です。造影剤には副作用がでる場合があるようですが、私は幸いに無事でありました。
撮影データは、全てデジタル化されているようなので、結果が分かるまで時間は掛からないようですが、私の場合は防衛医大からの委託なので、来週の通院時に検査結果を聞く予定になっています。
本日の医療費、\10,760でありました。防衛医大でのCTスキャンが約\50,00でしたから、2倍です。入院費は、健保からの高額療養費と特別給付、生命保険の入院給付金で100%カバーしましたが(実際の給付まで、タイムラグがありますが)、日々の通院にかかる費用が馬鹿になりません。
この検査結果で、手術の様式がきまり、再入院の日程の話にもなると思います。越年はしたくないな、というのが正直なところですね。
2008年10月6日月曜日
2008年10月3日金曜日
NASAとコンピュータ
私が購読している月刊誌があります。10数年、毎月購入しており、欠かしたことはありません(記憶の限りでは)。それは、文藝春秋の総合文芸誌の月刊文藝春秋、それとニュートンプレス社の科学雑誌であるニュートンです。
私の通勤用の鞄には、文藝春秋かニュートンの何れかが入っています。通勤と帰宅の時間帯を読書時間としています。
文藝集春秋が毎月10日の発売、ビュートンが27日前後です。何れかの雑誌が読み終わると頃に、もう片方の雑誌の発売日という循環です。現在(2008年10月3日)は、ニュートン11月号を読んでいます。そのニュートンですが、今月号はNASA(米国航空宇宙局)の設立50周年特集です。何で日本の雑誌でNASA50周年記念号なのかという気もしますが、人類の宇宙開発の歴史上、NASAの果たした役割や功績は大きいものがあるのも事実ですから、その50年を振り返るのも興味深いですね。
ところで、NASAとコンピュータの歴史は切っても切れない関係があります。コンピュータ無しでは、宇宙開発成り立たなかったですし、コンピュータの発達にはおける宇宙開発の歩みを同様です。
米国の宇宙開発の歴史において、最も栄光に包まれた計画はアポロ計画であったこと議論の余地なきことと思います。1969年7月20日、月着陸船イーグル号が月面に着陸、人類が地球以外の天体に始めて降り立ちました。そのアポロ計画ですが、コンピュータ無しではとても実現できなかったと言われています。三人の宇宙飛行士を月までおくり、帰還させるためには、その軌道を正確に計算しなければならず、その計算はと地球と月、そして宇宙船に働く重力を考慮にいれた複雑なものです。当時の最新鋭最高性能のコンピュータとて、現在のパソコンと比較した場合、遥かに下回る演算能力であったのに、よく計算できたものです。実際、よくアポロ宇宙船の飛行を制御できたものだ、という評価もあるようです。私は、ハードやソフトウェアではなく、その利用方法、ノウハウが優れていたのだと推測しています。
アポロ計画後、スカイラブ計画やソ連(若い方にとっては私語かもしれません)との共同である、アポロ・ソユーズ計画の後は、太陽系内の惑星への無人探査機による惑星観測が主流になります。火星、木星、土星やなどへの無人探査機が打ち上げられます。それらの無人探査機は、一直線に目標惑星と会合点を目指したのではありませんでした。理論的には可能であっても、地球や太陽の重力、場合のよっては木星土星という巨大ガス惑星の引力に抗していくことは容易ではありません。一定上の推進力を維持する必要がありますが、そのためには、当然に多くの燃料が必要であり、探査機が重くなってしまいます。
燃料の節約のため、惑星の重力を利用し加減速する事が考案されました。加速したいときは利用する天体方向に無人探査機のコースを変え、当該惑星の引力に引っ張られることで加速し、減速する際には当該惑星の公転方向と逆向きコースで、探査機をすれ違いさせることで、引力が速度が相殺されることで、速度が抑えられます。この方法を利用するためには、無人探査機の軌道を精密に計算する必要があります。軌道を間違えると当該惑星へ衝突するなどのリスクがあります。惑星の軌道や引力を考慮し、無人探査機の軌道を計算することは、人力では現実的には無理でしょう。
IBMのメインフレームのOSを構成する極めて重要なサブシステムに、Job Entry Subsystem (JES、ジョブ入力サブシステム)、JES2とかJES3と呼ばれるものがあります。私も、散々お世話になり、また苦しめられました。このサブシステムは、元々はIBM がNASAのために設計、開発したHASP ( the Houston Automatic Spooling Program ) が発展したものです(IBMではなく、NASA自身が開発したという話も聞いたことがあります)。このHASPが汎用化され、発達し、JESと名称をかえつつ、現在のIBMメインフレームの最新シリーズである、z/OSにおいても重要なサブシステムとして、存在し続けています。
このようにNASAにおける宇宙開発では、ボーイングやロッキード、フェアチャイルドといった巨大航空宇宙関連(軍事)企業だけでなく、IBMも重要な役割を果たしてきたと言えます。
コンピュータの支援によって、宇宙開発は実現し、宇宙開発によってコンピュータの発展が促されていました。
コンピュータの発達と宇宙開発、不即不離に関係であると言えます。互いに影響を与えながら、共に発展してきたと言えるでしょう。そして、そのコンピュータが高性能化、小型化し、個々の家庭に常備され、持ち歩かれ、インターネットによりネット化され、現在の状況に至りました。
と、ニュートンのNASA50周年特集を読みつつ、思ったのでありました。
私の通勤用の鞄には、文藝春秋かニュートンの何れかが入っています。通勤と帰宅の時間帯を読書時間としています。
文藝集春秋が毎月10日の発売、ビュートンが27日前後です。何れかの雑誌が読み終わると頃に、もう片方の雑誌の発売日という循環です。現在(2008年10月3日)は、ニュートン11月号を読んでいます。そのニュートンですが、今月号はNASA(米国航空宇宙局)の設立50周年特集です。何で日本の雑誌でNASA50周年記念号なのかという気もしますが、人類の宇宙開発の歴史上、NASAの果たした役割や功績は大きいものがあるのも事実ですから、その50年を振り返るのも興味深いですね。
ところで、NASAとコンピュータの歴史は切っても切れない関係があります。コンピュータ無しでは、宇宙開発成り立たなかったですし、コンピュータの発達にはおける宇宙開発の歩みを同様です。
米国の宇宙開発の歴史において、最も栄光に包まれた計画はアポロ計画であったこと議論の余地なきことと思います。1969年7月20日、月着陸船イーグル号が月面に着陸、人類が地球以外の天体に始めて降り立ちました。そのアポロ計画ですが、コンピュータ無しではとても実現できなかったと言われています。三人の宇宙飛行士を月までおくり、帰還させるためには、その軌道を正確に計算しなければならず、その計算はと地球と月、そして宇宙船に働く重力を考慮にいれた複雑なものです。当時の最新鋭最高性能のコンピュータとて、現在のパソコンと比較した場合、遥かに下回る演算能力であったのに、よく計算できたものです。実際、よくアポロ宇宙船の飛行を制御できたものだ、という評価もあるようです。私は、ハードやソフトウェアではなく、その利用方法、ノウハウが優れていたのだと推測しています。
アポロ計画後、スカイラブ計画やソ連(若い方にとっては私語かもしれません)との共同である、アポロ・ソユーズ計画の後は、太陽系内の惑星への無人探査機による惑星観測が主流になります。火星、木星、土星やなどへの無人探査機が打ち上げられます。それらの無人探査機は、一直線に目標惑星と会合点を目指したのではありませんでした。理論的には可能であっても、地球や太陽の重力、場合のよっては木星土星という巨大ガス惑星の引力に抗していくことは容易ではありません。一定上の推進力を維持する必要がありますが、そのためには、当然に多くの燃料が必要であり、探査機が重くなってしまいます。
燃料の節約のため、惑星の重力を利用し加減速する事が考案されました。加速したいときは利用する天体方向に無人探査機のコースを変え、当該惑星の引力に引っ張られることで加速し、減速する際には当該惑星の公転方向と逆向きコースで、探査機をすれ違いさせることで、引力が速度が相殺されることで、速度が抑えられます。この方法を利用するためには、無人探査機の軌道を精密に計算する必要があります。軌道を間違えると当該惑星へ衝突するなどのリスクがあります。惑星の軌道や引力を考慮し、無人探査機の軌道を計算することは、人力では現実的には無理でしょう。
IBMのメインフレームのOSを構成する極めて重要なサブシステムに、Job Entry Subsystem (JES、ジョブ入力サブシステム)、JES2とかJES3と呼ばれるものがあります。私も、散々お世話になり、また苦しめられました。このサブシステムは、元々はIBM がNASAのために設計、開発したHASP ( the Houston Automatic Spooling Program ) が発展したものです(IBMではなく、NASA自身が開発したという話も聞いたことがあります)。このHASPが汎用化され、発達し、JESと名称をかえつつ、現在のIBMメインフレームの最新シリーズである、z/OSにおいても重要なサブシステムとして、存在し続けています。
このようにNASAにおける宇宙開発では、ボーイングやロッキード、フェアチャイルドといった巨大航空宇宙関連(軍事)企業だけでなく、IBMも重要な役割を果たしてきたと言えます。
コンピュータの支援によって、宇宙開発は実現し、宇宙開発によってコンピュータの発展が促されていました。
コンピュータの発達と宇宙開発、不即不離に関係であると言えます。互いに影響を与えながら、共に発展してきたと言えるでしょう。そして、そのコンピュータが高性能化、小型化し、個々の家庭に常備され、持ち歩かれ、インターネットによりネット化され、現在の状況に至りました。
と、ニュートンのNASA50周年特集を読みつつ、思ったのでありました。
2008年9月24日水曜日
退院いたしました
2008年9月8日月曜日に入院、当初一週間の予定であったのが延び延びになり、結局16泊17日、9月の過半は病院住まいという事になりました。
月~金は病院から出勤、土曜日は一時帰宅、23日もお彼岸なので亡父の墓参で一時帰宅、結局のところ、終日病院にいたのが、14と15日の連休と21日の日曜日だけでありました。
病院から会社に行き、病院に戻る生活に何となく馴染み始め、着替えを持って来てくれた我が家の財務大臣に、「病院暮らしが馴染んできた、やばい」と思わずこぼしていたのですが、何とか退院になりました。
退院と言っても、残念ながら完治したのではありません。CTスキャンの撮像では、内耳が‘ゴミ’(主治医の表現)で塞がれているので、手術で取り除く必要があり、今回はその前処置としての入院です。いずれ、手術のために再入院することになります。
とは言っても、ほぼ20日ぶりに娑婆に戻ってきたのは、何とも言えない気分です。入院費を持って迎えに来てくれた嫁と一緒に、看護婦さんや同室の皆さんに挨拶をしていると、何故か名残惜しい気がしないでもなかったのですが、やはり病院のベッドより自宅の煎餅布団です。
今日は、ほぼ20日ぶりにゆっくり入浴し、晩酌をして寝ます、多分午後9時までに。何せ、9時消灯、6時起床の生活だったので、午後10時前には睡魔に襲われるようになりました。でも、一週間もしない内に、元の不健康な生活に戻るのでしょうね。
以上、簡単ですが退院の挨拶です。
月~金は病院から出勤、土曜日は一時帰宅、23日もお彼岸なので亡父の墓参で一時帰宅、結局のところ、終日病院にいたのが、14と15日の連休と21日の日曜日だけでありました。
病院から会社に行き、病院に戻る生活に何となく馴染み始め、着替えを持って来てくれた我が家の財務大臣に、「病院暮らしが馴染んできた、やばい」と思わずこぼしていたのですが、何とか退院になりました。
退院と言っても、残念ながら完治したのではありません。CTスキャンの撮像では、内耳が‘ゴミ’(主治医の表現)で塞がれているので、手術で取り除く必要があり、今回はその前処置としての入院です。いずれ、手術のために再入院することになります。
とは言っても、ほぼ20日ぶりに娑婆に戻ってきたのは、何とも言えない気分です。入院費を持って迎えに来てくれた嫁と一緒に、看護婦さんや同室の皆さんに挨拶をしていると、何故か名残惜しい気がしないでもなかったのですが、やはり病院のベッドより自宅の煎餅布団です。
今日は、ほぼ20日ぶりにゆっくり入浴し、晩酌をして寝ます、多分午後9時までに。何せ、9時消灯、6時起床の生活だったので、午後10時前には睡魔に襲われるようになりました。でも、一週間もしない内に、元の不健康な生活に戻るのでしょうね。
以上、簡単ですが退院の挨拶です。
2008年9月16日火曜日
入院することになりました Ⅲ
入院生活、早くも八泊九日になりました。9時に消灯、6時起床。朝と夕方の点滴と検温、薄味で健康的な食事、そして何よりもこの間に一滴もアルコールを体内に入れていません。こんな健康的な生活、したことありません。
食事の前などには、手をエチルアルコールで消毒しますが、思わず飲んでしまいたいことがあります。
9月13日土曜日の午後は、外出許可を貰い自宅で過ごして、夕方に病院に戻りました。日曜日と月曜日は、病院で安静にしてなさいと看護婦さんに厳しく言い渡されたので、病室で大人しくしていました。が、正直にいうと暇で暇で、時間の経過の長いこと。現在の気持ちは、早く退院したい、それのみです。
ところで、入院先は防衛医科大学校病院です。防衛医科大学校は、文部科学省所管ではないので大学ではなく、大学校です。防衛省の付属機関、省庁学校で、その設立の根拠は防衛省設置法第16条にあります。
病院長は、防衛医科大学校の診療担当副校長が兼務しています。校長と副校長は文官のようです。
防衛医科大学校、何故か産婦人科もあります。医師や看護婦、看護師も必ずしも自衛官という訳でなく、文官身分の方が多いようです。自衛隊中央病院の医療関係職員が防衛医官であるのと対照的です。
地元では、普通の医科大学/大学医学部の付属病院と全く変わらない認識です。が、所沢市に設置が決まった時には、関東軍防疫給水部、所謂731部隊の再来、細菌兵器の研究が行われる、攻撃目標になる等、反対意見もあったようです。
私は、個室ではなく6人部屋にいるのですが、周りの皆さんは続々退院され、また新規入院されました。今は、私が最長入院患者になりました。耳鼻咽喉医科、しかも然程症状の重くない方々が多いので、入院期間も長くないようです。私のように、抗生剤の点滴投与をしながら、様子と見るというのは、逆に入院期間不定になって、始末に悪いのかもしれません。
今週も、病院から出勤です。
食事の前などには、手をエチルアルコールで消毒しますが、思わず飲んでしまいたいことがあります。
9月13日土曜日の午後は、外出許可を貰い自宅で過ごして、夕方に病院に戻りました。日曜日と月曜日は、病院で安静にしてなさいと看護婦さんに厳しく言い渡されたので、病室で大人しくしていました。が、正直にいうと暇で暇で、時間の経過の長いこと。現在の気持ちは、早く退院したい、それのみです。
ところで、入院先は防衛医科大学校病院です。防衛医科大学校は、文部科学省所管ではないので大学ではなく、大学校です。防衛省の付属機関、省庁学校で、その設立の根拠は防衛省設置法第16条にあります。
病院長は、防衛医科大学校の診療担当副校長が兼務しています。校長と副校長は文官のようです。
防衛医科大学校、何故か産婦人科もあります。医師や看護婦、看護師も必ずしも自衛官という訳でなく、文官身分の方が多いようです。自衛隊中央病院の医療関係職員が防衛医官であるのと対照的です。
地元では、普通の医科大学/大学医学部の付属病院と全く変わらない認識です。が、所沢市に設置が決まった時には、関東軍防疫給水部、所謂731部隊の再来、細菌兵器の研究が行われる、攻撃目標になる等、反対意見もあったようです。
私は、個室ではなく6人部屋にいるのですが、周りの皆さんは続々退院され、また新規入院されました。今は、私が最長入院患者になりました。耳鼻咽喉医科、しかも然程症状の重くない方々が多いので、入院期間も長くないようです。私のように、抗生剤の点滴投与をしながら、様子と見るというのは、逆に入院期間不定になって、始末に悪いのかもしれません。
今週も、病院から出勤です。
2008年9月13日土曜日
入院することになりました Ⅱ
本日は、外出許可を貰って自宅で過ごし、夕方病院に戻る予定です。とは言っても毎日、出勤して仕事はしていたのですが。
今日は、CGEIT グランドファザリング申請記入ワークショップの第2回目なのですが、ISACA東京支部CGEIT委員会の皆さんのご好意で、委員長でありながら欠席しました。誠に有りがたいことです。
朝6時に起床です。まず、検温して看護婦さんが記録を取りに来るのを待ちます。その後、私の場合は点滴です。40分ほどで終了、続いて朝食になります。かつて、病院の食事は、冷たい上に不味いというのが定番でしたが、現在はかなり改善されています。が、不味くは無いのですが、元来濃い目の味が好みなので、薄めの味付けが物足りないのは、正直なところです。
左手にネームバンドをしています。バーコード、氏名、生年月日、性別などが記載されています。点滴の際に必ず確認されます。これも、取り違えなどの医療事故の教訓から得られた、改善策なのでしょうね。
昨日、このネームバンドを腕時計で隠して、とあるクライアントとに行っていたのですが、いつの間にやらはみ出していて、「増田さん、もしかして脱走(病院から)してきたの?」と聞かれてしまいました。
とりあえず、笑って誤魔化しておきました。
脱走でもなく、一時帰宅でもなく、一刻も早く正式に帰宅したいものです。
今日は、CGEIT グランドファザリング申請記入ワークショップの第2回目なのですが、ISACA東京支部CGEIT委員会の皆さんのご好意で、委員長でありながら欠席しました。誠に有りがたいことです。
朝6時に起床です。まず、検温して看護婦さんが記録を取りに来るのを待ちます。その後、私の場合は点滴です。40分ほどで終了、続いて朝食になります。かつて、病院の食事は、冷たい上に不味いというのが定番でしたが、現在はかなり改善されています。が、不味くは無いのですが、元来濃い目の味が好みなので、薄めの味付けが物足りないのは、正直なところです。
左手にネームバンドをしています。バーコード、氏名、生年月日、性別などが記載されています。点滴の際に必ず確認されます。これも、取り違えなどの医療事故の教訓から得られた、改善策なのでしょうね。
昨日、このネームバンドを腕時計で隠して、とあるクライアントとに行っていたのですが、いつの間にやらはみ出していて、「増田さん、もしかして脱走(病院から)してきたの?」と聞かれてしまいました。
とりあえず、笑って誤魔化しておきました。
脱走でもなく、一時帰宅でもなく、一刻も早く正式に帰宅したいものです。
2008年9月9日火曜日
入院生活も早くも二日目になりました。病院での時間の経過が長く、本当にようやくという感覚です。昨晩の消灯は9時、日頃は風呂上りに発泡酒(時々ビール)を一杯やり、11時-12時に布団に入るのに、3時間も早い訳です。通常は6時に起きるので、睡眠時間は6-7時間です。案の定、3時頃に目覚めて、起床の6時まで2度目の睡眠ですが、うとうとしたままでした。
��時半頃からに点滴による抗生剤の投与に一時間、朝食と診察を終えて、外出申請をして9時頃病院を出発、所用で自宅により、勤務先には11時過ぎに到着しました。明日は、病院からクライアントに直行予定です。
出掛けに、看護婦さんから(私は個人的信念から女性の場合は看護士さんと絶対に呼びません)、入院中の仕事とは大変ですね、と言われました。会社の人使いが荒くてと、建前を言いつつ、本音は病室で一日を過ごすのは勘弁と思ってました。
ところで、入院先の防衛医科大学校病院(通称防衛医大ですが医科大学ではなく、防衛医科大学校が正式名称です)で、耳鼻咽喉科の治療を受けるのは2回目です。耳鼻咽喉科の他に外科、整形外科での治療を受けています(かなり前ですが)。何故、分かるかというと、治療を受けた記録が、防衛医大病院に残っているからです。
同病院の診察券が磁気カード化されています。また、診察記録やカルテも電子化されており、過去の診療記録も随時参照可能なのです。
今回、紹介状を貰い、同病院に最初に言って初診の申込みをした際に、過去に診療記録が参照されたのか、丁度10年前にも耳鼻咽喉科で診察を受けていますね、と言われました。これは、その通りで、勿論自分でも記憶はしていましたが、丁度10年とは認識していませんでした。
同病院は、初診以外は予約制で、次回の診断は必ず日時を予約します。予約日には、予約確認用の診察券読取装置に、磁気カード化されたされた診察券を差し込みます。予約が確認されたら、数秒してA4大の予約確認票が出力されます。この確認票に、診察各科の直近の受診日が印字されています。耳鼻咽喉科以外にも受診した記録があれば、当然印字されます。それで、外科、整形外科で受診したことがあることが確認できました。
受診年月日からすると、整形外科が高校生の時、外科が大学生の時でした。当然、年号は昭和であり、診察券も磁気カードの時代より前で(つまり電子化前)、私の記憶にもありませんでした。自宅で確認したところ、磁気カード化される前の、紙の診察券が奇跡的に残っていて、確かに受診したようです。
これで、分かったのですが、防衛医大は診療管理システムの電子化後だけでなく、その前の少なくとも受診の記録は電子化したのですね(カルテまでは不明です)。
この記録の中には、私の住所/電話番号(受診当時の)、血液型、身長、体重、病歴、性別、診察結果、各種検査結果等が含まれている筈です。しかも、その間に進学し、就職し(親の保険から社会保険に加入)、5回ほど転居し(住所が変わり)、同じくらい転職し(すなわち社会保険組合も替わっている)、配偶者が増え(今のところ一人、親の戸籍から抜けて新しく創設)、子供ができ、身の周りの情報も変わっているのに、同一人物と確認できた訳です。
この情報が漏れ出したら、大変なことですね。職業柄、防衛医科大学校病院の個人情報の管理体制がどうなっているか、とても気になっています。
以前から、医療機関のおける個人情報の管理ということは、関心のあることでした。と言うのは、ある時、某民間医療機関の事務長から酒の席なのですが、尋ねられたことあるのです。本人から個人情報の開示請求があった場合、無条件に開示しなければいけないのでしょうかと。
というのは、病気によっては医療上の判断で本人に告知しない、もしくはタイミングをみるとうことがあるのですね。癌などでも、現在は原則として告知とのことですが、精神的な打撃を考え、近親者と相談しながら判断することは、未だあるようなのです。告知も医療行為なんだ、という事務長の一言に、
考えてしまいました。
という経緯があり、医療機関における個人情報の管理は、病歴の管理であり、場合によっては医療行為に関係するのだ言うことで、個人的に関心があったのです。
今回は、耳鼻咽喉科であり、しかも同じ中耳炎の治療なので、十年前の記録、過去の診察記録を参考にするというこは当然かなと思います。が、だとすると医療機関は、患者の記録をどの程度、保管保存しておくべきなのでしょうか。私の場合、十年前の症例とは直接関係ないと判断されたようです。
薬害肝炎等では、診療記録が残っていないために、患者の発見、特定、保障などに壁がありました。では、永久に保存すべきでしょうか。それは、医療機関毎なのでしょうか。それとも、集約すべきなのでしょうか。その場合に想定されるリスク対策は、どうするかのか、等々。
医療機関における個人情報の管理、医療行為という側面も考えての議論が必要ですね。
自分も忘れていた、受診記録を見せられて、考えてみました。
��時半頃からに点滴による抗生剤の投与に一時間、朝食と診察を終えて、外出申請をして9時頃病院を出発、所用で自宅により、勤務先には11時過ぎに到着しました。明日は、病院からクライアントに直行予定です。
出掛けに、看護婦さんから(私は個人的信念から女性の場合は看護士さんと絶対に呼びません)、入院中の仕事とは大変ですね、と言われました。会社の人使いが荒くてと、建前を言いつつ、本音は病室で一日を過ごすのは勘弁と思ってました。
ところで、入院先の防衛医科大学校病院(通称防衛医大ですが医科大学ではなく、防衛医科大学校が正式名称です)で、耳鼻咽喉科の治療を受けるのは2回目です。耳鼻咽喉科の他に外科、整形外科での治療を受けています(かなり前ですが)。何故、分かるかというと、治療を受けた記録が、防衛医大病院に残っているからです。
同病院の診察券が磁気カード化されています。また、診察記録やカルテも電子化されており、過去の診療記録も随時参照可能なのです。
今回、紹介状を貰い、同病院に最初に言って初診の申込みをした際に、過去に診療記録が参照されたのか、丁度10年前にも耳鼻咽喉科で診察を受けていますね、と言われました。これは、その通りで、勿論自分でも記憶はしていましたが、丁度10年とは認識していませんでした。
同病院は、初診以外は予約制で、次回の診断は必ず日時を予約します。予約日には、予約確認用の診察券読取装置に、磁気カード化されたされた診察券を差し込みます。予約が確認されたら、数秒してA4大の予約確認票が出力されます。この確認票に、診察各科の直近の受診日が印字されています。耳鼻咽喉科以外にも受診した記録があれば、当然印字されます。それで、外科、整形外科で受診したことがあることが確認できました。
受診年月日からすると、整形外科が高校生の時、外科が大学生の時でした。当然、年号は昭和であり、診察券も磁気カードの時代より前で(つまり電子化前)、私の記憶にもありませんでした。自宅で確認したところ、磁気カード化される前の、紙の診察券が奇跡的に残っていて、確かに受診したようです。
これで、分かったのですが、防衛医大は診療管理システムの電子化後だけでなく、その前の少なくとも受診の記録は電子化したのですね(カルテまでは不明です)。
この記録の中には、私の住所/電話番号(受診当時の)、血液型、身長、体重、病歴、性別、診察結果、各種検査結果等が含まれている筈です。しかも、その間に進学し、就職し(親の保険から社会保険に加入)、5回ほど転居し(住所が変わり)、同じくらい転職し(すなわち社会保険組合も替わっている)、配偶者が増え(今のところ一人、親の戸籍から抜けて新しく創設)、子供ができ、身の周りの情報も変わっているのに、同一人物と確認できた訳です。
この情報が漏れ出したら、大変なことですね。職業柄、防衛医科大学校病院の個人情報の管理体制がどうなっているか、とても気になっています。
以前から、医療機関のおける個人情報の管理ということは、関心のあることでした。と言うのは、ある時、某民間医療機関の事務長から酒の席なのですが、尋ねられたことあるのです。本人から個人情報の開示請求があった場合、無条件に開示しなければいけないのでしょうかと。
というのは、病気によっては医療上の判断で本人に告知しない、もしくはタイミングをみるとうことがあるのですね。癌などでも、現在は原則として告知とのことですが、精神的な打撃を考え、近親者と相談しながら判断することは、未だあるようなのです。告知も医療行為なんだ、という事務長の一言に、
考えてしまいました。
という経緯があり、医療機関における個人情報の管理は、病歴の管理であり、場合によっては医療行為に関係するのだ言うことで、個人的に関心があったのです。
今回は、耳鼻咽喉科であり、しかも同じ中耳炎の治療なので、十年前の記録、過去の診察記録を参考にするというこは当然かなと思います。が、だとすると医療機関は、患者の記録をどの程度、保管保存しておくべきなのでしょうか。私の場合、十年前の症例とは直接関係ないと判断されたようです。
薬害肝炎等では、診療記録が残っていないために、患者の発見、特定、保障などに壁がありました。では、永久に保存すべきでしょうか。それは、医療機関毎なのでしょうか。それとも、集約すべきなのでしょうか。その場合に想定されるリスク対策は、どうするかのか、等々。
医療機関における個人情報の管理、医療行為という側面も考えての議論が必要ですね。
自分も忘れていた、受診記録を見せられて、考えてみました。
2008年9月7日日曜日
入院することになりました
実は、9月8日から一週間の予定で、入院することなりました。入院先は、所沢市にある防衛医科大学校病院、診察科は耳鼻咽喉科難聴外来です。先ほどまで、入院にさ際し病院に提出する書類への記入をしておりました。
病名は慢性中耳炎、ということになっています。実際は、真珠腫性中耳炎の可能性もあるようです(というより大)。
数ヶ月前から耳垂れが酷く、時々血が混じるよういなり、自宅近くの耳鼻咽喉科のクリニックで治療を受けていました。炎症の対応として抗生剤と点耳薬の処方されていましたが、経過が思わしくなく、設備の整った病院での検査を勧められ、防衛医大病院への紹介状を書いてもらいました。
防衛医大でも、引き続き抗生剤と点耳薬を処方され、経過を観察中でした。しかし、経口剤では効果が認められないということで、入院の上で一日二回、点滴による抗生剤の投与を受けることになりました。
とはいっても、外出を許可するから出勤して仕事をしてもいいということで、勤務先とも相談した結果、病院から通勤することになりました。
夜9時消灯、禁酒の生活が一週間続きます。主治医からなダイエットになるよと言われてます。
退院後は、病院における情報セキュリティについて、記事にしようかと思います(たぶん)。
病名は慢性中耳炎、ということになっています。実際は、真珠腫性中耳炎の可能性もあるようです(というより大)。
数ヶ月前から耳垂れが酷く、時々血が混じるよういなり、自宅近くの耳鼻咽喉科のクリニックで治療を受けていました。炎症の対応として抗生剤と点耳薬の処方されていましたが、経過が思わしくなく、設備の整った病院での検査を勧められ、防衛医大病院への紹介状を書いてもらいました。
防衛医大でも、引き続き抗生剤と点耳薬を処方され、経過を観察中でした。しかし、経口剤では効果が認められないということで、入院の上で一日二回、点滴による抗生剤の投与を受けることになりました。
とはいっても、外出を許可するから出勤して仕事をしてもいいということで、勤務先とも相談した結果、病院から通勤することになりました。
夜9時消灯、禁酒の生活が一週間続きます。主治医からなダイエットになるよと言われてます。
退院後は、病院における情報セキュリティについて、記事にしようかと思います(たぶん)。
2008年8月29日金曜日
CISA制度認定30週年
Certified Information Systems Auditor(CISA)、公認情報システム監査人の認定制度が発足して30周年です。30周年のためのLogoがISACA国際本部から発表されており、日本国内3支部のHPも30周年記念のLogoが表示されています。
ISACAが発足した時、EDP Auditors Association(EDPAA)、EDP監査人協会を名乗っていました。元々は、企業の会計監査において電子化された会計処理の監査の必要性を認識した、会計士やシステム専門家が集り、発足したのがEDP監査人協会です。
EDP、つまり電子データ処理は、コンピュータで処理される会計/経理処理であったことは疑問の余地なきことだと思います。
コンピュータが電子計算機と訳され、電算課とか情報処理課という部署名がよく使われていました。計算する機械がコンピュータであり、それを司る部署が電算課/情報処理課でした。
現在、電子計算機という言葉は死後と言っても良いでしょう。計算する機械と言う当初の役目以外の機能が追加、拡張されており、電子計算機という言葉が相応しい訳語ではなくなりました。
情報システム、情報処理がITと言う言葉に置き換わり、ITも更にICTに取って代わられようとしています。
情報システムからIT、ICTへの流れの中で、電子化された会計/経理処理から画像処理、通信手段、一般業務プロセスのIT化など、会計監査から派生したシステム監査、そのシステム監査の専門家の集まりであったEDP監査人協会も、IT統制に軸足を移し、Information Systems Audit and Control Association(ISACA)、情報システムコントロール協会に名称を変更、その組織の変化させてきました。
CISA以外にもCertified Information Systems Manager(CISM)、公認情報セキュリティマネージャ、Certified in the Governance of Enterprise IT(CGEIT)という認定制度も発足しました。
CISAの30年の歴史を少しばかり振り返っても、その取巻く環境は著しく変化し、会計システムの監査からIT統制の評価、ITガバナンスへと求められる役割もより高度なものになってきたと思います。
そして、継続する変化に対応し、新たな役割を果たしていくことになるのでしょうね。
CISA30周年での雑感でした。
2008年8月28日木曜日
ISACA東京支部月例会
ISACA東京支部では、会員のCPE(継続教育プログラム)ポイント獲得機会の提供を主目的として、毎月月例会を開催しています。東京支部の教育委員会が月例会の担当ですが、私も教育委員、教育担当理事、教育担当常務理事として長く携わりました。
昨日も2008年7月度の月例会が日本教育会館で開催され、筑波大学の新保史生准教授が「モニタリング・ツールの利用と法」というテーマで講演されました。
電子メールの監視などの方法や法的な課題や注意点など、実際の裁判事例を基に説明され、誠も興味深い内容でありました。
社内の電子メールの監視が、法的に許されるのか。許され場合の法的要点とは何かなど、情報セキュリティ上の行われうる監視活動における法律上の課題の提起で、少なくとも私個人としては(下線にした理由は後述)、参考になりました。アンケートの結果も、そう悪くないように思われます。
CPE(継続教育プログラム)は、CISAやCISM、CGEITの認定者がそのスキルを維持向上させていくことが目的です。従って、月例会の講演内容も東京支部会員(というよりCISA,CISM,CGEIT認定者)の知識、スキル向上になるべきことが原則です。
月例会は、少なくとも下記の条件を充足させることが肝要と、私は考えて教育委員、理事、常務理事に任じてきました。
①東京支部会員の知識、スキル向上になる
②東京支部会員のCPEポイントになる
では、月例会が会員の知識、スキル向上の一助になったとして、職務上の利点はあるのでしょうか。例えば、昨日の講演は個人的には参考になりましたが、現在の職務に応用できるかと言えば、一部であろうと思います。というのは、個人の持つ知識やスキル、経験が勤務先の職務と100%と一致することは無いからです。
講演内容が知識スキル向上のなることと、職務に応用可能ということは、必ずしも等価ではないと考えています。職務に応用可能でなければ、満足度は低くなると言う考えもあります。しかし、月例会は職務へ応用可能な実践的セミナーばかりでなく、将来の動向を踏まえたもの、学術的性質のものなど多様な内容になっています。また、そういった内容を望む声をあるので、実践的内容を求められる方には、違和感がある場合もあることは否定しません。そのようなご意見を実際に聞いたこともあります。
私は、職務への応用可能性は十分条件であって必要条件とは思っていないので、昨日の月例会は職務への応用可能性は必ずしも高いものではありませんでしたが、満足度しては納得できる水準と評価いたしました。
月例会については、多くのご希望、ご意見があり、一回の講演で全てを充足させることは出来ません。性質の異なるセミナーを順次開催することで、自己目的に適う月例会を選択してもらうことが重要ですね。
もう、教育関係ではないのですが、昨日の月例会(2008年8月度)で、会員の満足度とは何なのだろうと、ふと思いました。
昨日も2008年7月度の月例会が日本教育会館で開催され、筑波大学の新保史生准教授が「モニタリング・ツールの利用と法」というテーマで講演されました。
電子メールの監視などの方法や法的な課題や注意点など、実際の裁判事例を基に説明され、誠も興味深い内容でありました。
社内の電子メールの監視が、法的に許されるのか。許され場合の法的要点とは何かなど、情報セキュリティ上の行われうる監視活動における法律上の課題の提起で、少なくとも私個人としては(下線にした理由は後述)、参考になりました。アンケートの結果も、そう悪くないように思われます。
CPE(継続教育プログラム)は、CISAやCISM、CGEITの認定者がそのスキルを維持向上させていくことが目的です。従って、月例会の講演内容も東京支部会員(というよりCISA,CISM,CGEIT認定者)の知識、スキル向上になるべきことが原則です。
月例会は、少なくとも下記の条件を充足させることが肝要と、私は考えて教育委員、理事、常務理事に任じてきました。
①東京支部会員の知識、スキル向上になる
②東京支部会員のCPEポイントになる
では、月例会が会員の知識、スキル向上の一助になったとして、職務上の利点はあるのでしょうか。例えば、昨日の講演は個人的には参考になりましたが、現在の職務に応用できるかと言えば、一部であろうと思います。というのは、個人の持つ知識やスキル、経験が勤務先の職務と100%と一致することは無いからです。
講演内容が知識スキル向上のなることと、職務に応用可能ということは、必ずしも等価ではないと考えています。職務に応用可能でなければ、満足度は低くなると言う考えもあります。しかし、月例会は職務へ応用可能な実践的セミナーばかりでなく、将来の動向を踏まえたもの、学術的性質のものなど多様な内容になっています。また、そういった内容を望む声をあるので、実践的内容を求められる方には、違和感がある場合もあることは否定しません。そのようなご意見を実際に聞いたこともあります。
私は、職務への応用可能性は十分条件であって必要条件とは思っていないので、昨日の月例会は職務への応用可能性は必ずしも高いものではありませんでしたが、満足度しては納得できる水準と評価いたしました。
月例会については、多くのご希望、ご意見があり、一回の講演で全てを充足させることは出来ません。性質の異なるセミナーを順次開催することで、自己目的に適う月例会を選択してもらうことが重要ですね。
もう、教育関係ではないのですが、昨日の月例会(2008年8月度)で、会員の満足度とは何なのだろうと、ふと思いました。
2008年8月27日水曜日
「米国流SOX法に無理に付き合う必要はない」 - 丸山さんのBlogから
今回も他の方のblogを見て考えたことです。他人の褌で相撲を取る、ということですね
丸山さんのBlogで、とある記事が紹介されていました。
↓
日本企業を縛る米国流SOX法に無理に付き合う必要はない
米国企業が性悪説で日本企業が性善説、ああ又かと思いました。性悪説性善説の件は、このBlogでも過去に何度か取上げています。私は、性悪説性善説 を以って、情報セキュリティを判断するのは、そもそも反対です。したがって、記事の締めになっている’日本は日本独自の「性善説」で行こうではないか’にも賛成できません。しかし、記事の中で、印象に残る記述がありました。
記事中にある
>日本企業では分掌規定にそもそも重点を置いていないのだ。
印象に残りました。これ、その通りだと思います。アクセスコントロールを実装する場合、職務分掌が明確でないと苦労します。過去の経験からくる実感ですが、’職務分掌の明確な日本企業’にお目にかかったこが無いんですね、私の場合。
アクセスコントロールの観点からは、宜しくないのですが、職務分掌を明確にせず皆で助け合う、日本企業の特徴であり、ある意味強みであったとも思います。したがって、私としては悪いとも言い切れず、悩みの種でありますね。
アクセスコントロールの基本は、アクセス権は人ではなく職務に対して設定する、所謂ロールベースが基本です。そのためには、職務の分掌が明確に定まっていることが重要なのですが、日本企業はそこを曖昧模糊にしているか、厳密性に欠ける場合は少ないようです。部門無いの業務に精通したパート社員に部門長がお伺いをたてるという場面も、決して珍しくありません。一部企業は、そういった非正規雇用の従業員の正社員化を図っているようですね。
職務j分掌が明確でないので、どうしてもアクセス権を個人に設定するという属人性の高いものになってしまいます。当該人の異動等に柔軟に対応できず、アクセス権の改廃を適切の行えなくなり、結果として、アクセスコントロールの形骸化を招く、というのがお決まりのパターンえすね。
属人性の高いアクセス権の設定
↓
当該人の異動
↓
アクセス権設定の不適切な改廃
↓
アクセス権管理の形骸化
日本企業は、期無分掌を明確せずお互いに助け合うことで、企業活動を活性化してきたとも言えるのだと、私は考えています。そうなると、アクセスコントロールの基本からは、甚だ宜しくないのですが、では悪いかと言えるか・・・・ それも言い切れない(私個人は)、ジレンマがあります。
悩ましいところです。皆さんは、以下にお考えでしょうか
丸山さんのBlogで、とある記事が紹介されていました。
↓
日本企業を縛る米国流SOX法に無理に付き合う必要はない
米国企業が性悪説で日本企業が性善説、ああ又かと思いました。性悪説性善説の件は、このBlogでも過去に何度か取上げています。私は、性悪説性善説 を以って、情報セキュリティを判断するのは、そもそも反対です。したがって、記事の締めになっている’日本は日本独自の「性善説」で行こうではないか’にも賛成できません。しかし、記事の中で、印象に残る記述がありました。
記事中にある
>日本企業では分掌規定にそもそも重点を置いていないのだ。
印象に残りました。これ、その通りだと思います。アクセスコントロールを実装する場合、職務分掌が明確でないと苦労します。過去の経験からくる実感ですが、’職務分掌の明確な日本企業’にお目にかかったこが無いんですね、私の場合。
アクセスコントロールの観点からは、宜しくないのですが、職務分掌を明確にせず皆で助け合う、日本企業の特徴であり、ある意味強みであったとも思います。したがって、私としては悪いとも言い切れず、悩みの種でありますね。
アクセスコントロールの基本は、アクセス権は人ではなく職務に対して設定する、所謂ロールベースが基本です。そのためには、職務の分掌が明確に定まっていることが重要なのですが、日本企業はそこを曖昧模糊にしているか、厳密性に欠ける場合は少ないようです。部門無いの業務に精通したパート社員に部門長がお伺いをたてるという場面も、決して珍しくありません。一部企業は、そういった非正規雇用の従業員の正社員化を図っているようですね。
職務j分掌が明確でないので、どうしてもアクセス権を個人に設定するという属人性の高いものになってしまいます。当該人の異動等に柔軟に対応できず、アクセス権の改廃を適切の行えなくなり、結果として、アクセスコントロールの形骸化を招く、というのがお決まりのパターンえすね。
属人性の高いアクセス権の設定
↓
当該人の異動
↓
アクセス権設定の不適切な改廃
↓
アクセス権管理の形骸化
日本企業は、期無分掌を明確せずお互いに助け合うことで、企業活動を活性化してきたとも言えるのだと、私は考えています。そうなると、アクセスコントロールの基本からは、甚だ宜しくないのですが、では悪いかと言えるか・・・・ それも言い切れない(私個人は)、ジレンマがあります。
悩ましいところです。皆さんは、以下にお考えでしょうか
2008年8月25日月曜日
「2001年宇宙の旅」の近未来予測
GYAOの無料配信動画、土日や平日も時間が出来た際などに楽しんでいます。時々、昔の名作を見ることができるので、時間を忘れて見てしまうことがあります。過去に放映された作品は、大脱走、荒野の七人、ジャイアンツ、俺たちに明日はない、野獣死すべし、人間の証明、Wの悲劇など映画から、月光仮面、怪傑ハリマオ、シャーロックホームズの冒険、エルキュール・ポアロ シリーズなどの連続ドラマです。往年の名作話題作を好きな時間に鑑賞(ただし放映期間内)できるので、少々はまってます。
現在のGYAOの無料動画の中でのお勧めは、何と言ってもSF映画、いや映画史上の名作、日本の文部科学省が特選にしている唯一のSF映画、スタンリー・クーブリック監督の名作「2001年宇宙の旅」です。
しかし、この作品、その難解さもあり評価の分かれる映画でもあります。私も過去に映画のリバイバル上映、テレビでの放送、レンタルビデオと三回見ましたが、よく分かりませんでした。今回、GYAOで改めて見たのですが、その前にアーサー・C・クラークの小説を読みました。小説と映画、クーブリックとクラークの二人の奇才がアイデアを出し合い、映画製作と小説の執筆がほぼ同時並行で進んでいたことは、周知のことです。
小説を読んで、改めて映画を見ると、ああ成る程と思えることが多々あり、長年の疑問が氷解して、映画の良さを再認識しました。小説も素晴らしいのですが、やはり映画の映像表現がその後SF映画限らず映画一般に与えた影響を考えずにはいられません。私としては、映画に登場する公開当時としては近未来予測であったテクノロジーに着目をせざるを得ません。
元々、科学的考証の正確さには定評があったのですが、考証に拘り過ぎるとSF映画としての飛躍が無くなってしまいます。しかし、飛躍し過ぎても茶番に終わりかねず、加減が難しいと思うのですが、映画に登場した近未来技術の一部が実現しています。科学的考証をしっかりとし、その上でSF映画としての飛躍を表現した成果なのでしょうね。映画に登場し、そして実現した近未来テクノロジー、改めてこの映画の先進性に感嘆しました。
映画の初公開が1968年4月、何と40年前なのですね。アポロ11号の月面着陸が1969年7月、先立つこと1年3ヶ月です。公開から40年、流石に細部には古さを感じさせることはありますが、二人の奇才の近未来予想、驚嘆すべきものであり、映像表現もCG無しでよく出来たなと思います。
スタンリー・クーブリックは1999年、アーサー・C・クラーク2008年に他界しました。二人の奇才に、私は現在のインターネット社会の到来をどう思うか、映画製作当時に予想した近未来テクノロジーと現在技術の比較など尋ねてみたいと思わずにはいられません。勿論、そうしたテクノロジーに内在するリスクという負の面も含めてですが。
技術の進歩は、利便性を向上させるだけでなく、新たなリスク要因の発生というマイナス面も伴います。映画「2001年宇宙の旅」では、ヒトザルがモノリスの導きで道具を使うことを覚え、段々にテクノロジーを発達させた事が示唆(小説では明確に説明される)されています。ただ、テクノロジーの発達の伴う負の面、新たなリスク要因の発生も不可分なのだと思いつつ(職業病でしょうか)、4回目の鑑賞を終えたのでした。
(アーサー・C・クラークが執筆した続編、「2010年宇宙の旅」、「2061年宇宙の旅」、「3001年宇宙の旅」も買っちゃいました。通勤時間を利用して読んでいます)
現在のGYAOの無料動画の中でのお勧めは、何と言ってもSF映画、いや映画史上の名作、日本の文部科学省が特選にしている唯一のSF映画、スタンリー・クーブリック監督の名作「2001年宇宙の旅」です。
しかし、この作品、その難解さもあり評価の分かれる映画でもあります。私も過去に映画のリバイバル上映、テレビでの放送、レンタルビデオと三回見ましたが、よく分かりませんでした。今回、GYAOで改めて見たのですが、その前にアーサー・C・クラークの小説を読みました。小説と映画、クーブリックとクラークの二人の奇才がアイデアを出し合い、映画製作と小説の執筆がほぼ同時並行で進んでいたことは、周知のことです。
小説を読んで、改めて映画を見ると、ああ成る程と思えることが多々あり、長年の疑問が氷解して、映画の良さを再認識しました。小説も素晴らしいのですが、やはり映画の映像表現がその後SF映画限らず映画一般に与えた影響を考えずにはいられません。私としては、映画に登場する公開当時としては近未来予測であったテクノロジーに着目をせざるを得ません。
1 登場する宇宙船のコックピット
この映画公開された当時(1968年)、最新鋭の旅客機でもコックピットの計器はアナログであり、ディスプレイを使ったものはレーダぐらいで、それも点の表示に過ぎません。それが、この映画に登場する宇宙船のコックピット、アナログ機器がなくディスプレイなのです。これは、最新のボーイング777やエアバスA380で採用されたグラスコックピットにそのものです。
�� 通信手段
登場人物のヘイウッド・フロイド博士が、地球軌道上の宇宙ステーションから地球上の自宅にいる娘に連絡をするシーンがります。通信装置の前に座った博士が、一枚のカード取り出し、装置に挿入しディスプレイに映し出された幼い娘と会話をするのですが、当時はカードの認証などいう技術も当然存在せず、もちろん映像を媒介とした遠隔コミュニケーションなど考えもしない時代です。凄いです。
�� 通信手段2
木製探査船、ディスカバリー号の乗員、デビッド・ボーマン船長とフランク・プール飛行士が船内でディスプレイに映し出されたBBCニュースの記事を読むシーンがります。これは、今回GYAOの動画をみて気が付いたのですが、まるでインターネットでBBCニュースから配信された記事を見ているようです。
元々、科学的考証の正確さには定評があったのですが、考証に拘り過ぎるとSF映画としての飛躍が無くなってしまいます。しかし、飛躍し過ぎても茶番に終わりかねず、加減が難しいと思うのですが、映画に登場した近未来技術の一部が実現しています。科学的考証をしっかりとし、その上でSF映画としての飛躍を表現した成果なのでしょうね。映画に登場し、そして実現した近未来テクノロジー、改めてこの映画の先進性に感嘆しました。
映画の初公開が1968年4月、何と40年前なのですね。アポロ11号の月面着陸が1969年7月、先立つこと1年3ヶ月です。公開から40年、流石に細部には古さを感じさせることはありますが、二人の奇才の近未来予想、驚嘆すべきものであり、映像表現もCG無しでよく出来たなと思います。
スタンリー・クーブリックは1999年、アーサー・C・クラーク2008年に他界しました。二人の奇才に、私は現在のインターネット社会の到来をどう思うか、映画製作当時に予想した近未来テクノロジーと現在技術の比較など尋ねてみたいと思わずにはいられません。勿論、そうしたテクノロジーに内在するリスクという負の面も含めてですが。
技術の進歩は、利便性を向上させるだけでなく、新たなリスク要因の発生というマイナス面も伴います。映画「2001年宇宙の旅」では、ヒトザルがモノリスの導きで道具を使うことを覚え、段々にテクノロジーを発達させた事が示唆(小説では明確に説明される)されています。ただ、テクノロジーの発達の伴う負の面、新たなリスク要因の発生も不可分なのだと思いつつ(職業病でしょうか)、4回目の鑑賞を終えたのでした。
(アーサー・C・クラークが執筆した続編、「2010年宇宙の旅」、「2061年宇宙の旅」、「3001年宇宙の旅」も買っちゃいました。通勤時間を利用して読んでいます)
2008年8月21日木曜日
「CSO/CISO」の人材像 - 長谷川さんのBlog記事から
CISSPホルダーの長谷川さんが、ご自分のBlog’「CSO/CISO」の人材像’と題した記事を連日投稿しています。この投稿、CSO/CISOの人材像、ISACAがこれから広めようとしている新たな認定制度、Certified in the Governance of Enterprise IT(CGEIT)にも関連しているので、興味深く拝見しました。
ISACA東京支部CGEIT委員会委員長として、この新しい認定制度を日本国内で普及促進していく責務があるのですが、CISAやCISMと異なり、そのバックボーンが未だ明確でないので、その明確化から始めなければと考えています。
情報セキュリティプロフェッショナルを目指そう
公認情報システム監査人(CISA)の場合、システム監査という職能職域が、このJ-SOX対応という潮流の中で、かなり認知されたと思います。システム監査は、財務報告に係る内部統制の重要な構成要素であるIT統制を評価するという、社会的にも明確な位置付けが成されたといえると、私は考えています。事実上の法定監査だと言い切る業界関係者も少なくありません。そのシステム監査の専門家を認定するという事にCISAの価値の源泉があります。それは、ここ3年ほどのCISA試験受験者の激増が、その証しでしょう。
公認情報セキュリティマネージャ(CISM)は、正直CISSPに押され低迷しているのが現状かと思います(ISACA東京支部CISM委員会の皆さん、ゴメンなさい。正直な感想です)。これからの建て直しが必要かと思います。しかしながら、CISPPホルダーの順調な増加、情報セキュリティへの関心の高まり、保証型情報セキュリティ監査、情報セキュリティ格付制度の検討など、認定制度の土台は出来上がりつつあると思います。情報セキュリティに関する専門的知見をもった管理者を認定することにCISMの価値があるといえるでしょう(あくまで私見で、ISACA東京支部の公式見解ではありません)。
さて、CGEITですが、ITガバナンスの関する専門的知見、職務経験を有する人材を認定するのですが、そのITガバナンスそのものの定義、職能、職域などの共通認識、コンセンサスがあるとは言えません。私は、ITマネジメントとはITガバナンスでない、と認識しています。ITや関連する領域を管理するという職能はITマネジメントであり、それを以ってITガバナンスとは言えません。事実、ISACAがCGEIT認定に要求する職務のドメインも、それ以上のことを要求しています。
まずは、CISAやCISMのように職能職域を明らかにいていくことが、CGEIT普及促進の鍵を握っているいると考えています。そして、これは支部CGEIT委員の共通認識でもあります。で、そんなことを日々考えてますので、長谷川さんのBlog記事、興味深く読ませていただきました。
ISACA東京支部CGEIT委員会委員長として、この新しい認定制度を日本国内で普及促進していく責務があるのですが、CISAやCISMと異なり、そのバックボーンが未だ明確でないので、その明確化から始めなければと考えています。
情報セキュリティプロフェッショナルを目指そう
公認情報システム監査人(CISA)の場合、システム監査という職能職域が、このJ-SOX対応という潮流の中で、かなり認知されたと思います。システム監査は、財務報告に係る内部統制の重要な構成要素であるIT統制を評価するという、社会的にも明確な位置付けが成されたといえると、私は考えています。事実上の法定監査だと言い切る業界関係者も少なくありません。そのシステム監査の専門家を認定するという事にCISAの価値の源泉があります。それは、ここ3年ほどのCISA試験受験者の激増が、その証しでしょう。
公認情報セキュリティマネージャ(CISM)は、正直CISSPに押され低迷しているのが現状かと思います(ISACA東京支部CISM委員会の皆さん、ゴメンなさい。正直な感想です)。これからの建て直しが必要かと思います。しかしながら、CISPPホルダーの順調な増加、情報セキュリティへの関心の高まり、保証型情報セキュリティ監査、情報セキュリティ格付制度の検討など、認定制度の土台は出来上がりつつあると思います。情報セキュリティに関する専門的知見をもった管理者を認定することにCISMの価値があるといえるでしょう(あくまで私見で、ISACA東京支部の公式見解ではありません)。
さて、CGEITですが、ITガバナンスの関する専門的知見、職務経験を有する人材を認定するのですが、そのITガバナンスそのものの定義、職能、職域などの共通認識、コンセンサスがあるとは言えません。私は、ITマネジメントとはITガバナンスでない、と認識しています。ITや関連する領域を管理するという職能はITマネジメントであり、それを以ってITガバナンスとは言えません。事実、ISACAがCGEIT認定に要求する職務のドメインも、それ以上のことを要求しています。
ISACAが要求するCGEIT専門領域(ドメイン)
Domain 1 - IT Governance Framework(ITガバナンスの枠組)
Domain 2 - Strategic Alignment(戦略との整合)
Domain 3 - Value Delivery(価値の提供)
Domain 4 - Risk Management(リスク管理)
Domain 5 - Resource Management(リソース管理)
Domain 6 - Performance Measurement(成果の測定)
まずは、CISAやCISMのように職能職域を明らかにいていくことが、CGEIT普及促進の鍵を握っているいると考えています。そして、これは支部CGEIT委員の共通認識でもあります。で、そんなことを日々考えてますので、長谷川さんのBlog記事、興味深く読ませていただきました。
2008年8月20日水曜日
COBIT実践ガイドブック出版記念特別セミナー開催
日経BP社より、「COBIT実践ガイドブック」が出版されます。このガイドブックは、COBITを実践的に活用するための解説書となっています。
著者は、ISACA東京支部元会長の梶本政利氏、同原田要之助氏、ISACA東京支部元理事の島田裕次氏、同渡部直人氏の4氏です。私も著者の皆さんには、私が何かとお世話になっております。
日常の業務を進めていきながら、とても素晴らしい本を著述されこと、ご苦労様と申し上げたいです。
このガイドブックは、コンサルタント業を継続していく上で、誠に有益なものです。会社の図書として購入するように、出版後に申請してみようと考えています。
出版に合わせて記念の特別セミナーが開催され、著者の4氏が講演をされるようです。
↓
COBIT実践ガイドブック出版記念特別セミナー開催
COBITという言葉は、コンサルティングの現場で頻繁に耳にするようになって来ました。私は、10年ほど前にCOBIT Ver2の幻の日本語版から知りましたが、ここにきてようやく業界内で認知されてきたように思われます。IT統制における事実上のフレームワークとして意識されてきたことの証なのでしょうか。
COBITは、これからの必要に応じて改良されていきます。その需要と重要度は、これからも益々高まっていくものと思います。
著者は、ISACA東京支部元会長の梶本政利氏、同原田要之助氏、ISACA東京支部元理事の島田裕次氏、同渡部直人氏の4氏です。私も著者の皆さんには、私が何かとお世話になっております。
日常の業務を進めていきながら、とても素晴らしい本を著述されこと、ご苦労様と申し上げたいです。
このガイドブックは、コンサルタント業を継続していく上で、誠に有益なものです。会社の図書として購入するように、出版後に申請してみようと考えています。
出版に合わせて記念の特別セミナーが開催され、著者の4氏が講演をされるようです。
↓
COBIT実践ガイドブック出版記念特別セミナー開催
COBITという言葉は、コンサルティングの現場で頻繁に耳にするようになって来ました。私は、10年ほど前にCOBIT Ver2の幻の日本語版から知りましたが、ここにきてようやく業界内で認知されてきたように思われます。IT統制における事実上のフレームワークとして意識されてきたことの証なのでしょうか。
COBITは、これからの必要に応じて改良されていきます。その需要と重要度は、これからも益々高まっていくものと思います。
2008年8月19日火曜日
ISACA名古屋支部がHPをリニューアル
本Blogからのリンクを登録しています、ISACA名古屋支部のHPをリニューアルされました。私見ですが、デザインが一新され、洗練されたイメージです。リンクもクリックし易い位置にあり、使い易さも格段に向上しています。
言うまでもありませんが、会員への情報発信と手段として最も重要な地位を占めていると言っても過言ではりません。そのHP作りっぱなしと言うわけにもいかず、組織の拡大や変更に対応して改善をさせていく必要があろうかと思います。
東京支部のCGEIT委員会のHP、担当として最新情報を適切に発信しなければと考えています。しかし、情報発信のタイミングやデザインなど改善しなければならない点が多々あります。亀の歩みになりますが、ISACA東京支部CGEIT委員会のHPも徐々に改善していこうと思います。
名古屋支部の新HPです。是非、ご参照下さい。
↓
ISACA名古屋支部新HP
言うまでもありませんが、会員への情報発信と手段として最も重要な地位を占めていると言っても過言ではりません。そのHP作りっぱなしと言うわけにもいかず、組織の拡大や変更に対応して改善をさせていく必要があろうかと思います。
東京支部のCGEIT委員会のHP、担当として最新情報を適切に発信しなければと考えています。しかし、情報発信のタイミングやデザインなど改善しなければならない点が多々あります。亀の歩みになりますが、ISACA東京支部CGEIT委員会のHPも徐々に改善していこうと思います。
名古屋支部の新HPです。是非、ご参照下さい。
↓
ISACA名古屋支部新HP
2008年8月18日月曜日
外付けHDDを購入しました
昨日、自宅PC環境の改善のため、外付けHDDを購入しました。早速、自宅PCへの接続とデータ移行を行いました。
購入した理由は、画像/動画データの増加により、PC本体のHDDの容量が逼迫、ページングなどにも支障を来たし、PCのパフォーマンスが著しく低下、その解決を図るためでした。
購入した製品は、BUFFALOのHD-CE1.0TU2、容量1TBはです。自宅近辺の家電量販店で、大枚\21,800の支出、支払い方法はクレジットカードで2回払いでした。このような高価な買い物した以上、代償は当然あり、子供に壊され買い替えたかったマウンテンバイクの購入は無期延期となりました。
PCですが、HDDは300GB、論理分割されています。Cドライブが40GB、Dドライブが260GBです。ページングは、Dドライブが指定されています。このDドライブに画像/動画データが230GB程溜まってしまい、容量を圧迫していました。極力不要なデータは削除したのですが改善にいたらず、ページングをCドライブに向けることも考えましたが、プログラムファイルとの分離と言う利点も捨てがたく、大きな改善効果も見込めないこと、画像/動画データの増加も見込まれることから、このような大きな出費を決意しました。
導入の成果ですが、3時間を費やして250GBの画像/動画データを移行、Dドライブを大幅に空けた結果、PCのパフォーマンスは大幅に改善、当初の目的を達成しました。
課題は、我が家の財務大臣の認可を得ておらず、諸物価高騰のおり、今後の政局に危惧があります。マウンテンバイクの購入延期だけでは済まず、断念に追い込まれる懸念があります。いや、懸念でなく、現実となるでしょう。
2年前のPC買い替えは、前のPCの故障、復旧断念というころで、緊急対策まさにBCPの発動とも言うべく事態でしたので、問題はありませんでした。
さて、今後の進展は如何に!!!!!!!!!!
購入した理由は、画像/動画データの増加により、PC本体のHDDの容量が逼迫、ページングなどにも支障を来たし、PCのパフォーマンスが著しく低下、その解決を図るためでした。
購入した製品は、BUFFALOのHD-CE1.0TU2、容量1TBはです。自宅近辺の家電量販店で、大枚\21,800の支出、支払い方法はクレジットカードで2回払いでした。このような高価な買い物した以上、代償は当然あり、子供に壊され買い替えたかったマウンテンバイクの購入は無期延期となりました。
PCですが、HDDは300GB、論理分割されています。Cドライブが40GB、Dドライブが260GBです。ページングは、Dドライブが指定されています。このDドライブに画像/動画データが230GB程溜まってしまい、容量を圧迫していました。極力不要なデータは削除したのですが改善にいたらず、ページングをCドライブに向けることも考えましたが、プログラムファイルとの分離と言う利点も捨てがたく、大きな改善効果も見込めないこと、画像/動画データの増加も見込まれることから、このような大きな出費を決意しました。
導入の成果ですが、3時間を費やして250GBの画像/動画データを移行、Dドライブを大幅に空けた結果、PCのパフォーマンスは大幅に改善、当初の目的を達成しました。
課題は、我が家の財務大臣の認可を得ておらず、諸物価高騰のおり、今後の政局に危惧があります。マウンテンバイクの購入延期だけでは済まず、断念に追い込まれる懸念があります。いや、懸念でなく、現実となるでしょう。
2年前のPC買い替えは、前のPCの故障、復旧断念というころで、緊急対策まさにBCPの発動とも言うべく事態でしたので、問題はありませんでした。
さて、今後の進展は如何に!!!!!!!!!!
2008年8月14日木曜日
Certified Information Systems Auditor(CISA)の認定証 Ⅱ
認定証紹介シリーズ、終了を宣言したばかり、舌の根も乾かないうちに前言撤回です。本日、会社に新しいCISAの認定証が届きました。ISO/IEC17024の要求事項に基づき、認定の有効期限が記載されたものです。デザインも変更されています。
正直なところ、前のデザインの方が好みです。また、思い入れも旧認定証の方が強いですね。だからと言って、この新しいデザインの認定証を粗末にするつもりは無く、CGEITやCISAの認定証と一緒に大切に保管します。
今度こそ、認定証紹介シリーズの終了です。
2008年8月12日火曜日
Certified Information Systems Auditor(CISA)の認定証
いよいよ本命の登場です。現在の業界内での基盤となっている認定証です。また、私と家族の日々の糧ともともなっています。
認定は、1998年の一月、10年前になります。当時は、試験は6月のみ、受験者が100名前後、合格者が10名程度、現在ほど知名度も業界でも影響度も小さい時代です。ISACA東京支部の会員数も200名にも達していなくて、3000名に迫らんとする今日を想像することすら出来ませんでした。
この認定証には、有効期限は記載されていません。CISAは、2008年から3年が有効期間なので、おそらく2011年には有効期限付の新しいデザインの認定証が送られてくるはずです。しかし、私は原点とも言うべき、この認定証は、今後も大事にしていくつもりです。10年という月日、紙製の認定証ですから劣化が免れませんが、今後は丁重に扱って、大事に大事にしていきます。
CGEIT/CISM/CISA、計5枚の認定証があるのですが、個人的に最も思い入れのあるのがCISAです。CISMとCGEITは、いずれもGrandfathering Provison、特例処置による申請を行い、試験を受けていないこと、CISAのみ受験し、しかも一回目は見事敗退、それだけに合格した時の喜びがあったことなどが理由です。
CISMやCGEIT、今後もその価値を高めていく事でしょうが(というか高めていくのが、ISACAやホルダーの責務だと思いますが)、このCISAの認定証に、個人として感じている価値観は、変わらないと思います。
以上、認定証紹介シリーズの終了です。
では
2008年8月11日月曜日
Certified Information Security Manager(CISM)認定証 新版の新
Certified Information Security Manager(CISM)認定証 新版の新です。この認定証は、有効期限付の認定証が郵送されてきた翌月、2007年9月に新たに送付されてきました。
何故、再送付されきたのか・・・ 同封された文書を読んで、合点しました。問題は、有効期限だったのです。2007年から3年間有効であるならば、2010年で満了すべきですが、前月の認定証は2009年1月が期限だったのです。そこで、ISACA国際本部は、訂正された2010年1月まで有効な認定証を再送付してきたのです。私は、全く気がつきませんでしたが、おそらく本部に有効期限につき、問合せがあったのだと思われます。
これが、CISM認定証が3枚ある理由です。勿論、有効なのは2007年9月に郵送されたものですが、私はこれからも全て保存していくつもりです。
2008年8月8日金曜日
Certified Information Security Manager(CISM)認定証 新版
昨日に引続き、Certified Information Security Manager(CISM)認定証の紹介で、今回は新版の旧です。これは、2007年の8月に送付されてきました。新旧の違いは、デザインもさることながら、有効期限が記載されたこと。次にISACAのロゴが変更になっています。
有効期限は3年です。これは、CISAやCISMが3年で120ポイントのCPEがないと更新できないことに関係しています。つまり。3年を1サイクルとして、有効期限にしているのです。どうも、そのサイクル毎に認定証を発行することになったようです。2007年から3年間が1サイクルなので、この認定証が送られてきました。
有効期限、よくみると2009年1月31日、3年間なら2010年では・・・・? これが3枚目の認定証に関係しています。その訳は次回に
2008年8月7日木曜日
Certified Information Security Manager(CISM)認定証 旧版
今回は、Certified Information Security Manager(CISM)認定証の旧版の紹介です。旧版と明言する以上、新版もあるのかと問われることになります。それは、然りです。
ISACA国際本部は、認証機関への要求事項であるISO/IEC 17024を取得しました。その要求事項を充足させるため、認定証に有効期限を記載するようなりました。従って、ISACA国際本部からのCISM認定証は3枚(その理由は後ほど)あるのです。
認定証は有効期限付になり、デザインも変更されました。今回は、古い版の、有効期限無し認定証をup致しました。このデザインでは、もう発行されることはないので、希少価値は・・・ある訳ないですね。
次回は、新版の旧を紹介します。
2008年8月6日水曜日
CPE監査
昨日、ISACA国際本部から要求のあった2007年申請のCPEの証明文書をメールで送信しました。
ISACA国際本部より、早速受領メッセージがありました。
証明文書発信 20:03 (日本時間) 米国中部標準時 6:03(サマータイム)
受領メッセージ 23:05 (日本時間) 米国中部標準時 9:05(サマータイム)
素早い対応でありました。
ISACA国際本部より、早速受領メッセージがありました。
Mr. Masuda,
Thank you for the support documentation for the audit. The audit committee has reviewed it and it has been approved. A letter will now be sent to you that confirms you are in compliance with the 2007 audit.
証明文書発信 20:03 (日本時間) 米国中部標準時 6:03(サマータイム)
受領メッセージ 23:05 (日本時間) 米国中部標準時 9:05(サマータイム)
素早い対応でありました。
2008年8月5日火曜日
ISACA CPE監査始末記
先ほど、CPE監査にて要求された2007年申請のCPEのEvidence、証拠文書をPDF化し、電子メールに添付して、ISACA国際本部のCertification Audit Review Committee宛てに発信しました。
後は、Certification Audit Review Committeeでの審査結果を待つのみです。
私が証明すべき2007年のCPEは64です。
その内訳は、以下の通りです。
1 ISACA関係
ISACA東京支部理事として、支部への貢献 10CPE
ISACA月例会参加 6回 2CPE × 6 = 12CPE
ITガバナンスセミナー参加 5CPE
計 27CPE
2 日本セキュリティ監査協会(JASA)関係
情報セキュリティシンポジウム 6CPE
情報セキュリティ人材育成セミナー 6CPE
全国縦断情報セキュリティセミナー IN 名古屋 1CPE
計 13CPE
3 Abitus(旧USエデュケーションネットワーク)関係
公認情報システム監査人(CISA)講座講師 23CPE
以上です。2と3については、JASA並びにAbitusに依頼し、私が作成した文書に責任者の直筆署名を貰いました。
1に関しては、月例会の受講票を用意しました。ISACA東京支部理事としての活動に関しては、やはり私が作成した文書に支部会長の太田さんの署名をいただきました。
��,2,3で集めた文書類に加えて、63CPEの内訳を説明した文書を別途作成し、それを本文としました。全文書をPDFファイルに変換し、メールに添付してCertification Audit Review Committee宛に発信しました。おそらく、10月頃までには審査結果が通知される筈です。前回監査と同じ要領ですので、まず大丈夫だと思います。取り敢えずは、Certification Audit Review Committeeからの受領メッセージを待つ事といたします。
CPE監査に対象となった方の中には、100枚以上の文書をCertification Audit Review Committeeに送ったケースもあったようです。私は、合計で15枚にも達していません。たしか、前回は10枚以下であった記憶があります。
基本的には、CPEを確実に証明できれば良いのです。CPEの管理台帳を作り、証拠を集めておき、確実に証明可能なCPEのみ申請しておけば、監査対象になっても慌てることはないです。
人事を尽くして天命を待つのみ
TO : Certification Audit Review Committee
I prepared the documents which proved my CPE which you demanded.
And I converted the documents into PDF and attached it to this email.
I hope you examine these documents immediately and to accept continuation of my CISM certification.
Sincerely,
Masuda Seiichi, CGEIT,CISM,CISA
後は、Certification Audit Review Committeeでの審査結果を待つのみです。
私が証明すべき2007年のCPEは64です。
Listed below are the CPE hours you reported for the 2007 period. Please provide full and complete documentation as required by the policy in support of the CPE hours reported, otherwise additional follow-up will be necessary and will delay the verification process.
2007 CPE Hours Reported: 63
その内訳は、以下の通りです。
1 ISACA関係
ISACA東京支部理事として、支部への貢献 10CPE
ISACA月例会参加 6回 2CPE × 6 = 12CPE
ITガバナンスセミナー参加 5CPE
計 27CPE
2 日本セキュリティ監査協会(JASA)関係
情報セキュリティシンポジウム 6CPE
情報セキュリティ人材育成セミナー 6CPE
全国縦断情報セキュリティセミナー IN 名古屋 1CPE
計 13CPE
3 Abitus(旧USエデュケーションネットワーク)関係
公認情報システム監査人(CISA)講座講師 23CPE
以上です。2と3については、JASA並びにAbitusに依頼し、私が作成した文書に責任者の直筆署名を貰いました。
1に関しては、月例会の受講票を用意しました。ISACA東京支部理事としての活動に関しては、やはり私が作成した文書に支部会長の太田さんの署名をいただきました。
��,2,3で集めた文書類に加えて、63CPEの内訳を説明した文書を別途作成し、それを本文としました。全文書をPDFファイルに変換し、メールに添付してCertification Audit Review Committee宛に発信しました。おそらく、10月頃までには審査結果が通知される筈です。前回監査と同じ要領ですので、まず大丈夫だと思います。取り敢えずは、Certification Audit Review Committeeからの受領メッセージを待つ事といたします。
CPE監査に対象となった方の中には、100枚以上の文書をCertification Audit Review Committeeに送ったケースもあったようです。私は、合計で15枚にも達していません。たしか、前回は10枚以下であった記憶があります。
基本的には、CPEを確実に証明できれば良いのです。CPEの管理台帳を作り、証拠を集めておき、確実に証明可能なCPEのみ申請しておけば、監査対象になっても慌てることはないです。
人事を尽くして天命を待つのみ
2008年8月4日月曜日
Secure OS
日本においてはSecure OS、正確な英語的表現だとSecurity focused operating systemだそうです。以前から耳にしていたのですが、その度に生き残っている恐竜、メインフレームに愛着がある、私は思うのです。安全なOS、それはメインフレームだと。
メインフレーム、Unix系OSやWindows系サーバーに比し、Seucreだと思います。しかし、生き残りし恐竜を愛する者達以外は、そのように考えないようです。
Secure OSとは、強制アクセス制御や最小特権を実現する必要があるらしいです。であるならば、RACFやCA-Top Secret,CA-ACF2、を利用すれば、これらは実現可能です。また、ログもSyslogでもかなりの情報が取得てきますし、SMFデータを解析することで、より詳細な履歴を調査することも可能です。
Secure OS、その概念に最も近いのはメインフレームです、と声を大にして申し上げます
メインフレーム、Unix系OSやWindows系サーバーに比し、Seucreだと思います。しかし、生き残りし恐竜を愛する者達以外は、そのように考えないようです。
Secure OSとは、強制アクセス制御や最小特権を実現する必要があるらしいです。であるならば、RACFやCA-Top Secret,CA-ACF2、を利用すれば、これらは実現可能です。また、ログもSyslogでもかなりの情報が取得てきますし、SMFデータを解析することで、より詳細な履歴を調査することも可能です。
Secure OS、その概念に最も近いのはメインフレームです、と声を大にして申し上げます
2008年8月3日日曜日
こちらのブログもよろしく!
6月に実施された試験の受験者の皆さんには、その結果が配信されているかと思います。桜が咲いた方おめでとうございます。改めて次回の挑戦を決意した方、今度こそ桜を咲かせて下さい。
私が合格した11年前は、まだ電子メールでの配信は行われて折らず、8月中旬頃まで試験結果が郵送されるの待っていたものでした。
ところで、12月のCISA/CISM試験を受験される方々への説明、CISAレビューコースが開催されます。
CISA/CISM試験を受験 受験者説明会
CISAレビューコース
受験を予定されている方、ご参加下さい。
私が合格した11年前は、まだ電子メールでの配信は行われて折らず、8月中旬頃まで試験結果が郵送されるの待っていたものでした。
ところで、12月のCISA/CISM試験を受験される方々への説明、CISAレビューコースが開催されます。
CISA/CISM試験を受験 受験者説明会
CISAレビューコース
受験を予定されている方、ご参加下さい。
2008年8月1日金曜日
Certified in the Governance of Enterprise IT(CGEIT)の認定証
本日、勤務先にCertified in the Governance of Enterprise IT(CGEIT)の認定証が、ISACA国際本部より郵送されてきました。期限は、2012年1月31日までです。これで、ようやく認定を得た実感が湧いてまいりました。
CGEITを狙っている皆様、これがCGEITの認定証です。この認定証を目指し、Grandfathering Provision、是非とも応募して下さい。
ところで、私の認定取得履歴ですが、下記の通りです。
CISA 1998年認定
CISM 2003年認定
CGEIT 2008年認定
これで、ISACAが運営する全ての認定制度の証明書が揃いました。今まで気がつかなかったのですが、5年毎に認定を得ていたのですね。
CISAやCISMの認定証も紹介したいと思います。
2008年7月31日木曜日
システム管理者の日 Ⅱ - System Administratorは、管理者なのか
7月25日は、‘システム管理者の日’でありました。全国のシステム管理者に皆様は、日頃の労苦が報われるような記念品などもらえたのでしょうか。
ところで、このシステム管理者の日、原文は’ System Administrator Appreciation Day’です。まさしくSystem Administratorに感謝する日ということなのですが、このSystem Administratorの訳が気になっています。ちょっと違和感があるのです。
System Administrator は管理者なのか、一考察を
慣例的にシステム管理者と訳しますが、ではSystem Manager何と訳すのでしょうか。こちらもシステム管理者ですね。では、両者とも同じ職務でしょうか?
以前からSystem Administratorの訳文に違和感を持っていました。業界関係者と話すと、System Administratorの訳について、時々議論になることがあります。System Administratorの訳が実態に則していないので、違和感をもつ関係者は少なくないのです。
私見ですが、System Administratorは‘システム担当者’と訳すべきだと考えています。System Administratorは、組織のITの運用や維持管理、更新、変更等に携わる実務担当者を指し示し、System Managerは上司として、System Administrator(システム担当者)を指揮、監督するのが職務であり、実務を直接的に職掌するのではない、というのが私の理解、認識です。
System ManagerとSystem Administratorを双方ともシステム管理者と訳することで、システム管理者がシステム管理者を指揮監督するという珍妙な日本語になりかねません。両者の職務、職位の違いが明確になる、実態に則した訳文が必要だと思います。
ところで、このシステム管理者の日、原文は’ System Administrator Appreciation Day’です。まさしくSystem Administratorに感謝する日ということなのですが、このSystem Administratorの訳が気になっています。ちょっと違和感があるのです。
System Administrator は管理者なのか、一考察を
慣例的にシステム管理者と訳しますが、ではSystem Manager何と訳すのでしょうか。こちらもシステム管理者ですね。では、両者とも同じ職務でしょうか?
以前からSystem Administratorの訳文に違和感を持っていました。業界関係者と話すと、System Administratorの訳について、時々議論になることがあります。System Administratorの訳が実態に則していないので、違和感をもつ関係者は少なくないのです。
私見ですが、System Administratorは‘システム担当者’と訳すべきだと考えています。System Administratorは、組織のITの運用や維持管理、更新、変更等に携わる実務担当者を指し示し、System Managerは上司として、System Administrator(システム担当者)を指揮、監督するのが職務であり、実務を直接的に職掌するのではない、というのが私の理解、認識です。
System ManagerとSystem Administratorを双方ともシステム管理者と訳することで、システム管理者がシステム管理者を指揮監督するという珍妙な日本語になりかねません。両者の職務、職位の違いが明確になる、実態に則した訳文が必要だと思います。
2008年7月30日水曜日
CGEIT認定証が届かず、CGEIT試験のパンレットが届きました
特例処置による申請制度、Grandfathering Provisionにって、目出度くCGEITに認定されたました。
その通知メールは受け取ったのですが、正式な認定証が手元に届いていません。それどころか、12月に実施されるCGEIT試験のパンフレットが届きました。
ISACA国際本部からの郵便物の宛先は、全て’MASUDA Sseiichi,CGEIT,CISA,CISM’となっており、今更受験案内もないのですが・・・、全く掲経費の無駄ですね。
ISACA本部にメールで問い合わせたところ、7月7日には郵送しているとのこと。今週末までに届かなかったら連絡するようにとの返信でした。おそらく、届くことはないと思うので、週末の再問い合わせをしますが、再発行してもらうしかないですね。
やはり、認定証が手元にないと、何か不安です。
その通知メールは受け取ったのですが、正式な認定証が手元に届いていません。それどころか、12月に実施されるCGEIT試験のパンフレットが届きました。
ISACA国際本部からの郵便物の宛先は、全て’MASUDA Sseiichi,CGEIT,CISA,CISM’となっており、今更受験案内もないのですが・・・、全く掲経費の無駄ですね。
ISACA本部にメールで問い合わせたところ、7月7日には郵送しているとのこと。今週末までに届かなかったら連絡するようにとの返信でした。おそらく、届くことはないと思うので、週末の再問い合わせをしますが、再発行してもらうしかないですね。
やはり、認定証が手元にないと、何か不安です。
2008年7月29日火曜日
私が所属する情報システムコントロール協会(ISACA)東京支部の本部は、アメリカ合衆国イリノイ州のシカゴにあります。私自身は、まだ本部に行ったことは無いのですが、東京支部からは定期的に本部に理事会メンバーを派遣しています。国際本部も基本的にはボランティアにより運営されています。とは言っても、国際本部の運営、ボランティアだけではこなせるものでなく、専従の事務局員います。ただ、国際本部の執行メンバーはボランティアによって構成されていることは、東京支部と同様です。
この度、ISACA東京支部の元会長の原田要之助氏が、ISACA国際本部のVice Presidentに選出されました。国際本部の執行メンバーに日本から人材を送り込むことは、日本国内3支部の数年来の課題でありました。原田氏が、国際本部Vice Presidentに就任されたことは、日本の発言力を向上させるという点で画期的なことだと思います。今後の氏の活躍を大いに期待いたします。
原田要之助氏 ISACA国際本部Vice Presidentに選出
この度、ISACA東京支部の元会長の原田要之助氏が、ISACA国際本部のVice Presidentに選出されました。国際本部の執行メンバーに日本から人材を送り込むことは、日本国内3支部の数年来の課題でありました。原田氏が、国際本部Vice Presidentに就任されたことは、日本の発言力を向上させるという点で画期的なことだと思います。今後の氏の活躍を大いに期待いたします。
原田要之助氏 ISACA国際本部Vice Presidentに選出
2008年7月25日金曜日
システム管理者の日
本日、7月25日は’システム管理者の日’なのだそうです。情報システムが、日々安定稼動するように粛々と働き、システム管理者が一年に一度だけ関係者から感謝を受ける日ということらしいです。
システム管理者の日 By ウイキペディア
情報システム、ITというものは安定稼動して当たり前、何か事が起こると昼も夜も休みもなく、黙々と働く、システム管理者、年に一度くらいは感謝されてもいいかなと、思いました。
全国、全世界のシステム管理者の皆様、ご苦労様
システム管理者の日 By ウイキペディア
情報システム、ITというものは安定稼動して当たり前、何か事が起こると昼も夜も休みもなく、黙々と働く、システム管理者、年に一度くらいは感謝されてもいいかなと、思いました。
全国、全世界のシステム管理者の皆様、ご苦労様
2008年7月23日水曜日
アクセス数が10,000を突破 - 御礼申し上げます。
当Blogへのアクセス数が、カウンター設置以来10,000を突破しました。カウンターの設定で、同一IPアドレスからの重複カウントはしないので、ユニークアクセスのみで、累計10,000を超過しました。
当Blogにお越しいただいた皆様に、御礼申し上げます。
アクセスカウンタの設置は、Blog開設後2年以上経過してからなので、開設以来のアクセス数は不明なのですが、一日平均だと約50アクセス/日となります。
検索エンジンにて、CISAやCISM、ISACAなどのキーワードで探索して、当Blogへアクセスする方が多いようです。最近は、これにCPE(監査対象となった人でしょうね)、CGEITなどのキーワードも目立ってきました。
基本的には、情報セキュリティ、ITガバナンス、内部統制などが主題なのですが、時として宇宙開発や柔道に話題が飛びます。これは、単に私個人が興味あるだけで、主題には全く関係有りませんが、お気楽なBlogなので、まあいいかなと思ってます。今後も、このスタンスは変えずにいこうと思います。
このBlogは、私の私見を掲載しておりますので、所属する企業、団体の見解を代表するものではありません。今回、夏用にリニューアルしましたが、この機会にプロフィールを修正、所属企業名を削除しました。これは、個人の見解表明であることを明確にするためです。個人の資格で参加している、ISACAや活動内容があるていど公になっているJASAのことは、そのままにしました。これは、両団体での活動内容がweb等で公開されているからです。
50アクセス/日は、決して多い数ではないと思いますが、、元々アクセス数を競う気が全くないので、増やそうと特別なことをすることは、全く考えていません。今のスタンスで継続させていきます。
次は、20,000アクセスを目指して、頑張らずにお気楽にいきます。ので、今後も引続き宜しくお願い致します。
m(__)m
マスダ@情報セキュリティコンサルタントのお気楽Blogオーナー
当Blogにお越しいただいた皆様に、御礼申し上げます。
アクセスカウンタの設置は、Blog開設後2年以上経過してからなので、開設以来のアクセス数は不明なのですが、一日平均だと約50アクセス/日となります。
検索エンジンにて、CISAやCISM、ISACAなどのキーワードで探索して、当Blogへアクセスする方が多いようです。最近は、これにCPE(監査対象となった人でしょうね)、CGEITなどのキーワードも目立ってきました。
基本的には、情報セキュリティ、ITガバナンス、内部統制などが主題なのですが、時として宇宙開発や柔道に話題が飛びます。これは、単に私個人が興味あるだけで、主題には全く関係有りませんが、お気楽なBlogなので、まあいいかなと思ってます。今後も、このスタンスは変えずにいこうと思います。
このBlogは、私の私見を掲載しておりますので、所属する企業、団体の見解を代表するものではありません。今回、夏用にリニューアルしましたが、この機会にプロフィールを修正、所属企業名を削除しました。これは、個人の見解表明であることを明確にするためです。個人の資格で参加している、ISACAや活動内容があるていど公になっているJASAのことは、そのままにしました。これは、両団体での活動内容がweb等で公開されているからです。
50アクセス/日は、決して多い数ではないと思いますが、、元々アクセス数を競う気が全くないので、増やそうと特別なことをすることは、全く考えていません。今のスタンスで継続させていきます。
次は、20,000アクセスを目指して、頑張らずにお気楽にいきます。ので、今後も引続き宜しくお願い致します。
m(__)m
マスダ@情報セキュリティコンサルタントのお気楽Blogオーナー
2008年7月19日土曜日
記録の保存 - 大分県教育委員会の不正から
大分県教育委員会の教員採用試験での不正、連日報道される不法行為の内容に驚くばかりですが、その中でも気になることがあり、疑問の思っておりました。それは、得点を下げられ不法に不合格にされた被害者(私は、被害者と言っていいと思います)を救済しようにも、試験結果が廃棄されて不正合格者と不合格者が不明とのこと、でも2006年と2007年の試験なのに、と思っていたのですが・・・ 被害者救済のためには、警察に押収された被疑者のPC内のデータが頼りだとの報道もあり、おいおいそれはないだろうと、思ってしまうのは、私だけではないと思うのですが。
以下は、読売新聞Webからの引用です。
ISMSの認証支援や財務報告に係る内部統制の整備などでは、記録の保存を重視、一定期間の保存を義務つけます。当局への記録の提出や監査に備えるためですが、そういった経験から、前年と前々年の記録がないというのに、大なる違和感があったのです。
記事からみると、やはり記録の廃棄は規定違反だったようです。当然でしょうと、思いました。不正や疑惑を調査するためには、過去の記録を調査することが重要です。透明性の確保のためにも、記録の保存が大事だと、改めて確認させられる事件です。
以下は、読売新聞Webからの引用です。
大分の教員採用試験答案、高校でも廃棄…保存義務期間知らず
教員汚職
大分県の教員採用汚職事件をめぐり、県教委が、高校教員採用試験の答案用紙などを「量が膨大で置く場所がない」として、30年間の保存を義務づけた内部の文書管理規定に反して毎年度末に廃棄していたことがわかった。
県教委によると、汚職事件発覚後に調べたところ、昨年行われた2008年度試験の答案や評定書が、今年3月に廃棄されていた。高校教員の1次、2次試験の答案や面接結果を記録した評定書は最重要の30年間保存文書に指定されているが、担当の高校教育課に保存義務を知っていた職員はおらず、長年、新規採用者の配置が決まる3月末に捨てていたという。
県教委は1日付で規定を改め、高校を含めた全採用試験の答案を試験実施の翌年度末まで、評定書は5年間保管することにした。同県では小中学校教員の採用試験でも保存期限前の答案廃棄が判明している。
��2008年7月19日03時05分 読売新聞)
ISMSの認証支援や財務報告に係る内部統制の整備などでは、記録の保存を重視、一定期間の保存を義務つけます。当局への記録の提出や監査に備えるためですが、そういった経験から、前年と前々年の記録がないというのに、大なる違和感があったのです。
記事からみると、やはり記録の廃棄は規定違反だったようです。当然でしょうと、思いました。不正や疑惑を調査するためには、過去の記録を調査することが重要です。透明性の確保のためにも、記録の保存が大事だと、改めて確認させられる事件です。
2008年7月16日水曜日
年金情報の漏洩でなく、’売る’という犯罪行為
すっかり不祥事に巣窟、デパート、内部統制の不存在の見本ともなった、社会保険庁。またまた、驚くべき、不祥事です。
要は、個人情報漏洩なのですが、その悪質さが際立っていて、記事を読んだ時は「本当かよ」と思わず呟いてしまいました。
いやはや、驚くべきものです。
(CPE監査ネタが続いたので、この辺で時事問題を)
以下は、朝日新聞Webからの引用です。
凄いですね。記事のタイトルも、個人情報漏洩でなくて、’年金記録を売った’です。朝日新聞も、余程悪質だとみたのだとおもいますが、私も同意です。
公正証書原本不実記載、戸籍なので電子化されていないということなのでしょうね。
他人(恐らく氏名不詳)の浮いた年金記録を父親に統合、凄いですね、これ完全な詐欺です。
問題は、被疑者が年金記録に自由のアクセスできたことです。元々、アクセス権限があったのか、あもしくはアクセス管理がされていないのか。
前者であった場合、正当な手続で認可されたアクセス権限者の悪意あるアクセスは防ぐことができません。何故なら、どんなアクセスコントロールソフトウェアも人間の内面の悪意など、察知すつことなど出来ないからです。
後者の場合、管理上の責任です。予防的コントロールとしてのアクセスコントロールやIDの管理、発見的コントロールとしてのアクセスログの定期レビューなどが不充分(もしくは不存在)あった場合、監査上は重大な不備の典型ですね。
何らかのアクセスコントロールがあったと推測していますが、権限ある者の悪意あるアクセス、今のところ防ぎようがないだけに、このような事件の再発が懸念されますね。
お役署って、凄い。下々の者、地下の者では適いません。
要は、個人情報漏洩なのですが、その悪質さが際立っていて、記事を読んだ時は「本当かよ」と思わず呟いてしまいました。
いやはや、驚くべきものです。
(CPE監査ネタが続いたので、この辺で時事問題を)
以下は、朝日新聞Webからの引用です。
ヤミ金に年金記録売った疑い、元社保庁職員を再逮捕へ2008年7月16日15時9分
名古屋市にある中村社会保険事務室の元職員H.T被告(53)=詐欺罪などで公判中=が在職中、同事務室管内の事業所に関する社会保険料の情報を不正に漏洩(ろうえい)する見返りに、貸金業者から現金数十万円を受け取っていた疑いが強まったとして、愛知県警は16日午後にもH被告を加重収賄容疑で再逮捕する方針を固めた。社会保険庁のずさんなデータ管理が社会問題化する中、「情報を売る」ところまで行き着いた職員の行為が刑事事件化される事態となる。
貸金業者側は贈賄罪の公訴時効が成立しており、立件は見送られる見通し。
捜査2課のこれまでの調べによると、H被告は中村社会保険事務室に主任社会保険調査官として勤務していた04年末ごろ、端末で事業所の社会保険料の納付状況などに関する情報を閲覧、印刷したうえで借金をしていた名古屋市内の無登録の貸金業者に渡し、その見返りとして現金数十万円を受け取った疑いが強まったという。 愛知社会保険事務局などによると、主任社会保険調査官は、管内の事業所が従業員の年収などを適正に届け出ているかなどを調べる役職で、調査資料として事業所の情報を端末で閲覧し、印刷することもできる立場だという。
H被告は他人の「宙に浮いた年金記録」を父親の記録に不正に統合する手口で遺族年金約70万円をだまし取ったとして今年5月に詐欺罪で起訴された。今年3月にもフィリピン人女性と偽装結婚したとして、公正証書原本不実記載、同行使の罪で起訴されており、現在は両事件について公判中。H被告はいずれの起訴事実についても認めており、検察側からは懲役3年を求刑されている。
H被告は社会保険庁を07年11月に自己都合で退職していた。年金詐取事件などの公判では、H被告が以前からフィリピンパブに頻繁に通ったり、フィリピンへの渡航を繰り返すなどして、貸金業者から多額の借金をしていたことが検察側によって明らかにされている。
凄いですね。記事のタイトルも、個人情報漏洩でなくて、’年金記録を売った’です。朝日新聞も、余程悪質だとみたのだとおもいますが、私も同意です。
公正証書原本不実記載、戸籍なので電子化されていないということなのでしょうね。
他人(恐らく氏名不詳)の浮いた年金記録を父親に統合、凄いですね、これ完全な詐欺です。
問題は、被疑者が年金記録に自由のアクセスできたことです。元々、アクセス権限があったのか、あもしくはアクセス管理がされていないのか。
前者であった場合、正当な手続で認可されたアクセス権限者の悪意あるアクセスは防ぐことができません。何故なら、どんなアクセスコントロールソフトウェアも人間の内面の悪意など、察知すつことなど出来ないからです。
後者の場合、管理上の責任です。予防的コントロールとしてのアクセスコントロールやIDの管理、発見的コントロールとしてのアクセスログの定期レビューなどが不充分(もしくは不存在)あった場合、監査上は重大な不備の典型ですね。
何らかのアクセスコントロールがあったと推測していますが、権限ある者の悪意あるアクセス、今のところ防ぎようがないだけに、このような事件の再発が懸念されますね。
お役署って、凄い。下々の者、地下の者では適いません。
CPE監査制度
ISACAには、CPE監査制度がありますが、CISSPとかCIAなどは同様な制度はあるのでしょうか、また、更新制を取り入れている国内の資格や認定制度では、制度の有効性をどのように担保しているのでしょうか。
折りしも、日本セキュリティ監査協会の公認情報セキュリティ監査人(CAIS)の資格更新申請が、8月1日から始まります。私も資格更新期なので、更新ポイントの登録が必要です。ISACAと違い、CPEポイントのみを申告するのでなく内訳を含めて登録するので、虚偽申告の可能性は低いような気がします。とはいっても、可能性は排除できないですからね。
他の制度の実態など、参考のために知りたいところです。当該制度の関係者の皆さん、教えていただけませんでしょうか。お願いします。
(JASA事務局の皆さん、監査制度を始めるしても、決して私を対象としないで下さい)
折りしも、日本セキュリティ監査協会の公認情報セキュリティ監査人(CAIS)の資格更新申請が、8月1日から始まります。私も資格更新期なので、更新ポイントの登録が必要です。ISACAと違い、CPEポイントのみを申告するのでなく内訳を含めて登録するので、虚偽申告の可能性は低いような気がします。とはいっても、可能性は排除できないですからね。
他の制度の実態など、参考のために知りたいところです。当該制度の関係者の皆さん、教えていただけませんでしょうか。お願いします。
(JASA事務局の皆さん、監査制度を始めるしても、決して私を対象としないで下さい)
2008年7月15日火曜日
CPE監査
CPE監査の対象(2回目)になったのを機会に、改めて継続教育プログラム(CPE)という制度について、考えてみました。
このCPEという制度、名称は多少異なっても、ISACA固有の制度ではありません。CISSPやCIAを認定している機関でも同様の制度を持っています。いずれも米国発の制度ですが、日本国内の認定制度でも、最近は似たような仕組みを取り入れる例が見けられます。
日本セキュリティ監査協会(JASA)で認定する公認情報セキュリティ監査人(CAIS)制度でも、
資格維持には資格維持プログラム運営基準に定める資格維持ポイントの獲得を義務付けています。改めて、その意義について考えてみることも無駄でないと思います。
CISAもCIAもCISSPも米国発の認定制度です。元々、米国では永久免許とか永久資格認定という発想そのものがないのですね。例えば、医師免許でも日本では永久免許制度ですが、米国は有効期限制度なのですね。
この医師免許制度を比較すると、日本は大学医学部在学中、もしくは卒業後に医師国家試験を受験、合格すると本人が返上しない限り、効力は永久に継続します。
米国は、週毎に制度が微妙に異なるので、一概に比較できないのですが、概ね下記の手続は各州共通だそうです。
1 USMLE(United States Medical Licensing Exam)を受験、合格すること。このUSMLEに合格しても、直ちに医師免許が交付されるのではなく、医師登録できる資格が認定される。(USMLEの詳細は省略)
2 USMLE合格後、所定の条件を満たした施設、医療機関での研修を1~2年程度経験すること
3 臨床実習の必要時間を充足していること
上記の三つが揃って、初めて医師免許の応募をすることが出来ます。医師免許は、登録制であり、本人が必要条件を満たしていることを証明し、医師免許が交付されます。
医師免許には有効期限があり、定められた年数毎に更新手続が必要で、それも更新申請すれば、無条件に認められるのではなく、生涯教育制度(CME:Continuous Medical Education)と呼ばれるポイントを獲得する必要があります。CMEは、州毎に制度が異なるようです。また、免許の有効期限にも異なるようですが、更新制であることは共通です。
医学とは、日々進歩するものであり、その免許も進歩に対応しない限り、継続させないというのは、米国社会の共通認識、お約束事のようです。
日本は、医師免許は合格さえすれば、永久に効力が継続し、本人がそのスキルを維持しているか問われません。
米国の医師免許制度、CISAやCISM、CGEITの認定制度、更新制度に似ています。例え試験に合格しても、関連する5年の職務経歴の申告が必要で、3年に120CPE以上の継続教育ポイントの獲得も必要です。システム監査技術者試験のように永久に効力は、ありません。
日本の資格や認定制度の多くは更新制をとっていません。が、最近は更新制を取り入れる傾向にありますし、教員免許のように制度を改革、無条件な継続を改める動きがあります。確かに、確かに免許はあるが、何年も実務から離れた、もしくは経験のないペーパー教師や医師を信頼しろと言われても抵抗がありますね。
振り返ってみれば、日本でも自動車運転免許は更新制です。3年乃至5年毎に更新申請とし、所定の講習や視力のチェックを受ける訳ですから、人の命や教育に携わる医師や教員の免許が無条件に継続するのは如何なものでしょうか、という疑問が起きてきます。
自動車運転免許の更新は、様々な利権もあり、綺麗事ばかりでないしょうが、更新時の道交法の改正点の講習とか視力の検査には一定の合理性があるように思います。逆に無条件に継続させることの合理的説明を求めたいですね。
CPE制度も良いことばかりではなく、その申請の有効性の確保が問題でしょう。そして、その有効性を確保する手段として、CPEの監査制度があるのは間違いありません。いつ監査対象なるか分からないという状況を設定することで、虚偽の申請を牽制し、制度の有効性を維持する、確かに3年間に2度も監査の対象になれば、牽制効果は十分です。
プロゴルフの選手、一定の条件(優勝回数)を満たした場合は、永久シード権が認められています。また、指定された試合に優勝すれば、複数年のシード権が与えられます。同じように、一定の条件を充足すれば、更新条件を緩和することも必要かと思います。例えば、僻地医療に従事している場合、継続条件を満たすことは難しいので、一部緩和すること必ずしも非合理的とは思われません。
システム監査もしくは情報セキュリティの研究や制度設計、基準作成などに従事した場合に継続条件の緩和など望みたいです。
CPEという制度、改めて考えてみると、なるほど合理的な理由があるなと思いますし、制度の有効性を維持するためには、CPE監査制度も必要です。が・・・・ 何故、自分が2度もその対象となってしまうか・・・・ 3度目がないこと祈るばかりです。
このCPEという制度、名称は多少異なっても、ISACA固有の制度ではありません。CISSPやCIAを認定している機関でも同様の制度を持っています。いずれも米国発の制度ですが、日本国内の認定制度でも、最近は似たような仕組みを取り入れる例が見けられます。
日本セキュリティ監査協会(JASA)で認定する公認情報セキュリティ監査人(CAIS)制度でも、
資格維持には資格維持プログラム運営基準に定める資格維持ポイントの獲得を義務付けています。改めて、その意義について考えてみることも無駄でないと思います。
CISAもCIAもCISSPも米国発の認定制度です。元々、米国では永久免許とか永久資格認定という発想そのものがないのですね。例えば、医師免許でも日本では永久免許制度ですが、米国は有効期限制度なのですね。
この医師免許制度を比較すると、日本は大学医学部在学中、もしくは卒業後に医師国家試験を受験、合格すると本人が返上しない限り、効力は永久に継続します。
米国は、週毎に制度が微妙に異なるので、一概に比較できないのですが、概ね下記の手続は各州共通だそうです。
1 USMLE(United States Medical Licensing Exam)を受験、合格すること。このUSMLEに合格しても、直ちに医師免許が交付されるのではなく、医師登録できる資格が認定される。(USMLEの詳細は省略)
2 USMLE合格後、所定の条件を満たした施設、医療機関での研修を1~2年程度経験すること
3 臨床実習の必要時間を充足していること
上記の三つが揃って、初めて医師免許の応募をすることが出来ます。医師免許は、登録制であり、本人が必要条件を満たしていることを証明し、医師免許が交付されます。
医師免許には有効期限があり、定められた年数毎に更新手続が必要で、それも更新申請すれば、無条件に認められるのではなく、生涯教育制度(CME:Continuous Medical Education)と呼ばれるポイントを獲得する必要があります。CMEは、州毎に制度が異なるようです。また、免許の有効期限にも異なるようですが、更新制であることは共通です。
医学とは、日々進歩するものであり、その免許も進歩に対応しない限り、継続させないというのは、米国社会の共通認識、お約束事のようです。
日本は、医師免許は合格さえすれば、永久に効力が継続し、本人がそのスキルを維持しているか問われません。
米国の医師免許制度、CISAやCISM、CGEITの認定制度、更新制度に似ています。例え試験に合格しても、関連する5年の職務経歴の申告が必要で、3年に120CPE以上の継続教育ポイントの獲得も必要です。システム監査技術者試験のように永久に効力は、ありません。
日本の資格や認定制度の多くは更新制をとっていません。が、最近は更新制を取り入れる傾向にありますし、教員免許のように制度を改革、無条件な継続を改める動きがあります。確かに、確かに免許はあるが、何年も実務から離れた、もしくは経験のないペーパー教師や医師を信頼しろと言われても抵抗がありますね。
振り返ってみれば、日本でも自動車運転免許は更新制です。3年乃至5年毎に更新申請とし、所定の講習や視力のチェックを受ける訳ですから、人の命や教育に携わる医師や教員の免許が無条件に継続するのは如何なものでしょうか、という疑問が起きてきます。
自動車運転免許の更新は、様々な利権もあり、綺麗事ばかりでないしょうが、更新時の道交法の改正点の講習とか視力の検査には一定の合理性があるように思います。逆に無条件に継続させることの合理的説明を求めたいですね。
CPE制度も良いことばかりではなく、その申請の有効性の確保が問題でしょう。そして、その有効性を確保する手段として、CPEの監査制度があるのは間違いありません。いつ監査対象なるか分からないという状況を設定することで、虚偽の申請を牽制し、制度の有効性を維持する、確かに3年間に2度も監査の対象になれば、牽制効果は十分です。
プロゴルフの選手、一定の条件(優勝回数)を満たした場合は、永久シード権が認められています。また、指定された試合に優勝すれば、複数年のシード権が与えられます。同じように、一定の条件を充足すれば、更新条件を緩和することも必要かと思います。例えば、僻地医療に従事している場合、継続条件を満たすことは難しいので、一部緩和すること必ずしも非合理的とは思われません。
システム監査もしくは情報セキュリティの研究や制度設計、基準作成などに従事した場合に継続条件の緩和など望みたいです。
CPEという制度、改めて考えてみると、なるほど合理的な理由があるなと思いますし、制度の有効性を維持するためには、CPE監査制度も必要です。が・・・・ 何故、自分が2度もその対象となってしまうか・・・・ 3度目がないこと祈るばかりです。
2008年7月14日月曜日
CPE監査
前回の投稿で、CPEの監査の対象となったと申し上げました。皆さんの関心も高いようで、ご質問のいただきました。CISA/CISMの認定者の方にとっては、最大の関心事ですから、当然かと思います。
なお、以下は私の私見ですので、ISACA東京支部の公式の見解でないことを、予め確認しておきます。
このネタ、監査結果が出るまで、不定期で掲載する予定です。
(あくまで、予定なので、そこのところはご理解を)
私が、三年前の2005年に対象となった監査は、その時点から過去三年分のCPE、2002、2003、2004年の申請が対象なっていましたが、CISMは対象外でした。これは、この3年が120CPEを要求する3年サイクルに当たっていますが、CISMはこの3年サイクルがずれているからと考えられます。
この監査は、認定の継続に必要な3年間120CPE以上の申請が正当であることを証明することが目的なので、3年サイクルからの逸脱は許されないのは当然です。
今回の監査は、2007年に申請した62CPEが対象です。したがって、CISAとCISMの3年サイクルのずれを考慮する必要ないので、双方が対象となったのでしょう。
では、何故に対象となったのでしょうか。監査対象をなったこと通知すメールでは、無作為に選んだとしていますが、全くの無作為ではないと思います。これは、62CPEという数字に原因があると睨んでいます。
CPEは、CISAもCISM、そしてCGEITも一年間で最低20CPE、3年間で120CPEが必要です。そうすると、一年間で平均40CPE以上ということになります。私の過去の経験でも20CPEという数は、それほどハードルが高いとは言えません。40CPEだと、CPE獲得のための努力が多少必要になってきます。
ISACA国際本部は、20CPE~40CPEという範囲を一年間でのCPE取得の妥当性のある数字として判断しているのではないかと推測しています。以下は、私の過去三年間のCPEの申請数です。
2005年 60
2006年 63
2007年 63
三年合計で186CPEなるので、一年平均で60CPE以上なるので、40CPEを上回るので監査の対象に選ばれてしまったと推測しています。
① 一年間の申告CPEが標準を越える対象者のリストアップ
② 監査対象を上記リストからの無作為抽出
完全な無作為選択と思われないとしたのは、上記の推測からです。2004年までは、40CPEから45CPEの申請なので、そのように考えた次第です。
この3年間のCPE数が増えた理由ですが、それは下記の通りです
① 日本セキュリティ監査協会(JASA)での活動も始めたので、CPEに充当。約10CPEぐらい
(プロジェクト活動、JASA主催セミナー講師など)
② 旧USEN(現Abitus)のCISA試験講座講師。12CPEから18CPE
それまでの40から45CPEの申請に上記分が追加されたので、極めて妥当な数字です。ベンダー主催のセミナーとかは計上していないので、それらを上限の10CPEを上乗せすれば70CPE以上になります。
上記活動のエビデンスを用意するのは、それほど難儀なことと考えてないので、期限までに確実に準備していくつもりです。
CPE監査への対応
前回の過去三年間分の監査では、下記のように対応しました。
① 申請したCPEの内訳をリスト化(当然英語)
例えば、月例会の場合、出席日付、テーマ毎に記載。個別番号をふる
その他のCPEについても、同様にする
② エビデンスを用意。月例会受講票の場合、上記で付与した個別番号を受講票に
追記、申請CPEの内訳と結びつける
③ ISACA国際本部に郵送
過去三年間に申請したCPEのエビデンスを確実に穂保存しておけば、慌てることはありません。英文のサマリーを用意するのが良いのかどうかは、断言できませんが、過去に監査を体験した諸先輩方は、みなさんサマリー用意しているので、参考にしました。
もし、CPEの根拠となるものが無い場合、その時は苦労するでしょうね。しかし、そこは自己責任ですから、各自で対処するしかありません。自分が監査の対象にならない保証など無いのですから。
CPEとして申請するか否かについては、申請時点で判断すればいので、兎にも角にもエビデンスは残しておきましょう。申請しないとなったところで、廃棄すればいいことなのですから。
皆さんが監査の対象となり、その時点でCPEの根拠を集め始めることのないようにしましょう。あと、証明に自信のない、過大な申告も気をつけましょう。私は、上記にあるように証明可能な範囲に留めたつもりです。また、メールによる受講票になってしまうセミナーや、CPEとしての価値を疑われる(つまりは、証明が簡単でない)展示会などは集計にいれていません。
年間20CPE以上、三年間合計で120CPE、年平均40CPEであえば、条件を充足するのですから、確固たるエビデンスがあり、内容のしっかりしたCPEを申請し、水膨れは戒めましょう。120CPEを超えたからといって、何ら特典はありません。監査の際に証明が大変なだけです、と私は思います。
勿論、3年120CPE、年間40CPEを大幅に超過しても、証明に自身がある場合は、その限りではありません。
CPEの申請が必要なのは、CISA/CISM(今後はCGEIT)の他に公認情報セキュリティ監査人補(CAIS)などもあります。制度上の相違もありますし、対象期間のズレがあり、全てのCPEが互換ではないので、ExcelでCPE管理台帳を作成、制度毎のCPEを分類し記録しています。この台帳に記録していると年間に獲得可能なCPE数には、上限があるのではと考えるようになりました。三桁を超える数値は、私にとっては難しいと認識しています。個人差があり、CPE獲得機会に恵まれた方も居られるでしょうが、通常40~50CPEが限度、上記のようにJASA活動だとかCISA/CISM関連の講師なども機会があれば15~20CPEの積上げが可能、という程度だと思います。
① CPEは、証明可能もしくは容易な対象を選択
② エビデンスは確実に保存
③ CPE管理台帳
以上があれば、CPE監査対象になってもあわてずにすむと思います。
以上、あくまで私見まで
なお、以下は私の私見ですので、ISACA東京支部の公式の見解でないことを、予め確認しておきます。
このネタ、監査結果が出るまで、不定期で掲載する予定です。
(あくまで、予定なので、そこのところはご理解を)
私が、三年前の2005年に対象となった監査は、その時点から過去三年分のCPE、2002、2003、2004年の申請が対象なっていましたが、CISMは対象外でした。これは、この3年が120CPEを要求する3年サイクルに当たっていますが、CISMはこの3年サイクルがずれているからと考えられます。
この監査は、認定の継続に必要な3年間120CPE以上の申請が正当であることを証明することが目的なので、3年サイクルからの逸脱は許されないのは当然です。
今回の監査は、2007年に申請した62CPEが対象です。したがって、CISAとCISMの3年サイクルのずれを考慮する必要ないので、双方が対象となったのでしょう。
では、何故に対象となったのでしょうか。監査対象をなったこと通知すメールでは、無作為に選んだとしていますが、全くの無作為ではないと思います。これは、62CPEという数字に原因があると睨んでいます。
CPEは、CISAもCISM、そしてCGEITも一年間で最低20CPE、3年間で120CPEが必要です。そうすると、一年間で平均40CPE以上ということになります。私の過去の経験でも20CPEという数は、それほどハードルが高いとは言えません。40CPEだと、CPE獲得のための努力が多少必要になってきます。
ISACA国際本部は、20CPE~40CPEという範囲を一年間でのCPE取得の妥当性のある数字として判断しているのではないかと推測しています。以下は、私の過去三年間のCPEの申請数です。
2005年 60
2006年 63
2007年 63
三年合計で186CPEなるので、一年平均で60CPE以上なるので、40CPEを上回るので監査の対象に選ばれてしまったと推測しています。
① 一年間の申告CPEが標準を越える対象者のリストアップ
② 監査対象を上記リストからの無作為抽出
完全な無作為選択と思われないとしたのは、上記の推測からです。2004年までは、40CPEから45CPEの申請なので、そのように考えた次第です。
この3年間のCPE数が増えた理由ですが、それは下記の通りです
① 日本セキュリティ監査協会(JASA)での活動も始めたので、CPEに充当。約10CPEぐらい
(プロジェクト活動、JASA主催セミナー講師など)
② 旧USEN(現Abitus)のCISA試験講座講師。12CPEから18CPE
それまでの40から45CPEの申請に上記分が追加されたので、極めて妥当な数字です。ベンダー主催のセミナーとかは計上していないので、それらを上限の10CPEを上乗せすれば70CPE以上になります。
上記活動のエビデンスを用意するのは、それほど難儀なことと考えてないので、期限までに確実に準備していくつもりです。
CPE監査への対応
前回の過去三年間分の監査では、下記のように対応しました。
① 申請したCPEの内訳をリスト化(当然英語)
例えば、月例会の場合、出席日付、テーマ毎に記載。個別番号をふる
その他のCPEについても、同様にする
② エビデンスを用意。月例会受講票の場合、上記で付与した個別番号を受講票に
追記、申請CPEの内訳と結びつける
③ ISACA国際本部に郵送
過去三年間に申請したCPEのエビデンスを確実に穂保存しておけば、慌てることはありません。英文のサマリーを用意するのが良いのかどうかは、断言できませんが、過去に監査を体験した諸先輩方は、みなさんサマリー用意しているので、参考にしました。
もし、CPEの根拠となるものが無い場合、その時は苦労するでしょうね。しかし、そこは自己責任ですから、各自で対処するしかありません。自分が監査の対象にならない保証など無いのですから。
CPEとして申請するか否かについては、申請時点で判断すればいので、兎にも角にもエビデンスは残しておきましょう。申請しないとなったところで、廃棄すればいいことなのですから。
皆さんが監査の対象となり、その時点でCPEの根拠を集め始めることのないようにしましょう。あと、証明に自信のない、過大な申告も気をつけましょう。私は、上記にあるように証明可能な範囲に留めたつもりです。また、メールによる受講票になってしまうセミナーや、CPEとしての価値を疑われる(つまりは、証明が簡単でない)展示会などは集計にいれていません。
年間20CPE以上、三年間合計で120CPE、年平均40CPEであえば、条件を充足するのですから、確固たるエビデンスがあり、内容のしっかりしたCPEを申請し、水膨れは戒めましょう。120CPEを超えたからといって、何ら特典はありません。監査の際に証明が大変なだけです、と私は思います。
勿論、3年120CPE、年間40CPEを大幅に超過しても、証明に自身がある場合は、その限りではありません。
CPEの申請が必要なのは、CISA/CISM(今後はCGEIT)の他に公認情報セキュリティ監査人補(CAIS)などもあります。制度上の相違もありますし、対象期間のズレがあり、全てのCPEが互換ではないので、ExcelでCPE管理台帳を作成、制度毎のCPEを分類し記録しています。この台帳に記録していると年間に獲得可能なCPE数には、上限があるのではと考えるようになりました。三桁を超える数値は、私にとっては難しいと認識しています。個人差があり、CPE獲得機会に恵まれた方も居られるでしょうが、通常40~50CPEが限度、上記のようにJASA活動だとかCISA/CISM関連の講師なども機会があれば15~20CPEの積上げが可能、という程度だと思います。
① CPEは、証明可能もしくは容易な対象を選択
② エビデンスは確実に保存
③ CPE管理台帳
以上があれば、CPE監査対象になってもあわてずにすむと思います。
以上、あくまで私見まで
2008年7月10日木曜日
CPE監査
先週、7月4日の金曜日にCGEIT認定の電子メールが到着して、大になる安心と少なからずの喜びを感じた、ここ数日でしたが、現実は甘いことばかりではありませんでした。
ISACAが認定するCISA、CISM、CGEITにはCPE、継続教育ポイントを申告する義務があります。一年最低20ポイント、3年間で120ポイントに達しないと認定を取り消されます。
CPEの申告の正当性を確保するため、無作為に選んだ認定者を対象として監査を実施します。この監査、どうやら2種類あるらしく、3年間の申告を全て証明する場合と指定された年、一年間のCPEの場合とです。
3年前にCISAの3年間の申告が監査対象になり、エビデンスを掻き集めて証明し、これでしばらく大丈夫だと思っていたのですが、CGEIT認定の高揚感に冷や水を浴びせる二通のメールがISACA国際本部から送られてきました。
以下は、国際本部からきたメールの引用です。
要は、CISMの2007年のCPEポイントの証明となる完全なるドキュメントを9月1日までに送ってこいとのことですが、このほかにCISAについても全く同内容のメールがきています。
CISA/CISMについて、監査の対処となった訳です。しかも、タイプが違うとは言え、2回目の。
エビデンスが取ってありますし、前回の経験もありますので、何とかなるとは思いますが、何でまた、というのが正直なところです。長い間、一度も監査対象にならない方もいますし、東京支部の前々会長は、3回対象となっています。どうも不公平感が・・・・・・
日本セキュリティ監査協会(JASA)の重鎮N氏が、私の前回の監査の際に、この制度をJASAでも取り入れようと言っていましたが、出来れば勘弁して欲しいです。
2007年のCPEには、JASAでの活動も対象にしているので、証明にためにJASA事務局の署名も必要なのに、今気がつきました。
後で、事情説明のメール出して、頼んでおかないと。
歓喜の数日の後、とほほ状態です。
ISACAが認定するCISA、CISM、CGEITにはCPE、継続教育ポイントを申告する義務があります。一年最低20ポイント、3年間で120ポイントに達しないと認定を取り消されます。
CPEの申告の正当性を確保するため、無作為に選んだ認定者を対象として監査を実施します。この監査、どうやら2種類あるらしく、3年間の申告を全て証明する場合と指定された年、一年間のCPEの場合とです。
3年前にCISAの3年間の申告が監査対象になり、エビデンスを掻き集めて証明し、これでしばらく大丈夫だと思っていたのですが、CGEIT認定の高揚感に冷や水を浴びせる二通のメールがISACA国際本部から送られてきました。
以下は、国際本部からきたメールの引用です。
Re: Audit of 2007 CISM Continuing Professional Education Records
Certification Number 0301582
Dear Mr. Masuda Seiichi, CISM,CISA:
In accordance with the CISM Continuing Professional Education (CPE) Policy, each year an audit of individual compliance is performed. You have been randomly selected for this audit. This email is to inform you that a hard copy audit notification letter was sent to you via the postal service on 27 June 2008 advising you of the audit of your 2007 CPE. This email is a reiteration of that information.
Listed below are the CPE hours you reported for the 2007 period. Please provide full and complete documentation as required by the policy in support of the CPE hours reported, otherwise additional follow-up will be necessary and will delay the verification process.
2007 CPE Hours Reported: 63
For CPE hours earned that were associated with a training activity, documentation should be in the form of a letter, certificate of completion, attendance roster, Verification of Attendance form or other independent attestation of completion. At a minimum, each record should include the name of the attendee, name of the sponsoring organization, activity title, activity description, presenter name(s), activity date and location, and the number of continuing professional education hours awarded or claimed. Please see www.isaca.org/cismcpepolicy for documentation requirements of CPE hours earned in other ways.
To clearly identify that the information you are sending pertains to this audit request, mail a copy of this email or the hard copy notification letter, along with your documentation to the address below. Please submit copies of supporting documentation as documents will not be returned.
要は、CISMの2007年のCPEポイントの証明となる完全なるドキュメントを9月1日までに送ってこいとのことですが、このほかにCISAについても全く同内容のメールがきています。
CISA/CISMについて、監査の対処となった訳です。しかも、タイプが違うとは言え、2回目の。
エビデンスが取ってありますし、前回の経験もありますので、何とかなるとは思いますが、何でまた、というのが正直なところです。長い間、一度も監査対象にならない方もいますし、東京支部の前々会長は、3回対象となっています。どうも不公平感が・・・・・・
日本セキュリティ監査協会(JASA)の重鎮N氏が、私の前回の監査の際に、この制度をJASAでも取り入れようと言っていましたが、出来れば勘弁して欲しいです。
2007年のCPEには、JASAでの活動も対象にしているので、証明にためにJASA事務局の署名も必要なのに、今気がつきました。
後で、事情説明のメール出して、頼んでおかないと。
歓喜の数日の後、とほほ状態です。
2008年7月7日月曜日
ご回答ありがとうございました
試験無しの特別処置に基づくCGEITの資格申請、Grandfathering Provision。何と言っても、4時間の耐久試験がないのは魅力です。私は、CISAは試験を受けましたが、CISMはGrandfathering制度を利用し、引き続きCGEITも試験無しで認定を得ることができました。
そこで、私の事例を紹介させていただきます。参考なるかは、わかりませんが、Grandfatheringでの申請を考えている方への情報提供の一環としたいと思います。他の方でなく、自分の事例だと遠慮がなくていいですし。
ISACA東京支部 CGEIT委員会ホームページ
Grandfatheringでは、試験が無い代わりに8年のITガバナンスに関係する職務経験を要求されます。このことが、申請を躊躇わせることになっている大きな要因になっています。私も最初は、大丈夫なのだろうかと、思いました。
以下は、その職務経験についての条件です。内容は、CGEIT申請書からの引用です。
職務経験について
ドメイン
Domain 1 - IT Governance Framework(ITガバナンスの枠組)
Domain 2 - Strategic Alignment(戦略との整合)
Domain 3 - Value Delivery(価値の提供)
Domain 4 - Risk Management(リスク管理)
Domain 5 - Resource Management(リソース管理)
Domain 6 - Performance Measurement(成果の測定
特例措置に基づきCGEIT資格を取得するためには、企業においてITガバナンスに関連した管理、助言または監督業務の経験があることを証明する必要があります。CGEIT業務ドメイン(専門領域)および職務記述書では、このような業務を8年間経験していることが具体的な要件として定められています。
特に、申請者は以下の内容を満たしている必要があります。
▪ ITガバナンスのフレームワークの策定や維持管理に関連した職務経験を最低1年有する
▪ さらに、残りのドメインのうち2種類以上に直接関連した幅広い経験を有する。
その他の管理業務経験や、ITガバナンスに関連した資格、大学院学位、資格の取得を認める措置として、8年間の職務経験条件のうち最大3年を以下に挙げた内容で代替することができます。
2年の代替‐その他の管理業務経験
ITガバナンスに限定されないその他の管理業務経験(例: CGEITドメインに関係しないコンサルティング、監査、アシュアランス、セキュリティ管理業務等)をもって、最大2年の職務経験に代えることができます。
1年の代替‐資格、大学院学位、資格
資格(有効なもの)、大学院学位または資格プログラムであって、ITガバナンスや管理業務を含むもの、または1つ以上のCGEITドメインに関するものであれば、1年間の職務経験に代えることができます。これには以下が含まれます。
▪ ISACAの公認情報システム監査人(CISA)
▪ ISACAの公認情報セキュリティマネージャ(CISM)
▪ ISACAが発行したImplementing IT Governance Using COBIT certificate(2008年より)
▪ ITILのService Manager認証プログラム
▪ 英国コンピュータ学会が発行したChartered Information Technology Professional(CITP)
▪ 米国公認会計士協会が発行したCertified Information Technology Professional(CITP)
▪ プロジェクトマネジメント協会が発行したPMP(Project Management Professional)
▪ カナダ情報処理協会が発行したInformation Systems Professional(I.S.P)
▪ ガバナンス、情報技術、情報管理または経営管理で定評のある大学の大学院学位
ITガバナンスのフレームワークの策定や維持管理に関連した職務経験を最低1年有するということは、つまるところドメイン1は必須ですので、注意してください。
私は、その他の管理業務経験で2年、CISA/CISMで一年、計3年を充当しました。これで、残りの5年をドメイン1と他の2以上もドメインに適う職務経歴の報告をいたしました。
選択したのは、ドメイン1は当然ですが、あとは2、3、4です。
ドメイン1 IT Governance Framework(ITガバナンスの枠組)
ここは、多少賭けだったのですが、情報セキュリティ管理基準Ver2の作成プロジェクトのメンバーであったこと活用しました。経済産業省から委託事業で、企業が守るべき情報セキュリティ上の基準を作ったことが企業のITガバナンスにとって有益だという理屈です。ITガバナンスと情報セキュリティ、どう審査されるかは心配でした。
あとは、ソフトウェアのベンダーにいた時の職務で、シニアシステムエンジニアとして、顧客のデータセンター運営体制やマネジメントの構築支援において、顧客のITガバナンスに貢献したと記載しました。ただ、気を付けたのは顧客のシニア以上のマネージャと応対したこと強調しました。それでなければ、顧客のガバナンスに関与したと言えないと考えたからです。これは、他のドメインでも同様です。
ドメイン2 Strategic Alignment(戦略との整合)
ドメイン1と同様にソフトウェアのベンダーにいた時の職務経験です。シニアシステムエンジニア、コンサルタントとして、データセンターのマネジメントが企業の方針に適合するように改善したことを記載しました。加えて、情報セキュリティコンサルタントとして、企業の情報セキュリティ基本方針の作成を助言、支援したことが、企業の戦略との整合に関連するとしました。
ドメイン3 Value Delivery(価値の提供)
やはり、ドメイン1と同様にソフトウェアのベンダーにいた時の職務経験が中心です。シニアシステムエンジニア、コンサルタントとして、データセンターのマネジメントを改善したことをで、コストを削減し、またデータセンターマネジメントを最適化することは、価値の提供に相当すると判断しました
ドメイン4 Risk Management(リスク管理)
ここは、ISMSの構築支援などでのリスクアセスメント経験を活用しました。情報セキュリティ上のリスクを評価し、管理策を検討し、経営者の承認をえることは、ITガバナンス上においても重要だと考えていましたので、殆ど悩むことのないドメインでもありました。
申請までの手順
1 職務経歴の検討
まず自己の職務経歴の検討です。CGEIT委員会メンバーは、全員転職経験者で外資系企業の勤務経験もあります。従って、転職活動や企業への提出のため、英文の職務経歴書を書いた経験があり、これを活用しました。職務経歴書は、過去の職歴と業務内容が書き込んであるので、自分の職務経歴の検討には最適です。それを詳細化したところ、本当に役に立ちました。
転職経験のない方も、過去の職務を文書にしてみることをお奨めします。というか、必須作業だと私は思います。
2 ドメインとの突合せ
作成した、自分お職務経歴書と各ドメインが要求する職務内容とを比較考量しましょう。その上で、該当する項目を選択し、その説明を文書化しました。これは、英語力の乏しい私の場合、翻訳ソフトのお世話になるので、必須作業であったのです。職務経歴は、ドメイン毎に纏めました。
3 英訳
翻訳ソフトのお世話になりました。
4 申請書作成
英訳した文書と英文の申請書の該当部分に貼り付け(文字通り糊で貼り付けました)、キャプチャーしてPDFファイルとし完成です。
5 上司のサイン
私は、現在の上司に過去の職歴を含めて証明のサインをいただきました。上司に確認のメールがISACA国際本部から送られてくるので、了解を得ておきました。
6 申請書送信
FAXで送信しました。が、送信エラーがあったので、再送信して欲しいとのメールがISACA国際本部からありました。FAXでなくて、キャプチャーしてPFDファイルにしてメールで送った方が良かったかもしれません
7 上司への確認メッセージ
申請書送信から9週目に上司への確認メッセージがありました。
8 認証
丁度一週間後に認証決定のメールがきました。
最初は、どうなるかなと思っていたのですが、自分の職務経歴を見直している内に該当するドメイン、項目を見つけ出すことができ、100%大丈夫だとは確信が持てた訳ではないですが、何とかなるかなと思えてきました。まずは、自己の職務経歴の見直しからです。ここをしっかりとしておくことが重要だと、私の場合は思いました。
果としては、最初に入社した会社、株式会社アシストでの職務経歴を最も活用しました。現在の上司には、殆ど過去の別の会社の経歴証明をしてもらうことになってしまいました。快く、職務経歴証明に応じていただいたことを感謝しています。
ISACA東京支部CGEIT委員会のwebに関連資料をUPしてありますので、参照して下さい。
ISACA東京支部 CGEIT委員会ホームページ
そこで、私の事例を紹介させていただきます。参考なるかは、わかりませんが、Grandfatheringでの申請を考えている方への情報提供の一環としたいと思います。他の方でなく、自分の事例だと遠慮がなくていいですし。
ISACA東京支部 CGEIT委員会ホームページ
Grandfatheringでは、試験が無い代わりに8年のITガバナンスに関係する職務経験を要求されます。このことが、申請を躊躇わせることになっている大きな要因になっています。私も最初は、大丈夫なのだろうかと、思いました。
以下は、その職務経験についての条件です。内容は、CGEIT申請書からの引用です。
職務経験について
ドメイン
Domain 1 - IT Governance Framework(ITガバナンスの枠組)
Domain 2 - Strategic Alignment(戦略との整合)
Domain 3 - Value Delivery(価値の提供)
Domain 4 - Risk Management(リスク管理)
Domain 5 - Resource Management(リソース管理)
Domain 6 - Performance Measurement(成果の測定
特例措置に基づきCGEIT資格を取得するためには、企業においてITガバナンスに関連した管理、助言または監督業務の経験があることを証明する必要があります。CGEIT業務ドメイン(専門領域)および職務記述書では、このような業務を8年間経験していることが具体的な要件として定められています。
特に、申請者は以下の内容を満たしている必要があります。
▪ ITガバナンスのフレームワークの策定や維持管理に関連した職務経験を最低1年有する
▪ さらに、残りのドメインのうち2種類以上に直接関連した幅広い経験を有する。
その他の管理業務経験や、ITガバナンスに関連した資格、大学院学位、資格の取得を認める措置として、8年間の職務経験条件のうち最大3年を以下に挙げた内容で代替することができます。
2年の代替‐その他の管理業務経験
ITガバナンスに限定されないその他の管理業務経験(例: CGEITドメインに関係しないコンサルティング、監査、アシュアランス、セキュリティ管理業務等)をもって、最大2年の職務経験に代えることができます。
1年の代替‐資格、大学院学位、資格
資格(有効なもの)、大学院学位または資格プログラムであって、ITガバナンスや管理業務を含むもの、または1つ以上のCGEITドメインに関するものであれば、1年間の職務経験に代えることができます。これには以下が含まれます。
▪ ISACAの公認情報システム監査人(CISA)
▪ ISACAの公認情報セキュリティマネージャ(CISM)
▪ ISACAが発行したImplementing IT Governance Using COBIT certificate(2008年より)
▪ ITILのService Manager認証プログラム
▪ 英国コンピュータ学会が発行したChartered Information Technology Professional(CITP)
▪ 米国公認会計士協会が発行したCertified Information Technology Professional(CITP)
▪ プロジェクトマネジメント協会が発行したPMP(Project Management Professional)
▪ カナダ情報処理協会が発行したInformation Systems Professional(I.S.P)
▪ ガバナンス、情報技術、情報管理または経営管理で定評のある大学の大学院学位
ITガバナンスのフレームワークの策定や維持管理に関連した職務経験を最低1年有するということは、つまるところドメイン1は必須ですので、注意してください。
私は、その他の管理業務経験で2年、CISA/CISMで一年、計3年を充当しました。これで、残りの5年をドメイン1と他の2以上もドメインに適う職務経歴の報告をいたしました。
選択したのは、ドメイン1は当然ですが、あとは2、3、4です。
ドメイン1 IT Governance Framework(ITガバナンスの枠組)
ここは、多少賭けだったのですが、情報セキュリティ管理基準Ver2の作成プロジェクトのメンバーであったこと活用しました。経済産業省から委託事業で、企業が守るべき情報セキュリティ上の基準を作ったことが企業のITガバナンスにとって有益だという理屈です。ITガバナンスと情報セキュリティ、どう審査されるかは心配でした。
あとは、ソフトウェアのベンダーにいた時の職務で、シニアシステムエンジニアとして、顧客のデータセンター運営体制やマネジメントの構築支援において、顧客のITガバナンスに貢献したと記載しました。ただ、気を付けたのは顧客のシニア以上のマネージャと応対したこと強調しました。それでなければ、顧客のガバナンスに関与したと言えないと考えたからです。これは、他のドメインでも同様です。
ドメイン2 Strategic Alignment(戦略との整合)
ドメイン1と同様にソフトウェアのベンダーにいた時の職務経験です。シニアシステムエンジニア、コンサルタントとして、データセンターのマネジメントが企業の方針に適合するように改善したことを記載しました。加えて、情報セキュリティコンサルタントとして、企業の情報セキュリティ基本方針の作成を助言、支援したことが、企業の戦略との整合に関連するとしました。
ドメイン3 Value Delivery(価値の提供)
やはり、ドメイン1と同様にソフトウェアのベンダーにいた時の職務経験が中心です。シニアシステムエンジニア、コンサルタントとして、データセンターのマネジメントを改善したことをで、コストを削減し、またデータセンターマネジメントを最適化することは、価値の提供に相当すると判断しました
ドメイン4 Risk Management(リスク管理)
ここは、ISMSの構築支援などでのリスクアセスメント経験を活用しました。情報セキュリティ上のリスクを評価し、管理策を検討し、経営者の承認をえることは、ITガバナンス上においても重要だと考えていましたので、殆ど悩むことのないドメインでもありました。
申請までの手順
1 職務経歴の検討
まず自己の職務経歴の検討です。CGEIT委員会メンバーは、全員転職経験者で外資系企業の勤務経験もあります。従って、転職活動や企業への提出のため、英文の職務経歴書を書いた経験があり、これを活用しました。職務経歴書は、過去の職歴と業務内容が書き込んであるので、自分の職務経歴の検討には最適です。それを詳細化したところ、本当に役に立ちました。
転職経験のない方も、過去の職務を文書にしてみることをお奨めします。というか、必須作業だと私は思います。
2 ドメインとの突合せ
作成した、自分お職務経歴書と各ドメインが要求する職務内容とを比較考量しましょう。その上で、該当する項目を選択し、その説明を文書化しました。これは、英語力の乏しい私の場合、翻訳ソフトのお世話になるので、必須作業であったのです。職務経歴は、ドメイン毎に纏めました。
3 英訳
翻訳ソフトのお世話になりました。
4 申請書作成
英訳した文書と英文の申請書の該当部分に貼り付け(文字通り糊で貼り付けました)、キャプチャーしてPDFファイルとし完成です。
5 上司のサイン
私は、現在の上司に過去の職歴を含めて証明のサインをいただきました。上司に確認のメールがISACA国際本部から送られてくるので、了解を得ておきました。
6 申請書送信
FAXで送信しました。が、送信エラーがあったので、再送信して欲しいとのメールがISACA国際本部からありました。FAXでなくて、キャプチャーしてPFDファイルにしてメールで送った方が良かったかもしれません
7 上司への確認メッセージ
申請書送信から9週目に上司への確認メッセージがありました。
8 認証
丁度一週間後に認証決定のメールがきました。
最初は、どうなるかなと思っていたのですが、自分の職務経歴を見直している内に該当するドメイン、項目を見つけ出すことができ、100%大丈夫だとは確信が持てた訳ではないですが、何とかなるかなと思えてきました。まずは、自己の職務経歴の見直しからです。ここをしっかりとしておくことが重要だと、私の場合は思いました。
果としては、最初に入社した会社、株式会社アシストでの職務経歴を最も活用しました。現在の上司には、殆ど過去の別の会社の経歴証明をしてもらうことになってしまいました。快く、職務経歴証明に応じていただいたことを感謝しています。
ISACA東京支部CGEIT委員会のwebに関連資料をUPしてありますので、参照して下さい。
ISACA東京支部 CGEIT委員会ホームページ
2008年7月5日土曜日
私大連盟の不適切支出 - 内部統制の不存在
財務報告に係る内部統制、対象となり企業は多大な労力とコストかけて、その対応に追われた訳ですが、それにひきかえ、お役所や公的団体、業界団体などでは、コンプライアンスや組織のガバナンスなどの観点から、首を傾げざるを得ない事例が少なくありません。最近の私大連盟の不正支出に関する件もそうですが、新聞を読んで、これはないだろうと、呆れてしまいました。
以下は、読売新聞Webからの転載引用です。人名のみ匿名に修正してあります。
>決裁前の現金の持ち出しをやめ、現金の取り扱いについての規定を整備するよう指導した。
当たり前の事を指導してます。これって、指導以前の問題、いままで何を根拠に現金を支出してきたのでしょう。
>連盟には、出入金状況を記録する現金出納簿や現金の取り扱い規定もなく
これでは、監査できません。現金の取り扱いの手順が適切か、過去の支出は正当なものか、記録がなくては、監査が実施できないです。
>年に一度の監査も形式的なもので、同省は「内部のチェック機能は全く働いていなかった」としている。
年に一度の監査といいますが、現金支出の記録も無いのに、監査が成立していたのでしょうか。チェック機能が働いていないのでなく、存在しないというのが正確なのでは。
>会計のことは把握していない。自分もこんなずさんな会計システムとは知らなかった。みんな自分たちの会合がこれほど高額と知って驚いていた」と述べた。
マネジメントの立場にある人の言葉とは思えません。会計報告が形骸化というか、適切でなかったといいことでしょう。
現金の関する取り扱いの規定、記録の整備は勿論ですが、組織としてのガバナンス、マネジメントそのものの見直しが必要です。
財務報告に係る内部統制、IT統制、情報セキュリティなどは、組織自体の健全性に左右されます。部分的な対応をしても、組織全体が腐っていては、役にたちませんから
以下は、読売新聞Webからの転載引用です。人名のみ匿名に修正してあります。
私大連盟の前事務局長、不適切支出は4年前から
文部科学省所管の社団法人「日本私立大学連盟」が昨年度、高額な飲食や政治家のパーティー券購入に約3300万円を使っていた問題で、責任を問われて4日午前、解任された同連盟のA・前事務局長(56)は少なくとも4年前から同様の不適切な支出を続けていたことがわかった。
A前事務局長は月3~4回のペースで連盟から1回10万~30万円の現金を持ち出したうえ、スナックなどでの「打ち合わせ」や「懇談会」の支払いにあて、会計処理は後日、自分と派遣社員の2人だけで行っていた。
同連盟の事務局職員約20人のうち、A前事務局長がどの程度の頻度で、いくら現金を持ち出していたか把握している職員はいなかった。このため文科省は、決裁前の現金の持ち出しをやめ、現金の取り扱いについての規定を整備するよう指導した。
同省は先月、同連盟の会計実態の調査に入った際、昨年度だけでなく、伝票などが残っていた2004~06年度分も調べた。
その結果、料亭やスナックなどでの高額な出費は04年度から続いており、こうした不適切な支出は、06年度も概算で昨年度とほぼ同じ約3000万円あった。
さらに同省が聞き取り調査をしたところ、A前事務局長は月に数回、スナックや料亭での「打ち合わせ」や「懇談会」を行っており、その支払いは、月3、4回にわけて連盟から持ち出した現金をあてていたことがわかった。連盟には会計担当課長がいたが、A前事務局長はこの課長を通さず、店から受け取った領収書を自分で伝票にはり付け、派遣社員に提出して会計処理していた。
連盟には、出入金状況を記録する現金出納簿や現金の取り扱い規定もなく、年に一度の監査も形式的なもので、同省は「内部のチェック機能は全く働いていなかった」としている。
4日付で事務局長代行となった連盟のH参与は同日夜、「(加盟大学の学長や理事長が務める)理事は皆パートタイムで、会計のことは把握していない。自分もこんなずさんな会計システムとは知らなかった。みんな自分たちの会合がこれほど高額と知って驚いていた」と述べた。
��2008年7月5日03時07分 読売新聞)
>決裁前の現金の持ち出しをやめ、現金の取り扱いについての規定を整備するよう指導した。
当たり前の事を指導してます。これって、指導以前の問題、いままで何を根拠に現金を支出してきたのでしょう。
>連盟には、出入金状況を記録する現金出納簿や現金の取り扱い規定もなく
これでは、監査できません。現金の取り扱いの手順が適切か、過去の支出は正当なものか、記録がなくては、監査が実施できないです。
>年に一度の監査も形式的なもので、同省は「内部のチェック機能は全く働いていなかった」としている。
年に一度の監査といいますが、現金支出の記録も無いのに、監査が成立していたのでしょうか。チェック機能が働いていないのでなく、存在しないというのが正確なのでは。
>会計のことは把握していない。自分もこんなずさんな会計システムとは知らなかった。みんな自分たちの会合がこれほど高額と知って驚いていた」と述べた。
マネジメントの立場にある人の言葉とは思えません。会計報告が形骸化というか、適切でなかったといいことでしょう。
現金の関する取り扱いの規定、記録の整備は勿論ですが、組織としてのガバナンス、マネジメントそのものの見直しが必要です。
財務報告に係る内部統制、IT統制、情報セキュリティなどは、組織自体の健全性に左右されます。部分的な対応をしても、組織全体が腐っていては、役にたちませんから
2008年7月4日金曜日
難問です
ISACA国際本部のCGEIT認定委員会からのメールが届きました。以下、そのメールの引用です。
CGEITの申請が駄目だったら、ISACA東京支部 CGEIT委員長を辞任すると公言していたのですが、これで辞任せずにすみました(逆に言えば、逃げられなくなったとも言えますが)
メールの宛名に早速、CGEITが記載されていました。手回しがいいですね。
しかし、CGEIT委員長としての面目もたって、取り合えず一安心です。
私の場合、申請をFaxでISACA国際本部に送信してから、やく10週間でした。私より、3週ほど早く送付した方が、同時に認定されましたが、認定番号は私の方が早いようです。3週間も早く申請したのに、どういうことなのでしょうかね。
日本国内で、既に10名以上の方が認定を受けていようです。特別認定制度での認定者の目標は20名以上です。ただし、CGEIT認定を受けて且つCGEIT委員会の活動に協力をしてくれる方を20名なので、実数としては30名程度の認定者がいるのではと考えています。
申請書を英語で書くという第一のハードルあるので、この対策が必要と考えています。6月14日に開催した申請書の記入ワークショップが好評だったので、あと数回開催予定です。大阪と名古屋でも予定しています。開催要項は決定次第、ISACA東京支部のHPで公開しますので、ご参加頂ければと思います。
しかし、認定されて、ホント安心しました。立場上、駄目だったと行くわけにはいかないので、嬉しいというより、安心です。あとは、認定書が手元に届くのを待ちます。
Dear Mr. Masuda Seiichi, CGEIT,CISM,CISA
RE: CGEIT certification number: 0800369
Congratulations! We are pleased to inform you that on 3 July 2008 the CGEIT Certification Board approved your application under the grandfathering provision, and awarded you the Certified in the Governance of Enterprise IT (CGEIT) designation.
Within three business days of this notice, your certificate will be sent by postal mail and arrive as indicated below.
Again, congratulations on earning your CGEIT certification.
Sincerely,
Certification Department
ISACA: Serving IT Governance Professionals
CGEITの申請が駄目だったら、ISACA東京支部 CGEIT委員長を辞任すると公言していたのですが、これで辞任せずにすみました(逆に言えば、逃げられなくなったとも言えますが)
メールの宛名に早速、CGEITが記載されていました。手回しがいいですね。
しかし、CGEIT委員長としての面目もたって、取り合えず一安心です。
私の場合、申請をFaxでISACA国際本部に送信してから、やく10週間でした。私より、3週ほど早く送付した方が、同時に認定されましたが、認定番号は私の方が早いようです。3週間も早く申請したのに、どういうことなのでしょうかね。
日本国内で、既に10名以上の方が認定を受けていようです。特別認定制度での認定者の目標は20名以上です。ただし、CGEIT認定を受けて且つCGEIT委員会の活動に協力をしてくれる方を20名なので、実数としては30名程度の認定者がいるのではと考えています。
申請書を英語で書くという第一のハードルあるので、この対策が必要と考えています。6月14日に開催した申請書の記入ワークショップが好評だったので、あと数回開催予定です。大阪と名古屋でも予定しています。開催要項は決定次第、ISACA東京支部のHPで公開しますので、ご参加頂ければと思います。
しかし、認定されて、ホント安心しました。立場上、駄目だったと行くわけにはいかないので、嬉しいというより、安心です。あとは、認定書が手元に届くのを待ちます。
2008年7月2日水曜日
「情報セキュリティ管理基準 Ver2」のパブリックコメント、ようやく開始される
待ちに待った、経済産業省による「情報セキュリティ管理基準 Ver2」のパブリックコメントが、ようやく開始されました。
昨年に作成プロジェクトチームが結成され、本年3月末には原案の納品にこぎつけました。しかし、経産省のパブコメが、なかなか始まらず、どうなったか心配していたのですが、本日告示されました。
情報セキュリティ管理基準 Ver2 パブリックコメント
同基準の基づく監査手続ガイドの作成が、既にスタートしており、順番が違うかなと思っていたので、一安心です。
我こそと思う方、コメントの応募をお願いします。
昨年に作成プロジェクトチームが結成され、本年3月末には原案の納品にこぎつけました。しかし、経産省のパブコメが、なかなか始まらず、どうなったか心配していたのですが、本日告示されました。
情報セキュリティ管理基準 Ver2 パブリックコメント
同基準の基づく監査手続ガイドの作成が、既にスタートしており、順番が違うかなと思っていたので、一安心です。
我こそと思う方、コメントの応募をお願いします。
2008年6月30日月曜日
Certified in the Governance of Enterprise IT(CGEIT)を目指そう Ⅴ
私のCGEIT申請、ISACA国際本部の認定委員会から上司への確認メールが来まして、愈々大詰めのようです。
CGEITの特別申請制度、期限は10月末までですが、やはり英語での申請が壁になっています。6月14日に試しに開催した、申請書記入ワークショップですが、参加した皆様の評価も良かったので、7月以降にも開催する方向で検討しています。
このワークショップは、午前10時から午後16時頃までとし、各ドメイン毎に記入のポイントを話し合っていくという形式を考えています。日程等決まりましたら、ISACA東京支部HP等で案内いたしますので、ふるってご参加下さい。大阪支部、名古屋支部での実施も検討しております。
特別申請制度での認定者20名の実現、何とかして達成したいです。
CGEITの特別申請制度、期限は10月末までですが、やはり英語での申請が壁になっています。6月14日に試しに開催した、申請書記入ワークショップですが、参加した皆様の評価も良かったので、7月以降にも開催する方向で検討しています。
このワークショップは、午前10時から午後16時頃までとし、各ドメイン毎に記入のポイントを話し合っていくという形式を考えています。日程等決まりましたら、ISACA東京支部HP等で案内いたしますので、ふるってご参加下さい。大阪支部、名古屋支部での実施も検討しております。
特別申請制度での認定者20名の実現、何とかして達成したいです。
組織の適正規模
Information Systems Audit and Control Association Tokyo Chapter、情報システムコントロール協会東京支部の会員数が、世界一となりました。
ここ2年ほど、会員数が急激に拡大というより膨張しており、いずれ世界一になるとは予想されていたのですが、とうとう達成いたしました。私が入会をした10数年前と比較して、隔世の感があります。
1位:東京支部 2,336名 伸び率37%
2位:ロンドン支部 2,280名 同14%
3位:ニューヨーク市支部 2,059名 同11%
実数もさることながら、会員の伸び率においても、他を圧倒しています。この伸び率でいけば、来年には3,000人を突破することになります。これ、凄い数字だと思います。
ISACAは、個人の専門家の集まりであり、団体会員や法人会員の制度はありません。そのため、シカゴの本部を除き、各国各支部とも専任の事務局はありません。東京支部も、事務局機能を委任していますが、理事会メンバーや専門委員会メンバーもボランティアであり、最低限の費用弁済以外は、一切の報酬を得ません。
この組織の特徴が、JASAやJNSAとは異なる、ISACA東京支部独特の雰囲気、性格を形成しているのは間違いないことと思います。法人メンバーや後援団体の以降に関係なく、専門家としての集まりとして、教育機関、民間企業、公官庁、公益団体、監査法人、SI企業、コンサルティング企業、ユーザ企業などか研究者、コンサルタント、会計士、各種監査人、エンジニアなどがあるまり、学術的分野から現場における実践的課題まで、幅広く対象とされ、議論される土台となっています。時として、少しばかり観念的かなと思ったり、現場の事象に囚われたりといったこともありますが、様々な出自に会員が、遠慮することなく意見交換をすることが可能な場としてのISACAは、面白いです。だから、この10数年、会員で有り続けたですが。
この団体としての方向性は、今後も変更されることなく、維持されます。単に、議論の場としててなく、広く人脈を形成する場としても有用な団体だと思います。私は、ISACAの人脈で助けられたことも少なくありません。
これだけ、大きくなった組織をボランティアで運営していくには、今後も組織改革を継続していく必要がありますが、専門家の集まりとしてのISACA、存続させ続けなければいけませんね。
ここ2年ほど、会員数が急激に拡大というより膨張しており、いずれ世界一になるとは予想されていたのですが、とうとう達成いたしました。私が入会をした10数年前と比較して、隔世の感があります。
1位:東京支部 2,336名 伸び率37%
2位:ロンドン支部 2,280名 同14%
3位:ニューヨーク市支部 2,059名 同11%
実数もさることながら、会員の伸び率においても、他を圧倒しています。この伸び率でいけば、来年には3,000人を突破することになります。これ、凄い数字だと思います。
ISACAは、個人の専門家の集まりであり、団体会員や法人会員の制度はありません。そのため、シカゴの本部を除き、各国各支部とも専任の事務局はありません。東京支部も、事務局機能を委任していますが、理事会メンバーや専門委員会メンバーもボランティアであり、最低限の費用弁済以外は、一切の報酬を得ません。
この組織の特徴が、JASAやJNSAとは異なる、ISACA東京支部独特の雰囲気、性格を形成しているのは間違いないことと思います。法人メンバーや後援団体の以降に関係なく、専門家としての集まりとして、教育機関、民間企業、公官庁、公益団体、監査法人、SI企業、コンサルティング企業、ユーザ企業などか研究者、コンサルタント、会計士、各種監査人、エンジニアなどがあるまり、学術的分野から現場における実践的課題まで、幅広く対象とされ、議論される土台となっています。時として、少しばかり観念的かなと思ったり、現場の事象に囚われたりといったこともありますが、様々な出自に会員が、遠慮することなく意見交換をすることが可能な場としてのISACAは、面白いです。だから、この10数年、会員で有り続けたですが。
この団体としての方向性は、今後も変更されることなく、維持されます。単に、議論の場としててなく、広く人脈を形成する場としても有用な団体だと思います。私は、ISACAの人脈で助けられたことも少なくありません。
これだけ、大きくなった組織をボランティアで運営していくには、今後も組織改革を継続していく必要がありますが、専門家の集まりとしてのISACA、存続させ続けなければいけませんね。
2008年6月29日日曜日
情報セキュリティ業界は、IT関連業界か
さる6月27日、ある集まりに数十人の男女が集まりました。場所は銀座、集まった紳士淑女は、名刺を交換しながら、お互いの近況報告と思い出話で盛り上がっておりました。
その集まりとは、私が在籍していた独立系ソフトウェアベンダーの株式会社アシストの関係者です。出席者の条件は、元社員であること。つまり、現在は退職して、他社に勤務したり、独立したりしている、OBの集まりでありました。
株式会社アシストは、ソフトウェアベンダーですから、同業他社に転職したり、同じ業界で企業しているというケースが多く、全く関係のない業界で禄を食んでいるという人は少なかったですね。まあ、殆どIT業界の人間であり続けている訳です。
そこで、微妙なのは小生の場合です。私自身は、IT業界と認識はしてません。情報セキュリティ、IT統制に関する業界と考えています。が、当日はIT業界の範疇と捉える方が少なくありませんでした。その度に所謂ITのエンジニアからは足を洗い(ここは理解してもらえました)、他の業界への転職と話すのですが、’情報セキュリティ = IT業界’という認識、根強いです。情報セキュリティのコンサルティング業界は、ITには密接に関係していますが、IT業界とは違う、と私は考えています。皆さんどうでしょうか。
IT統制も同じです。最新のハード、ソフトがどうのではなく、ITを取巻くマネジメントやガバナンスを対象領域にしているだけで、その本質は経営コンサルの範疇に近いのかなと思っています。
システム監査学会が経営学のカテゴリーで、日本学術会議に加盟している(加盟の過程は、平穏無事でなったようですが)、このことが業界としてのありようを示していると思います。したがって、私は現在、自分が働いている業界は、IT業界とは考えてないのですが、ご意見があれば、お寄せ下さい。
(かつての同僚達、社長さんや取締役、執行役員、部長など偉いさんも珍しくなく、いざと言う時の再就職先には困らないかも、交換した名刺は大事にして、季節の挨拶は欠かさないようにしようと思いました。)
その集まりとは、私が在籍していた独立系ソフトウェアベンダーの株式会社アシストの関係者です。出席者の条件は、元社員であること。つまり、現在は退職して、他社に勤務したり、独立したりしている、OBの集まりでありました。
株式会社アシストは、ソフトウェアベンダーですから、同業他社に転職したり、同じ業界で企業しているというケースが多く、全く関係のない業界で禄を食んでいるという人は少なかったですね。まあ、殆どIT業界の人間であり続けている訳です。
そこで、微妙なのは小生の場合です。私自身は、IT業界と認識はしてません。情報セキュリティ、IT統制に関する業界と考えています。が、当日はIT業界の範疇と捉える方が少なくありませんでした。その度に所謂ITのエンジニアからは足を洗い(ここは理解してもらえました)、他の業界への転職と話すのですが、’情報セキュリティ = IT業界’という認識、根強いです。情報セキュリティのコンサルティング業界は、ITには密接に関係していますが、IT業界とは違う、と私は考えています。皆さんどうでしょうか。
IT統制も同じです。最新のハード、ソフトがどうのではなく、ITを取巻くマネジメントやガバナンスを対象領域にしているだけで、その本質は経営コンサルの範疇に近いのかなと思っています。
システム監査学会が経営学のカテゴリーで、日本学術会議に加盟している(加盟の過程は、平穏無事でなったようですが)、このことが業界としてのありようを示していると思います。したがって、私は現在、自分が働いている業界は、IT業界とは考えてないのですが、ご意見があれば、お寄せ下さい。
(かつての同僚達、社長さんや取締役、執行役員、部長など偉いさんも珍しくなく、いざと言う時の再就職先には困らないかも、交換した名刺は大事にして、季節の挨拶は欠かさないようにしようと思いました。)
2008年6月23日月曜日
内部統制におけるアイデンティティ管理解説書
ISACA名古屋支部、大阪支部、東京支部の総会、JNSA総会に出席した、総会紀行も終わりました。
各支部、団体の個性が出ていて、興味深いものでありました。
ところで、JNSAが発表した「内部統制におけるアイデンティティ管理解説書」、仕事の合間に少しずつ、読み進めていたのですが、とても参考になるものでありました
内部統制におけるアイデンティティ管理解説書
しかし、内容に異議を唱えるつもりは無いですが、’アイデンティティ管理’と銘打っているからには、足りないことがあると思いました。
私も、メインフレームでのアクセスコントロール製品である、RACF(IBM)やCA-Top Secretを取り扱ったことがありますので、本解説書の言わんとしていることは、良く理解できませす。
’その導入において要件定義・基本設計といったフェーズを軽視したために、それ以降の導入工程においての想定以上の工数の増加や、想定した期待効果が創出できないといったことが続出した。’は、その通りだと思います。機能は、要件を実現するための手段にすぎません。ID管理やアクセス管理の要件がきちんと定義されていることは、重要です。そのためのガイドとして、この解説書が編まれたのですが、ID管理の有効性を維持するためには、本書に記載されていないえすが、定期的なID、アカウントの棚卸が欠かせません。
ユーザID、アカウントは必要と判断されれば、作成申請は行われますが、削除の申請は忘れられがちなのも事実です。また、申請はしてみたが、使われないとか、必要性が変わったのに高い権限のままになっているとかいうことは、決して珍しくないのです。そこで、そういったIDを再検証し、不要なIDの削除や権限の変更など実施することが肝要です。
? ユーザID、アカウントの必要性検証
登録されているID、アカウントの必要性について、再検証します。
異動や職務変更などで、不必要となった権限を変更したり、場合によてはIDの削除も必要です。
? 退職者IDの検証
退職や契約期間お満了などで不要となったIDが残っていないかを検証します。
退職者のIDを残しておき、それを外部から不正に使用されら事例があります。
退職手続きで削除されている筈ということでなく、検証しましょう。
? 未使用IDの検証
?の必要性検証でも、取り敢えず残して残置しておこうというIDを排除できません。
そこで、一年以上の未使用のIDを抽出し、必要性を確認できない限り、削除しましょう。
?との違いは、原則は削除であり、残置は必要性が証明された場合の例外であることです。
? 特権、管理者権限
システム特権、管理者権限IDついて、上記に準じた再検証を実施します。
上記の再検証を定期的に実施することで、登録されているユーザID、アカウント中の’ゴミ’を排除することができます。実施頻度ですが、?は年に一回以上、?と?は複数回の実施が望ましいです。
以外に手間がかかるので、あまりに短い間隔だと、検証作業が終わらないうちに次の実施期日がきてしまったということに成りかねません。そうなると再検証が形骸化してしまう危険があるので、工数上無理の無い範囲で良いと思います。重要なのは、定期的検証を継続することです。
特権、管理者権限IDに関しては、そのリスクの大きさや検証すべき件数も一般IDの比して少ないので、実施頻度は一般IDより多くすべきだと思います。
本書は、アクセスコントロールやシングルサインオンなどID管理製品の導入前の作業工程のガイドを目的なので、導入後の再検証作業は作成目的外なので、軽視している訳ではないのだとは思いますが、内部統制のID管理と謳っているのですから、導入後のフェーズとして言及されていても良いのではないでしょうか(それらしき記述はあるのですが、説明不足という気がしました)。
とは言いつつ、ID管理を構築していく上で、参考にすべきドキュメントであると思います。
各支部、団体の個性が出ていて、興味深いものでありました。
ところで、JNSAが発表した「内部統制におけるアイデンティティ管理解説書」、仕事の合間に少しずつ、読み進めていたのですが、とても参考になるものでありました
内部統制におけるアイデンティティ管理解説書
しかし、内容に異議を唱えるつもりは無いですが、’アイデンティティ管理’と銘打っているからには、足りないことがあると思いました。
私も、メインフレームでのアクセスコントロール製品である、RACF(IBM)やCA-Top Secretを取り扱ったことがありますので、本解説書の言わんとしていることは、良く理解できませす。
’その導入において要件定義・基本設計といったフェーズを軽視したために、それ以降の導入工程においての想定以上の工数の増加や、想定した期待効果が創出できないといったことが続出した。’は、その通りだと思います。機能は、要件を実現するための手段にすぎません。ID管理やアクセス管理の要件がきちんと定義されていることは、重要です。そのためのガイドとして、この解説書が編まれたのですが、ID管理の有効性を維持するためには、本書に記載されていないえすが、定期的なID、アカウントの棚卸が欠かせません。
ユーザID、アカウントは必要と判断されれば、作成申請は行われますが、削除の申請は忘れられがちなのも事実です。また、申請はしてみたが、使われないとか、必要性が変わったのに高い権限のままになっているとかいうことは、決して珍しくないのです。そこで、そういったIDを再検証し、不要なIDの削除や権限の変更など実施することが肝要です。
? ユーザID、アカウントの必要性検証
登録されているID、アカウントの必要性について、再検証します。
異動や職務変更などで、不必要となった権限を変更したり、場合によてはIDの削除も必要です。
? 退職者IDの検証
退職や契約期間お満了などで不要となったIDが残っていないかを検証します。
退職者のIDを残しておき、それを外部から不正に使用されら事例があります。
退職手続きで削除されている筈ということでなく、検証しましょう。
? 未使用IDの検証
?の必要性検証でも、取り敢えず残して残置しておこうというIDを排除できません。
そこで、一年以上の未使用のIDを抽出し、必要性を確認できない限り、削除しましょう。
?との違いは、原則は削除であり、残置は必要性が証明された場合の例外であることです。
? 特権、管理者権限
システム特権、管理者権限IDついて、上記に準じた再検証を実施します。
上記の再検証を定期的に実施することで、登録されているユーザID、アカウント中の’ゴミ’を排除することができます。実施頻度ですが、?は年に一回以上、?と?は複数回の実施が望ましいです。
以外に手間がかかるので、あまりに短い間隔だと、検証作業が終わらないうちに次の実施期日がきてしまったということに成りかねません。そうなると再検証が形骸化してしまう危険があるので、工数上無理の無い範囲で良いと思います。重要なのは、定期的検証を継続することです。
特権、管理者権限IDに関しては、そのリスクの大きさや検証すべき件数も一般IDの比して少ないので、実施頻度は一般IDより多くすべきだと思います。
本書は、アクセスコントロールやシングルサインオンなどID管理製品の導入前の作業工程のガイドを目的なので、導入後の再検証作業は作成目的外なので、軽視している訳ではないのだとは思いますが、内部統制のID管理と謳っているのですから、導入後のフェーズとして言及されていても良いのではないでしょうか(それらしき記述はあるのですが、説明不足という気がしました)。
とは言いつつ、ID管理を構築していく上で、参考にすべきドキュメントであると思います。
2008年6月22日日曜日
ISACA大阪支部年次総会
6月21日、ISACA大阪支部の総会に出席して参りました。東京支部からは、太田会長と特別講演講師として、ソニーの根岸さん、そしてCGEITの説明のため私が出席いたしました。
大阪支部の会員数も増加傾向にあるようで、ISACA国内3支部とも上り調子ある証しといえましょうか。
根岸さんは、「ソニーにおける内部統制システム(SOX404)への取り組み(2年目の対応を終えて)」という演題で、SOX法(米)への取り組んだ内容について、簡潔にお話をされていました。COBITを評価軸として用い、極めて巧みに応用されている印象を持ちました。実践的でとても参考になる講演でした。
会場では、何人もの人と名刺交換をいたしましたが、其の内の一人はかつての同僚、東京から大阪に引っ越され、転職もされていました。ほんと、この業界は狭いですね。
名古屋支部の総会では、残念ながら懇親会には出席できませんでしたが、今回は途中まで出席させていただきました。ざっくばらんな会話で、実に楽しい時間でした。規模が大きくなってしまった東京支部の総会では、もう味わえない雰囲気でありました。
今後も、CGEITワークショップ等で大阪支部、名古屋支部の皆さんとにお世話になることがありますので、宜しくお願いします。
大阪支部の会員数も増加傾向にあるようで、ISACA国内3支部とも上り調子ある証しといえましょうか。
根岸さんは、「ソニーにおける内部統制システム(SOX404)への取り組み(2年目の対応を終えて)」という演題で、SOX法(米)への取り組んだ内容について、簡潔にお話をされていました。COBITを評価軸として用い、極めて巧みに応用されている印象を持ちました。実践的でとても参考になる講演でした。
会場では、何人もの人と名刺交換をいたしましたが、其の内の一人はかつての同僚、東京から大阪に引っ越され、転職もされていました。ほんと、この業界は狭いですね。
名古屋支部の総会では、残念ながら懇親会には出席できませんでしたが、今回は途中まで出席させていただきました。ざっくばらんな会話で、実に楽しい時間でした。規模が大きくなってしまった東京支部の総会では、もう味わえない雰囲気でありました。
今後も、CGEITワークショップ等で大阪支部、名古屋支部の皆さんとにお世話になることがありますので、宜しくお願いします。
2008年6月20日金曜日
ISACA東京支部年次総会
昨日、6月19日は情報システムコントロール協会(ISACA)の年次総会でした。会場は、日本教育会館3階の大ホールで第一部の総会と第二部の特別講演、会場を9階に移して第三部の懇親会でありました。
私自身でも10数回目の総会出席になりますが、今年から運営の形態が変わりました。
今年から事務局機能強化として、団体事務局機能やイベント運営などの代行を業務とする有限会社ビジョンブリッジに総会や月例会の運営を委託しています。今総会は、委託後の最初の年次総会でした。会場のセットアップや受付業務など、実に手際よくこなしていただき、昨年までは理事会メンバーが右往左往していた場面もあったのですが、スムーズな総会運営でありました。
ただ、あくまで個人的感想ですが、ボランティアによる独特の手作り感が面白くもあったのですが、少し寂しいものもありました。
太田会長、日高事務局長、滝本経理局長からの活動報告、経理報告などが行われ、新年度の理事/役員が紹介されました。支部定款の改定にともない、旧理事会が意思決定機関の理事会と業務執行機関の委員会に改編され、私はCGEIT担当理事からCGEIT委員会委員長ということになりました。
報告の中で、東京支部の会員数の現況が説明されましたが、ここ数年の激増振りには目を見張るものがありますね。
特別講演は、情報セキュリティ大学院大学の林 紘一郎副学長のお話でした。講演の最後にマックス・ウエーバーの「プロテスタンティズムの論理と資本主義の精神」に触れられていました。私は、大学の専攻が社会学だったので、学生時代に散々耳にしたものです。
資本主義の発達とプロテスタントの宗教的道徳心との関係は、論議の対象となるところですが、翻ってキリスト教の影響の小さい日本の、アジアでの勃興の背景とは興味あるところですね。作家の故司馬遼太郎氏は、そのエッセイに武士道をあげています。プロテスタンティズムの論理の代わりに武士の徳目が、その役割を果たしたのではないかと。また、別のエッセイで、日本は重農主義でもなく重商主義でもなく、重職主義なのだと。職人とその気質、生き方などを尊び、敬意をはらってきた。名利蚤を求めず、職人としての職業規範の忠実で、そしてそのある種の文化を尊んできたと。
情報セキュリティでは、技術的管理策やマネジメント上の対応など、様々な施策を打つわけですが、つまるところ従業員の意識の持ち方で、その効果が左右されるのが現実であり、この最後の話題は最も印象に残りました。
懇親会では、会員や来賓の方と話をしました。そこで、聞かれるのが、Certidied in the Governance of Enterorise IT(CGEIT)の日本語訳がどうなったか・・・・・
まだ、決まってません。訳せなくて困ってます。冗談で、訳を公募して、採用した方には20CPEプレゼントしようかなどと話しておりました。
何人かの方には、現職の名刺を渡しましたが、私の名刺のコレクションをしていると冗談で言われました。転職や組織変更などで、結構たまったそうです。
第4部は、さくら水産でのフリートークです。月例会後などにのみにいく場合は、激安さくら水産がISACA東京支部の定番です。最初は、他に入れる店がなく、致し方なく選んだ店なのですが、いつもまにか、最初からさくら水産を行くのが定番となりました。
情報セキュリティ管理基準Ver2作成やシステム管理基準追補版裏話といった、その場限りの暴露など、酔った勢いでなければという話題、与太話だけなくControlとManegementの違いといったアカデミックな話もしました。
今回、第4部に公報委員長になった新島短期大学の花田経子先生も初参加、昨年までは懇親会終了後、急ぎ足で高崎まで帰っていったのですが、今回は東京に宿をとったとのことなので、初参加でした。花田先生、学生さん特に女子学生からみれば、先生というより年齢的にもお姉さんなのでしょうね。ISACA東京支部の癒し系です。
明日は、ISACA大阪支部の総会に出席、CGEITの説明です。私は所沢在住、我がライオンズも首位を維持してるので、日本シリーズでのタイガースとの決戦の可能性大、敵地へ乗り込む意気込みです(笑)
私自身でも10数回目の総会出席になりますが、今年から運営の形態が変わりました。
今年から事務局機能強化として、団体事務局機能やイベント運営などの代行を業務とする有限会社ビジョンブリッジに総会や月例会の運営を委託しています。今総会は、委託後の最初の年次総会でした。会場のセットアップや受付業務など、実に手際よくこなしていただき、昨年までは理事会メンバーが右往左往していた場面もあったのですが、スムーズな総会運営でありました。
ただ、あくまで個人的感想ですが、ボランティアによる独特の手作り感が面白くもあったのですが、少し寂しいものもありました。
太田会長、日高事務局長、滝本経理局長からの活動報告、経理報告などが行われ、新年度の理事/役員が紹介されました。支部定款の改定にともない、旧理事会が意思決定機関の理事会と業務執行機関の委員会に改編され、私はCGEIT担当理事からCGEIT委員会委員長ということになりました。
報告の中で、東京支部の会員数の現況が説明されましたが、ここ数年の激増振りには目を見張るものがありますね。
特別講演は、情報セキュリティ大学院大学の林 紘一郎副学長のお話でした。講演の最後にマックス・ウエーバーの「プロテスタンティズムの論理と資本主義の精神」に触れられていました。私は、大学の専攻が社会学だったので、学生時代に散々耳にしたものです。
資本主義の発達とプロテスタントの宗教的道徳心との関係は、論議の対象となるところですが、翻ってキリスト教の影響の小さい日本の、アジアでの勃興の背景とは興味あるところですね。作家の故司馬遼太郎氏は、そのエッセイに武士道をあげています。プロテスタンティズムの論理の代わりに武士の徳目が、その役割を果たしたのではないかと。また、別のエッセイで、日本は重農主義でもなく重商主義でもなく、重職主義なのだと。職人とその気質、生き方などを尊び、敬意をはらってきた。名利蚤を求めず、職人としての職業規範の忠実で、そしてそのある種の文化を尊んできたと。
情報セキュリティでは、技術的管理策やマネジメント上の対応など、様々な施策を打つわけですが、つまるところ従業員の意識の持ち方で、その効果が左右されるのが現実であり、この最後の話題は最も印象に残りました。
懇親会では、会員や来賓の方と話をしました。そこで、聞かれるのが、Certidied in the Governance of Enterorise IT(CGEIT)の日本語訳がどうなったか・・・・・
まだ、決まってません。訳せなくて困ってます。冗談で、訳を公募して、採用した方には20CPEプレゼントしようかなどと話しておりました。
何人かの方には、現職の名刺を渡しましたが、私の名刺のコレクションをしていると冗談で言われました。転職や組織変更などで、結構たまったそうです。
第4部は、さくら水産でのフリートークです。月例会後などにのみにいく場合は、激安さくら水産がISACA東京支部の定番です。最初は、他に入れる店がなく、致し方なく選んだ店なのですが、いつもまにか、最初からさくら水産を行くのが定番となりました。
情報セキュリティ管理基準Ver2作成やシステム管理基準追補版裏話といった、その場限りの暴露など、酔った勢いでなければという話題、与太話だけなくControlとManegementの違いといったアカデミックな話もしました。
今回、第4部に公報委員長になった新島短期大学の花田経子先生も初参加、昨年までは懇親会終了後、急ぎ足で高崎まで帰っていったのですが、今回は東京に宿をとったとのことなので、初参加でした。花田先生、学生さん特に女子学生からみれば、先生というより年齢的にもお姉さんなのでしょうね。ISACA東京支部の癒し系です。
明日は、ISACA大阪支部の総会に出席、CGEITの説明です。私は所沢在住、我がライオンズも首位を維持してるので、日本シリーズでのタイガースとの決戦の可能性大、敵地へ乗り込む意気込みです(笑)
2008年6月16日月曜日
従業員の意識が内部統制の水準を左右するか
情報セキュリティや個人情報保護、内部統制などの有効性というか水準というものは、管理策の有無や精度だけでなく、当該の企業(事業体)の従業員(職員)の意識水準も影響を与えるのだと、私は思います。
皆で渡れば怖くないという集団的横紙破りだけでなく、ちょっとした軽い気持ちという、個人的なルール破りも困ったものだと思います。
以下は、読売新聞Webからの引用です。
このホテルのHPには、プライバシーポリシーが掲載され、事前の同意なしの個人情報の第三者提供をしないことを誓約しています。おそらく、個人情報保護に関する社内の規約やなども定められているのだと推測されます。今回のケースは、組織的なものでなく、当該社員の個人的な規約破りだと思われます。
組織的に可能な限りの管理策、内部統制を整備しても、従業員個々の意識が一定の水準にないと、対策の有効性も満足すべきものにならないということですね。
情報セキュリティや内部統制に関する教育というのは、管理策を周知徹底するものと、一般的な意識向上を図るものと、二通りを考えなければいけませんね。
皆で渡れば怖くないという集団的横紙破りだけでなく、ちょっとした軽い気持ちという、個人的なルール破りも困ったものだと思います。
以下は、読売新聞Webからの引用です。
挙式予定1760人の個人情報漏らし解雇…横浜のホテル社員
相鉄ホテルは16日、経営する「横浜ベイシェラトンホテル&タワーズ」(横浜市西区)の挙式予定者1760人分の個人情報を外部に漏らしたとして、販売部の男性社員(45)を13日付で諭旨解雇したと発表した。
漏えいした情報は、昨年7月から今年6月上旬、ホテルの式場を下見するなどした顧客の住所や氏名、勤務先などの一覧表。
男性社員は、以前勤務していた別のホテルで同僚だった埼玉県の冠婚葬祭のコンサルタント業者の依頼を受けて、今年2月から5月に計6回に渡ってメールで挙式予定者の一覧表を送信し、謝礼として2万円を受け取った。調査に対し、男性社員は「軽い気持ちで情報提供した」と話している。 業者は「市場動向を見ただけで廃棄した」と述べ、外部流出を否定している。
今年2月から5月に、顧客4組から「身に覚えのない貸衣装などのダイレクトメールが届いた」と連絡があり、ホテルの調査で発覚した。
��2008年6月16日20時15分 読売新聞)
このホテルのHPには、プライバシーポリシーが掲載され、事前の同意なしの個人情報の第三者提供をしないことを誓約しています。おそらく、個人情報保護に関する社内の規約やなども定められているのだと推測されます。今回のケースは、組織的なものでなく、当該社員の個人的な規約破りだと思われます。
組織的に可能な限りの管理策、内部統制を整備しても、従業員個々の意識が一定の水準にないと、対策の有効性も満足すべきものにならないということですね。
情報セキュリティや内部統制に関する教育というのは、管理策を周知徹底するものと、一般的な意識向上を図るものと、二通りを考えなければいけませんね。
2008年6月15日日曜日
ISACA名古屋支部2008年度総会
昨日、2008年6月14日は、ISACA名古屋支部総会でした。東京支部太田会長ともに出席をさせて頂きました。
東京支部会長の出席は定例のことで、会長挨拶で支部の現状について紹介を行いました。支部会員が3,000人も視野に入っているとの話には、反応が大きかったようです。
私は、1時間ほど時間を使い,CGEITの紹介と普及促進に向け東京支部CGEIT委員会の活動の紹介を行いました。東京支部で6名の認定者を把握していますが、名古屋支部も既に2名の方が認定を受けているとの事でした。年内の20名の認定を受けるとの目標ですが、達成できそうな感触を受けました。
立命館大学の滝教授による特別講演「監査研究の系譜」も聞かせていただきました。監査とそ効果を学術的に研究すると言うことで、もし機会があれば、東京支部の月例会でも、お話いをお願いしたい内容でありました。
名古屋支部の会員数は、70名程だそうです。総会会場も、ある監査法人の会議室で、理事会メンバーと会員との距離感も程よく、総会/講演終了後、参加者が連れ立って懇親会会場まで歩いていく風景など、10数年前の東京支部の月例会終了後の光景のようでした。
私は、残念ながら懇親会には参加しませんでしたが、一体感が感じられた良い総会でした。6月19日に東京支部総会、21日大阪支部総会です。いずれも参加する予定なので、参加予定の皆様、宜しくお願いします。
東京支部会長の出席は定例のことで、会長挨拶で支部の現状について紹介を行いました。支部会員が3,000人も視野に入っているとの話には、反応が大きかったようです。
私は、1時間ほど時間を使い,CGEITの紹介と普及促進に向け東京支部CGEIT委員会の活動の紹介を行いました。東京支部で6名の認定者を把握していますが、名古屋支部も既に2名の方が認定を受けているとの事でした。年内の20名の認定を受けるとの目標ですが、達成できそうな感触を受けました。
立命館大学の滝教授による特別講演「監査研究の系譜」も聞かせていただきました。監査とそ効果を学術的に研究すると言うことで、もし機会があれば、東京支部の月例会でも、お話いをお願いしたい内容でありました。
名古屋支部の会員数は、70名程だそうです。総会会場も、ある監査法人の会議室で、理事会メンバーと会員との距離感も程よく、総会/講演終了後、参加者が連れ立って懇親会会場まで歩いていく風景など、10数年前の東京支部の月例会終了後の光景のようでした。
私は、残念ながら懇親会には参加しませんでしたが、一体感が感じられた良い総会でした。6月19日に東京支部総会、21日大阪支部総会です。いずれも参加する予定なので、参加予定の皆様、宜しくお願いします。
2008年6月14日土曜日
CISA/CISM試験です。
本日、6月第2土曜日は、CISA/CISMの試験日です。早い方は、既に会場に到着されているかもしれませんね。今回は、何人の方が受験すのるのでしょうか。いずれにしても、私が受験した十数年前に比べたら、信じられない数字なのでしょうが。
4時間の長丁場、受験者の皆さん、頑張って下さい。そして、吉報がお手元に届くことを祈念しています。
2009年の10月第2週の試験では、CGEIT日本語試験の実現を目指しています。何とか100名以上の受験者を集めることが目標です。
CISA/CISM試験に際して、昨日のあるイベントについて報告いたします。
昨日は、日本ネットワークセキュリティ協会の2007年度活動報告会/総会でした。「人財育成マップとキャリアパスの現状と今後について」と題されたパネルディスカッションに、パネラーとして参加したので、情報セキュリティに係る人材の育成、評価などについて、私見を述べさせていただきました。
情報セキュリティに係る人材が、弊社のような専業のコンサルタント系企業等を除き、事業者の内外で正当に評価されたいないのでは、というのがテーマでありました。それについて、色々な意見がパネラーにより話されたのですが、会場のSI系企業に勤務する方から、所属企業のISMS認証取得を担当しているが、取得後に何をすればいいか不安だという意見がありました。これは、情報セキュリティに係る人材の現状を端的に表していると思います。そして、そのような意見が出されない状況を目指ざさなければと思います。
CISA./CISM試験前日として、正に時宜に適ったパネルディスカッションだったと思います。
本日は、CGEITの説明のために、ISACA名古屋支部の2008年年次総会に出席いたします。他の支部の総会に参加するのは、初めてのことなので、楽しみにしています。
JNSAの会合、今まで縁が無かったのですが、ISACAやJASAとは一風変わった雰囲気でした。CISSPフォルダーが多く、技術系に色彩が強いなというのが印象です。
------------------------------------------------------------------------------
余話として
ISACA東京支部は、監査法人系の会員が多数になってきたので、どうしても内部統制面の話題が主体になる傾向を感じており、特徴かなと思いました。ISACAとJASA、JNSAに共通点もありますが、各各団体が特徴を生かしながら連携していけば良いと思います。JASAとJNSAは以前から協力関係にありますが、ISACAは個人会員組織、専任の事務局を持たないボランティアによる運営という事情もあり、個人の行動が主体で、組織的協力関係に弱いですね。JASAの会合で見かけるISACA会員も、昨日は私を含めて2名でした。
他の団体との組織的連携、ISACA国内三支部の今後の課題なのでしょうか。
4時間の長丁場、受験者の皆さん、頑張って下さい。そして、吉報がお手元に届くことを祈念しています。
2009年の10月第2週の試験では、CGEIT日本語試験の実現を目指しています。何とか100名以上の受験者を集めることが目標です。
CISA/CISM試験に際して、昨日のあるイベントについて報告いたします。
昨日は、日本ネットワークセキュリティ協会の2007年度活動報告会/総会でした。「人財育成マップとキャリアパスの現状と今後について」と題されたパネルディスカッションに、パネラーとして参加したので、情報セキュリティに係る人材の育成、評価などについて、私見を述べさせていただきました。
情報セキュリティに係る人材が、弊社のような専業のコンサルタント系企業等を除き、事業者の内外で正当に評価されたいないのでは、というのがテーマでありました。それについて、色々な意見がパネラーにより話されたのですが、会場のSI系企業に勤務する方から、所属企業のISMS認証取得を担当しているが、取得後に何をすればいいか不安だという意見がありました。これは、情報セキュリティに係る人材の現状を端的に表していると思います。そして、そのような意見が出されない状況を目指ざさなければと思います。
CISA./CISM試験前日として、正に時宜に適ったパネルディスカッションだったと思います。
本日は、CGEITの説明のために、ISACA名古屋支部の2008年年次総会に出席いたします。他の支部の総会に参加するのは、初めてのことなので、楽しみにしています。
JNSAの会合、今まで縁が無かったのですが、ISACAやJASAとは一風変わった雰囲気でした。CISSPフォルダーが多く、技術系に色彩が強いなというのが印象です。
------------------------------------------------------------------------------
余話として
ISACA東京支部は、監査法人系の会員が多数になってきたので、どうしても内部統制面の話題が主体になる傾向を感じており、特徴かなと思いました。ISACAとJASA、JNSAに共通点もありますが、各各団体が特徴を生かしながら連携していけば良いと思います。JASAとJNSAは以前から協力関係にありますが、ISACAは個人会員組織、専任の事務局を持たないボランティアによる運営という事情もあり、個人の行動が主体で、組織的協力関係に弱いですね。JASAの会合で見かけるISACA会員も、昨日は私を含めて2名でした。
他の団体との組織的連携、ISACA国内三支部の今後の課題なのでしょうか。
2008年6月10日火曜日
情報セキュリティ監査シンポジウム in Tokyo
来る、2008年7月9日(水)に日本セキュリティ監査協会(JASA)主催の「情報セキュリティ監査シンポジウム in Tokyo」が開催されます。
私も作成プロジェクトメンバーであった「情報セキュリティ管理基準 Ver2.0」や保証型情報セキュリティ監査等について発表があります。
私も早速、参加申込みを致しました。ご都合のつく皆様、会場でお会いしましょう。
情報セキュリティ監査シンポジウムについて
私も作成プロジェクトメンバーであった「情報セキュリティ管理基準 Ver2.0」や保証型情報セキュリティ監査等について発表があります。
私も早速、参加申込みを致しました。ご都合のつく皆様、会場でお会いしましょう。
情報セキュリティ監査シンポジウムについて
2008年6月8日日曜日
情報セキュリティ監査手続作成プロジェクト
日本セキュリティ監査協会(JASA)の新しいプロジェクトが開始されました。
新プロジェクトは、昨年度のJASA成果物である「情報セキュリティ管理基準 第2版」原案に基づき、情報セキュリティ監査手続、ガイドラインを作成しようとするものです。
2008年6月6日、JASA事務局会議室で、プロジェクトメンバーが集まり、第2回目の会合と「情報セキュリティ管理基準 第2版」原案作成慰労会兼新プロジェクト発足の懇親会が開催されました。
(「情報セキュリティ管理基準 第2版」は、経済産業省に納品はしたのですが、未だにパブリックコメントが実施されず、正式発行に至ってないのですが・・・・)
とは、管理基準の次は監査手続というのも自然な流れでもあるので、兎にも角にも新プロジェクトは、スタートと相成りました。
新プロジェクトは、’情報セキュリティ管理基準V2,0に基づく実用的な監査ガイドの精査・拡充’のため、情報セキュリティ監査に携わる方々が、監査手続きを作成する際のガイドラインとなるべき文書になる予定です。
プロジェクトメンバーは、
中尾 康二氏 KDDI株式会社
菅谷 光啓氏 NRIセキュアテクノロジーズ株式会社
河野 省二氏 株式会社ディアイティ
岡野 大良氏 伊藤忠テクノソリューションズ株式会社
佐藤 元彦氏 伊藤忠テクノソリューションズ株式会社
関 克彦氏 KPMGビジネスアシュアランス株式会社
永宮 直史氏 信頼資産マネジメント合同会社
濱本 桜氏 KDDI株式会社
横川 英之氏 みずほ情報総研株式会社
大溝 裕則氏 株式会社JMCリスクソリューション
増田 聖一 三井物産セキュアディレクション株式会社
で、殆ど前プロジェクトからの継続メンバーです。これから、月2回程度の会合を重ねながら、各自自宅や仕事の合間に、粛々と担当分野のガイドを作成していくことになります。 原案は、JASAでのパブリックコメント後、経済産業省に納品されます。
皆さんが使って良かったと思って頂けるものを作成すべき、メンバー一同頑張っていますので、宜しくお願いします。
新プロジェクトは、昨年度のJASA成果物である「情報セキュリティ管理基準 第2版」原案に基づき、情報セキュリティ監査手続、ガイドラインを作成しようとするものです。
2008年6月6日、JASA事務局会議室で、プロジェクトメンバーが集まり、第2回目の会合と「情報セキュリティ管理基準 第2版」原案作成慰労会兼新プロジェクト発足の懇親会が開催されました。
(「情報セキュリティ管理基準 第2版」は、経済産業省に納品はしたのですが、未だにパブリックコメントが実施されず、正式発行に至ってないのですが・・・・)
とは、管理基準の次は監査手続というのも自然な流れでもあるので、兎にも角にも新プロジェクトは、スタートと相成りました。
新プロジェクトは、’情報セキュリティ管理基準V2,0に基づく実用的な監査ガイドの精査・拡充’のため、情報セキュリティ監査に携わる方々が、監査手続きを作成する際のガイドラインとなるべき文書になる予定です。
プロジェクトメンバーは、
中尾 康二氏 KDDI株式会社
菅谷 光啓氏 NRIセキュアテクノロジーズ株式会社
河野 省二氏 株式会社ディアイティ
岡野 大良氏 伊藤忠テクノソリューションズ株式会社
佐藤 元彦氏 伊藤忠テクノソリューションズ株式会社
関 克彦氏 KPMGビジネスアシュアランス株式会社
永宮 直史氏 信頼資産マネジメント合同会社
濱本 桜氏 KDDI株式会社
横川 英之氏 みずほ情報総研株式会社
大溝 裕則氏 株式会社JMCリスクソリューション
増田 聖一 三井物産セキュアディレクション株式会社
で、殆ど前プロジェクトからの継続メンバーです。これから、月2回程度の会合を重ねながら、各自自宅や仕事の合間に、粛々と担当分野のガイドを作成していくことになります。 原案は、JASAでのパブリックコメント後、経済産業省に納品されます。
皆さんが使って良かったと思って頂けるものを作成すべき、メンバー一同頑張っていますので、宜しくお願いします。
2008年6月6日金曜日
Certified in the Governance of Enterprise IT(CGEIT)を目指そう Ⅳ
2008年6月6日現在、私は把握している国内(日本人)CGEIT認定者は3名です。早めに申請をされて、ここ一ヶ月で認定されています。
試験によらない特別認定制度は、本年10月までです。多くの皆さんに、この制度を活用していただきたいのですが、やはり英語での申請書記入、特に職務経歴の記入は壁が高いかもしれません。
そこで、2008年6月14日に実際に認定を得た方の事例を基にした、グランドファザリング申請書記入ワークショップを開催することにしました。
記入欄の説明だけでなく、具体的な記述内容に踏み込んだレクチャーを予定しています。先着30名という人数制限はありますが、お時間がある方、是非ともご参加下さい。
参加申込みはここからです → ISACA東京支部CGEIT委員会
試験によらない特別認定制度は、本年10月までです。多くの皆さんに、この制度を活用していただきたいのですが、やはり英語での申請書記入、特に職務経歴の記入は壁が高いかもしれません。
そこで、2008年6月14日に実際に認定を得た方の事例を基にした、グランドファザリング申請書記入ワークショップを開催することにしました。
記入欄の説明だけでなく、具体的な記述内容に踏み込んだレクチャーを予定しています。先着30名という人数制限はありますが、お時間がある方、是非ともご参加下さい。
参加申込みはここからです → ISACA東京支部CGEIT委員会
2008年6月3日火曜日
COBIT V4.1 日本語版無償ダウンロード開始
COBITもITガバナンスのフレームワークとして、ようやく認知度が高まってきて、その事例も徐々に明らかになってきました。しかし、その日本語版の歩みは、ISACA東京支部有志が苦心惨憺し翻訳がしたが、諸々の事情により日の目を見なかったV2.0、出版会社の倒産をという憂き目をみたV3.0と山あり谷あり、決して順風万般のものではありませんでした。
V4.0からは、丸山さんをリーダとするISACA COBITプロジェクトチームが翻訳に挑みました。そして、その配布も日本ITガバナンス協会のHPから無償でダウンロード可能とすることで、その普及促進の後押しとなったことは確かであろうと思います。
英語版はV4.1が発表されておりましたが、NRIセキュアテクノロジーズ株式会社の全面支援えお得て、ISACA東京支部有志による、COBIT 4.1の日本語版が完成し、本日から無償ダウンロードを開始いたしました。ITガバナンスのフレームワークとして、是非ともご活用下さい。
日本ITガバナンス協会ダウンロードページ
COBIT V4.1の翻訳に携わった皆様、誠にご苦労様でした。
V4.0からは、丸山さんをリーダとするISACA COBITプロジェクトチームが翻訳に挑みました。そして、その配布も日本ITガバナンス協会のHPから無償でダウンロード可能とすることで、その普及促進の後押しとなったことは確かであろうと思います。
英語版はV4.1が発表されておりましたが、NRIセキュアテクノロジーズ株式会社の全面支援えお得て、ISACA東京支部有志による、COBIT 4.1の日本語版が完成し、本日から無償ダウンロードを開始いたしました。ITガバナンスのフレームワークとして、是非ともご活用下さい。
日本ITガバナンス協会ダウンロードページ
COBIT V4.1の翻訳に携わった皆様、誠にご苦労様でした。
2008年6月1日日曜日
Certified in the Governance of Enterprise IT(CGEIT)を目指そう Ⅲ
Certified in the Governance of Enterprise IT(CGEIT)の認定状況ですが、ISACA東京支部CGEIT委員会委員で2名の方が、目出度く認定を受けています。小職を含めてあと3名が申請、委員候補の方1名が申請書を送付済みです。
今後の予定は、6月14日と21日にISACA名古屋支部と大阪支部の年次総会が開催されるので、其の機会にCGEIT説明会を実施する予定です。東京のみならず、大阪支部/名古屋支部の皆さんにも積極的に申請をしていただけるように説明かたがたお願いをしてきます。
委員中、2名に方が認定を受けましたので、その事例を基にCGEITグランドファザリング申請書記入ワークショップを複数回開催する予定です。これは、認定を受けた実際の申請書の記入例を参考にして、効果的な記述について勉強していこうという企画です。土曜日に開催して、じっくりと取り組んでいくつもりです。
グランドファザリングで20名以上の認定者を誕生されるという目標向かって、前進中です。
今後の予定は、6月14日と21日にISACA名古屋支部と大阪支部の年次総会が開催されるので、其の機会にCGEIT説明会を実施する予定です。東京のみならず、大阪支部/名古屋支部の皆さんにも積極的に申請をしていただけるように説明かたがたお願いをしてきます。
委員中、2名に方が認定を受けましたので、その事例を基にCGEITグランドファザリング申請書記入ワークショップを複数回開催する予定です。これは、認定を受けた実際の申請書の記入例を参考にして、効果的な記述について勉強していこうという企画です。土曜日に開催して、じっくりと取り組んでいくつもりです。
グランドファザリングで20名以上の認定者を誕生されるという目標向かって、前進中です。
2008年5月23日金曜日
検索キーワード Top10
下記は、このBlogに仕掛けたアクセス解析ツールでの、4月の検索キーワードのTop 10です。
4位は、人名(知人)なので伏字に致しました。
なんと、小生の名前が堂々の1位です。2月と3月もTop 10に食い込んでいるのですが・・・・
CGEIT、CISA 問題集、CISA 受験、CISMでの参照も同様にTop 10に顔を出します。やはり、関心が高いからでしょうね。
5月の結果は、どうなることやりゃです。
1 増田聖一
2 CGEIT
3 CISA 問題集
4 XXXXXXX
5 アイ・エス・レーティング
6 CISM
7 株式会社アイ・エス・レーティング
8 セキュリティ コンサルタント ブログ
10 CISA 受験
4位は、人名(知人)なので伏字に致しました。
なんと、小生の名前が堂々の1位です。2月と3月もTop 10に食い込んでいるのですが・・・・
CGEIT、CISA 問題集、CISA 受験、CISMでの参照も同様にTop 10に顔を出します。やはり、関心が高いからでしょうね。
5月の結果は、どうなることやりゃです。
1 増田聖一
2 CGEIT
3 CISA 問題集
4 XXXXXXX
5 アイ・エス・レーティング
6 CISM
7 株式会社アイ・エス・レーティング
8 セキュリティ コンサルタント ブログ
10 CISA 受験
2008年5月22日木曜日
ISACA東京支部月例会に出席して参りました
ISACA東京支部2008年5月度月例会に出席して参りました。今回の講師は、前防衛省官房長の西川徹也氏です。
西川徹也氏略歴
1972年警察庁採用、警視庁神田署長、在比日本大使館一等書記官、和歌山県警本部長、警察庁情報通信企画課長、新潟県警本部長を経て、1999年防衛庁防衛審議官、IT 担当参事官、運用局長、人事教育局長を経て、2007年大臣官房長を最後に退官。同年明治安田生命保険相互会社に就職。
和歌山県警本部長時代に「コンピュータ犯罪に関する白浜シンポジウム」(現サイバー犯罪に関する白浜シンポジウム)、新潟県警本部長時代に「ネットワーク・セキュリティ・ワークショップin越後湯沢」の創設に尽力された経緯があり、ITガバナンス/情報セキュリティにも造詣が深く、ISACAの何かとお世話になっています。
サイバー犯罪に関する白浜シンポジウム
ネットワーク・セキュリティ・ワークショップin越後湯沢
今回の月例会で印象に残ったことを紹介します。
Information Assurance
情報の保証というか保全という意味なのでしょうか。そもそもComputer(IT) Security があってInformation Securityがり、そしてInformation Assuranceと繋がっていくのではないか、ということでした。ああ、なるほどと思いました。今後、考えていくべき命題だと思いました。
情報の特性とバランス
情報の特性に応じた対策が必要であること。全てを機密度の高い情報に合わせることは、組織の行動に支障を来たしてしまう・・etc
これは、全くその通りだと思います。
防衛省のおける情報保証の定義
① 機密性
② 完全性
③ 可用性
④ 識別・認証
⑤ 否認防止
①~③はお馴染みですね。④と⑤は、情報セキュリティの構成要素として語られる例は、それ程多くないので、印象に残りました。
広報体制
イージス護衛艦「あたご」の衝突事件ですが、その広報体制に問題があったと西川氏は認識されていました。事件について、報道機関に対しては防衛大臣、同次官、同広報官、海上幕僚長等、プレイヤーが多すぎということ。同一の主題に対して、ニュアンスのことなるコメント、回答があり悪戯に混乱を招いたのではとのこと。危機管理の一環として公報は、プレイヤーの数を多くすべきでないとのお話でした。民間企業でも参考になりますね。
情報の精度
事故の第一報を鵜呑みにするのは危険である。速報を意識するあまり、精度の悪い情報が報告されることがある。情報の精度を上げるには、情報のキャッチボールが必要であるとのことでした。これは、西川氏の警察時代の捜査幹部としての経験からの発言と想像されます。
その他
あとは、軍事機密です(笑)
月例会後、西川氏も含めて10人ほどで、神保町の中華料理屋に行きました。料理と店主拘りの紹興酒に舌鼓を打ちながら、西川氏の神田署長や捜査幹部時代の想い出話、白浜や湯沢の両イベントにまつわる裏話など伺いまして、誠に有意義で愉快な月例会でした。
(月例会後に一杯飲むのは久し振りでした。ISACAに入会した十数年前の月例会は、スピーチ後の懇親会は付き物でしたが、この習慣、また復活して欲しいのですが、大規模化した月例会では難しいですね)
(会場でお二人の方と名刺交換をしました。お一人は、USEN(現Abitus)のCISA講座で、私の講義を聴かれたとのこと。また、お二方ともCGEITのグランドファザリングでの申請を希望しており、申請書記入ワークショップを待って、申請を予定しているとのことでした。プレッシャーを感じた次第です)
西川徹也氏略歴
1972年警察庁採用、警視庁神田署長、在比日本大使館一等書記官、和歌山県警本部長、警察庁情報通信企画課長、新潟県警本部長を経て、1999年防衛庁防衛審議官、IT 担当参事官、運用局長、人事教育局長を経て、2007年大臣官房長を最後に退官。同年明治安田生命保険相互会社に就職。
和歌山県警本部長時代に「コンピュータ犯罪に関する白浜シンポジウム」(現サイバー犯罪に関する白浜シンポジウム)、新潟県警本部長時代に「ネットワーク・セキュリティ・ワークショップin越後湯沢」の創設に尽力された経緯があり、ITガバナンス/情報セキュリティにも造詣が深く、ISACAの何かとお世話になっています。
サイバー犯罪に関する白浜シンポジウム
ネットワーク・セキュリティ・ワークショップin越後湯沢
今回の月例会で印象に残ったことを紹介します。
Information Assurance
情報の保証というか保全という意味なのでしょうか。そもそもComputer(IT) Security があってInformation Securityがり、そしてInformation Assuranceと繋がっていくのではないか、ということでした。ああ、なるほどと思いました。今後、考えていくべき命題だと思いました。
情報の特性とバランス
情報の特性に応じた対策が必要であること。全てを機密度の高い情報に合わせることは、組織の行動に支障を来たしてしまう・・etc
これは、全くその通りだと思います。
防衛省のおける情報保証の定義
① 機密性
② 完全性
③ 可用性
④ 識別・認証
⑤ 否認防止
①~③はお馴染みですね。④と⑤は、情報セキュリティの構成要素として語られる例は、それ程多くないので、印象に残りました。
広報体制
イージス護衛艦「あたご」の衝突事件ですが、その広報体制に問題があったと西川氏は認識されていました。事件について、報道機関に対しては防衛大臣、同次官、同広報官、海上幕僚長等、プレイヤーが多すぎということ。同一の主題に対して、ニュアンスのことなるコメント、回答があり悪戯に混乱を招いたのではとのこと。危機管理の一環として公報は、プレイヤーの数を多くすべきでないとのお話でした。民間企業でも参考になりますね。
情報の精度
事故の第一報を鵜呑みにするのは危険である。速報を意識するあまり、精度の悪い情報が報告されることがある。情報の精度を上げるには、情報のキャッチボールが必要であるとのことでした。これは、西川氏の警察時代の捜査幹部としての経験からの発言と想像されます。
その他
あとは、軍事機密です(笑)
月例会後、西川氏も含めて10人ほどで、神保町の中華料理屋に行きました。料理と店主拘りの紹興酒に舌鼓を打ちながら、西川氏の神田署長や捜査幹部時代の想い出話、白浜や湯沢の両イベントにまつわる裏話など伺いまして、誠に有意義で愉快な月例会でした。
(月例会後に一杯飲むのは久し振りでした。ISACAに入会した十数年前の月例会は、スピーチ後の懇親会は付き物でしたが、この習慣、また復活して欲しいのですが、大規模化した月例会では難しいですね)
(会場でお二人の方と名刺交換をしました。お一人は、USEN(現Abitus)のCISA講座で、私の講義を聴かれたとのこと。また、お二方ともCGEITのグランドファザリングでの申請を希望しており、申請書記入ワークショップを待って、申請を予定しているとのことでした。プレッシャーを感じた次第です)
2008年5月19日月曜日
JNSA 2007年度活動報告会が開催されます
来る6月13日に、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)主催のセミナーが開催されます。このセミナーのパネルディスカッションに、私もパネラーとして参加することになりました。
ディスカッションのテーマは、「情報セキュリティのキャリアパス ~現状と未来~」。
情報セキュリティに携わる人材に係る教育やスキル向上、キャリアパスなどについて、意見交換が行われるのだと思います。
あくまで私見ですが、現在、情報セキュリティやシステム監査、IT統制などに関わる人達は、組織的体系的教育を受けた経験は、そんなに多くないと思います。自己啓発として、もしくは業務上の必要性から、外部教育機関のセミナーを受講したり、独学したりで、その知識やスキルを磨き上げてきたケースが大半かと推測していますが、どうでしょうか。
また、キャリアパスについても、その専門知識、知見、経験が有効に活用できる、正当に評価されているのでしょうか。監査法人とかコンサルティング業務に従事している場合はともかく、企業内で情報セキュリティ業務に従事している場合など、なかなか難しいのではと思われます。
このパネルディスカッションで、どこまでの話しになるか、何とも言えませんが、情報セキュリティの係るキャリアパスという、個人的に関心のあるテーマですので、本blogでも紹介することに致しました
JNSA 2007年度活動報告会
http://www.jnsa.org/seminar/2008/0613/index.html
ディスカッションのテーマは、「情報セキュリティのキャリアパス ~現状と未来~」。
情報セキュリティに携わる人材に係る教育やスキル向上、キャリアパスなどについて、意見交換が行われるのだと思います。
あくまで私見ですが、現在、情報セキュリティやシステム監査、IT統制などに関わる人達は、組織的体系的教育を受けた経験は、そんなに多くないと思います。自己啓発として、もしくは業務上の必要性から、外部教育機関のセミナーを受講したり、独学したりで、その知識やスキルを磨き上げてきたケースが大半かと推測していますが、どうでしょうか。
また、キャリアパスについても、その専門知識、知見、経験が有効に活用できる、正当に評価されているのでしょうか。監査法人とかコンサルティング業務に従事している場合はともかく、企業内で情報セキュリティ業務に従事している場合など、なかなか難しいのではと思われます。
このパネルディスカッションで、どこまでの話しになるか、何とも言えませんが、情報セキュリティの係るキャリアパスという、個人的に関心のあるテーマですので、本blogでも紹介することに致しました
JNSA 2007年度活動報告会
http://www.jnsa.org/seminar/2008/0613/index.html
2008年5月14日水曜日
CISA/CISM試験まであと一ヶ月となりました
2008年前期のCISA/CISM試験まで、丁度一ヶ月となりました。受験者の皆様は追い込みに入った時期かと思います。そして、当blogもアクセス数が平均を上回る期間でもあります。CISA試験とかCISM試験、受験対策といったキーワードで、当blogを見つける方も少なくないようです。
そこで、試験前恒例、試験対策情報です。
CISA/CISM試験参考
1 時間割をしましょう
試験時間は4時間ですが、短いようで長く、長いようで短いです。4時間を上手に使うことが必要です。回答見直しの時間も含めて、時間割をすること水晶します。
私が受験した時は、問題が250問で試験時間は5時間でした。回答見直しを1時間とし、4時間で250問を回答する計画としました。
2 必ず回答しましょう。
問題は4択です。無回答ですと0点ですが、鉛筆倒しでも正答確立25%です。必ず回答しましょう。そして、印を付けておきます。全問回答した後に見直しと、正解が分かることがあります。これは、全問回答することで問題に慣れした結果、回答のコツが分かってくるからだと思います。
3 長考は避けましょう
分からない問題に長考せず、適当に解答をして次の問題にかかりましょう。長考して、時間を空費すると、焦りがでます。本来の力を発揮できなくなりますので、長考は考え物です。適当に回答して、潔く次の問題に移りましょう。やはり、印をつけておきます。理由は上記と同じです。
4 問題はをよく読みましょう
回答は、唯一の正解を求めるものだけではありません。下記の類型他あります。
① 最も適切なものを回答
② 最も適切でないもの回答
③ 唯一の正解を回答
④ 唯一の間違いを回答
①と②の場合、回答選択肢はどれも間違いではありません。その中で最も適切(不適切な)回答選択肢を選びます。問題を良く読み、問題の類型を見極めましょう。また、問題の中に解答のヒントがあることも少なくありませんので。
5 見直しをしましょう
全問回答後の見直しも重要です。鉛筆倒しで決めた回答、長考を避けるためにした回答を見直します。回答時点では分からなかったことが、見直し段階で解消することも少なくありません。これは、私の経験からのアドバイスです。
回答の選択間違いもあります。回答は間違いなくAなのにBにしていた、何てが少なくないものです。こういった回答ミスを拾いましょう。
見直しで、確実に何問かを拾えると思います。私は1回目の試験は不合格でしたが見直しをしていませんでした。合格したときは、 見直しをして、幾つかの問題を拾ってました。一回目の試験で、きちんと見直しをしておけば、合格していたのではと、今も思っています。
6 集中力に回復
四時間集中力を維持するのは難しいです、というか不可能ではないでしょうか。私は、集中力を維持するのでなく、回復するということを考えました。
一時間経過時点 深呼吸、そして1~2分休憩
二時間経過時点 トイレに行く。すっきりしてから、顔を洗い、リフレッシュ
三時間経過時点 深呼吸、そして1~2分休憩、見直し突入
7 飲み物、飴
飲み物や飴を持ち込み、途中で水分補給をして喉を潤し、雨で糖分の補給をして乗り切りました。当時は、ペットボトルの持込や禁止されていませんしたが、現在はどうなのかは確認が必要です。
8 朝食は必ず摂りましょう
試験は、朝から昼食時までです。私は、結構空腹感を感じました。空腹感は集中力の妨げになります。朝食は抜いてはいけません。
以上受験にあたっての注意ポイントです。
時間配分例
時間配分 - 見直し時間考慮せず
240分÷200問 = 1分12秒/問
解答だけを配慮した時間配分
見直しに1時間程度、必要
時間配分 - 見直し時間を考慮
見直し1時間(60分)
(240分-60分)200問 = 54秒/問、自信がある場合は10秒以内で解答可能、54秒は短く感じない
他の問題に時間を振り向けられる
集中力の持続は困難、早目に200問に解答する
1分以上を考えた問題は、適当な解答を選んで後回し、次の問題へ
4時間の長丁場です。皆さん、頑張って下さい。
そこで、試験前恒例、試験対策情報です。
CISA/CISM試験参考
1 時間割をしましょう
試験時間は4時間ですが、短いようで長く、長いようで短いです。4時間を上手に使うことが必要です。回答見直しの時間も含めて、時間割をすること水晶します。
私が受験した時は、問題が250問で試験時間は5時間でした。回答見直しを1時間とし、4時間で250問を回答する計画としました。
2 必ず回答しましょう。
問題は4択です。無回答ですと0点ですが、鉛筆倒しでも正答確立25%です。必ず回答しましょう。そして、印を付けておきます。全問回答した後に見直しと、正解が分かることがあります。これは、全問回答することで問題に慣れした結果、回答のコツが分かってくるからだと思います。
3 長考は避けましょう
分からない問題に長考せず、適当に解答をして次の問題にかかりましょう。長考して、時間を空費すると、焦りがでます。本来の力を発揮できなくなりますので、長考は考え物です。適当に回答して、潔く次の問題に移りましょう。やはり、印をつけておきます。理由は上記と同じです。
4 問題はをよく読みましょう
回答は、唯一の正解を求めるものだけではありません。下記の類型他あります。
① 最も適切なものを回答
② 最も適切でないもの回答
③ 唯一の正解を回答
④ 唯一の間違いを回答
①と②の場合、回答選択肢はどれも間違いではありません。その中で最も適切(不適切な)回答選択肢を選びます。問題を良く読み、問題の類型を見極めましょう。また、問題の中に解答のヒントがあることも少なくありませんので。
5 見直しをしましょう
全問回答後の見直しも重要です。鉛筆倒しで決めた回答、長考を避けるためにした回答を見直します。回答時点では分からなかったことが、見直し段階で解消することも少なくありません。これは、私の経験からのアドバイスです。
回答の選択間違いもあります。回答は間違いなくAなのにBにしていた、何てが少なくないものです。こういった回答ミスを拾いましょう。
見直しで、確実に何問かを拾えると思います。私は1回目の試験は不合格でしたが見直しをしていませんでした。合格したときは、 見直しをして、幾つかの問題を拾ってました。一回目の試験で、きちんと見直しをしておけば、合格していたのではと、今も思っています。
6 集中力に回復
四時間集中力を維持するのは難しいです、というか不可能ではないでしょうか。私は、集中力を維持するのでなく、回復するということを考えました。
一時間経過時点 深呼吸、そして1~2分休憩
二時間経過時点 トイレに行く。すっきりしてから、顔を洗い、リフレッシュ
三時間経過時点 深呼吸、そして1~2分休憩、見直し突入
7 飲み物、飴
飲み物や飴を持ち込み、途中で水分補給をして喉を潤し、雨で糖分の補給をして乗り切りました。当時は、ペットボトルの持込や禁止されていませんしたが、現在はどうなのかは確認が必要です。
8 朝食は必ず摂りましょう
試験は、朝から昼食時までです。私は、結構空腹感を感じました。空腹感は集中力の妨げになります。朝食は抜いてはいけません。
以上受験にあたっての注意ポイントです。
時間配分例
時間配分 - 見直し時間考慮せず
240分÷200問 = 1分12秒/問
解答だけを配慮した時間配分
見直しに1時間程度、必要
時間配分 - 見直し時間を考慮
見直し1時間(60分)
(240分-60分)200問 = 54秒/問、自信がある場合は10秒以内で解答可能、54秒は短く感じない
他の問題に時間を振り向けられる
集中力の持続は困難、早目に200問に解答する
1分以上を考えた問題は、適当な解答を選んで後回し、次の問題へ
4時間の長丁場です。皆さん、頑張って下さい。
2008年5月13日火曜日
アクセス権限が承認された担当者による悪意ある行動は防げるか Part Ⅱ
東京都あきる野市の資産家の姉弟の行方不明事件、行方不明事件から強盗殺人事件へと展開しました。最悪の事態になり、被害者のご冥福を祈らずには居られません。
この事件、情報セキュリティに携わる関係者にとっても、重大な教訓が残ったのではと思います。
以下は、朝日新聞Webからの引用です。
最初の投稿でも強調したのえすが、報道では犯人の一人は市役所勤務時代に、市民の情報にアクセスする仕事に従事していた、つまり当該情報へのアクセス件が承認されていたと推測されます。それも、職務上に必要性からの正当な権限であった可能性も大です。
(あきるの市のアクセス管理の実際が不明なので、あくまで推測ですが)
課題1 アクセス権が正式に承認された担当者の悪意ある行為
課題2 大量データなく、対象を絞った少量データの漏洩
この記事のタイトルでもあるのですが、アクセス権を正式に承認されている担当者が、悪意をもってデータにアクセスしても防ぐ術はありません。アクセス権が正式に認められている以上、当該のアクセス行為が悪意あるものか、そうでないかをコンピュータのソフトウェア/ハードウェアが判定することはできないからです。
USBメモリや外付けHD、DVD/CDなどを利用した大量データの漏洩は、可搬記憶媒体の管理やログの監視などで、その発生可能性を低減することは可能でしょう。しかし、対象を極端に絞り、可搬記憶媒体を使用せず、メモ用紙や本人の記憶などで持ち出されたら、お手上げです。これも防御手段が見当たりません。
今回の誠に痛ましい事件も、犯人が市役所勤務時代の記憶から、犠牲となった姉弟をその許されざる犯行の標的としたようです。
アクセス権限が正式に承認された担当者が、そのアクセスによって得た記憶を悪意ある行動に利用する。これは、もしかして防ぐ術が無いのかなと、暗澹たる気持ちなった事件でした。
この事件、情報セキュリティに携わる関係者にとっても、重大な教訓が残ったのではと思います。
以下は、朝日新聞Webからの引用です。
あきる野不明 「2人で埋めた」供述、遺棄容疑で逮捕2008年05月08日11時22分
東京都あきる野市の資産家姉弟行方不明事件で、元同市職員沖倉和雄容疑者(60)=窃盗容疑で逮捕=が、元暴力団組員で土木業伊丸岡頼明容疑者(64)=同=とともに「2人で姉弟を殺害し、遺体を埋めた」と警視庁の調べに供述していることがわかった。伊丸岡容疑者も一緒に遺体を埋めたことを認めているという。同庁は長野県飯綱町の山林で発見した遺体を姉弟と確認。8日、両容疑者を死体遺棄容疑で再逮捕した。今後、強盗殺人容疑でも調べる。
五日市署捜査本部の調べでは、両容疑者は4月9日、調布市立図書館職員大福(おおぶく)康代さん(54)と弟の無職広和さん(51)の遺体を自宅から運びだし、同月13日、飯綱町の休耕地の土中に埋めた疑い。現場の休耕地は沖倉容疑者の義弟が使用していたという。
調べでは、遺体はいずれも衣服を着けたままの状態で埋められていた。一見して目立った外傷はないといい、捜査本部は司法解剖して死因などを調べる。
大福さん方は親の代から資産家として地元で知られていた。姉弟は98年に自宅近くに所有していた土地を約3億3千万円で、05年度には別の土地を約1億円でそれぞれあきる野市に売却した。沖倉容疑者は同市役所で04年4月から9カ月間、市民の資産や給与に関する情報にアクセスできる職にいたことから、捜査本部は同容疑者が仕事を通して得た情報を悪用した疑いもあるとみている。
沖倉容疑者は、姉弟のキャッシュカードを使って現金を引き出したとされる窃盗容疑で逮捕された当初、「姉弟の名前も知らない」と容疑を否認し、その後黙秘を続けていた。しかし捜査本部は、沖倉容疑者が伊丸岡容疑者を誘い、金銭目的で姉弟を殺害、遺体を土地勘のある場所に捨てた疑いが強いとみて、調べていた。
最初の投稿でも強調したのえすが、報道では犯人の一人は市役所勤務時代に、市民の情報にアクセスする仕事に従事していた、つまり当該情報へのアクセス件が承認されていたと推測されます。それも、職務上に必要性からの正当な権限であった可能性も大です。
(あきるの市のアクセス管理の実際が不明なので、あくまで推測ですが)
課題1 アクセス権が正式に承認された担当者の悪意ある行為
課題2 大量データなく、対象を絞った少量データの漏洩
この記事のタイトルでもあるのですが、アクセス権を正式に承認されている担当者が、悪意をもってデータにアクセスしても防ぐ術はありません。アクセス権が正式に認められている以上、当該のアクセス行為が悪意あるものか、そうでないかをコンピュータのソフトウェア/ハードウェアが判定することはできないからです。
USBメモリや外付けHD、DVD/CDなどを利用した大量データの漏洩は、可搬記憶媒体の管理やログの監視などで、その発生可能性を低減することは可能でしょう。しかし、対象を極端に絞り、可搬記憶媒体を使用せず、メモ用紙や本人の記憶などで持ち出されたら、お手上げです。これも防御手段が見当たりません。
今回の誠に痛ましい事件も、犯人が市役所勤務時代の記憶から、犠牲となった姉弟をその許されざる犯行の標的としたようです。
アクセス権限が正式に承認された担当者が、そのアクセスによって得た記憶を悪意ある行動に利用する。これは、もしかして防ぐ術が無いのかなと、暗澹たる気持ちなった事件でした。
2008年5月10日土曜日
ITガバナンスとは
2008年3月3日、耳の日の投稿でも紹介したISACAの新たな資格認定制度、'Certified in the Governance of Enterprise IT(CGEIT)'ですが、おそらく日本人第一号の認定者が誕生しました。
何事も事例が有るのと無いのでは、話の重みが全く違います。これでまた、一歩前進、目出度し目出度しです。
現在、東京支部はCGEIT委員会を発足させ、CGEITの普及促進を図っていますが、その委員は全員がCGEIT Grandfathering Rogramの申請をいたしました。その委員の方からCGEITに認定されたとのメールをいただきました。申請書の提出から、約一ヵ月半とのことでした。結果の通知まで、12週間と理解しておりましたので、早かったなというのが感想です。
'Certified in the Governance of Enterprise IT(まだ、何と翻訳するかが決まっていないのが玉に瑕です)、これから色々な機会に紹介していく予定ですが、委員の中に認定者がいるということで、CGEIT委員会の活動にも弾みがちきそうです。
今後の予定は、6月にISACA大阪支部と名古屋支部の総会でCGEITの紹介を行います。また、実際の認定者誕生を前提としてですが、申請書の書き方について、成功事例を基づいたワークショップの企画しています。認定者第一号が誕生したので、前提条件は充足しました。これからは、開催日やアジェンダなどCGEIT委員会で検討します。
年内に何としても2名のCGEIT認定者を誕生させることが目標です。その第一号の誕生のニュースでした。
By ISACA東京支部 CGEIT担当理事
何事も事例が有るのと無いのでは、話の重みが全く違います。これでまた、一歩前進、目出度し目出度しです。
現在、東京支部はCGEIT委員会を発足させ、CGEITの普及促進を図っていますが、その委員は全員がCGEIT Grandfathering Rogramの申請をいたしました。その委員の方からCGEITに認定されたとのメールをいただきました。申請書の提出から、約一ヵ月半とのことでした。結果の通知まで、12週間と理解しておりましたので、早かったなというのが感想です。
'Certified in the Governance of Enterprise IT(まだ、何と翻訳するかが決まっていないのが玉に瑕です)、これから色々な機会に紹介していく予定ですが、委員の中に認定者がいるということで、CGEIT委員会の活動にも弾みがちきそうです。
今後の予定は、6月にISACA大阪支部と名古屋支部の総会でCGEITの紹介を行います。また、実際の認定者誕生を前提としてですが、申請書の書き方について、成功事例を基づいたワークショップの企画しています。認定者第一号が誕生したので、前提条件は充足しました。これからは、開催日やアジェンダなどCGEIT委員会で検討します。
年内に何としても2名のCGEIT認定者を誕生させることが目標です。その第一号の誕生のニュースでした。
By ISACA東京支部 CGEIT担当理事
2008年4月30日水曜日
コメント第一号 ありがとうございます
再び、茨城県国民健康保険団体連合会の巨額横領事件についてです。
この事件は、世間的な関心も高いようで、ワイドショーなどでも多くの時間が割かれ、その横領の手口が報道されていますが、呆れ返るばかりですね。
この事件は、世間的な関心も高いようで、ワイドショーなどでも多くの時間が割かれ、その横領の手口が報道されていますが、呆れ返るばかりですね。
前回の記事で「全く内部統制が無かったと断定していいです」と記載しましたが、誤りではなかったようです。連合会の役員諸氏の考えはともかく、報道されている範囲で考察すれば、内部統制が少しでもあったと判断することは出来ないでしょう。少なくとも有効な統制があったとは言えません。
(1) 引下ろしに必要な印鑑と通帳が同じ金庫に保管されていた
当然、別々に保管して然るべきです。通帳と印鑑があれば、預貯金の如何なる操作も可能です。不正な預貯金操作(今回の事件では横領)というリスクを想定するならば、印鑑と通帳は別々に保管、管理者も同一人にしないことは当然の管理策でしょう
(2) 犯人が通帳と印鑑を金庫から自由に出し入れしていた
通帳も印鑑も然るべき手続、つまり使用の申請を行い、管理者が照査し、その上で認証され、記録に残す、が必要です。そして、その記録を定期的にレビューしていれば、当該職員の使用記録が突出しており、詳しい調査が必要なことに気がついたのではないでしょうか。
(3) 監査は年に2回実施しているが、発見出来ず
大掛かりになる監査はだけでなく、出納に関する検査はもっと頻繁に行う必要あるでしょう。例えば、通帳に検査日までの最新の出し入れを記帳、検査すれば犯人による異常な出勤を早期に発見できた筈です。また、頻繁に実施される出納検査が、横領事犯の抑止効果になったと思います。
(4) 犯人を信じきっていた
善人だから、大丈夫だと考えていたようです。連合会幹部が報道機関のインタビューに答えていましたが、日頃真面目に勤務していたので、横領するとは思わなかったと話していました。性善説はやめましょう。資金が不正に操作される、横領されるというリスクに備えましょう。善人なら管理を緩くし、悪人なら厳しくするのでしょうか。そもそも、悪人と分かっていながら採用することはない筈です。
(5) チェックはしていたつもり
連合会役員は、報道機関からの質問にチェックはしていたつもりと回答していました。しかし、必要な検査照査が行われていないから、横領を許し、しかもこれだく巨額になるまで発覚しなかったのは明白です。
青森県住宅供給公社の巨額横領事件では犯人は懲役14年に処せられ服役中です。横領の法定刑の最高が懲役10年でしょうから、検察は他の罪状と合わせ併合罪で起訴し、裁判官もそれを認めたのでしょう。今回も国民の保険金を横領したので、検察は同じように他の罪状を合わせて可能な限り長期の量刑を求めてくるものと思われます。しかし、10億円という国民の貴重は保険金が弁済される訳ではありません。このような不正を起こさせない仕組みが必要なのでは言うまでもありません。
この手の事件で聞かれる弁解の常套句が、犯人が真面目であったとか勤務態度に問題は無かったとかです。そして、今後は性悪説にたち対策をとると言うわけです。内部統制は、性善説性悪説は全く関係ないと考えています。
当社は性善説にたち、社員を信用しているので、内部統制を必要としていませんとか、性悪説にたち社員に権限を委譲しませんとか・・・ 双方とも間違っていませんか。
社員に業務に必要な権限の委譲がなければ、業務は遂行できませんし、業務に潜むリスクに備えなければ、今回のような不正を防げません。
企業(事業体)は、信頼できると判断した場合に社員(職員)を採用し、職務の遂行に必要な権限を任せます。内部統制は、個々人を対象とする属人的なものではなく、業務プロセス中のリスクを対象とするものではないでしょうか。真面目で勤務態度の良いから、性善説にたち、職務上のリスクに対して、何の備えもしないというのは言い訳にもなりません。性悪説と称し、業務の遂行ができないのも愚の骨頂です。
私は、内部統制は想定されるリスクに対する備えだと考えています。想定されるリスクが小さければ、コスト面から考えて特に対策を採らないということも有りだと思いますし、また想定されるリスクの発生可能が低い、つまり脅威脆弱性が小さいので、管理策の程度を下げることも有り得ると思います(当然、経営陣によるリスクの許容が前提ですが)。リスクが有るから管理策が有るので、人の性格の良し悪しで左右される問題ではないでしょう。
私は、内部統制を性善説性悪説で判断していくいことには断行反対です。私も意見に賛同していただける同志を募りたいです。
2008年4月29日火曜日
全日本柔道選手権
今日、日本武道館で全日本柔道選手権が開催されました。柔道の最強選手を決める大会ですが、今年は北京オリンピックの100キロ超級の代表選考の兼ねており、大会前から話題沸騰でした。
4年前の全日本選手権は、井上、鈴木、棟田の三選手が100キロ級、100キロ超級の二つの代表枠をかけて激突しました。3選手とも前年の世界選手権を制しており、世界チャンピオン三人が優勝を争う、正に世界一決定戦でした。
今年の話題は、何と言っても井上康生の優勝なるか、だと私個人は思っておりました。午後4時からのNHKによる放映に釘付け状態でした。
準々決勝の井上対高井戦、残念ながら応援していた井上康生選手は負けてしまいました。しかし、最後まで攻め通し、リスクを掛けた最後の内股を好かされ、そのまま押さえ込まれて敗者となりましたが、積極的に出ての敗戦なので、堂々たる敗戦だと思いました。
準々決勝の棟田選手のリードされた後の支え釣り込み腰、相手選手を畳の上に背中から投げつけ、鮮やかで文句なく一本勝ちでした。
準決勝の鈴木対高井戦、鈴木選手の芸術的な足払い、見事でした。
決勝戦、コメントしたくありません(過去の選手権で優勝者が警告を受けたことはありません。前代未聞です)。
井上康生選手、現役引退かもしれませんが、シドニーからここまで、柔道界を背負って立ってきた功績は大きいと思います。ご苦労様でした。
4年前の全日本選手権は、井上、鈴木、棟田の三選手が100キロ級、100キロ超級の二つの代表枠をかけて激突しました。3選手とも前年の世界選手権を制しており、世界チャンピオン三人が優勝を争う、正に世界一決定戦でした。
今年の話題は、何と言っても井上康生の優勝なるか、だと私個人は思っておりました。午後4時からのNHKによる放映に釘付け状態でした。
準々決勝の井上対高井戦、残念ながら応援していた井上康生選手は負けてしまいました。しかし、最後まで攻め通し、リスクを掛けた最後の内股を好かされ、そのまま押さえ込まれて敗者となりましたが、積極的に出ての敗戦なので、堂々たる敗戦だと思いました。
準々決勝の棟田選手のリードされた後の支え釣り込み腰、相手選手を畳の上に背中から投げつけ、鮮やかで文句なく一本勝ちでした。
準決勝の鈴木対高井戦、鈴木選手の芸術的な足払い、見事でした。
決勝戦、コメントしたくありません(過去の選手権で優勝者が警告を受けたことはありません。前代未聞です)。
井上康生選手、現役引退かもしれませんが、シドニーからここまで、柔道界を背負って立ってきた功績は大きいと思います。ご苦労様でした。
2008年4月28日月曜日
「内部統制大賞」
産経新聞に面白い記事を発見いたしました。何でもな「内部統制大賞」なるものがあるそうなのです。
社○保険庁や○県国民健康保険団体連合会は、端から審査対象外ですね、多分・・・
以下は、産経新聞Webからの引用です。
私は、記事の内容は概ね賛成なのです。何故、概ねかというと、「内部統制大賞」は選考が難しいのではないかと思うからです。何を以って、選考基準とするのでしょうか。有効性なら、有効性評価の基準はということになり、結局は審査員の主観かなとも思えます。可能性は限りなく零に近いのですが、私に審査員の依頼があったら辞退します、多分。でも、報酬に左右されるかもです。
社○保険庁や○県国民健康保険団体連合会は、端から審査対象外ですね、多分・・・
以下は、産経新聞Webからの引用です。
strong>【岩崎慶市のけいざい独言】内部統制は身の丈に合わせて
2008.4.28 08:21
今年は「内部統制元年」といわれる。昨秋には金融商品取引法が施行され、今年度からは財務計算の適正性に対する評価制度なども適用される。6年目を迎えた「誠実な企業賞」も「内部統制大賞」(Kfiや産経新聞など協賛)に衣替えしたが、「誠実」が要であることに変わりはない。
小欄が初回から選考にかかわってきて改めて思うのは、コンプライアンス(法令順守)の難しさだ。今回も優秀賞に決まった資生堂が、子会社の不祥事発生を理由に先月の授賞式直前に辞退した。
資生堂といえば、長年の積極的な社会貢献活動で定評がある。いくら経営陣が高い意識を持ち、内部統制体制をつくり上げても、何万という従業員を抱える大企業ではなかなか不祥事を防ぎきれない。
最近は企業のグローバル化が急進展し、異文化で育った外国人社員も多い。野村証券の中国人社員によるインサイダー取引事件は、グローバル化に対応する内部統制という新たな課題も突きつけている。一方で食肉偽装や船場吉兆、赤福など中堅企業以下の不祥事も目立つ。わずかでもトップが規律を備え、初歩的企業統治を行っていたならと思うが、たとえその気があっても中堅・中小企業には人材やノウハウに乏しいという悩みがあるようだ。
そこでもう1つの優秀賞企業である協立電機(本社・静岡市)を紹介したい。北米やアジアにも事業所を持つFAシステム会社だが、従業員はグループ全体で1000人に満たない典型的中堅企業である。
評価されたのは環境とコンプライアンスを重視し、それを人事評価へ反映させている点だ。といっても、大がかりな組織をつくったわけではなく、基本はリスクを最小限に食い止めることだという。
「これをバカ正直にやり続ける。それが決して企業収益に反しないことを朝礼でいつも話している」と西雅寛社長は語る。
大手商社勤務だった26年前に家業を継いだ2代目社長は、最初に社是を決めたともいう。小難しく考えることはない。身の丈に合った内部統制を行えばいい。
私は、記事の内容は概ね賛成なのです。何故、概ねかというと、「内部統制大賞」は選考が難しいのではないかと思うからです。何を以って、選考基準とするのでしょうか。有効性なら、有効性評価の基準はということになり、結局は審査員の主観かなとも思えます。可能性は限りなく零に近いのですが、私に審査員の依頼があったら辞退します、多分。でも、報酬に左右されるかもです。
2008年4月23日水曜日
民間企業以外の内部統制も怪しいものです
茨城県の国民健康保険団体連合会で信じられない巨額の横領が発覚しました。その額なんと10億円、しかも3年間ということです。年当たり333,333,333円、月当たり27,777,777円になります。
以下は、朝日新聞webからの引用です。
今現在、民間企業は財務報告に係る内部統制の整備に費用と人員を投入、その対応に四苦八苦しています。もし、この記事のような巨額の横領が民間企業で発生した場合、それを防ぎ得なかった経営者は、適切な内部統制を構築しなかった責任を問われる可能性大ですね。
しかし、3年間で10億ですから、発覚しなかった事の方が不可解ですね。別な報道によると本人が告白して発覚したそうですから、連合会自ら不正を見つけ出す仕組みが無かったのですね。
恐妻家もしくは愛妻家だったのか奥さんに数千万円を渡し(奥さんも不思議に思わなかったのでしょうか)、残りはギャンブルで使い果たしたとのこと(これも凄いことですね)、回収の見込みはないようです。結局、当該の健保組合の加入者が損害を負うことになりそうです。
しかし、地方自治体や第3セクターの経理上の不正が酷すぎます。金額も半端じゃない。2002年に
青森県住宅供給公社の経理担当者が十四億六千万円を横領、大半を外国人妻に渡し、殆ど回収できなかった事件がありました。
今回の犯人も青森住宅供給公社の職員も真面目で勤務態度の良かったとのことです。だから会計経理の監査をしなかったのでしょうか。発覚しなかったのですから、なんの調査もしてなかったのは明白です。真面目でなかったら監査したのでしょうか。きっと責任者の言い訳は、性善説の考えにたっていたとうことなのでしょう。
内部統制は、性善説性悪説で考えてはいけないのです。テレビの報道では、上司は当該職員を信じきっていた、上司の印鑑を勝手に使っていたとしています。一日に一千万を引き下ろしたこともあったそうです。全く内部統制が無かったと断定していいですね。
民間企業に財務報告に係る内部統制を強いるのも結構ですが、地方自治体や第3セクター、公益事業体、独立行政法人などへの内部統制の導入、真剣に考えてもらいたいものです。
以上、怒りを込めて
以下は、朝日新聞webからの引用です。
職員が保険料10億円を着服 茨城県国保団体連合会
2008年04月22日12時39分
茨城県国民健康保険団体連合会(水戸市)に勤務する男性主任(34)が、約3年間にわたって同連合会が保管する保険料約10億円を着服していたことが22日分かった。同連合会は、主任を業務上横領などの疑いで県警に刑事告訴する方針だ。
同連合会によると、主任は今年3月までの5年間、会計課に所属し、市町村が集めた保険料を医療機関に診療報酬として支払う業務などを担当していた。05年ごろから上司の印鑑を無断で使用し、保険料が入金されている連合会の銀行口座から、1回あたり現金約300万円を窓口で度々引き出したという。1日に1千万円近く引き出していることもあり、着服総額は約10億円に上るという。
今月18日、主任からの申し出で発覚。主任は同日、水戸署に出頭したといい、同連合会の調べにも応じた。 主任は決算期などに同連合会の帳簿を改ざんするなどして発覚を防いでいたという。
同連合会に対して、主任は「ギャンブルにのめり込んでしまった。着服した金は競艇で使った」などと説明。着服した金の大半を競艇につぎ込み、競艇で勝って手にした数千万円は妻に渡した、と話しているという。
同連合会は、主任について「普段派手な様子はなく、勤務態度はまじめで欠勤もなかった」と話している
今現在、民間企業は財務報告に係る内部統制の整備に費用と人員を投入、その対応に四苦八苦しています。もし、この記事のような巨額の横領が民間企業で発生した場合、それを防ぎ得なかった経営者は、適切な内部統制を構築しなかった責任を問われる可能性大ですね。
しかし、3年間で10億ですから、発覚しなかった事の方が不可解ですね。別な報道によると本人が告白して発覚したそうですから、連合会自ら不正を見つけ出す仕組みが無かったのですね。
恐妻家もしくは愛妻家だったのか奥さんに数千万円を渡し(奥さんも不思議に思わなかったのでしょうか)、残りはギャンブルで使い果たしたとのこと(これも凄いことですね)、回収の見込みはないようです。結局、当該の健保組合の加入者が損害を負うことになりそうです。
しかし、地方自治体や第3セクターの経理上の不正が酷すぎます。金額も半端じゃない。2002年に
青森県住宅供給公社の経理担当者が十四億六千万円を横領、大半を外国人妻に渡し、殆ど回収できなかった事件がありました。
今回の犯人も青森住宅供給公社の職員も真面目で勤務態度の良かったとのことです。だから会計経理の監査をしなかったのでしょうか。発覚しなかったのですから、なんの調査もしてなかったのは明白です。真面目でなかったら監査したのでしょうか。きっと責任者の言い訳は、性善説の考えにたっていたとうことなのでしょう。
内部統制は、性善説性悪説で考えてはいけないのです。テレビの報道では、上司は当該職員を信じきっていた、上司の印鑑を勝手に使っていたとしています。一日に一千万を引き下ろしたこともあったそうです。全く内部統制が無かったと断定していいですね。
民間企業に財務報告に係る内部統制を強いるのも結構ですが、地方自治体や第3セクター、公益事業体、独立行政法人などへの内部統制の導入、真剣に考えてもらいたいものです。
以上、怒りを込めて
2008年4月22日火曜日
アクセス権限が承認された担当者による悪意ある行動は防げるか
朝日新聞のWebを読んでいて気になる記事がありました。ある刑事事件に関する記事なのですが、その容疑者の行動に表題に掲げた命題(と私は思っています)にか係る事柄があったのです。
以下は、朝日新聞のWebからの引用です。
記事からすると、容疑者は、市役所の在職中に今回の犯行に繋がる情報を得たようです。しかも、その情報にアクセスする権限を職務上必要ということで、付与されていたと思われます。ということは、容疑者が在職中に正式に付与された権限で情報にアクセスし、その情報を基に今回の犯行に及んだとすれば、それは由々しき事態です。
在職中は、職務上当該の情報にアクセスすることが認められていました。問題は、退職後に当該情報を持ち出したことです(一件だけでなく可なりの量の情報を持ち出した可能性もあります)。
今回の容疑者のように正式にアクセス権限を付与された担当者が悪意をもって不正な行動をとろうとする時(ここでは、退職後のデータの不正な持ち出し)、これを防ぐことはできるでしょうか?
私は、完全に無理だとは思いませんが、困難なことだと思います。アクセスすること自体は正式なアクセス権限を付与されているので、形式上問題はありません。今回は明らかに持ち出しをしています。これは、問題ありですね。
大量データの持出ならば、可搬記憶媒体の制限などの方法で防止することできますが、特定の情報を狙い撃ちした場合は、メモにとるとか暗記してしまうことで、簡単に持出ができ、また防止策は無いような気がします。
特定の人物の資産状況、または逆引きで大きな資産を保有している人など、対象を絞り込んで情報検索し、悪用できる情報をピンポイントで権限ある担当者がアクセスすれば、その行為を押さえ込むことは難しいのではないか、この記事を読んでそんな危惧を覚えました。
以下は、朝日新聞のWebからの引用です。
東京都あきる野市の資産家の姉弟の行方不明事件で、口座から現金を引き出したとして窃盗容疑で逮捕された無職沖倉和雄容疑者(60)が、同市役所に勤務していた当時、市民の資産に関する情報を把握できる立場にいたことがわかった。警視庁は、沖倉容疑者が市職員の仕事を通して得た情報を事件に利用した可能性もあるとみて調べている。
行方がわからないのは、調布市立図書館職員大福康代さん(54)と弟の広和さん(51)。
あきる野市役所によると、沖倉容疑者は民間企業などを経て77年に旧秋川市(現・あきる野市)の職員に採用され、税務課や福祉関係の部署などで働いた。04年4月からは市民部保険年金課長補佐を務め、同年12月、「一身上の都合」を理由に退職した。同課長補佐のポストは、市民の名前や住所のほか、市民が所有する土地の所在地や評価額など資産に関する情報や給与情報にアクセスする権限を与えられているという。
大福さん方は、親の代から周辺に土地やアパートなどを所有する資産家として地元では知られている。姉弟は98年11月に母親から土地を相続する際、「相続税支払いのため」として、近くに所有する土地を約3億3千万円で同市に売却。05年度には、別の土地を約1億円で同市に売却した。07年には逆に、約1億円で市から土地を購入している。
五日市署捜査本部は、沖倉容疑者が大福さん姉弟のこうした資産状況を把握し、預金を狙った可能性があるとみて捜査。姉弟のキャッシュカードや暗証番号の入手の経緯などを調べている。
調べでは、沖倉容疑者は今月11日に康代さんのカードで120万円、福生市の土木業伊丸岡頼明容疑者(64)は12日に広和さんのカードで50万円を引き出したとして逮捕された。姉弟のカードでの全体の引き出しは9~14日の計五百数十万円にのぼる。
記事からすると、容疑者は、市役所の在職中に今回の犯行に繋がる情報を得たようです。しかも、その情報にアクセスする権限を職務上必要ということで、付与されていたと思われます。ということは、容疑者が在職中に正式に付与された権限で情報にアクセスし、その情報を基に今回の犯行に及んだとすれば、それは由々しき事態です。
在職中は、職務上当該の情報にアクセスすることが認められていました。問題は、退職後に当該情報を持ち出したことです(一件だけでなく可なりの量の情報を持ち出した可能性もあります)。
今回の容疑者のように正式にアクセス権限を付与された担当者が悪意をもって不正な行動をとろうとする時(ここでは、退職後のデータの不正な持ち出し)、これを防ぐことはできるでしょうか?
私は、完全に無理だとは思いませんが、困難なことだと思います。アクセスすること自体は正式なアクセス権限を付与されているので、形式上問題はありません。今回は明らかに持ち出しをしています。これは、問題ありですね。
大量データの持出ならば、可搬記憶媒体の制限などの方法で防止することできますが、特定の情報を狙い撃ちした場合は、メモにとるとか暗記してしまうことで、簡単に持出ができ、また防止策は無いような気がします。
特定の人物の資産状況、または逆引きで大きな資産を保有している人など、対象を絞り込んで情報検索し、悪用できる情報をピンポイントで権限ある担当者がアクセスすれば、その行為を押さえ込むことは難しいのではないか、この記事を読んでそんな危惧を覚えました。
2008年4月13日日曜日
情報セキュリティ格付専門会社「アイ・エス・レーティング」設立
4月8日、ある企業の設立が発表されました。世界初といわれる、情報セキュリティの格付専門会社「アイ・エス・レーティング」です。テレビ東京のワールドビジネスサテライトでも紹介されていました。
私の現在のそして最後の所属企業であります三井物産セキュアディレクション株式会社の親会社であります、三井物産も発起人/出資企業であります。
以下は、NIKKEI NETのIT+PLUSの記事からの引用です。
三井物産セキュアディレクション(MBSD)も親会社と一緒に本事業に関与していく予定です。また、個人的にも非常に興味がある会社です。というか、私はこの格付け会社に関する事業を担当することが予定され、本年1月にMBSDに入社したという経緯があります。社内の事情により、担当からは外れましたが、当初の予定通りであれば、この格付け会社への出向なども想定していました。
成熟度、定量化、数値化、記号化・・・ 実現すれば、どれも有用なものばかりですね。是非とも実現させ、そして公開して欲しいですね。統一された手法、基準などがあれば、現在コンサルタンティング企業や個々のコンサルタントの技量に依存している、情報セキュリティアドバイザリーの品質向上にもなると思います。かなり難しい解題ですが、期待しています。また、将来はJASAで推進している保証型情報セキュリティ監査との連携していくことも期待できます。
しかし、発起人/出資企業、まさに呉越同舟という感じです。三菱商事に三井物産、三井住友銀行、三大企業グループの中核企業も参加してます。これだけのバックボーンがあるのですから、何としても成功し、そして日本の情報セキュリティ業界の活性化に繋がって欲しいものです。
入社の経緯もあり、個人的にもこれから注視していこうと考えています。
私の現在のそして最後の所属企業であります三井物産セキュアディレクション株式会社の親会社であります、三井物産も発起人/出資企業であります。
以下は、NIKKEI NETのIT+PLUSの記事からの引用です。
富士ゼロックスなど18社、情報セキュリティ格付専門会社「アイ・エス・レーティング」を設立
世界初の情報セキュリティ格付専門会社を設立
「株式会社アイ・エス・レーティング」・18社が出資
企業の情報セキュリティのレベル(信頼度の水準)を評価し、格付する世界初の「格付専門会社」注1が5月に誕生します。新会社の発起人である株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社など18社注2は、5月2日付けで「株式会社アイ・エス・レーティング」(本社東京、中村哲史[てつふみ]社長、資本金2億8千万円)を設立することに合意しました。
情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。新会社はこの情報セキュリティ格付の審査業務のほか、格付に関連する調査・教育・出版等を事業目的としています。
新事業の背景には、企業の情報セキュリティに対する取り組み強化があります。デジタル化された個人情報や企業情報は企業内、企業間を問わずやりとりされ、共有化が進んでいます。自社が保有するこれらの膨大な情報を適切に管理できるか否かは、企業にとって重要な経営課題となっています。この度の新会社設立は、ますます高度化する外部からの脅威や、内部からの情報漏洩等を確実に防止するために、従来のマネジメントレベルを評価するISOの国際認証制度(ISO27001)に加え、組織等の情報セキュリティレベルをランク付けする新たな仕組みを提供するものです。
新会社は、業種や企業グループを超えて中立な立場の第三者機関として、国内はもとより、広く海外でも信頼される格付制度を確立し、グローバルスタンダード化を進めていきます。また、格付の中立性を確保するため、大株主は作らず、広く産業界に出資を求めており、7月の業務開始までに第1次増資を予定しています。既に、ソニー株式会社様、ダイヤモンドレンタルシステム株式会社様ほか数社が増資引き受けの意向を明らかにしています。
なお、「株式会社アイ・エス・レーティング」の会社概要および出資会社の構成は、以下の通りです。
注1:世界初の「格付専門会社」
「株式会社アイ・エス・レーティング」は、複数の会社および各業界に適用可能な評価基準を用いて、組織等の情報セキュリティのレベルを格付評価する「格付専門会社」であり、このような取り組みは世界にはまだ例がありません。
注2:情報セキュリティ格付会社発起人18社
「株式会社アイ・エス・レーティング」の発起人は下記の通りです。
株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社、富士通株式会社、株式会社野村総合研究所、キヤノンマーケティングジャパン株式会社、綜合警備保障株式会社、テュフ・ラインランド・ジャパン株式会社、凸版印刷株式会社、株式会社日本経済新聞社、株式会社北洋銀行、株式会社みずほコーポレート銀行、三井住友海上火災保険株式会社、株式会社三井住友銀行、三井物産株式会社、三菱商事株式会社、株式会社三菱総合研究所、株式会社ワコールホールディングス
三井物産セキュアディレクション(MBSD)も親会社と一緒に本事業に関与していく予定です。また、個人的にも非常に興味がある会社です。というか、私はこの格付け会社に関する事業を担当することが予定され、本年1月にMBSDに入社したという経緯があります。社内の事情により、担当からは外れましたが、当初の予定通りであれば、この格付け会社への出向なども想定していました。
マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。
成熟度、定量化、数値化、記号化・・・ 実現すれば、どれも有用なものばかりですね。是非とも実現させ、そして公開して欲しいですね。統一された手法、基準などがあれば、現在コンサルタンティング企業や個々のコンサルタントの技量に依存している、情報セキュリティアドバイザリーの品質向上にもなると思います。かなり難しい解題ですが、期待しています。また、将来はJASAで推進している保証型情報セキュリティ監査との連携していくことも期待できます。
しかし、発起人/出資企業、まさに呉越同舟という感じです。三菱商事に三井物産、三井住友銀行、三大企業グループの中核企業も参加してます。これだけのバックボーンがあるのですから、何としても成功し、そして日本の情報セキュリティ業界の活性化に繋がって欲しいものです。
入社の経緯もあり、個人的にもこれから注視していこうと考えています。
2008年4月12日土曜日
情報セキュリティマネジメントに関わるスウェーデンとの合同会議
4月11日金曜日、東京タワーの近くにある機械振興会館(かつては、ISACA東京支部の月例会が頻繁に開催されていました。JIPDECの本部が入居している建物であります)で、開催されました。
縁あって、私も会場の端に座っておりました。
どのような経緯で開催されたのかは判りませんが、私如き者にも参加可否の問い合わせがあり、参出席して参りました。
以下が当日の開催要項とアジェンダです。
スピーチは全て英語でした。大木先生は、JASAの活動と保証型情報セキュリティ監査の紹介をされました。日頃、社会的合意方式、利用者合意方式、被監査主体合意方式の3類型など、英語で熱心にスピーチされていました。
日本の現在のISMS制度の状況や、内閣官房情報セキュリティセンター(NISC)の活動や政府機関の情報セキュリティに関する取り組みなどが、日本側から紹介されました。しかし、ISMSの認証取得数、突出してますね。その数、2700以上、BS7799の故郷のUKでさえ、300台ですから・・・
瑞典から、適用範囲について質問がでておりました。
スウェーデンでも、ISO/IEC27002が推奨され、その導入や評価手法などが開発されるのだそうです。これは、ISO/IEC27003や27004に関連するのでしょうか。質問する英語力がないので、残念ながた疑問のままですが。
しかし、貧弱なる英語力なので、正しく理解できたか不安なのですが、情報セキュリティに対する他の国の取り組みの一端をしることができて、有意義でありました。その上、スウェーデンからのお土産まで頂戴いたしまして、有難い限りでした。
そして、この会議もCPEとして申請させて頂きます。4CPE獲得です。
縁あって、私も会場の端に座っておりました。
どのような経緯で開催されたのかは判りませんが、私如き者にも参加可否の問い合わせがあり、参出席して参りました。
以下が当日の開催要項とアジェンダです。
========= 開催概要 ===============
��開催日時:2008年4月11日(金) 13時30分~17時30分
��開催場所:機械振興会館 6階6-66号室
��参加者(予定)
・ スウェーデンからの参加者(総勢 10名~15名)
SEMA - the Swedish Emergency Management Agency のメンバー
ISO/IEC SC27のメンバ
��アジェンダ(予定)>
1.SC27側のご挨拶(日本とスウェーデンから)
2.情報セキュリティマネジメントの日本の現状、及び展望
��経済産業省 三角室長)
3.情報セキュリティマネジメントのスウェーデンの現状、及び展望(政府機
関)
4.ISO/IEC SC27 国内活動紹介(日本)(原田WG1主査)
5.ISO/IEC SC27及びISMSに関する活動紹介(スウェーデン)(Mr.
Jan-OlofAndersson)
Coffee/Tea Break:20分
6.日本ISMS適合性評価制度の現状 (JIPDEC高取室長)
7.日本監査協会の活動紹介(JASA 大木理事)
8.日本ISMSユーザGの活動紹介 (ISMS-UG 山崎様)
スピーチは全て英語でした。大木先生は、JASAの活動と保証型情報セキュリティ監査の紹介をされました。日頃、社会的合意方式、利用者合意方式、被監査主体合意方式の3類型など、英語で熱心にスピーチされていました。
日本の現在のISMS制度の状況や、内閣官房情報セキュリティセンター(NISC)の活動や政府機関の情報セキュリティに関する取り組みなどが、日本側から紹介されました。しかし、ISMSの認証取得数、突出してますね。その数、2700以上、BS7799の故郷のUKでさえ、300台ですから・・・
瑞典から、適用範囲について質問がでておりました。
スウェーデンでも、ISO/IEC27002が推奨され、その導入や評価手法などが開発されるのだそうです。これは、ISO/IEC27003や27004に関連するのでしょうか。質問する英語力がないので、残念ながた疑問のままですが。
しかし、貧弱なる英語力なので、正しく理解できたか不安なのですが、情報セキュリティに対する他の国の取り組みの一端をしることができて、有意義でありました。その上、スウェーデンからのお土産まで頂戴いたしまして、有難い限りでした。
そして、この会議もCPEとして申請させて頂きます。4CPE獲得です。
2008年4月7日月曜日
安全を確保するということ - 漁船の事故から考える
青森県の陸奥湾でホタテ漁船が行方不明になり、誠に痛ましいことに死者服不明者数名、現在も必死の捜索が繰り広げられています。近々では、護衛艦と千葉県の漁船との衝突事故があり、未だに二人の方の行方が分からないままです。青森県の事故は、自然現象による自己の可能性が指摘されて、護衛艦と漁船の事故も主たる回避義務は護衛艦であることは明白であるようです。つまり、漁船側には主たる過失はないということです。
しかしながら、個人的に疑問がありまして・・・
両者の事故で共通していることがあります。このことを報道している報道機関がないのですが、私は大いに疑問を持っている事柄があります。多くの批判を受ける可能性があることを承知で、その疑問を明らかにします。それは、何故漁船員の皆さんは、救命胴衣ライフジャケットを装着していなかったのでしょうか。もし、装着していれば、仮令船を失ったとしても生命は保持しえたのではないか、関係者の必死の捜索で早期に発見できたのではないかという疑問が拭えません。予期せぬ自然現象に遭遇してしまった不幸、護衛艦側の過失を否定するものではないのですが、危険に対する備えとして、救命胴衣を着用していれば、違う結果になりえたのではいか、リスク対する備えに抜かりはないと言えるか。私は、そこを考えています。備えに不備があったと。
リスクはゼロに出来ない以上、自然現象は衝突などで、海に放り出される可能性に備えることは必要ではなかったかと一連の報道で思いました。情報セキュリティのリスク対策をとるとき、何かを行う以上リスクをゼロのできないことを前提に考えるべきと、思っています。対策をとったから大丈夫なのではなく、その上で情報セキュリティ事故が起きてしまった場合の対策も合わせて考えておくことが必要と考えています。
一連の痛ましい事故の報道を見聞きしつつ、考えてみました。
(漁猟中の救命胴衣の着用については法律の定めがあり、一定の条件では義務化されているとのことです。今回の事故のケースではどうなのか不明ですが、 自然に対する備えをし、海上交通規約慣習を守った上で、更にもしもの場合に備えライフジャケットの着用が望まれたと思います)
しかしながら、個人的に疑問がありまして・・・
両者の事故で共通していることがあります。このことを報道している報道機関がないのですが、私は大いに疑問を持っている事柄があります。多くの批判を受ける可能性があることを承知で、その疑問を明らかにします。それは、何故漁船員の皆さんは、救命胴衣ライフジャケットを装着していなかったのでしょうか。もし、装着していれば、仮令船を失ったとしても生命は保持しえたのではないか、関係者の必死の捜索で早期に発見できたのではないかという疑問が拭えません。予期せぬ自然現象に遭遇してしまった不幸、護衛艦側の過失を否定するものではないのですが、危険に対する備えとして、救命胴衣を着用していれば、違う結果になりえたのではいか、リスク対する備えに抜かりはないと言えるか。私は、そこを考えています。備えに不備があったと。
リスクはゼロに出来ない以上、自然現象は衝突などで、海に放り出される可能性に備えることは必要ではなかったかと一連の報道で思いました。情報セキュリティのリスク対策をとるとき、何かを行う以上リスクをゼロのできないことを前提に考えるべきと、思っています。対策をとったから大丈夫なのではなく、その上で情報セキュリティ事故が起きてしまった場合の対策も合わせて考えておくことが必要と考えています。
一連の痛ましい事故の報道を見聞きしつつ、考えてみました。
(漁猟中の救命胴衣の着用については法律の定めがあり、一定の条件では義務化されているとのことです。今回の事故のケースではどうなのか不明ですが、 自然に対する備えをし、海上交通規約慣習を守った上で、更にもしもの場合に備えライフジャケットの着用が望まれたと思います)
2008年4月6日日曜日
全日本柔道選抜体重別選手権
本日、全日本柔道選抜体重別選手権が開催されました。今年は、オリンピックイヤーなので、代表決定(男子100キロ超級をのぞく)を兼ねた重要な大会です。シドニーの金メダリストで、ここのところ不振が続いて、代表の座が遠のいていた井上康生選手が、見事復活優勝です。
あのシドニー大会、圧巻でした。僅かな隙をついて、内股で一本勝ちを重ねていく、実に見事な優勝でした。私も柔道経験者なので、よく判りますが、内股という大技はそう簡単に決まるものではありません。それが、触れれば斬らんとばかりに一本勝ちを重ねいく、痺れました。
柔道草創期の天才で継承するものなき伝説の投げ技山嵐の使い手西郷四郎、相手に触れずして投げる空気投げとも称された隅落の達人三船久蔵十段、グレシー柔術の創設者させ絞め落とした鬼の木村こと木村正彦、ロサンゼルス五輪涙の金メダル山下泰之選手、そして重量級にスピード柔道を確立した井上康生。私は、柔道史上で5人を選ぶとすれば、躊躇なくこの5人を選びます。
��00キロ台の選手を内股という大技げまくる、しかも相手は一回転して背中から畳に投げつけられるのですから、実に美しい柔道でした。
��00キロ超級の代表は、4月29日の日本選手権の結果も加味して決定されます。まだまだ、棟田選手が有利なのでしょうが、井上康生選手頑張って下さい。
鈴木、棟田、井上の三選手が優勝を争うことになると予想されますが、今から楽しみです。4月29日は、どこにも外出せず、テレビ観戦します。皆さんも、是非ご一緒に!
あのシドニー大会、圧巻でした。僅かな隙をついて、内股で一本勝ちを重ねていく、実に見事な優勝でした。私も柔道経験者なので、よく判りますが、内股という大技はそう簡単に決まるものではありません。それが、触れれば斬らんとばかりに一本勝ちを重ねいく、痺れました。
柔道草創期の天才で継承するものなき伝説の投げ技山嵐の使い手西郷四郎、相手に触れずして投げる空気投げとも称された隅落の達人三船久蔵十段、グレシー柔術の創設者させ絞め落とした鬼の木村こと木村正彦、ロサンゼルス五輪涙の金メダル山下泰之選手、そして重量級にスピード柔道を確立した井上康生。私は、柔道史上で5人を選ぶとすれば、躊躇なくこの5人を選びます。
��00キロ台の選手を内股という大技げまくる、しかも相手は一回転して背中から畳に投げつけられるのですから、実に美しい柔道でした。
��00キロ超級の代表は、4月29日の日本選手権の結果も加味して決定されます。まだまだ、棟田選手が有利なのでしょうが、井上康生選手頑張って下さい。
鈴木、棟田、井上の三選手が優勝を争うことになると予想されますが、今から楽しみです。4月29日は、どこにも外出せず、テレビ観戦します。皆さんも、是非ご一緒に!
登録:
投稿 (Atom)