情報セキュリティ監査セミナー in FUKUOKA

2008年3月7日金曜日、即ち来週の金曜日に、「2007年度 情報セキュリティ監査セミナー in FUKUOKA」が、経済産業省と特定非営利活動法人日本セキュリティ監査協会（JASA）主催で開催されます。昨年9月18日の仙台に始まり、全国地各地開催された「2007年度全国縦断 情報セキュリティ監査セミナー」の最後を飾るものです。

2007年度全国縦断 情報セキュリティ監査セミナー

このセミナーおていは、昨年12月の名古屋会場で講師を務めましたが(そのことは当Blogでも取上げました)、この福岡会場でも40分程、スピーチをすることになりました。

情報セキュリティ監査セミナー in FUKUOKA

テーマは、名古屋会場と同じ「J-SOXと情報セキュリティ監査の関係について
」、決して話しやすい題材ではないです。
J-SOX対応と情報セキュリティ監査、両者が共通しているのは、IT全般統制ではないでしょうか、と言うのがスピーチの主旨です。つまり財務報告に係るIT統制、これ即ち情報セキュリティに係るIT統制とイコール、とまでは言い切れないまでも、その関係性決して無視出来ませんね、という話をする予定です。
名古屋会場で使用したセミナー資料、一部修正しました。実際に話してみて、これ話し難いよなとか、もっと良い表現があるなぁ、と思われる点を修正した分けです。同一のテーマ、マテリアルで話をすると、どうしても回を重ねる毎に成熟してくるのは致し方ないですね。名古屋会場にご来場の皆さん、ごめんなさい　！！！　
九州、実に久し振りです。某ソフトウェアベンダーに勤務していた頃は多い時には、3週間に5回の九州出張をこなした事もあったので、ここ十年近く九州に降り立っていません。
このBlogを九州の方がアクセスされているか不明ですが、もし会場の居られれば、是非ともお声がけをお願いします。

海上自衛隊 シンクライアント導入へ

前回に引き続き、最新のニュースではなく、既に旧聞に属することなのですが、個人的に興味深いことなので、取り上げてみます。
イージス艦の機密情報漏洩で批判の矢面にたっている海上自衛隊がシンクライアントの導入を決めたとの事。防衛庁が、約三年前に私用PCの排除のためにDellのPC、5万6千台を導入したのにという突っ込みは様々なBlogで取り上げられているので、当Blogでは別の観点から私見を、です

以下は日本経済新聞Webからの引用です。

記憶装置なしパソコン、海自が３万台全面導入・10年度までに
　防衛省は機密情報の流出防止を狙い、記憶装置を持たないパソコン「シンクライアント端末」を2010年度までに海上自衛隊に全面導入する。海自のパソコンのほぼ全量に当たる約3万台を対象に、米国防総省が使う米サン・マイクロシステムズ製の端末に置き換える。国内でのシンクライアント端末の導入台数では過去最大とみられる。昨年明るみに出たイージス艦の情報流出事件などを受け、防衛情報の厳格管理が国際的に求められているのに対応する。
　防衛省はまず今年3月までに端末数百台を海自の施設に導入。その後艦船などにも順次設置する。海自での成果をみて陸上自衛隊や航空自衛隊への導入も検討する。
[2008年2月10日/日本経済新聞　朝刊]

シンクライントについては、当Blogでも数年前に取り上げました。このシンクライアントの発想そのものは、新しいものではなく、10年近く前に話題になった事があります。その時は、情報セキュリティ上の発想でなく、TCO(Total Cost of Ownership、懐かしい言葉です)削減、つまりはコスト対策でした。結局、話題だけで尻すぼみだった訳ですが、情報セキュリティ対策として、再び陽の目を見るのでしょうか。
シンクライアント、データをLocalのPCには保存さぜず、センターや拠点のサーバーに集約させる訳ですから、ネットワーク構造の再編成が必要ですし、記憶装置の追加、アクセスコントロールの強化、バックアップ運用の見直しなど導入コストとワークロードの一時的増大が避けられません。TCO削減を謳いながら、一時的にはコスト要因になる事がTCOブームに乗り切れなかった原因だと、今更ながら思います。防衛省/海上自衛隊は、そのコストや導入負荷をどう考えているのでしょうか。報道されている範囲だけでは、判りませんが気になるところです。
シンクライアント、確かにPCからの情報漏洩を防ぐ事に効果的ですが、当然に新たなリスクもある訳で、しっかりとした管理策が必要です。例えばアクセスコントロールを確実にしないと、新たね情報漏洩リスクを負います。全ての情報がセンターや拠点のサーバーに集約されるのですから、アクセスコントロールが甘いと職務権限に関係ない機密情報の触れることも可能になります。ハードディスクではなく、可搬記憶媒体にコピーされたら、目も当てられません。
あるリスクをコントロールすることで、別なリスクが発生するという事は、良くあることです。防衛省/海上自衛隊、当然検討済みなのだと信じますが、今後の展開、興味あるところです。

情報セキュリティ教育事業者連絡会

決して最新のニュースではありませんが、今回は「情報セキュリティ教育事業者連絡会」について、少々私見を。

情報セキュリティ教育事業者連絡会、略称ISEPA(Information Security Education Providers Association)は、昨年の10月1日に発足しました。代表は株式会社ラックの与儀大輔氏、発起人の一人が日本ユニシスの長谷川長一氏、両氏とも日頃お世話になっております。そして、事務局は日本ネットワークセキュリティ協会内に置かれています。

情報セキュリティ教育事業者連絡会

ISEPA、その活動を大いに期待しています。というのは・・・・・・

前に長谷川さんとも話をしたのですが、情報セキュリティの専門家が専門家として尊重されるようにならなければと、そのような方向に持って行かなければと思います。その為にやるべきことは色々とありますが、その重要な施策として、情報セキュリティの専門家教育があります。CISA、CISM、CISSP、CAIS、ISMS審査員など、この業界に生きる専門家達(私もその一人ですが)は、仕事の必要性から様々な資格試験に挑戦し、そして維持しています。そのために当然、勉強をしている訳ですが、情報セキュリティの専門家として体系的な教育や訓練を受けているかと問われれば、否と答えざるを得ません。
(各資格やそのための勉強を否定している訳ではありません。何れも有用です)
資格を得るための勉強とは別に専門家教育があっても良いと思いますし、必要だと考えています。そうした教育を受けた後、業務の必要性に応じて、CISAなりCISMなりCISSPなりの資格を得ていけば良いと思うのです。
ISEPAには、様々な団体、企業が参加しています。

情報セキュリティ教育事業者連絡会会員団体
��2007.11.16現在）
(ISC)2 Japan
ISACA（情報システムコントロール協会）東京支部
NRIセキュアテクノロジーズ株式会社（SANS JAPAN事務局）
株式会社ケーケーシー情報システム　
��ｏｍｐＴＩＡ（コンピュータ技術産業協会）
SEA/J（セキュリティ・エデュケーション・アライアンス・ジャパン）
財団法人ソフトピアジャパン
NPO日本セキュリティ監査協会（JASA）
NPO日本ネットワークセキュリティ協会（JNSA）
財団法人ひょうご情報教育機構（カーネギーメロン大学日本校）
株式会社ラック
リコー・ヒューマンクリエイツ株式会社　リコー情報セキュリティ研究センター　
オブザーバー
内閣官房情報セキュリティセンター
総務省情報通信政策局
経済産業省商務情報政策局
独立行政法人情報処理推進機構（IPA）
財団法人インターネット協会（IAjapan）
財団法人日本情報処理開発協会（JIPDEC）
ISSA（Information Systems Security Association）東京支部

ISEPAは、その目的として
「情報セキュリティ教育事業者連絡会（Information Security Education Providers Association、略称 ISEPA）は、業界横断的な人材育成支援体制を整備し、人材育成に関する情報を広く社会に発信するとともに、人材育成の拡大に向けた様々な取り組みを推進します。」
としています。情報セキュリティの専門家育成の体系化の第一歩として、大いに期待しているのです。