2008年3月23日日曜日

おつかれさまでした!

本日は、USエデュケーションネットワーク社(USEN、4月からはAvitasに社名変更)で開催しているCISA(公認情報内部監査人)コースの講師をして参りました。全10回の講座のうち、第4回「システムとインフラストラクチャーのライフサイクル管理」前編です。来週の日曜日、3月30日に第5回で後編を講義する予定です。
USENでの講師は、初めてという訳でないのですが、今回は驚きました。というのは・・・

今回は初めて担当するドメインであったことと、DVDでの配布とe-ラーニングための撮影も兼ねており、今までと少々勝手が違っていました。私の講義スタイルとして、動き回る方なのですが、撮影のため演壇でじっとしていなければならず、ちょっと違和感がありました。
しかし、一番驚いたのは、その受講者数です。なんと90名近いのだとか。その人数を聞いて、驚きましたし、緊張もしました。従来は、30名程度でしたから。
今日の講義は12時50分からでしたが、午前中と担当したH氏も驚いていました。6月試験は、何人が受験するのか・・・
30名の受講で受験者が500名位でしたから、1,500名受験かと獲らぬ狸の皮算用も、思わずしてしまいました。
ふーん、CISAもメジャーになってきたということでしょうか。

2008年3月22日土曜日

「情報セキュリティ管理基準 Ver2」作成プロジェクト

JASAの監査手続作成プロジェクト詳細監査手続作成チームで進めていた「情報セキュリティ管理基準 Ver2」が終了しました。3月11日から19日まで行われていたJASA会員、CAIS登録者向けのパブリックコメントで意見を募り、3月20日は祝日でしたがメンバーが集まって、コメントの検討と反映作業を行いました。引き続き、JASA事務局で最終的な編集、校正作業を行い、3月21日に経済産業省へ納品しました。

やれやれです。

このプロジェクトは昨年末から始まっていたのですが、私は転職を控えた時期で、引継ぎ等で実質的に参加できたのは、年明けでした。現在の勤務先にもJASA、ISACAでの活動を了承してもらい、1月の会合から参加しました。それでは、メールでの意見交換、情報交換でしたが、やはり関係者が会同して、討議するのは絶対に必要なだと、改めて確認した次第です。
議事録に記載される数行のために、それに数倍、数十倍する言葉のやり取りがあり、意識変化があり、それを文書だけで表現することは困難ですね。また、議事録に記載された事実より、それが決まるまでのプロセスが大事ですし、場合よってはその方が重要であることもありますね。
議論の中では、管理策ポイントとして適切なのか、必要なのか、現実的なのかといった有効性の観点からでなく、句点の位置や接続詞や修飾詞、主語述語目的語の確認など判りやさも検討しました。
ひとつの管理策ポイントだけで数十分を費やしたこともあり、基準作成の陰の苦労というものを実感しました。
参加メンバーは、ISMS認証支援やJ-SOX対応などに従事するコンサルタント、監査法人で情報セキュリティやシステム監査を担当する監査関係者などで、メンバーが各々の知見に基づき、活発な交換がありました。私自身は、ソフトウェアベンダーやハードウェアベンダーでのエンジニア、システムの実際の運営に携わった経験を意見として表明していこうと意識していました。色々な職種、出自のメンバーで討議することで、それぞれの経験知見が生かさて確実に質が向上すると思います。時間がかかり非効率な面もありますが、適切な人数の範囲でチームで取り組むというのは重要ですね。
(適切な範囲を越すと却って、主題が散漫になってしまう危険もありますが)
私は、このような基準作成には、初めて参画したのですが、誠に貴重な経験でした。今後もこのようなチャンスがあれば、参加していきたいですね。
ところで、「情報セキュリティ管理基準 Ver2」ですが、経済産業省HPからパブリックコメントが募集され、そのコメントが検討反映された後、正式に発表されます。
我々は、それを見守りながら、メンバーでの打ち上げで祝杯を挙げます。
では!!

2008年3月19日水曜日

CISAのDVD

Certified in the Governance of Enterprise IT(CGEIT)の本邦初の説明会、2008年3月18日、日本教育会館8階第一会議室にて、150名からの参加者を集めて、賑々しく開催いたしました。
この150名という人数、当方の予想外でありました。私は100名になれば良い方かなと思っておりました。
同時並行で、9回ではCISA/CISM試験合格者説明会・懇親会が開催されていました。こちらの参加者も150名以上のとのこと、双方で300名の動員を勝ち取った訳です。

説明資料は200部を用意したのですが、説明会参加者が複数持ち帰ることを認めたことと、合格者懇親会に乱入、合格者の皆さんに配布したことで、全て捌けました。

目出度し、目出度しでありました。

ところで、説明会参加者数の150名という数字は、予想外でありました。ITガバナンス、その定義や位置付けが、日本では不明確な気がしていて、東京支部のCGEIT委員会でも議論が尽きないのが現状です。しかし、この参加者数からすると、関心が高まっているのでしょうね。
しかし、CGEITの普及促進は、これからの課題です。まずは、グランドファザリングでの認定者、最低20名の誕生、日本語のレビューコース、試験の実現、関連ドキュメントの日本語化などなど、これから2年程度の間にやるべきことは山積みです。
CGEIT委員会では、2009年12月の日本語試験実施を目指しています。そのためには、所定の数の受験者の目処をつけることと、試験問題の日本語化が必要なのですが、その日本語の試験問題の査読をしなければならず、その査読をするにはCGEITの認定をされていることが条件になります。
つまり、CGEIT今後の普及促進を図るためには、CGEITの認定者が必要で、その最低限の人数が20名と計算しています。このグランドファザリングで、いかに多くの認定者を実現するかが、如何に大事かご理解いただけると思います。
CGEIT委員会、今後の予定
 3月29日(土)   CGEIT委員並びに有志によるグランドファザリング申請書記入勉強会
 4月上旬まで   CGEIT委員並びに有志による申請書発送
 6月中       上記申請者中、認定者の事例を基に申請記入方法 ワークショップ開催
勿論、私も4月上旬には申請する予定です。何とか、6月のワークショップで、自分自身の事例を紹介れきるようにしたいと思います。
ところで、CISA/CISM合格者説明会ですが、150名の参加者とは、私が合格した時と比べ、隔世の感があります。私の試験合格は1997年、合格者説明参加者は7名(70名ではありません。一桁です)、会場はCISA担当理事の職場の会議室、懇親会は同じく社員食堂でした。
丸10年でこの違い、なんと表現してよいか判りません。
CGEIT委員会委員の方2名と懇親会に乱入、合格者にCGEIT説明会資料を配ってきました。面識のある人もおり、まだCISMに合格したばかりで早いというところを、今がチャンスですと掻き口説いてきました。これも、CGEIT普及促進の熱意の表れとご理解下さい。
懇親会会場では、USエデュケーションネットワークのCISA講座(幾つかのコースで講師をしています)を受講しました方、DVDで勉強した方にお会いしました。合格者の方から声をかけられたのですが、大変申し訳ないのですが、私の方からは気がつきませんでした。ご容赦下さい。
しかし、自分が講師を担当した受験対策講座を受講された方が、目出度く合格、合格者説明会でご挨拶をできることは、名誉なことです。合格者のみさなん、おめでとうございます。
実は、このCISA講座の受講生の一人は、一月に転職した現勤務先の社員、したがって現在は同僚、しかも同じ部署です。人間、縁というものは判りません。何時、何処で誰に会うか・・・ ホント悪いことはできませんね。

2008年3月9日日曜日

全国縦断情報セキュリティ監査セミナー 終了しました

3月7日、既報の通り、情報セキュリティ監査セミナー in FUKUOKAで講師を務めて参りました。
前日の21時過ぎに福岡入り、ホテルにチェックインして、博多駅の近くで夕食を取り、発表資料に目をお通して、23時頃に就寝しました。

福岡、かつては出張で月に一度は来ていたのですが、今回は実に久し振り、8~9年ぶりです。博多駅前も当然、この月日の間に変化を重ねている訳ですが、中でも福岡ソフトバンク・ホークスの存在感が以前より増しておりました。最下位を争う球団から毎年優勝候補に挙げられる、強豪チームへの変貌が、そうさせたのでしょうね。
昨年不調であった、我が埼玉西武ライオンズ、今年はホークスと優勝争いをと願いつつ(埼玉県所沢市在住)、そういえばライオンズは福岡から買収移転してきたんだなと感慨に耽っておりました。

そう言えば前回来た時は、帰京の航空便が予約できず、土曜の午後になってしまったので、時間潰しにキャナルシティで、「イベントホライゾン」という映画を見たなぁ~と、セミナーに全く関係ないこと思い出しておりました。

で、セミナーですが・・・・・

情報セキュリティ監査セミナー in FUKUOKA 会場

申し込みは62名だと、JASA事務局の高橋さんから聞きました。実際に出席者数は、迂闊にも聞き漏らしてしまいました。お昼に九州経済産業局情報政策課の課長さん、係長さんと一緒に昼食を摂りつつ、情報セキュリティやJ-SOX対応、個人情報保護などについて、懇談したあと、セミナーが開始されました。私は3人目の演者として、「J-SOXと情報セキュリティの関係について」という題目で40分弱、話をさせていただきました。
(セミナー資料については、近日中にJASAホームページで公開されます)
最後のQ&A時間では、保証型監査への質問が盛んでありました。まだまだ、普及活動十分とはいえませんが、関心も高いのかと思いました。
昨年9月の仙台会場から始り半年間に渡った、「2007年度 全国縦断情報セキュリティ監査セミナー」も、この福岡会場で終わりです。私は、名古屋と福岡を担当しましたが、JASA事務局の皆さん、各会場の講師の皆様、ご苦労様でした。2008年度のJASAのイベントも本業が許す範囲で、手伝わせていただこうと思います。
私個人としては、3月18日に開催するISACAの新資格制度、「GGEIT」の説明会準備に注力します。なかなか、関心が高いようで、参加申し込みも順調です。何とか、軌道に乗せたいのですが・・
では、皆さん 説明会会場でお会いしましょう。

2008年3月3日月曜日

Certified in the Governance of Enterprise IT(CGEIT)を目指そう

 この度、Information Systems and Control Association(ISACA)では、CISAとCISMに続く新資格制度として、Certified in the Governance of Enterprise IT(CGEIT)を創設致しました・・・
 という訳で、新たな資格制度の創設です。日本でも普及促進を図ることになったのですが、私がその委員会の委員長を仰せつかりました。

しかし、’Certified in the Governance of Enterprise IT(CGEIT)’、なんて訳せばいいのでしょうか。
企業ITのガバナンスを認証する・・・・ ISMSではあるまいに。CISAは'Auditor'ですし、CISMは'Manager'、CISSPは'Professional'と何れも人を示す単語があります。’Certified in the Governance of Enterprise IT(CGEIT)’は、人を示す単語がなく、ITガバナンスの認証制度みたいだという意見もありまして。
とは、言いながらもISACA東京支部CGEIT委員会担当理事としては、説明会の一回も開催しない訳にはいきません。3月18に説明会を開催すことになりました。万障お繰り合わせの上、是非ご来駕下さい。そして、’Certified in the Governance of Enterprise IT(CGEIT)’を訳して下さい。
----------------------------------------------------------------------------
                     CGEIT説明会のご案内
この度、Information Systems and Control Association(ISACA)では、CISAとCISMに続く新資格制度として、Certified in the Governance of Enterprise IT(CGEIT)を創設致しました。CGEITは、ITガバナンスに関する専門の知識、経験、見識を有する人材を評価、認定するものです。
我が国においてもJ-SOX法への対応が進む中で、経営の重要課題としてのIT統制、ITガバナンスの重要性についての認識が高まっています。従来、ITの管理、ITマネジメントについては、ITILなどのフレームワークが登場し、全般的な関心が高まっています。また、ISO27000などの情報セキュリティのフレームワークは数年前から登場し、ビジネスの世界では定着したと言えます。
ITガバナンスは、そういった各種フレームワークを経営の観点から統合していく役割が期待されます。
ISACA東京支部も、ITガバナンスの専門家の認定を行う、この新資格制度の意義と重要性を十分に認識しており、日本国内での普及促進を図っていくことになりました。そのため、本年一月より、東京支部内にCGEIT委員会を発足させ、活動を開始いたしました。
 CGEIT委員会では、この新資格制度の広報のために、下記の通りCGEIT説明会を開催することにいたしました。説明会では、CGEITの概要と経歴審査で認定するグランドファザリング制度について紹介いたします。
 ITガバナンスに関心がある、実際にガバナンスに従事している方々など説明会に是非ともご参加下さい。

日時           平成20年3月18日(火)  18:30~20:30
場所           日本教育会館 第一会議室
参加申し込みurl     http://www.isaca.gr.jp/cgeit/ 
ISACA東京支部CGEIT担当理事 増田聖一