2008年5月23日金曜日

検索キーワード Top10

下記は、このBlogに仕掛けたアクセス解析ツールでの、4月の検索キーワードのTop 10です。
4位は、人名(知人)なので伏字に致しました。

なんと、小生の名前が堂々の1位です。2月と3月もTop 10に食い込んでいるのですが・・・・
CGEIT、CISA 問題集、CISA 受験、CISMでの参照も同様にTop 10に顔を出します。やはり、関心が高いからでしょうね。
5月の結果は、どうなることやりゃです。

1 増田聖一
2 CGEIT
3 CISA 問題集
4 XXXXXXX
5 アイ・エス・レーティング
6 CISM
7 株式会社アイ・エス・レーティング
8 セキュリティ コンサルタント ブログ
10 CISA 受験

2008年5月22日木曜日

ISACA東京支部月例会に出席して参りました

ISACA東京支部2008年5月度月例会に出席して参りました。今回の講師は、前防衛省官房長の西川徹也氏です。

西川徹也氏略歴
1972年警察庁採用、警視庁神田署長、在比日本大使館一等書記官、和歌山県警本部長、警察庁情報通信企画課長、新潟県警本部長を経て、1999年防衛庁防衛審議官、IT 担当参事官、運用局長、人事教育局長を経て、2007年大臣官房長を最後に退官。同年明治安田生命保険相互会社に就職。

和歌山県警本部長時代に「コンピュータ犯罪に関する白浜シンポジウム」(現サイバー犯罪に関する白浜シンポジウム)、新潟県警本部長時代に「ネットワーク・セキュリティ・ワークショップin越後湯沢」の創設に尽力された経緯があり、ITガバナンス/情報セキュリティにも造詣が深く、ISACAの何かとお世話になっています。


サイバー犯罪に関する白浜シンポジウム

ネットワーク・セキュリティ・ワークショップin越後湯沢

今回の月例会で印象に残ったことを紹介します。
Information Assurance
情報の保証というか保全という意味なのでしょうか。そもそもComputer(IT) Security があってInformation Securityがり、そしてInformation Assuranceと繋がっていくのではないか、ということでした。ああ、なるほどと思いました。今後、考えていくべき命題だと思いました。
情報の特性とバランス
情報の特性に応じた対策が必要であること。全てを機密度の高い情報に合わせることは、組織の行動に支障を来たしてしまう・・etc
これは、全くその通りだと思います。
防衛省のおける情報保証の定義
① 機密性
② 完全性
③ 可用性
④ 識別・認証
⑤ 否認防止
①~③はお馴染みですね。④と⑤は、情報セキュリティの構成要素として語られる例は、それ程多くないので、印象に残りました。
広報体制
イージス護衛艦「あたご」の衝突事件ですが、その広報体制に問題があったと西川氏は認識されていました。事件について、報道機関に対しては防衛大臣、同次官、同広報官、海上幕僚長等、プレイヤーが多すぎということ。同一の主題に対して、ニュアンスのことなるコメント、回答があり悪戯に混乱を招いたのではとのこと。危機管理の一環として公報は、プレイヤーの数を多くすべきでないとのお話でした。民間企業でも参考になりますね。
情報の精度
事故の第一報を鵜呑みにするのは危険である。速報を意識するあまり、精度の悪い情報が報告されることがある。情報の精度を上げるには、情報のキャッチボールが必要であるとのことでした。これは、西川氏の警察時代の捜査幹部としての経験からの発言と想像されます。
その他
あとは、軍事機密です(笑)
月例会後、西川氏も含めて10人ほどで、神保町の中華料理屋に行きました。料理と店主拘りの紹興酒に舌鼓を打ちながら、西川氏の神田署長や捜査幹部時代の想い出話、白浜や湯沢の両イベントにまつわる裏話など伺いまして、誠に有意義で愉快な月例会でした。
(月例会後に一杯飲むのは久し振りでした。ISACAに入会した十数年前の月例会は、スピーチ後の懇親会は付き物でしたが、この習慣、また復活して欲しいのですが、大規模化した月例会では難しいですね)
(会場でお二人の方と名刺交換をしました。お一人は、USEN(現Abitus)のCISA講座で、私の講義を聴かれたとのこと。また、お二方ともCGEITのグランドファザリングでの申請を希望しており、申請書記入ワークショップを待って、申請を予定しているとのことでした。プレッシャーを感じた次第です)

2008年5月19日月曜日

JNSA 2007年度活動報告会が開催されます

来る6月13日に、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)主催のセミナーが開催されます。このセミナーのパネルディスカッションに、私もパネラーとして参加することになりました。

ディスカッションのテーマは、「情報セキュリティのキャリアパス ~現状と未来~」。
情報セキュリティに携わる人材に係る教育やスキル向上、キャリアパスなどについて、意見交換が行われるのだと思います。
あくまで私見ですが、現在、情報セキュリティやシステム監査、IT統制などに関わる人達は、組織的体系的教育を受けた経験は、そんなに多くないと思います。自己啓発として、もしくは業務上の必要性から、外部教育機関のセミナーを受講したり、独学したりで、その知識やスキルを磨き上げてきたケースが大半かと推測していますが、どうでしょうか。
また、キャリアパスについても、その専門知識、知見、経験が有効に活用できる、正当に評価されているのでしょうか。監査法人とかコンサルティング業務に従事している場合はともかく、企業内で情報セキュリティ業務に従事している場合など、なかなか難しいのではと思われます。
このパネルディスカッションで、どこまでの話しになるか、何とも言えませんが、情報セキュリティの係るキャリアパスという、個人的に関心のあるテーマですので、本blogでも紹介することに致しました
JNSA 2007年度活動報告会
http://www.jnsa.org/seminar/2008/0613/index.html

2008年5月14日水曜日

CISA/CISM試験まであと一ヶ月となりました

2008年前期のCISA/CISM試験まで、丁度一ヶ月となりました。受験者の皆様は追い込みに入った時期かと思います。そして、当blogもアクセス数が平均を上回る期間でもあります。CISA試験とかCISM試験、受験対策といったキーワードで、当blogを見つける方も少なくないようです。
そこで、試験前恒例、試験対策情報です。

CISA/CISM試験参考 
1 時間割をしましょう
試験時間は4時間ですが、短いようで長く、長いようで短いです。4時間を上手に使うことが必要です。回答見直しの時間も含めて、時間割をすること水晶します。
私が受験した時は、問題が250問で試験時間は5時間でした。回答見直しを1時間とし、4時間で250問を回答する計画としました。
2 必ず回答しましょう。 
問題は4択です。無回答ですと0点ですが、鉛筆倒しでも正答確立25%です。必ず回答しましょう。そして、印を付けておきます。全問回答した後に見直しと、正解が分かることがあります。これは、全問回答することで問題に慣れした結果、回答のコツが分かってくるからだと思います。 
3 長考は避けましょう  
分からない問題に長考せず、適当に解答をして次の問題にかかりましょう。長考して、時間を空費すると、焦りがでます。本来の力を発揮できなくなりますので、長考は考え物です。適当に回答して、潔く次の問題に移りましょう。やはり、印をつけておきます。理由は上記と同じです。
4 問題はをよく読みましょう
回答は、唯一の正解を求めるものだけではありません。下記の類型他あります。
① 最も適切なものを回答
② 最も適切でないもの回答
③ 唯一の正解を回答
④ 唯一の間違いを回答
①と②の場合、回答選択肢はどれも間違いではありません。その中で最も適切(不適切な)回答選択肢を選びます。問題を良く読み、問題の類型を見極めましょう。また、問題の中に解答のヒントがあることも少なくありませんので。
 
5 見直しをしましょう
全問回答後の見直しも重要です。鉛筆倒しで決めた回答、長考を避けるためにした回答を見直します。回答時点では分からなかったことが、見直し段階で解消することも少なくありません。これは、私の経験からのアドバイスです。 
 
回答の選択間違いもあります。回答は間違いなくAなのにBにしていた、何てが少なくないものです。こういった回答ミスを拾いましょう。
見直しで、確実に何問かを拾えると思います。私は1回目の試験は不合格でしたが見直しをしていませんでした。合格したときは、 見直しをして、幾つかの問題を拾ってました。一回目の試験で、きちんと見直しをしておけば、合格していたのではと、今も思っています。
6 集中力に回復
四時間集中力を維持するのは難しいです、というか不可能ではないでしょうか。私は、集中力を維持するのでなく、回復するということを考えました。
一時間経過時点   深呼吸、そして1~2分休憩
二時間経過時点   トイレに行く。すっきりしてから、顔を洗い、リフレッシュ
三時間経過時点   深呼吸、そして1~2分休憩、見直し突入
7 飲み物、飴
飲み物や飴を持ち込み、途中で水分補給をして喉を潤し、雨で糖分の補給をして乗り切りました。当時は、ペットボトルの持込や禁止されていませんしたが、現在はどうなのかは確認が必要です。
8 朝食は必ず摂りましょう 
試験は、朝から昼食時までです。私は、結構空腹感を感じました。空腹感は集中力の妨げになります。朝食は抜いてはいけません。
以上受験にあたっての注意ポイントです。
 
時間配分例
時間配分 - 見直し時間考慮せず
240分÷200問 = 1分12秒/問
解答だけを配慮した時間配分
見直しに1時間程度、必要
時間配分 - 見直し時間を考慮
見直し1時間(60分)
(240分-60分)200問 = 54秒/問、自信がある場合は10秒以内で解答可能、54秒は短く感じない
他の問題に時間を振り向けられる
集中力の持続は困難、早目に200問に解答する
1分以上を考えた問題は、適当な解答を選んで後回し、次の問題へ
4時間の長丁場です。皆さん、頑張って下さい。

2008年5月13日火曜日

アクセス権限が承認された担当者による悪意ある行動は防げるか Part Ⅱ

東京都あきる野市の資産家の姉弟の行方不明事件、行方不明事件から強盗殺人事件へと展開しました。最悪の事態になり、被害者のご冥福を祈らずには居られません。

この事件、情報セキュリティに携わる関係者にとっても、重大な教訓が残ったのではと思います。

以下は、朝日新聞Webからの引用です。

あきる野不明 「2人で埋めた」供述、遺棄容疑で逮捕2008年05月08日11時22分
 東京都あきる野市の資産家姉弟行方不明事件で、元同市職員沖倉和雄容疑者(60)=窃盗容疑で逮捕=が、元暴力団組員で土木業伊丸岡頼明容疑者(64)=同=とともに「2人で姉弟を殺害し、遺体を埋めた」と警視庁の調べに供述していることがわかった。伊丸岡容疑者も一緒に遺体を埋めたことを認めているという。同庁は長野県飯綱町の山林で発見した遺体を姉弟と確認。8日、両容疑者を死体遺棄容疑で再逮捕した。今後、強盗殺人容疑でも調べる。
 五日市署捜査本部の調べでは、両容疑者は4月9日、調布市立図書館職員大福(おおぶく)康代さん(54)と弟の無職広和さん(51)の遺体を自宅から運びだし、同月13日、飯綱町の休耕地の土中に埋めた疑い。現場の休耕地は沖倉容疑者の義弟が使用していたという。
 調べでは、遺体はいずれも衣服を着けたままの状態で埋められていた。一見して目立った外傷はないといい、捜査本部は司法解剖して死因などを調べる。
 大福さん方は親の代から資産家として地元で知られていた。姉弟は98年に自宅近くに所有していた土地を約3億3千万円で、05年度には別の土地を約1億円でそれぞれあきる野市に売却した。沖倉容疑者は同市役所で04年4月から9カ月間、市民の資産や給与に関する情報にアクセスできる職にいたことから、捜査本部は同容疑者が仕事を通して得た情報を悪用した疑いもあるとみている。 
 沖倉容疑者は、姉弟のキャッシュカードを使って現金を引き出したとされる窃盗容疑で逮捕された当初、「姉弟の名前も知らない」と容疑を否認し、その後黙秘を続けていた。しかし捜査本部は、沖倉容疑者が伊丸岡容疑者を誘い、金銭目的で姉弟を殺害、遺体を土地勘のある場所に捨てた疑いが強いとみて、調べていた。


最初の投稿でも強調したのえすが、報道では犯人の一人は市役所勤務時代に、市民の情報にアクセスする仕事に従事していた、つまり当該情報へのアクセス件が承認されていたと推測されます。それも、職務上に必要性からの正当な権限であった可能性も大です。
(あきるの市のアクセス管理の実際が不明なので、あくまで推測ですが)
課題1 アクセス権が正式に承認された担当者の悪意ある行為
課題2 大量データなく、対象を絞った少量データの漏洩
この記事のタイトルでもあるのですが、アクセス権を正式に承認されている担当者が、悪意をもってデータにアクセスしても防ぐ術はありません。アクセス権が正式に認められている以上、当該のアクセス行為が悪意あるものか、そうでないかをコンピュータのソフトウェア/ハードウェアが判定することはできないからです。
USBメモリや外付けHD、DVD/CDなどを利用した大量データの漏洩は、可搬記憶媒体の管理やログの監視などで、その発生可能性を低減することは可能でしょう。しかし、対象を極端に絞り、可搬記憶媒体を使用せず、メモ用紙や本人の記憶などで持ち出されたら、お手上げです。これも防御手段が見当たりません。
今回の誠に痛ましい事件も、犯人が市役所勤務時代の記憶から、犠牲となった姉弟をその許されざる犯行の標的としたようです。
アクセス権限が正式に承認された担当者が、そのアクセスによって得た記憶を悪意ある行動に利用する。これは、もしかして防ぐ術が無いのかなと、暗澹たる気持ちなった事件でした。

2008年5月10日土曜日

ITガバナンスとは

2008年3月3日、耳の日の投稿でも紹介したISACAの新たな資格認定制度、'Certified in the Governance of Enterprise IT(CGEIT)'ですが、おそらく日本人第一号の認定者が誕生しました。 

何事も事例が有るのと無いのでは、話の重みが全く違います。これでまた、一歩前進、目出度し目出度しです。

現在、東京支部はCGEIT委員会を発足させ、CGEITの普及促進を図っていますが、その委員は全員がCGEIT Grandfathering Rogramの申請をいたしました。その委員の方からCGEITに認定されたとのメールをいただきました。申請書の提出から、約一ヵ月半とのことでした。結果の通知まで、12週間と理解しておりましたので、早かったなというのが感想です。
'Certified in the Governance of Enterprise IT(まだ、何と翻訳するかが決まっていないのが玉に瑕です)、これから色々な機会に紹介していく予定ですが、委員の中に認定者がいるということで、CGEIT委員会の活動にも弾みがちきそうです。
今後の予定は、6月にISACA大阪支部と名古屋支部の総会でCGEITの紹介を行います。また、実際の認定者誕生を前提としてですが、申請書の書き方について、成功事例を基づいたワークショップの企画しています。認定者第一号が誕生したので、前提条件は充足しました。これからは、開催日やアジェンダなどCGEIT委員会で検討します。
年内に何としても2名のCGEIT認定者を誕生させることが目標です。その第一号の誕生のニュースでした。
By ISACA東京支部 CGEIT担当理事