私のCGEIT申請、ISACA国際本部の認定委員会から上司への確認メールが来まして、愈々大詰めのようです。
CGEITの特別申請制度、期限は10月末までですが、やはり英語での申請が壁になっています。6月14日に試しに開催した、申請書記入ワークショップですが、参加した皆様の評価も良かったので、7月以降にも開催する方向で検討しています。
このワークショップは、午前10時から午後16時頃までとし、各ドメイン毎に記入のポイントを話し合っていくという形式を考えています。日程等決まりましたら、ISACA東京支部HP等で案内いたしますので、ふるってご参加下さい。大阪支部、名古屋支部での実施も検討しております。
特別申請制度での認定者20名の実現、何とかして達成したいです。
八国山と焼団子と山田うどんと埼玉西武ライオンズ。 この4つは、自分にとって郷土の象徴です。子供時代の遊び場にしてトトロの舞台と呼ばれている八国山。焼団子と山田うどんは、所沢市民のソウルフード。地元に本境地をおく埼玉西武ライオンズ。 私は、所沢生まれの元情報システムエンジニア。郷土を愛するエンジニアのBlogです。
2008年6月30日月曜日
組織の適正規模
Information Systems Audit and Control Association Tokyo Chapter、情報システムコントロール協会東京支部の会員数が、世界一となりました。
ここ2年ほど、会員数が急激に拡大というより膨張しており、いずれ世界一になるとは予想されていたのですが、とうとう達成いたしました。私が入会をした10数年前と比較して、隔世の感があります。
1位:東京支部 2,336名 伸び率37%
2位:ロンドン支部 2,280名 同14%
3位:ニューヨーク市支部 2,059名 同11%
実数もさることながら、会員の伸び率においても、他を圧倒しています。この伸び率でいけば、来年には3,000人を突破することになります。これ、凄い数字だと思います。
ISACAは、個人の専門家の集まりであり、団体会員や法人会員の制度はありません。そのため、シカゴの本部を除き、各国各支部とも専任の事務局はありません。東京支部も、事務局機能を委任していますが、理事会メンバーや専門委員会メンバーもボランティアであり、最低限の費用弁済以外は、一切の報酬を得ません。
この組織の特徴が、JASAやJNSAとは異なる、ISACA東京支部独特の雰囲気、性格を形成しているのは間違いないことと思います。法人メンバーや後援団体の以降に関係なく、専門家としての集まりとして、教育機関、民間企業、公官庁、公益団体、監査法人、SI企業、コンサルティング企業、ユーザ企業などか研究者、コンサルタント、会計士、各種監査人、エンジニアなどがあるまり、学術的分野から現場における実践的課題まで、幅広く対象とされ、議論される土台となっています。時として、少しばかり観念的かなと思ったり、現場の事象に囚われたりといったこともありますが、様々な出自に会員が、遠慮することなく意見交換をすることが可能な場としてのISACAは、面白いです。だから、この10数年、会員で有り続けたですが。
この団体としての方向性は、今後も変更されることなく、維持されます。単に、議論の場としててなく、広く人脈を形成する場としても有用な団体だと思います。私は、ISACAの人脈で助けられたことも少なくありません。
これだけ、大きくなった組織をボランティアで運営していくには、今後も組織改革を継続していく必要がありますが、専門家の集まりとしてのISACA、存続させ続けなければいけませんね。
ここ2年ほど、会員数が急激に拡大というより膨張しており、いずれ世界一になるとは予想されていたのですが、とうとう達成いたしました。私が入会をした10数年前と比較して、隔世の感があります。
1位:東京支部 2,336名 伸び率37%
2位:ロンドン支部 2,280名 同14%
3位:ニューヨーク市支部 2,059名 同11%
実数もさることながら、会員の伸び率においても、他を圧倒しています。この伸び率でいけば、来年には3,000人を突破することになります。これ、凄い数字だと思います。
ISACAは、個人の専門家の集まりであり、団体会員や法人会員の制度はありません。そのため、シカゴの本部を除き、各国各支部とも専任の事務局はありません。東京支部も、事務局機能を委任していますが、理事会メンバーや専門委員会メンバーもボランティアであり、最低限の費用弁済以外は、一切の報酬を得ません。
この組織の特徴が、JASAやJNSAとは異なる、ISACA東京支部独特の雰囲気、性格を形成しているのは間違いないことと思います。法人メンバーや後援団体の以降に関係なく、専門家としての集まりとして、教育機関、民間企業、公官庁、公益団体、監査法人、SI企業、コンサルティング企業、ユーザ企業などか研究者、コンサルタント、会計士、各種監査人、エンジニアなどがあるまり、学術的分野から現場における実践的課題まで、幅広く対象とされ、議論される土台となっています。時として、少しばかり観念的かなと思ったり、現場の事象に囚われたりといったこともありますが、様々な出自に会員が、遠慮することなく意見交換をすることが可能な場としてのISACAは、面白いです。だから、この10数年、会員で有り続けたですが。
この団体としての方向性は、今後も変更されることなく、維持されます。単に、議論の場としててなく、広く人脈を形成する場としても有用な団体だと思います。私は、ISACAの人脈で助けられたことも少なくありません。
これだけ、大きくなった組織をボランティアで運営していくには、今後も組織改革を継続していく必要がありますが、専門家の集まりとしてのISACA、存続させ続けなければいけませんね。
2008年6月29日日曜日
情報セキュリティ業界は、IT関連業界か
さる6月27日、ある集まりに数十人の男女が集まりました。場所は銀座、集まった紳士淑女は、名刺を交換しながら、お互いの近況報告と思い出話で盛り上がっておりました。
その集まりとは、私が在籍していた独立系ソフトウェアベンダーの株式会社アシストの関係者です。出席者の条件は、元社員であること。つまり、現在は退職して、他社に勤務したり、独立したりしている、OBの集まりでありました。
株式会社アシストは、ソフトウェアベンダーですから、同業他社に転職したり、同じ業界で企業しているというケースが多く、全く関係のない業界で禄を食んでいるという人は少なかったですね。まあ、殆どIT業界の人間であり続けている訳です。
そこで、微妙なのは小生の場合です。私自身は、IT業界と認識はしてません。情報セキュリティ、IT統制に関する業界と考えています。が、当日はIT業界の範疇と捉える方が少なくありませんでした。その度に所謂ITのエンジニアからは足を洗い(ここは理解してもらえました)、他の業界への転職と話すのですが、’情報セキュリティ = IT業界’という認識、根強いです。情報セキュリティのコンサルティング業界は、ITには密接に関係していますが、IT業界とは違う、と私は考えています。皆さんどうでしょうか。
IT統制も同じです。最新のハード、ソフトがどうのではなく、ITを取巻くマネジメントやガバナンスを対象領域にしているだけで、その本質は経営コンサルの範疇に近いのかなと思っています。
システム監査学会が経営学のカテゴリーで、日本学術会議に加盟している(加盟の過程は、平穏無事でなったようですが)、このことが業界としてのありようを示していると思います。したがって、私は現在、自分が働いている業界は、IT業界とは考えてないのですが、ご意見があれば、お寄せ下さい。
(かつての同僚達、社長さんや取締役、執行役員、部長など偉いさんも珍しくなく、いざと言う時の再就職先には困らないかも、交換した名刺は大事にして、季節の挨拶は欠かさないようにしようと思いました。)
その集まりとは、私が在籍していた独立系ソフトウェアベンダーの株式会社アシストの関係者です。出席者の条件は、元社員であること。つまり、現在は退職して、他社に勤務したり、独立したりしている、OBの集まりでありました。
株式会社アシストは、ソフトウェアベンダーですから、同業他社に転職したり、同じ業界で企業しているというケースが多く、全く関係のない業界で禄を食んでいるという人は少なかったですね。まあ、殆どIT業界の人間であり続けている訳です。
そこで、微妙なのは小生の場合です。私自身は、IT業界と認識はしてません。情報セキュリティ、IT統制に関する業界と考えています。が、当日はIT業界の範疇と捉える方が少なくありませんでした。その度に所謂ITのエンジニアからは足を洗い(ここは理解してもらえました)、他の業界への転職と話すのですが、’情報セキュリティ = IT業界’という認識、根強いです。情報セキュリティのコンサルティング業界は、ITには密接に関係していますが、IT業界とは違う、と私は考えています。皆さんどうでしょうか。
IT統制も同じです。最新のハード、ソフトがどうのではなく、ITを取巻くマネジメントやガバナンスを対象領域にしているだけで、その本質は経営コンサルの範疇に近いのかなと思っています。
システム監査学会が経営学のカテゴリーで、日本学術会議に加盟している(加盟の過程は、平穏無事でなったようですが)、このことが業界としてのありようを示していると思います。したがって、私は現在、自分が働いている業界は、IT業界とは考えてないのですが、ご意見があれば、お寄せ下さい。
(かつての同僚達、社長さんや取締役、執行役員、部長など偉いさんも珍しくなく、いざと言う時の再就職先には困らないかも、交換した名刺は大事にして、季節の挨拶は欠かさないようにしようと思いました。)
2008年6月23日月曜日
内部統制におけるアイデンティティ管理解説書
ISACA名古屋支部、大阪支部、東京支部の総会、JNSA総会に出席した、総会紀行も終わりました。
各支部、団体の個性が出ていて、興味深いものでありました。
ところで、JNSAが発表した「内部統制におけるアイデンティティ管理解説書」、仕事の合間に少しずつ、読み進めていたのですが、とても参考になるものでありました
内部統制におけるアイデンティティ管理解説書
しかし、内容に異議を唱えるつもりは無いですが、’アイデンティティ管理’と銘打っているからには、足りないことがあると思いました。
私も、メインフレームでのアクセスコントロール製品である、RACF(IBM)やCA-Top Secretを取り扱ったことがありますので、本解説書の言わんとしていることは、良く理解できませす。
’その導入において要件定義・基本設計といったフェーズを軽視したために、それ以降の導入工程においての想定以上の工数の増加や、想定した期待効果が創出できないといったことが続出した。’は、その通りだと思います。機能は、要件を実現するための手段にすぎません。ID管理やアクセス管理の要件がきちんと定義されていることは、重要です。そのためのガイドとして、この解説書が編まれたのですが、ID管理の有効性を維持するためには、本書に記載されていないえすが、定期的なID、アカウントの棚卸が欠かせません。
ユーザID、アカウントは必要と判断されれば、作成申請は行われますが、削除の申請は忘れられがちなのも事実です。また、申請はしてみたが、使われないとか、必要性が変わったのに高い権限のままになっているとかいうことは、決して珍しくないのです。そこで、そういったIDを再検証し、不要なIDの削除や権限の変更など実施することが肝要です。
? ユーザID、アカウントの必要性検証
登録されているID、アカウントの必要性について、再検証します。
異動や職務変更などで、不必要となった権限を変更したり、場合によてはIDの削除も必要です。
? 退職者IDの検証
退職や契約期間お満了などで不要となったIDが残っていないかを検証します。
退職者のIDを残しておき、それを外部から不正に使用されら事例があります。
退職手続きで削除されている筈ということでなく、検証しましょう。
? 未使用IDの検証
?の必要性検証でも、取り敢えず残して残置しておこうというIDを排除できません。
そこで、一年以上の未使用のIDを抽出し、必要性を確認できない限り、削除しましょう。
?との違いは、原則は削除であり、残置は必要性が証明された場合の例外であることです。
? 特権、管理者権限
システム特権、管理者権限IDついて、上記に準じた再検証を実施します。
上記の再検証を定期的に実施することで、登録されているユーザID、アカウント中の’ゴミ’を排除することができます。実施頻度ですが、?は年に一回以上、?と?は複数回の実施が望ましいです。
以外に手間がかかるので、あまりに短い間隔だと、検証作業が終わらないうちに次の実施期日がきてしまったということに成りかねません。そうなると再検証が形骸化してしまう危険があるので、工数上無理の無い範囲で良いと思います。重要なのは、定期的検証を継続することです。
特権、管理者権限IDに関しては、そのリスクの大きさや検証すべき件数も一般IDの比して少ないので、実施頻度は一般IDより多くすべきだと思います。
本書は、アクセスコントロールやシングルサインオンなどID管理製品の導入前の作業工程のガイドを目的なので、導入後の再検証作業は作成目的外なので、軽視している訳ではないのだとは思いますが、内部統制のID管理と謳っているのですから、導入後のフェーズとして言及されていても良いのではないでしょうか(それらしき記述はあるのですが、説明不足という気がしました)。
とは言いつつ、ID管理を構築していく上で、参考にすべきドキュメントであると思います。
各支部、団体の個性が出ていて、興味深いものでありました。
ところで、JNSAが発表した「内部統制におけるアイデンティティ管理解説書」、仕事の合間に少しずつ、読み進めていたのですが、とても参考になるものでありました
内部統制におけるアイデンティティ管理解説書
しかし、内容に異議を唱えるつもりは無いですが、’アイデンティティ管理’と銘打っているからには、足りないことがあると思いました。
私も、メインフレームでのアクセスコントロール製品である、RACF(IBM)やCA-Top Secretを取り扱ったことがありますので、本解説書の言わんとしていることは、良く理解できませす。
’その導入において要件定義・基本設計といったフェーズを軽視したために、それ以降の導入工程においての想定以上の工数の増加や、想定した期待効果が創出できないといったことが続出した。’は、その通りだと思います。機能は、要件を実現するための手段にすぎません。ID管理やアクセス管理の要件がきちんと定義されていることは、重要です。そのためのガイドとして、この解説書が編まれたのですが、ID管理の有効性を維持するためには、本書に記載されていないえすが、定期的なID、アカウントの棚卸が欠かせません。
ユーザID、アカウントは必要と判断されれば、作成申請は行われますが、削除の申請は忘れられがちなのも事実です。また、申請はしてみたが、使われないとか、必要性が変わったのに高い権限のままになっているとかいうことは、決して珍しくないのです。そこで、そういったIDを再検証し、不要なIDの削除や権限の変更など実施することが肝要です。
? ユーザID、アカウントの必要性検証
登録されているID、アカウントの必要性について、再検証します。
異動や職務変更などで、不必要となった権限を変更したり、場合によてはIDの削除も必要です。
? 退職者IDの検証
退職や契約期間お満了などで不要となったIDが残っていないかを検証します。
退職者のIDを残しておき、それを外部から不正に使用されら事例があります。
退職手続きで削除されている筈ということでなく、検証しましょう。
? 未使用IDの検証
?の必要性検証でも、取り敢えず残して残置しておこうというIDを排除できません。
そこで、一年以上の未使用のIDを抽出し、必要性を確認できない限り、削除しましょう。
?との違いは、原則は削除であり、残置は必要性が証明された場合の例外であることです。
? 特権、管理者権限
システム特権、管理者権限IDついて、上記に準じた再検証を実施します。
上記の再検証を定期的に実施することで、登録されているユーザID、アカウント中の’ゴミ’を排除することができます。実施頻度ですが、?は年に一回以上、?と?は複数回の実施が望ましいです。
以外に手間がかかるので、あまりに短い間隔だと、検証作業が終わらないうちに次の実施期日がきてしまったということに成りかねません。そうなると再検証が形骸化してしまう危険があるので、工数上無理の無い範囲で良いと思います。重要なのは、定期的検証を継続することです。
特権、管理者権限IDに関しては、そのリスクの大きさや検証すべき件数も一般IDの比して少ないので、実施頻度は一般IDより多くすべきだと思います。
本書は、アクセスコントロールやシングルサインオンなどID管理製品の導入前の作業工程のガイドを目的なので、導入後の再検証作業は作成目的外なので、軽視している訳ではないのだとは思いますが、内部統制のID管理と謳っているのですから、導入後のフェーズとして言及されていても良いのではないでしょうか(それらしき記述はあるのですが、説明不足という気がしました)。
とは言いつつ、ID管理を構築していく上で、参考にすべきドキュメントであると思います。
2008年6月22日日曜日
ISACA大阪支部年次総会
6月21日、ISACA大阪支部の総会に出席して参りました。東京支部からは、太田会長と特別講演講師として、ソニーの根岸さん、そしてCGEITの説明のため私が出席いたしました。
大阪支部の会員数も増加傾向にあるようで、ISACA国内3支部とも上り調子ある証しといえましょうか。
根岸さんは、「ソニーにおける内部統制システム(SOX404)への取り組み(2年目の対応を終えて)」という演題で、SOX法(米)への取り組んだ内容について、簡潔にお話をされていました。COBITを評価軸として用い、極めて巧みに応用されている印象を持ちました。実践的でとても参考になる講演でした。
会場では、何人もの人と名刺交換をいたしましたが、其の内の一人はかつての同僚、東京から大阪に引っ越され、転職もされていました。ほんと、この業界は狭いですね。
名古屋支部の総会では、残念ながら懇親会には出席できませんでしたが、今回は途中まで出席させていただきました。ざっくばらんな会話で、実に楽しい時間でした。規模が大きくなってしまった東京支部の総会では、もう味わえない雰囲気でありました。
今後も、CGEITワークショップ等で大阪支部、名古屋支部の皆さんとにお世話になることがありますので、宜しくお願いします。
大阪支部の会員数も増加傾向にあるようで、ISACA国内3支部とも上り調子ある証しといえましょうか。
根岸さんは、「ソニーにおける内部統制システム(SOX404)への取り組み(2年目の対応を終えて)」という演題で、SOX法(米)への取り組んだ内容について、簡潔にお話をされていました。COBITを評価軸として用い、極めて巧みに応用されている印象を持ちました。実践的でとても参考になる講演でした。
会場では、何人もの人と名刺交換をいたしましたが、其の内の一人はかつての同僚、東京から大阪に引っ越され、転職もされていました。ほんと、この業界は狭いですね。
名古屋支部の総会では、残念ながら懇親会には出席できませんでしたが、今回は途中まで出席させていただきました。ざっくばらんな会話で、実に楽しい時間でした。規模が大きくなってしまった東京支部の総会では、もう味わえない雰囲気でありました。
今後も、CGEITワークショップ等で大阪支部、名古屋支部の皆さんとにお世話になることがありますので、宜しくお願いします。
2008年6月20日金曜日
ISACA東京支部年次総会
昨日、6月19日は情報システムコントロール協会(ISACA)の年次総会でした。会場は、日本教育会館3階の大ホールで第一部の総会と第二部の特別講演、会場を9階に移して第三部の懇親会でありました。
私自身でも10数回目の総会出席になりますが、今年から運営の形態が変わりました。
今年から事務局機能強化として、団体事務局機能やイベント運営などの代行を業務とする有限会社ビジョンブリッジに総会や月例会の運営を委託しています。今総会は、委託後の最初の年次総会でした。会場のセットアップや受付業務など、実に手際よくこなしていただき、昨年までは理事会メンバーが右往左往していた場面もあったのですが、スムーズな総会運営でありました。
ただ、あくまで個人的感想ですが、ボランティアによる独特の手作り感が面白くもあったのですが、少し寂しいものもありました。
太田会長、日高事務局長、滝本経理局長からの活動報告、経理報告などが行われ、新年度の理事/役員が紹介されました。支部定款の改定にともない、旧理事会が意思決定機関の理事会と業務執行機関の委員会に改編され、私はCGEIT担当理事からCGEIT委員会委員長ということになりました。
報告の中で、東京支部の会員数の現況が説明されましたが、ここ数年の激増振りには目を見張るものがありますね。
特別講演は、情報セキュリティ大学院大学の林 紘一郎副学長のお話でした。講演の最後にマックス・ウエーバーの「プロテスタンティズムの論理と資本主義の精神」に触れられていました。私は、大学の専攻が社会学だったので、学生時代に散々耳にしたものです。
資本主義の発達とプロテスタントの宗教的道徳心との関係は、論議の対象となるところですが、翻ってキリスト教の影響の小さい日本の、アジアでの勃興の背景とは興味あるところですね。作家の故司馬遼太郎氏は、そのエッセイに武士道をあげています。プロテスタンティズムの論理の代わりに武士の徳目が、その役割を果たしたのではないかと。また、別のエッセイで、日本は重農主義でもなく重商主義でもなく、重職主義なのだと。職人とその気質、生き方などを尊び、敬意をはらってきた。名利蚤を求めず、職人としての職業規範の忠実で、そしてそのある種の文化を尊んできたと。
情報セキュリティでは、技術的管理策やマネジメント上の対応など、様々な施策を打つわけですが、つまるところ従業員の意識の持ち方で、その効果が左右されるのが現実であり、この最後の話題は最も印象に残りました。
懇親会では、会員や来賓の方と話をしました。そこで、聞かれるのが、Certidied in the Governance of Enterorise IT(CGEIT)の日本語訳がどうなったか・・・・・
まだ、決まってません。訳せなくて困ってます。冗談で、訳を公募して、採用した方には20CPEプレゼントしようかなどと話しておりました。
何人かの方には、現職の名刺を渡しましたが、私の名刺のコレクションをしていると冗談で言われました。転職や組織変更などで、結構たまったそうです。
第4部は、さくら水産でのフリートークです。月例会後などにのみにいく場合は、激安さくら水産がISACA東京支部の定番です。最初は、他に入れる店がなく、致し方なく選んだ店なのですが、いつもまにか、最初からさくら水産を行くのが定番となりました。
情報セキュリティ管理基準Ver2作成やシステム管理基準追補版裏話といった、その場限りの暴露など、酔った勢いでなければという話題、与太話だけなくControlとManegementの違いといったアカデミックな話もしました。
今回、第4部に公報委員長になった新島短期大学の花田経子先生も初参加、昨年までは懇親会終了後、急ぎ足で高崎まで帰っていったのですが、今回は東京に宿をとったとのことなので、初参加でした。花田先生、学生さん特に女子学生からみれば、先生というより年齢的にもお姉さんなのでしょうね。ISACA東京支部の癒し系です。
明日は、ISACA大阪支部の総会に出席、CGEITの説明です。私は所沢在住、我がライオンズも首位を維持してるので、日本シリーズでのタイガースとの決戦の可能性大、敵地へ乗り込む意気込みです(笑)
私自身でも10数回目の総会出席になりますが、今年から運営の形態が変わりました。
今年から事務局機能強化として、団体事務局機能やイベント運営などの代行を業務とする有限会社ビジョンブリッジに総会や月例会の運営を委託しています。今総会は、委託後の最初の年次総会でした。会場のセットアップや受付業務など、実に手際よくこなしていただき、昨年までは理事会メンバーが右往左往していた場面もあったのですが、スムーズな総会運営でありました。
ただ、あくまで個人的感想ですが、ボランティアによる独特の手作り感が面白くもあったのですが、少し寂しいものもありました。
太田会長、日高事務局長、滝本経理局長からの活動報告、経理報告などが行われ、新年度の理事/役員が紹介されました。支部定款の改定にともない、旧理事会が意思決定機関の理事会と業務執行機関の委員会に改編され、私はCGEIT担当理事からCGEIT委員会委員長ということになりました。
報告の中で、東京支部の会員数の現況が説明されましたが、ここ数年の激増振りには目を見張るものがありますね。
特別講演は、情報セキュリティ大学院大学の林 紘一郎副学長のお話でした。講演の最後にマックス・ウエーバーの「プロテスタンティズムの論理と資本主義の精神」に触れられていました。私は、大学の専攻が社会学だったので、学生時代に散々耳にしたものです。
資本主義の発達とプロテスタントの宗教的道徳心との関係は、論議の対象となるところですが、翻ってキリスト教の影響の小さい日本の、アジアでの勃興の背景とは興味あるところですね。作家の故司馬遼太郎氏は、そのエッセイに武士道をあげています。プロテスタンティズムの論理の代わりに武士の徳目が、その役割を果たしたのではないかと。また、別のエッセイで、日本は重農主義でもなく重商主義でもなく、重職主義なのだと。職人とその気質、生き方などを尊び、敬意をはらってきた。名利蚤を求めず、職人としての職業規範の忠実で、そしてそのある種の文化を尊んできたと。
情報セキュリティでは、技術的管理策やマネジメント上の対応など、様々な施策を打つわけですが、つまるところ従業員の意識の持ち方で、その効果が左右されるのが現実であり、この最後の話題は最も印象に残りました。
懇親会では、会員や来賓の方と話をしました。そこで、聞かれるのが、Certidied in the Governance of Enterorise IT(CGEIT)の日本語訳がどうなったか・・・・・
まだ、決まってません。訳せなくて困ってます。冗談で、訳を公募して、採用した方には20CPEプレゼントしようかなどと話しておりました。
何人かの方には、現職の名刺を渡しましたが、私の名刺のコレクションをしていると冗談で言われました。転職や組織変更などで、結構たまったそうです。
第4部は、さくら水産でのフリートークです。月例会後などにのみにいく場合は、激安さくら水産がISACA東京支部の定番です。最初は、他に入れる店がなく、致し方なく選んだ店なのですが、いつもまにか、最初からさくら水産を行くのが定番となりました。
情報セキュリティ管理基準Ver2作成やシステム管理基準追補版裏話といった、その場限りの暴露など、酔った勢いでなければという話題、与太話だけなくControlとManegementの違いといったアカデミックな話もしました。
今回、第4部に公報委員長になった新島短期大学の花田経子先生も初参加、昨年までは懇親会終了後、急ぎ足で高崎まで帰っていったのですが、今回は東京に宿をとったとのことなので、初参加でした。花田先生、学生さん特に女子学生からみれば、先生というより年齢的にもお姉さんなのでしょうね。ISACA東京支部の癒し系です。
明日は、ISACA大阪支部の総会に出席、CGEITの説明です。私は所沢在住、我がライオンズも首位を維持してるので、日本シリーズでのタイガースとの決戦の可能性大、敵地へ乗り込む意気込みです(笑)
2008年6月16日月曜日
従業員の意識が内部統制の水準を左右するか
情報セキュリティや個人情報保護、内部統制などの有効性というか水準というものは、管理策の有無や精度だけでなく、当該の企業(事業体)の従業員(職員)の意識水準も影響を与えるのだと、私は思います。
皆で渡れば怖くないという集団的横紙破りだけでなく、ちょっとした軽い気持ちという、個人的なルール破りも困ったものだと思います。
以下は、読売新聞Webからの引用です。
このホテルのHPには、プライバシーポリシーが掲載され、事前の同意なしの個人情報の第三者提供をしないことを誓約しています。おそらく、個人情報保護に関する社内の規約やなども定められているのだと推測されます。今回のケースは、組織的なものでなく、当該社員の個人的な規約破りだと思われます。
組織的に可能な限りの管理策、内部統制を整備しても、従業員個々の意識が一定の水準にないと、対策の有効性も満足すべきものにならないということですね。
情報セキュリティや内部統制に関する教育というのは、管理策を周知徹底するものと、一般的な意識向上を図るものと、二通りを考えなければいけませんね。
皆で渡れば怖くないという集団的横紙破りだけでなく、ちょっとした軽い気持ちという、個人的なルール破りも困ったものだと思います。
以下は、読売新聞Webからの引用です。
挙式予定1760人の個人情報漏らし解雇…横浜のホテル社員
相鉄ホテルは16日、経営する「横浜ベイシェラトンホテル&タワーズ」(横浜市西区)の挙式予定者1760人分の個人情報を外部に漏らしたとして、販売部の男性社員(45)を13日付で諭旨解雇したと発表した。
漏えいした情報は、昨年7月から今年6月上旬、ホテルの式場を下見するなどした顧客の住所や氏名、勤務先などの一覧表。
男性社員は、以前勤務していた別のホテルで同僚だった埼玉県の冠婚葬祭のコンサルタント業者の依頼を受けて、今年2月から5月に計6回に渡ってメールで挙式予定者の一覧表を送信し、謝礼として2万円を受け取った。調査に対し、男性社員は「軽い気持ちで情報提供した」と話している。 業者は「市場動向を見ただけで廃棄した」と述べ、外部流出を否定している。
今年2月から5月に、顧客4組から「身に覚えのない貸衣装などのダイレクトメールが届いた」と連絡があり、ホテルの調査で発覚した。
��2008年6月16日20時15分 読売新聞)
このホテルのHPには、プライバシーポリシーが掲載され、事前の同意なしの個人情報の第三者提供をしないことを誓約しています。おそらく、個人情報保護に関する社内の規約やなども定められているのだと推測されます。今回のケースは、組織的なものでなく、当該社員の個人的な規約破りだと思われます。
組織的に可能な限りの管理策、内部統制を整備しても、従業員個々の意識が一定の水準にないと、対策の有効性も満足すべきものにならないということですね。
情報セキュリティや内部統制に関する教育というのは、管理策を周知徹底するものと、一般的な意識向上を図るものと、二通りを考えなければいけませんね。
2008年6月15日日曜日
ISACA名古屋支部2008年度総会
昨日、2008年6月14日は、ISACA名古屋支部総会でした。東京支部太田会長ともに出席をさせて頂きました。
東京支部会長の出席は定例のことで、会長挨拶で支部の現状について紹介を行いました。支部会員が3,000人も視野に入っているとの話には、反応が大きかったようです。
私は、1時間ほど時間を使い,CGEITの紹介と普及促進に向け東京支部CGEIT委員会の活動の紹介を行いました。東京支部で6名の認定者を把握していますが、名古屋支部も既に2名の方が認定を受けているとの事でした。年内の20名の認定を受けるとの目標ですが、達成できそうな感触を受けました。
立命館大学の滝教授による特別講演「監査研究の系譜」も聞かせていただきました。監査とそ効果を学術的に研究すると言うことで、もし機会があれば、東京支部の月例会でも、お話いをお願いしたい内容でありました。
名古屋支部の会員数は、70名程だそうです。総会会場も、ある監査法人の会議室で、理事会メンバーと会員との距離感も程よく、総会/講演終了後、参加者が連れ立って懇親会会場まで歩いていく風景など、10数年前の東京支部の月例会終了後の光景のようでした。
私は、残念ながら懇親会には参加しませんでしたが、一体感が感じられた良い総会でした。6月19日に東京支部総会、21日大阪支部総会です。いずれも参加する予定なので、参加予定の皆様、宜しくお願いします。
東京支部会長の出席は定例のことで、会長挨拶で支部の現状について紹介を行いました。支部会員が3,000人も視野に入っているとの話には、反応が大きかったようです。
私は、1時間ほど時間を使い,CGEITの紹介と普及促進に向け東京支部CGEIT委員会の活動の紹介を行いました。東京支部で6名の認定者を把握していますが、名古屋支部も既に2名の方が認定を受けているとの事でした。年内の20名の認定を受けるとの目標ですが、達成できそうな感触を受けました。
立命館大学の滝教授による特別講演「監査研究の系譜」も聞かせていただきました。監査とそ効果を学術的に研究すると言うことで、もし機会があれば、東京支部の月例会でも、お話いをお願いしたい内容でありました。
名古屋支部の会員数は、70名程だそうです。総会会場も、ある監査法人の会議室で、理事会メンバーと会員との距離感も程よく、総会/講演終了後、参加者が連れ立って懇親会会場まで歩いていく風景など、10数年前の東京支部の月例会終了後の光景のようでした。
私は、残念ながら懇親会には参加しませんでしたが、一体感が感じられた良い総会でした。6月19日に東京支部総会、21日大阪支部総会です。いずれも参加する予定なので、参加予定の皆様、宜しくお願いします。
2008年6月14日土曜日
CISA/CISM試験です。
本日、6月第2土曜日は、CISA/CISMの試験日です。早い方は、既に会場に到着されているかもしれませんね。今回は、何人の方が受験すのるのでしょうか。いずれにしても、私が受験した十数年前に比べたら、信じられない数字なのでしょうが。
4時間の長丁場、受験者の皆さん、頑張って下さい。そして、吉報がお手元に届くことを祈念しています。
2009年の10月第2週の試験では、CGEIT日本語試験の実現を目指しています。何とか100名以上の受験者を集めることが目標です。
CISA/CISM試験に際して、昨日のあるイベントについて報告いたします。
昨日は、日本ネットワークセキュリティ協会の2007年度活動報告会/総会でした。「人財育成マップとキャリアパスの現状と今後について」と題されたパネルディスカッションに、パネラーとして参加したので、情報セキュリティに係る人材の育成、評価などについて、私見を述べさせていただきました。
情報セキュリティに係る人材が、弊社のような専業のコンサルタント系企業等を除き、事業者の内外で正当に評価されたいないのでは、というのがテーマでありました。それについて、色々な意見がパネラーにより話されたのですが、会場のSI系企業に勤務する方から、所属企業のISMS認証取得を担当しているが、取得後に何をすればいいか不安だという意見がありました。これは、情報セキュリティに係る人材の現状を端的に表していると思います。そして、そのような意見が出されない状況を目指ざさなければと思います。
CISA./CISM試験前日として、正に時宜に適ったパネルディスカッションだったと思います。
本日は、CGEITの説明のために、ISACA名古屋支部の2008年年次総会に出席いたします。他の支部の総会に参加するのは、初めてのことなので、楽しみにしています。
JNSAの会合、今まで縁が無かったのですが、ISACAやJASAとは一風変わった雰囲気でした。CISSPフォルダーが多く、技術系に色彩が強いなというのが印象です。
------------------------------------------------------------------------------
余話として
ISACA東京支部は、監査法人系の会員が多数になってきたので、どうしても内部統制面の話題が主体になる傾向を感じており、特徴かなと思いました。ISACAとJASA、JNSAに共通点もありますが、各各団体が特徴を生かしながら連携していけば良いと思います。JASAとJNSAは以前から協力関係にありますが、ISACAは個人会員組織、専任の事務局を持たないボランティアによる運営という事情もあり、個人の行動が主体で、組織的協力関係に弱いですね。JASAの会合で見かけるISACA会員も、昨日は私を含めて2名でした。
他の団体との組織的連携、ISACA国内三支部の今後の課題なのでしょうか。
4時間の長丁場、受験者の皆さん、頑張って下さい。そして、吉報がお手元に届くことを祈念しています。
2009年の10月第2週の試験では、CGEIT日本語試験の実現を目指しています。何とか100名以上の受験者を集めることが目標です。
CISA/CISM試験に際して、昨日のあるイベントについて報告いたします。
昨日は、日本ネットワークセキュリティ協会の2007年度活動報告会/総会でした。「人財育成マップとキャリアパスの現状と今後について」と題されたパネルディスカッションに、パネラーとして参加したので、情報セキュリティに係る人材の育成、評価などについて、私見を述べさせていただきました。
情報セキュリティに係る人材が、弊社のような専業のコンサルタント系企業等を除き、事業者の内外で正当に評価されたいないのでは、というのがテーマでありました。それについて、色々な意見がパネラーにより話されたのですが、会場のSI系企業に勤務する方から、所属企業のISMS認証取得を担当しているが、取得後に何をすればいいか不安だという意見がありました。これは、情報セキュリティに係る人材の現状を端的に表していると思います。そして、そのような意見が出されない状況を目指ざさなければと思います。
CISA./CISM試験前日として、正に時宜に適ったパネルディスカッションだったと思います。
本日は、CGEITの説明のために、ISACA名古屋支部の2008年年次総会に出席いたします。他の支部の総会に参加するのは、初めてのことなので、楽しみにしています。
JNSAの会合、今まで縁が無かったのですが、ISACAやJASAとは一風変わった雰囲気でした。CISSPフォルダーが多く、技術系に色彩が強いなというのが印象です。
------------------------------------------------------------------------------
余話として
ISACA東京支部は、監査法人系の会員が多数になってきたので、どうしても内部統制面の話題が主体になる傾向を感じており、特徴かなと思いました。ISACAとJASA、JNSAに共通点もありますが、各各団体が特徴を生かしながら連携していけば良いと思います。JASAとJNSAは以前から協力関係にありますが、ISACAは個人会員組織、専任の事務局を持たないボランティアによる運営という事情もあり、個人の行動が主体で、組織的協力関係に弱いですね。JASAの会合で見かけるISACA会員も、昨日は私を含めて2名でした。
他の団体との組織的連携、ISACA国内三支部の今後の課題なのでしょうか。
2008年6月10日火曜日
情報セキュリティ監査シンポジウム in Tokyo
来る、2008年7月9日(水)に日本セキュリティ監査協会(JASA)主催の「情報セキュリティ監査シンポジウム in Tokyo」が開催されます。
私も作成プロジェクトメンバーであった「情報セキュリティ管理基準 Ver2.0」や保証型情報セキュリティ監査等について発表があります。
私も早速、参加申込みを致しました。ご都合のつく皆様、会場でお会いしましょう。
情報セキュリティ監査シンポジウムについて
私も作成プロジェクトメンバーであった「情報セキュリティ管理基準 Ver2.0」や保証型情報セキュリティ監査等について発表があります。
私も早速、参加申込みを致しました。ご都合のつく皆様、会場でお会いしましょう。
情報セキュリティ監査シンポジウムについて
2008年6月8日日曜日
情報セキュリティ監査手続作成プロジェクト
日本セキュリティ監査協会(JASA)の新しいプロジェクトが開始されました。
新プロジェクトは、昨年度のJASA成果物である「情報セキュリティ管理基準 第2版」原案に基づき、情報セキュリティ監査手続、ガイドラインを作成しようとするものです。
2008年6月6日、JASA事務局会議室で、プロジェクトメンバーが集まり、第2回目の会合と「情報セキュリティ管理基準 第2版」原案作成慰労会兼新プロジェクト発足の懇親会が開催されました。
(「情報セキュリティ管理基準 第2版」は、経済産業省に納品はしたのですが、未だにパブリックコメントが実施されず、正式発行に至ってないのですが・・・・)
とは、管理基準の次は監査手続というのも自然な流れでもあるので、兎にも角にも新プロジェクトは、スタートと相成りました。
新プロジェクトは、’情報セキュリティ管理基準V2,0に基づく実用的な監査ガイドの精査・拡充’のため、情報セキュリティ監査に携わる方々が、監査手続きを作成する際のガイドラインとなるべき文書になる予定です。
プロジェクトメンバーは、
中尾 康二氏 KDDI株式会社
菅谷 光啓氏 NRIセキュアテクノロジーズ株式会社
河野 省二氏 株式会社ディアイティ
岡野 大良氏 伊藤忠テクノソリューションズ株式会社
佐藤 元彦氏 伊藤忠テクノソリューションズ株式会社
関 克彦氏 KPMGビジネスアシュアランス株式会社
永宮 直史氏 信頼資産マネジメント合同会社
濱本 桜氏 KDDI株式会社
横川 英之氏 みずほ情報総研株式会社
大溝 裕則氏 株式会社JMCリスクソリューション
増田 聖一 三井物産セキュアディレクション株式会社
で、殆ど前プロジェクトからの継続メンバーです。これから、月2回程度の会合を重ねながら、各自自宅や仕事の合間に、粛々と担当分野のガイドを作成していくことになります。 原案は、JASAでのパブリックコメント後、経済産業省に納品されます。
皆さんが使って良かったと思って頂けるものを作成すべき、メンバー一同頑張っていますので、宜しくお願いします。
新プロジェクトは、昨年度のJASA成果物である「情報セキュリティ管理基準 第2版」原案に基づき、情報セキュリティ監査手続、ガイドラインを作成しようとするものです。
2008年6月6日、JASA事務局会議室で、プロジェクトメンバーが集まり、第2回目の会合と「情報セキュリティ管理基準 第2版」原案作成慰労会兼新プロジェクト発足の懇親会が開催されました。
(「情報セキュリティ管理基準 第2版」は、経済産業省に納品はしたのですが、未だにパブリックコメントが実施されず、正式発行に至ってないのですが・・・・)
とは、管理基準の次は監査手続というのも自然な流れでもあるので、兎にも角にも新プロジェクトは、スタートと相成りました。
新プロジェクトは、’情報セキュリティ管理基準V2,0に基づく実用的な監査ガイドの精査・拡充’のため、情報セキュリティ監査に携わる方々が、監査手続きを作成する際のガイドラインとなるべき文書になる予定です。
プロジェクトメンバーは、
中尾 康二氏 KDDI株式会社
菅谷 光啓氏 NRIセキュアテクノロジーズ株式会社
河野 省二氏 株式会社ディアイティ
岡野 大良氏 伊藤忠テクノソリューションズ株式会社
佐藤 元彦氏 伊藤忠テクノソリューションズ株式会社
関 克彦氏 KPMGビジネスアシュアランス株式会社
永宮 直史氏 信頼資産マネジメント合同会社
濱本 桜氏 KDDI株式会社
横川 英之氏 みずほ情報総研株式会社
大溝 裕則氏 株式会社JMCリスクソリューション
増田 聖一 三井物産セキュアディレクション株式会社
で、殆ど前プロジェクトからの継続メンバーです。これから、月2回程度の会合を重ねながら、各自自宅や仕事の合間に、粛々と担当分野のガイドを作成していくことになります。 原案は、JASAでのパブリックコメント後、経済産業省に納品されます。
皆さんが使って良かったと思って頂けるものを作成すべき、メンバー一同頑張っていますので、宜しくお願いします。
2008年6月6日金曜日
Certified in the Governance of Enterprise IT(CGEIT)を目指そう Ⅳ
2008年6月6日現在、私は把握している国内(日本人)CGEIT認定者は3名です。早めに申請をされて、ここ一ヶ月で認定されています。
試験によらない特別認定制度は、本年10月までです。多くの皆さんに、この制度を活用していただきたいのですが、やはり英語での申請書記入、特に職務経歴の記入は壁が高いかもしれません。
そこで、2008年6月14日に実際に認定を得た方の事例を基にした、グランドファザリング申請書記入ワークショップを開催することにしました。
記入欄の説明だけでなく、具体的な記述内容に踏み込んだレクチャーを予定しています。先着30名という人数制限はありますが、お時間がある方、是非ともご参加下さい。
参加申込みはここからです → ISACA東京支部CGEIT委員会
試験によらない特別認定制度は、本年10月までです。多くの皆さんに、この制度を活用していただきたいのですが、やはり英語での申請書記入、特に職務経歴の記入は壁が高いかもしれません。
そこで、2008年6月14日に実際に認定を得た方の事例を基にした、グランドファザリング申請書記入ワークショップを開催することにしました。
記入欄の説明だけでなく、具体的な記述内容に踏み込んだレクチャーを予定しています。先着30名という人数制限はありますが、お時間がある方、是非ともご参加下さい。
参加申込みはここからです → ISACA東京支部CGEIT委員会
2008年6月3日火曜日
COBIT V4.1 日本語版無償ダウンロード開始
COBITもITガバナンスのフレームワークとして、ようやく認知度が高まってきて、その事例も徐々に明らかになってきました。しかし、その日本語版の歩みは、ISACA東京支部有志が苦心惨憺し翻訳がしたが、諸々の事情により日の目を見なかったV2.0、出版会社の倒産をという憂き目をみたV3.0と山あり谷あり、決して順風万般のものではありませんでした。
V4.0からは、丸山さんをリーダとするISACA COBITプロジェクトチームが翻訳に挑みました。そして、その配布も日本ITガバナンス協会のHPから無償でダウンロード可能とすることで、その普及促進の後押しとなったことは確かであろうと思います。
英語版はV4.1が発表されておりましたが、NRIセキュアテクノロジーズ株式会社の全面支援えお得て、ISACA東京支部有志による、COBIT 4.1の日本語版が完成し、本日から無償ダウンロードを開始いたしました。ITガバナンスのフレームワークとして、是非ともご活用下さい。
日本ITガバナンス協会ダウンロードページ
COBIT V4.1の翻訳に携わった皆様、誠にご苦労様でした。
V4.0からは、丸山さんをリーダとするISACA COBITプロジェクトチームが翻訳に挑みました。そして、その配布も日本ITガバナンス協会のHPから無償でダウンロード可能とすることで、その普及促進の後押しとなったことは確かであろうと思います。
英語版はV4.1が発表されておりましたが、NRIセキュアテクノロジーズ株式会社の全面支援えお得て、ISACA東京支部有志による、COBIT 4.1の日本語版が完成し、本日から無償ダウンロードを開始いたしました。ITガバナンスのフレームワークとして、是非ともご活用下さい。
日本ITガバナンス協会ダウンロードページ
COBIT V4.1の翻訳に携わった皆様、誠にご苦労様でした。
2008年6月1日日曜日
Certified in the Governance of Enterprise IT(CGEIT)を目指そう Ⅲ
Certified in the Governance of Enterprise IT(CGEIT)の認定状況ですが、ISACA東京支部CGEIT委員会委員で2名の方が、目出度く認定を受けています。小職を含めてあと3名が申請、委員候補の方1名が申請書を送付済みです。
今後の予定は、6月14日と21日にISACA名古屋支部と大阪支部の年次総会が開催されるので、其の機会にCGEIT説明会を実施する予定です。東京のみならず、大阪支部/名古屋支部の皆さんにも積極的に申請をしていただけるように説明かたがたお願いをしてきます。
委員中、2名に方が認定を受けましたので、その事例を基にCGEITグランドファザリング申請書記入ワークショップを複数回開催する予定です。これは、認定を受けた実際の申請書の記入例を参考にして、効果的な記述について勉強していこうという企画です。土曜日に開催して、じっくりと取り組んでいくつもりです。
グランドファザリングで20名以上の認定者を誕生されるという目標向かって、前進中です。
今後の予定は、6月14日と21日にISACA名古屋支部と大阪支部の年次総会が開催されるので、其の機会にCGEIT説明会を実施する予定です。東京のみならず、大阪支部/名古屋支部の皆さんにも積極的に申請をしていただけるように説明かたがたお願いをしてきます。
委員中、2名に方が認定を受けましたので、その事例を基にCGEITグランドファザリング申請書記入ワークショップを複数回開催する予定です。これは、認定を受けた実際の申請書の記入例を参考にして、効果的な記述について勉強していこうという企画です。土曜日に開催して、じっくりと取り組んでいくつもりです。
グランドファザリングで20名以上の認定者を誕生されるという目標向かって、前進中です。
登録:
投稿 (Atom)