2008年7月31日木曜日

システム管理者の日 Ⅱ - System Administratorは、管理者なのか

7月25日は、‘システム管理者の日’でありました。全国のシステム管理者に皆様は、日頃の労苦が報われるような記念品などもらえたのでしょうか。


ところで、このシステム管理者の日、原文は’ System Administrator Appreciation Day’です。まさしくSystem Administratorに感謝する日ということなのですが、このSystem Administratorの訳が気になっています。ちょっと違和感があるのです。

System Administrator は管理者なのか、一考察を

慣例的にシステム管理者と訳しますが、ではSystem Manager何と訳すのでしょうか。こちらもシステム管理者ですね。では、両者とも同じ職務でしょうか? 
以前からSystem Administratorの訳文に違和感を持っていました。業界関係者と話すと、System Administratorの訳について、時々議論になることがあります。System Administratorの訳が実態に則していないので、違和感をもつ関係者は少なくないのです。
私見ですが、System Administratorは‘システム担当者’と訳すべきだと考えています。System Administratorは、組織のITの運用や維持管理、更新、変更等に携わる実務担当者を指し示し、System Managerは上司として、System Administrator(システム担当者)を指揮、監督するのが職務であり、実務を直接的に職掌するのではない、というのが私の理解、認識です。
System ManagerとSystem Administratorを双方ともシステム管理者と訳することで、システム管理者がシステム管理者を指揮監督するという珍妙な日本語になりかねません。両者の職務、職位の違いが明確になる、実態に則した訳文が必要だと思います。

2008年7月30日水曜日

CGEIT認定証が届かず、CGEIT試験のパンレットが届きました

特例処置による申請制度、Grandfathering Provisionにって、目出度くCGEITに認定されたました。
その通知メールは受け取ったのですが、正式な認定証が手元に届いていません。それどころか、12月に実施されるCGEIT試験のパンフレットが届きました。

ISACA国際本部からの郵便物の宛先は、全て’MASUDA Sseiichi,CGEIT,CISA,CISM’となっており、今更受験案内もないのですが・・・、全く掲経費の無駄ですね。

ISACA本部にメールで問い合わせたところ、7月7日には郵送しているとのこと。今週末までに届かなかったら連絡するようにとの返信でした。おそらく、届くことはないと思うので、週末の再問い合わせをしますが、再発行してもらうしかないですね。

やはり、認定証が手元にないと、何か不安です。

2008年7月29日火曜日

私が所属する情報システムコントロール協会(ISACA)東京支部の本部は、アメリカ合衆国イリノイ州のシカゴにあります。私自身は、まだ本部に行ったことは無いのですが、東京支部からは定期的に本部に理事会メンバーを派遣しています。国際本部も基本的にはボランティアにより運営されています。とは言っても、国際本部の運営、ボランティアだけではこなせるものでなく、専従の事務局員います。ただ、国際本部の執行メンバーはボランティアによって構成されていることは、東京支部と同様です。

この度、ISACA東京支部の元会長の原田要之助氏が、ISACA国際本部のVice Presidentに選出されました。国際本部の執行メンバーに日本から人材を送り込むことは、日本国内3支部の数年来の課題でありました。原田氏が、国際本部Vice Presidentに就任されたことは、日本の発言力を向上させるという点で画期的なことだと思います。今後の氏の活躍を大いに期待いたします。

原田要之助氏 ISACA国際本部Vice Presidentに選出

2008年7月25日金曜日

システム管理者の日

本日、7月25日は’システム管理者の日’なのだそうです。情報システムが、日々安定稼動するように粛々と働き、システム管理者が一年に一度だけ関係者から感謝を受ける日ということらしいです。

システム管理者の日 By ウイキペディア

情報システム、ITというものは安定稼動して当たり前、何か事が起こると昼も夜も休みもなく、黙々と働く、システム管理者、年に一度くらいは感謝されてもいいかなと、思いました。

全国、全世界のシステム管理者の皆様、ご苦労様   

2008年7月23日水曜日

アクセス数が10,000を突破 - 御礼申し上げます。

当Blogへのアクセス数が、カウンター設置以来10,000を突破しました。カウンターの設定で、同一IPアドレスからの重複カウントはしないので、ユニークアクセスのみで、累計10,000を超過しました。
当Blogにお越しいただいた皆様に、御礼申し上げます。

アクセスカウンタの設置は、Blog開設後2年以上経過してからなので、開設以来のアクセス数は不明なのですが、一日平均だと約50アクセス/日となります。

検索エンジンにて、CISAやCISM、ISACAなどのキーワードで探索して、当Blogへアクセスする方が多いようです。最近は、これにCPE(監査対象となった人でしょうね)、CGEITなどのキーワードも目立ってきました。

基本的には、情報セキュリティ、ITガバナンス、内部統制などが主題なのですが、時として宇宙開発や柔道に話題が飛びます。これは、単に私個人が興味あるだけで、主題には全く関係有りませんが、お気楽なBlogなので、まあいいかなと思ってます。今後も、このスタンスは変えずにいこうと思います。

このBlogは、私の私見を掲載しておりますので、所属する企業、団体の見解を代表するものではありません。今回、夏用にリニューアルしましたが、この機会にプロフィールを修正、所属企業名を削除しました。これは、個人の見解表明であることを明確にするためです。個人の資格で参加している、ISACAや活動内容があるていど公になっているJASAのことは、そのままにしました。これは、両団体での活動内容がweb等で公開されているからです。

50アクセス/日は、決して多い数ではないと思いますが、、元々アクセス数を競う気が全くないので、増やそうと特別なことをすることは、全く考えていません。今のスタンスで継続させていきます。

次は、20,000アクセスを目指して、頑張らずにお気楽にいきます。ので、今後も引続き宜しくお願い致します。

m(__)m

マスダ@情報セキュリティコンサルタントのお気楽Blogオーナー

2008年7月19日土曜日

記録の保存 - 大分県教育委員会の不正から

大分県教育委員会の教員採用試験での不正、連日報道される不法行為の内容に驚くばかりですが、その中でも気になることがあり、疑問の思っておりました。それは、得点を下げられ不法に不合格にされた被害者(私は、被害者と言っていいと思います)を救済しようにも、試験結果が廃棄されて不正合格者と不合格者が不明とのこと、でも2006年と2007年の試験なのに、と思っていたのですが・・・ 被害者救済のためには、警察に押収された被疑者のPC内のデータが頼りだとの報道もあり、おいおいそれはないだろうと、思ってしまうのは、私だけではないと思うのですが。

以下は、読売新聞Webからの引用です。

大分の教員採用試験答案、高校でも廃棄…保存義務期間知らず
教員汚職
 大分県の教員採用汚職事件をめぐり、県教委が、高校教員採用試験の答案用紙などを「量が膨大で置く場所がない」として、30年間の保存を義務づけた内部の文書管理規定に反して毎年度末に廃棄していたことがわかった。
 県教委によると、汚職事件発覚後に調べたところ、昨年行われた2008年度試験の答案や評定書が、今年3月に廃棄されていた。高校教員の1次、2次試験の答案や面接結果を記録した評定書は最重要の30年間保存文書に指定されているが、担当の高校教育課に保存義務を知っていた職員はおらず、長年、新規採用者の配置が決まる3月末に捨てていたという。
 県教委は1日付で規定を改め、高校を含めた全採用試験の答案を試験実施の翌年度末まで、評定書は5年間保管することにした。同県では小中学校教員の採用試験でも保存期限前の答案廃棄が判明している。
��2008年7月19日03時05分 読売新聞
) 


ISMSの認証支援や財務報告に係る内部統制の整備などでは、記録の保存を重視、一定期間の保存を義務つけます。当局への記録の提出や監査に備えるためですが、そういった経験から、前年と前々年の記録がないというのに、大なる違和感があったのです。
記事からみると、やはり記録の廃棄は規定違反だったようです。当然でしょうと、思いました。不正や疑惑を調査するためには、過去の記録を調査することが重要です。透明性の確保のためにも、記録の保存が大事だと、改めて確認させられる事件です。

2008年7月16日水曜日

年金情報の漏洩でなく、’売る’という犯罪行為

すっかり不祥事に巣窟、デパート、内部統制の不存在の見本ともなった、社会保険庁。またまた、驚くべき、不祥事です。

要は、個人情報漏洩なのですが、その悪質さが際立っていて、記事を読んだ時は「本当かよ」と思わず呟いてしまいました。

いやはや、驚くべきものです。

(CPE監査ネタが続いたので、この辺で時事問題を)

以下は、朝日新聞Webからの引用です。

ヤミ金に年金記録売った疑い、元社保庁職員を再逮捕へ2008年7月16日15時9分
 名古屋市にある中村社会保険事務室の元職員H.T被告(53)=詐欺罪などで公判中=が在職中、同事務室管内の事業所に関する社会保険料の情報を不正に漏洩(ろうえい)する見返りに、貸金業者から現金数十万円を受け取っていた疑いが強まったとして、愛知県警は16日午後にもH被告を加重収賄容疑で再逮捕する方針を固めた。社会保険庁のずさんなデータ管理が社会問題化する中、「情報を売る」ところまで行き着いた職員の行為が刑事事件化される事態となる。
 貸金業者側は贈賄罪の公訴時効が成立しており、立件は見送られる見通し。
 捜査2課のこれまでの調べによると、H被告は中村社会保険事務室に主任社会保険調査官として勤務していた04年末ごろ、端末で事業所の社会保険料の納付状況などに関する情報を閲覧、印刷したうえで借金をしていた名古屋市内の無登録の貸金業者に渡し、その見返りとして現金数十万円を受け取った疑いが強まったという。  愛知社会保険事務局などによると、主任社会保険調査官は、管内の事業所が従業員の年収などを適正に届け出ているかなどを調べる役職で、調査資料として事業所の情報を端末で閲覧し、印刷することもできる立場だという。 
 

 H被告は他人の「宙に浮いた年金記録」を父親の記録に不正に統合する手口で遺族年金約70万円をだまし取ったとして今年5月に詐欺罪で起訴された。今年3月にもフィリピン人女性と偽装結婚したとして、公正証書原本不実記載、同行使の罪で起訴されており、現在は両事件について公判中。H被告はいずれの起訴事実についても認めており、検察側からは懲役3年を求刑されている。
 H被告は社会保険庁を07年11月に自己都合で退職していた。年金詐取事件などの公判では、H被告が以前からフィリピンパブに頻繁に通ったり、フィリピンへの渡航を繰り返すなどして、貸金業者から多額の借金をしていたことが検察側によって明らかにされている。 
 


凄いですね。記事のタイトルも、個人情報漏洩でなくて、’年金記録を売った’です。朝日新聞も、余程悪質だとみたのだとおもいますが、私も同意です。
公正証書原本不実記載、戸籍なので電子化されていないということなのでしょうね。
他人(恐らく氏名不詳)の浮いた年金記録を父親に統合、凄いですね、これ完全な詐欺です。
問題は、被疑者が年金記録に自由のアクセスできたことです。元々、アクセス権限があったのか、あもしくはアクセス管理がされていないのか。
前者であった場合、正当な手続で認可されたアクセス権限者の悪意あるアクセスは防ぐことができません。何故なら、どんなアクセスコントロールソフトウェアも人間の内面の悪意など、察知すつことなど出来ないからです。
後者の場合、管理上の責任です。予防的コントロールとしてのアクセスコントロールやIDの管理、発見的コントロールとしてのアクセスログの定期レビューなどが不充分(もしくは不存在)あった場合、監査上は重大な不備の典型ですね。
何らかのアクセスコントロールがあったと推測していますが、権限ある者の悪意あるアクセス、今のところ防ぎようがないだけに、このような事件の再発が懸念されますね。
お役署って、凄い。下々の者、地下の者では適いません。

CPE監査制度

ISACAには、CPE監査制度がありますが、CISSPとかCIAなどは同様な制度はあるのでしょうか、また、更新制を取り入れている国内の資格や認定制度では、制度の有効性をどのように担保しているのでしょうか。

折りしも、日本セキュリティ監査協会の公認情報セキュリティ監査人(CAIS)の資格更新申請が、8月1日から始まります。私も資格更新期なので、更新ポイントの登録が必要です。ISACAと違い、CPEポイントのみを申告するのでなく内訳を含めて登録するので、虚偽申告の可能性は低いような気がします。とはいっても、可能性は排除できないですからね。

他の制度の実態など、参考のために知りたいところです。当該制度の関係者の皆さん、教えていただけませんでしょうか。お願いします。

(JASA事務局の皆さん、監査制度を始めるしても、決して私を対象としないで下さい)

2008年7月15日火曜日

CPE監査

CPE監査の対象(2回目)になったのを機会に、改めて継続教育プログラム(CPE)という制度について、考えてみました。
このCPEという制度、名称は多少異なっても、ISACA固有の制度ではありません。CISSPやCIAを認定している機関でも同様の制度を持っています。いずれも米国発の制度ですが、日本国内の認定制度でも、最近は似たような仕組みを取り入れる例が見けられます。
日本セキュリティ監査協会(JASA)で認定する公認情報セキュリティ監査人(CAIS)制度でも、
資格維持には資格維持プログラム運営基準に定める資格維持ポイントの獲得を義務付けています。改めて、その意義について考えてみることも無駄でないと思います。

CISAもCIAもCISSPも米国発の認定制度です。元々、米国では永久免許とか永久資格認定という発想そのものがないのですね。例えば、医師免許でも日本では永久免許制度ですが、米国は有効期限制度なのですね。
この医師免許制度を比較すると、日本は大学医学部在学中、もしくは卒業後に医師国家試験を受験、合格すると本人が返上しない限り、効力は永久に継続します。
米国は、週毎に制度が微妙に異なるので、一概に比較できないのですが、概ね下記の手続は各州共通だそうです。
1 USMLE(United States Medical Licensing Exam)を受験、合格すること。このUSMLEに合格しても、直ちに医師免許が交付されるのではなく、医師登録できる資格が認定される。(USMLEの詳細は省略)
2 USMLE合格後、所定の条件を満たした施設、医療機関での研修を1~2年程度経験すること
3 臨床実習の必要時間を充足していること
上記の三つが揃って、初めて医師免許の応募をすることが出来ます。医師免許は、登録制であり、本人が必要条件を満たしていることを証明し、医師免許が交付されます。
医師免許には有効期限があり、定められた年数毎に更新手続が必要で、それも更新申請すれば、無条件に認められるのではなく、生涯教育制度(CME:Continuous Medical Education)と呼ばれるポイントを獲得する必要があります。CMEは、州毎に制度が異なるようです。また、免許の有効期限にも異なるようですが、更新制であることは共通です。
医学とは、日々進歩するものであり、その免許も進歩に対応しない限り、継続させないというのは、米国社会の共通認識、お約束事のようです。
日本は、医師免許は合格さえすれば、永久に効力が継続し、本人がそのスキルを維持しているか問われません。
米国の医師免許制度、CISAやCISM、CGEITの認定制度、更新制度に似ています。例え試験に合格しても、関連する5年の職務経歴の申告が必要で、3年に120CPE以上の継続教育ポイントの獲得も必要です。システム監査技術者試験のように永久に効力は、ありません。
日本の資格や認定制度の多くは更新制をとっていません。が、最近は更新制を取り入れる傾向にありますし、教員免許のように制度を改革、無条件な継続を改める動きがあります。確かに、確かに免許はあるが、何年も実務から離れた、もしくは経験のないペーパー教師や医師を信頼しろと言われても抵抗がありますね。
振り返ってみれば、日本でも自動車運転免許は更新制です。3年乃至5年毎に更新申請とし、所定の講習や視力のチェックを受ける訳ですから、人の命や教育に携わる医師や教員の免許が無条件に継続するのは如何なものでしょうか、という疑問が起きてきます。
自動車運転免許の更新は、様々な利権もあり、綺麗事ばかりでないしょうが、更新時の道交法の改正点の講習とか視力の検査には一定の合理性があるように思います。逆に無条件に継続させることの合理的説明を求めたいですね。
CPE制度も良いことばかりではなく、その申請の有効性の確保が問題でしょう。そして、その有効性を確保する手段として、CPEの監査制度があるのは間違いありません。いつ監査対象なるか分からないという状況を設定することで、虚偽の申請を牽制し、制度の有効性を維持する、確かに3年間に2度も監査の対象になれば、牽制効果は十分です。
プロゴルフの選手、一定の条件(優勝回数)を満たした場合は、永久シード権が認められています。また、指定された試合に優勝すれば、複数年のシード権が与えられます。同じように、一定の条件を充足すれば、更新条件を緩和することも必要かと思います。例えば、僻地医療に従事している場合、継続条件を満たすことは難しいので、一部緩和すること必ずしも非合理的とは思われません。
システム監査もしくは情報セキュリティの研究や制度設計、基準作成などに従事した場合に継続条件の緩和など望みたいです。
CPEという制度、改めて考えてみると、なるほど合理的な理由があるなと思いますし、制度の有効性を維持するためには、CPE監査制度も必要です。が・・・・ 何故、自分が2度もその対象となってしまうか・・・・ 3度目がないこと祈るばかりです。

2008年7月14日月曜日

CPE監査

前回の投稿で、CPEの監査の対象となったと申し上げました。皆さんの関心も高いようで、ご質問のいただきました。CISA/CISMの認定者の方にとっては、最大の関心事ですから、当然かと思います。

なお、以下は私の私見ですので、ISACA東京支部の公式の見解でないことを、予め確認しておきます。

このネタ、監査結果が出るまで、不定期で掲載する予定です。
(あくまで、予定なので、そこのところはご理解を)

私が、三年前の2005年に対象となった監査は、その時点から過去三年分のCPE、2002、2003、2004年の申請が対象なっていましたが、CISMは対象外でした。これは、この3年が120CPEを要求する3年サイクルに当たっていますが、CISMはこの3年サイクルがずれているからと考えられます。
この監査は、認定の継続に必要な3年間120CPE以上の申請が正当であることを証明することが目的なので、3年サイクルからの逸脱は許されないのは当然です。
今回の監査は、2007年に申請した62CPEが対象です。したがって、CISAとCISMの3年サイクルのずれを考慮する必要ないので、双方が対象となったのでしょう。
では、何故に対象となったのでしょうか。監査対象をなったこと通知すメールでは、無作為に選んだとしていますが、全くの無作為ではないと思います。これは、62CPEという数字に原因があると睨んでいます。
CPEは、CISAもCISM、そしてCGEITも一年間で最低20CPE、3年間で120CPEが必要です。そうすると、一年間で平均40CPE以上ということになります。私の過去の経験でも20CPEという数は、それほどハードルが高いとは言えません。40CPEだと、CPE獲得のための努力が多少必要になってきます。
ISACA国際本部は、20CPE~40CPEという範囲を一年間でのCPE取得の妥当性のある数字として判断しているのではないかと推測しています。以下は、私の過去三年間のCPEの申請数です。
2005年  60
2006年  63
2007年  63
三年合計で186CPEなるので、一年平均で60CPE以上なるので、40CPEを上回るので監査の対象に選ばれてしまったと推測しています。
① 一年間の申告CPEが標準を越える対象者のリストアップ
② 監査対象を上記リストからの無作為抽出
完全な無作為選択と思われないとしたのは、上記の推測からです。2004年までは、40CPEから45CPEの申請なので、そのように考えた次第です。
この3年間のCPE数が増えた理由ですが、それは下記の通りです
① 日本セキュリティ監査協会(JASA)での活動も始めたので、CPEに充当。約10CPEぐらい
   (プロジェクト活動、JASA主催セミナー講師など) 
② 旧USEN(現Abitus)のCISA試験講座講師。12CPEから18CPE
それまでの40から45CPEの申請に上記分が追加されたので、極めて妥当な数字です。ベンダー主催のセミナーとかは計上していないので、それらを上限の10CPEを上乗せすれば70CPE以上になります。
上記活動のエビデンスを用意するのは、それほど難儀なことと考えてないので、期限までに確実に準備していくつもりです。
CPE監査への対応
前回の過去三年間分の監査では、下記のように対応しました。
① 申請したCPEの内訳をリスト化(当然英語)
   例えば、月例会の場合、出席日付、テーマ毎に記載。個別番号をふる
   その他のCPEについても、同様にする
② エビデンスを用意。月例会受講票の場合、上記で付与した個別番号を受講票に
   追記、申請CPEの内訳と結びつける
③ ISACA国際本部に郵送
過去三年間に申請したCPEのエビデンスを確実に穂保存しておけば、慌てることはありません。英文のサマリーを用意するのが良いのかどうかは、断言できませんが、過去に監査を体験した諸先輩方は、みなさんサマリー用意しているので、参考にしました。
もし、CPEの根拠となるものが無い場合、その時は苦労するでしょうね。しかし、そこは自己責任ですから、各自で対処するしかありません。自分が監査の対象にならない保証など無いのですから。
CPEとして申請するか否かについては、申請時点で判断すればいので、兎にも角にもエビデンスは残しておきましょう。申請しないとなったところで、廃棄すればいいことなのですから。
皆さんが監査の対象となり、その時点でCPEの根拠を集め始めることのないようにしましょう。あと、証明に自信のない、過大な申告も気をつけましょう。私は、上記にあるように証明可能な範囲に留めたつもりです。また、メールによる受講票になってしまうセミナーや、CPEとしての価値を疑われる(つまりは、証明が簡単でない)展示会などは集計にいれていません。
年間20CPE以上、三年間合計で120CPE、年平均40CPEであえば、条件を充足するのですから、確固たるエビデンスがあり、内容のしっかりしたCPEを申請し、水膨れは戒めましょう。120CPEを超えたからといって、何ら特典はありません。監査の際に証明が大変なだけです、と私は思います。
勿論、3年120CPE、年間40CPEを大幅に超過しても、証明に自身がある場合は、その限りではありません。
CPEの申請が必要なのは、CISA/CISM(今後はCGEIT)の他に公認情報セキュリティ監査人補(CAIS)などもあります。制度上の相違もありますし、対象期間のズレがあり、全てのCPEが互換ではないので、ExcelでCPE管理台帳を作成、制度毎のCPEを分類し記録しています。この台帳に記録していると年間に獲得可能なCPE数には、上限があるのではと考えるようになりました。三桁を超える数値は、私にとっては難しいと認識しています。個人差があり、CPE獲得機会に恵まれた方も居られるでしょうが、通常40~50CPEが限度、上記のようにJASA活動だとかCISA/CISM関連の講師なども機会があれば15~20CPEの積上げが可能、という程度だと思います。
① CPEは、証明可能もしくは容易な対象を選択
② エビデンスは確実に保存
③ CPE管理台帳
以上があれば、CPE監査対象になってもあわてずにすむと思います。
以上、あくまで私見まで

2008年7月10日木曜日

CPE監査

先週、7月4日の金曜日にCGEIT認定の電子メールが到着して、大になる安心と少なからずの喜びを感じた、ここ数日でしたが、現実は甘いことばかりではありませんでした。

ISACAが認定するCISA、CISM、CGEITにはCPE、継続教育ポイントを申告する義務があります。一年最低20ポイント、3年間で120ポイントに達しないと認定を取り消されます。

CPEの申告の正当性を確保するため、無作為に選んだ認定者を対象として監査を実施します。この監査、どうやら2種類あるらしく、3年間の申告を全て証明する場合と指定された年、一年間のCPEの場合とです。

3年前にCISAの3年間の申告が監査対象になり、エビデンスを掻き集めて証明し、これでしばらく大丈夫だと思っていたのですが、CGEIT認定の高揚感に冷や水を浴びせる二通のメールがISACA国際本部から送られてきました。

以下は、国際本部からきたメールの引用です。
Re: Audit of 2007 CISM Continuing Professional Education Records
Certification Number 0301582
Dear Mr. Masuda Seiichi, CISM,CISA:
In accordance with the CISM Continuing Professional Education (CPE) Policy, each year an audit of individual compliance is performed. You have been randomly selected for this audit. This email is to inform you that a hard copy audit notification letter was sent to you via the postal service on 27 June 2008 advising you of the audit of your 2007 CPE. This email is a reiteration of that information.
Listed below are the CPE hours you reported for the 2007 period. Please provide full and complete documentation as required by the policy in support of the CPE hours reported, otherwise additional follow-up will be necessary and will delay the verification process.
2007 CPE Hours Reported: 63
For CPE hours earned that were associated with a training activity, documentation should be in the form of a letter, certificate of completion, attendance roster, Verification of Attendance form or other independent attestation of completion. At a minimum, each record should include the name of the attendee, name of the sponsoring organization, activity title, activity description, presenter name(s), activity date and location, and the number of continuing professional education hours awarded or claimed. Please see www.isaca.org/cismcpepolicy for documentation requirements of CPE hours earned in other ways.
To clearly identify that the information you are sending pertains to this audit request, mail a copy of this email or the hard copy notification letter, along with your documentation to the address below. Please submit copies of supporting documentation as documents will not be returned. 
 

要は、CISMの2007年のCPEポイントの証明となる完全なるドキュメントを9月1日までに送ってこいとのことですが、このほかにCISAについても全く同内容のメールがきています。
CISA/CISMについて、監査の対処となった訳です。しかも、タイプが違うとは言え、2回目の。
エビデンスが取ってありますし、前回の経験もありますので、何とかなるとは思いますが、何でまた、というのが正直なところです。長い間、一度も監査対象にならない方もいますし、東京支部の前々会長は、3回対象となっています。どうも不公平感が・・・・・・
日本セキュリティ監査協会(JASA)の重鎮N氏が、私の前回の監査の際に、この制度をJASAでも取り入れようと言っていましたが、出来れば勘弁して欲しいです。
2007年のCPEには、JASAでの活動も対象にしているので、証明にためにJASA事務局の署名も必要なのに、今気がつきました。
後で、事情説明のメール出して、頼んでおかないと。
歓喜の数日の後、とほほ状態です。

2008年7月7日月曜日

ご回答ありがとうございました

 試験無しの特別処置に基づくCGEITの資格申請、Grandfathering Provision。何と言っても、4時間の耐久試験がないのは魅力です。私は、CISAは試験を受けましたが、CISMはGrandfathering制度を利用し、引き続きCGEITも試験無しで認定を得ることができました。
 そこで、私の事例を紹介させていただきます。参考なるかは、わかりませんが、Grandfatheringでの申請を考えている方への情報提供の一環としたいと思います。他の方でなく、自分の事例だと遠慮がなくていいですし。

ISACA東京支部 CGEIT委員会ホームページ
Grandfatheringでは、試験が無い代わりに8年のITガバナンスに関係する職務経験を要求されます。このことが、申請を躊躇わせることになっている大きな要因になっています。私も最初は、大丈夫なのだろうかと、思いました。
以下は、その職務経験についての条件です。内容は、CGEIT申請書からの引用です。
職務経験について
ドメイン
Domain 1 - IT Governance Framework(ITガバナンスの枠組)
Domain 2 - Strategic Alignment(戦略との整合)
Domain 3 - Value Delivery(価値の提供)
Domain 4 - Risk Management(リスク管理)
Domain 5 - Resource Management(リソース管理)
Domain 6 - Performance Measurement(成果の測定
特例措置に基づきCGEIT資格を取得するためには、企業においてITガバナンスに関連した管理、助言または監督業務の経験があることを証明する必要があります。CGEIT業務ドメイン(専門領域)および職務記述書では、このような業務を8年間経験していることが具体的な要件として定められています。
特に、申請者は以下の内容を満たしている必要があります。
▪ ITガバナンスのフレームワークの策定や維持管理に関連した職務経験を最低1年有する
▪ さらに、残りのドメインのうち2種類以上に直接関連した幅広い経験を有する。
その他の管理業務経験や、ITガバナンスに関連した資格、大学院学位、資格の取得を認める措置として、8年間の職務経験条件のうち最大3年を以下に挙げた内容で代替することができます。
2年の代替‐その他の管理業務経験
ITガバナンスに限定されないその他の管理業務経験(例: CGEITドメインに関係しないコンサルティング、監査、アシュアランス、セキュリティ管理業務等)をもって、最大2年の職務経験に代えることができます。
1年の代替‐資格、大学院学位、資格
資格(有効なもの)、大学院学位または資格プログラムであって、ITガバナンスや管理業務を含むもの、または1つ以上のCGEITドメインに関するものであれば、1年間の職務経験に代えることができます。これには以下が含まれます。
▪ ISACAの公認情報システム監査人(CISA)
▪ ISACAの公認情報セキュリティマネージャ(CISM)
▪ ISACAが発行したImplementing IT Governance Using COBIT certificate(2008年より)
▪ ITILのService Manager認証プログラム
▪ 英国コンピュータ学会が発行したChartered Information Technology Professional(CITP)
▪ 米国公認会計士協会が発行したCertified Information Technology Professional(CITP)
▪ プロジェクトマネジメント協会が発行したPMP(Project Management Professional)
▪ カナダ情報処理協会が発行したInformation Systems Professional(I.S.P)
▪ ガバナンス、情報技術、情報管理または経営管理で定評のある大学の大学院学位
ITガバナンスのフレームワークの策定や維持管理に関連した職務経験を最低1年有するということは、つまるところドメイン1は必須ですので、注意してください。
私は、その他の管理業務経験で2年、CISA/CISMで一年、計3年を充当しました。これで、残りの5年をドメイン1と他の2以上もドメインに適う職務経歴の報告をいたしました。
選択したのは、ドメイン1は当然ですが、あとは2、3、4です。
ドメイン1  IT Governance Framework(ITガバナンスの枠組)
ここは、多少賭けだったのですが、情報セキュリティ管理基準Ver2の作成プロジェクトのメンバーであったこと活用しました。経済産業省から委託事業で、企業が守るべき情報セキュリティ上の基準を作ったことが企業のITガバナンスにとって有益だという理屈です。ITガバナンスと情報セキュリティ、どう審査されるかは心配でした。
あとは、ソフトウェアのベンダーにいた時の職務で、シニアシステムエンジニアとして、顧客のデータセンター運営体制やマネジメントの構築支援において、顧客のITガバナンスに貢献したと記載しました。ただ、気を付けたのは顧客のシニア以上のマネージャと応対したこと強調しました。それでなければ、顧客のガバナンスに関与したと言えないと考えたからです。これは、他のドメインでも同様です。
ドメイン2 Strategic Alignment(戦略との整合)
ドメイン1と同様にソフトウェアのベンダーにいた時の職務経験です。シニアシステムエンジニア、コンサルタントとして、データセンターのマネジメントが企業の方針に適合するように改善したことを記載しました。加えて、情報セキュリティコンサルタントとして、企業の情報セキュリティ基本方針の作成を助言、支援したことが、企業の戦略との整合に関連するとしました。
ドメイン3  Value Delivery(価値の提供)
やはり、ドメイン1と同様にソフトウェアのベンダーにいた時の職務経験が中心です。シニアシステムエンジニア、コンサルタントとして、データセンターのマネジメントを改善したことをで、コストを削減し、またデータセンターマネジメントを最適化することは、価値の提供に相当すると判断しました
ドメイン4  Risk Management(リスク管理)
ここは、ISMSの構築支援などでのリスクアセスメント経験を活用しました。情報セキュリティ上のリスクを評価し、管理策を検討し、経営者の承認をえることは、ITガバナンス上においても重要だと考えていましたので、殆ど悩むことのないドメインでもありました。
申請までの手順
1 職務経歴の検討
まず自己の職務経歴の検討です。CGEIT委員会メンバーは、全員転職経験者で外資系企業の勤務経験もあります。従って、転職活動や企業への提出のため、英文の職務経歴書を書いた経験があり、これを活用しました。職務経歴書は、過去の職歴と業務内容が書き込んであるので、自分の職務経歴の検討には最適です。それを詳細化したところ、本当に役に立ちました。  
転職経験のない方も、過去の職務を文書にしてみることをお奨めします。というか、必須作業だと私は思います。
2 ドメインとの突合せ 
作成した、自分お職務経歴書と各ドメインが要求する職務内容とを比較考量しましょう。その上で、該当する項目を選択し、その説明を文書化しました。これは、英語力の乏しい私の場合、翻訳ソフトのお世話になるので、必須作業であったのです。職務経歴は、ドメイン毎に纏めました。
3 英訳 
翻訳ソフトのお世話になりました。 
4 申請書作成
英訳した文書と英文の申請書の該当部分に貼り付け(文字通り糊で貼り付けました)、キャプチャーしてPDFファイルとし完成です。 
5 上司のサイン
私は、現在の上司に過去の職歴を含めて証明のサインをいただきました。上司に確認のメールがISACA国際本部から送られてくるので、了解を得ておきました。 
 
6 申請書送信  
FAXで送信しました。が、送信エラーがあったので、再送信して欲しいとのメールがISACA国際本部からありました。FAXでなくて、キャプチャーしてPFDファイルにしてメールで送った方が良かったかもしれません 
 
7 上司への確認メッセージ 
申請書送信から9週目に上司への確認メッセージがありました。
8 認証 
丁度一週間後に認証決定のメールがきました。
 最初は、どうなるかなと思っていたのですが、自分の職務経歴を見直している内に該当するドメイン、項目を見つけ出すことができ、100%大丈夫だとは確信が持てた訳ではないですが、何とかなるかなと思えてきました。まずは、自己の職務経歴の見直しからです。ここをしっかりとしておくことが重要だと、私の場合は思いました。
 果としては、最初に入社した会社、株式会社アシストでの職務経歴を最も活用しました。現在の上司には、殆ど過去の別の会社の経歴証明をしてもらうことになってしまいました。快く、職務経歴証明に応じていただいたことを感謝しています。
ISACA東京支部CGEIT委員会のwebに関連資料をUPしてありますので、参照して下さい。
ISACA東京支部 CGEIT委員会ホームページ

2008年7月5日土曜日

私大連盟の不適切支出 - 内部統制の不存在

財務報告に係る内部統制、対象となり企業は多大な労力とコストかけて、その対応に追われた訳ですが、それにひきかえ、お役所や公的団体、業界団体などでは、コンプライアンスや組織のガバナンスなどの観点から、首を傾げざるを得ない事例が少なくありません。最近の私大連盟の不正支出に関する件もそうですが、新聞を読んで、これはないだろうと、呆れてしまいました。

以下は、読売新聞Webからの転載引用です。人名のみ匿名に修正してあります。

私大連盟の前事務局長、不適切支出は4年前から
 文部科学省所管の社団法人「日本私立大学連盟」が昨年度、高額な飲食や政治家のパーティー券購入に約3300万円を使っていた問題で、責任を問われて4日午前、解任された同連盟のA・前事務局長(56)は少なくとも4年前から同様の不適切な支出を続けていたことがわかった。
 A前事務局長は月3~4回のペースで連盟から1回10万~30万円の現金を持ち出したうえ、スナックなどでの「打ち合わせ」や「懇談会」の支払いにあて、会計処理は後日、自分と派遣社員の2人だけで行っていた。
 同連盟の事務局職員約20人のうち、A前事務局長がどの程度の頻度で、いくら現金を持ち出していたか把握している職員はいなかった。このため文科省は、決裁前の現金の持ち出しをやめ、現金の取り扱いについての規定を整備するよう指導した。 
 同省は先月、同連盟の会計実態の調査に入った際、昨年度だけでなく、伝票などが残っていた2004~06年度分も調べた。
 その結果、料亭やスナックなどでの高額な出費は04年度から続いており、こうした不適切な支出は、06年度も概算で昨年度とほぼ同じ約3000万円あった。
 さらに同省が聞き取り調査をしたところ、A前事務局長は月に数回、スナックや料亭での「打ち合わせ」や「懇談会」を行っており、その支払いは、月3、4回にわけて連盟から持ち出した現金をあてていたことがわかった。連盟には会計担当課長がいたが、A前事務局長はこの課長を通さず、店から受け取った領収書を自分で伝票にはり付け、派遣社員に提出して会計処理していた。
 連盟には、出入金状況を記録する現金出納簿や現金の取り扱い規定もなく、年に一度の監査も形式的なもので、同省は「内部のチェック機能は全く働いていなかった」としている。 
 4日付で事務局長代行となった連盟のH参与は同日夜、「(加盟大学の学長や理事長が務める)理事は皆パートタイムで、会計のことは把握していない。自分もこんなずさんな会計システムとは知らなかった。みんな自分たちの会合がこれほど高額と知って驚いていた」と述べた。 
��2008年7月5日03時07分 読売新聞)
 


>決裁前の現金の持ち出しをやめ、現金の取り扱いについての規定を整備するよう指導した。
当たり前の事を指導してます。これって、指導以前の問題、いままで何を根拠に現金を支出してきたのでしょう。 
>連盟には、出入金状況を記録する現金出納簿や現金の取り扱い規定もなく
これでは、監査できません。現金の取り扱いの手順が適切か、過去の支出は正当なものか、記録がなくては、監査が実施できないです。
>年に一度の監査も形式的なもので、同省は「内部のチェック機能は全く働いていなかった」としている。 
年に一度の監査といいますが、現金支出の記録も無いのに、監査が成立していたのでしょうか。チェック機能が働いていないのでなく、存在しないというのが正確なのでは。
>会計のことは把握していない。自分もこんなずさんな会計システムとは知らなかった。みんな自分たちの会合がこれほど高額と知って驚いていた」と述べた。
マネジメントの立場にある人の言葉とは思えません。会計報告が形骸化というか、適切でなかったといいことでしょう。
現金の関する取り扱いの規定、記録の整備は勿論ですが、組織としてのガバナンス、マネジメントそのものの見直しが必要です。
財務報告に係る内部統制、IT統制、情報セキュリティなどは、組織自体の健全性に左右されます。部分的な対応をしても、組織全体が腐っていては、役にたちませんから
 

2008年7月4日金曜日

難問です

ISACA国際本部のCGEIT認定委員会からのメールが届きました。以下、そのメールの引用です。

Dear Mr. Masuda Seiichi, CGEIT,CISM,CISA

RE: CGEIT certification number: 0800369

Congratulations! We are pleased to inform you that on 3 July 2008 the CGEIT Certification Board approved your application under the grandfathering provision, and awarded you the Certified in the Governance of Enterprise IT (CGEIT) designation.

Within three business days of this notice, your certificate will be sent by postal mail and arrive as indicated below.

Again, congratulations on earning your CGEIT certification.

Sincerely,

Certification Department
ISACA: Serving IT Governance Professionals



CGEITの申請が駄目だったら、ISACA東京支部 CGEIT委員長を辞任すると公言していたのですが、これで辞任せずにすみました(逆に言えば、逃げられなくなったとも言えますが)

メールの宛名に早速、CGEITが記載されていました。手回しがいいですね。

しかし、CGEIT委員長としての面目もたって、取り合えず一安心です。

私の場合、申請をFaxでISACA国際本部に送信してから、やく10週間でした。私より、3週ほど早く送付した方が、同時に認定されましたが、認定番号は私の方が早いようです。3週間も早く申請したのに、どういうことなのでしょうかね。
日本国内で、既に10名以上の方が認定を受けていようです。特別認定制度での認定者の目標は20名以上です。ただし、CGEIT認定を受けて且つCGEIT委員会の活動に協力をしてくれる方を20名なので、実数としては30名程度の認定者がいるのではと考えています。
申請書を英語で書くという第一のハードルあるので、この対策が必要と考えています。6月14日に開催した申請書の記入ワークショップが好評だったので、あと数回開催予定です。大阪と名古屋でも予定しています。開催要項は決定次第、ISACA東京支部のHPで公開しますので、ご参加頂ければと思います。
しかし、認定されて、ホント安心しました。立場上、駄目だったと行くわけにはいかないので、嬉しいというより、安心です。あとは、認定書が手元に届くのを待ちます。

2008年7月2日水曜日

「情報セキュリティ管理基準 Ver2」のパブリックコメント、ようやく開始される

待ちに待った、経済産業省による「情報セキュリティ管理基準 Ver2」のパブリックコメントが、ようやく開始されました。
昨年に作成プロジェクトチームが結成され、本年3月末には原案の納品にこぎつけました。しかし、経産省のパブコメが、なかなか始まらず、どうなったか心配していたのですが、本日告示されました。

情報セキュリティ管理基準 Ver2 パブリックコメント

同基準の基づく監査手続ガイドの作成が、既にスタートしており、順番が違うかなと思っていたので、一安心です。

我こそと思う方、コメントの応募をお願いします。