CISA制度認定30週年

Certified Information Systems Auditor(CISA)、公認情報システム監査人の認定制度が発足して30周年です。30周年のためのLogoがISACA国際本部から発表されており、日本国内3支部のHPも30周年記念のLogoが表示されています。

ISACAが発足した時、EDP Auditors Association(EDPAA)、EDP監査人協会を名乗っていました。元々は、企業の会計監査において電子化された会計処理の監査の必要性を認識した、会計士やシステム専門家が集り、発足したのがEDP監査人協会です。

EDP、つまり電子データ処理は、コンピュータで処理される会計/経理処理であったことは疑問の余地なきことだと思います。

コンピュータが電子計算機と訳され、電算課とか情報処理課という部署名がよく使われていました。計算する機械がコンピュータであり、それを司る部署が電算課/情報処理課でした。

現在、電子計算機という言葉は死後と言っても良いでしょう。計算する機械と言う当初の役目以外の機能が追加、拡張されており、電子計算機という言葉が相応しい訳語ではなくなりました。
情報システム、情報処理がITと言う言葉に置き換わり、ITも更にICTに取って代わられようとしています。

情報システムからIT、ICTへの流れの中で、電子化された会計/経理処理から画像処理、通信手段、一般業務プロセスのIT化など、会計監査から派生したシステム監査、そのシステム監査の専門家の集まりであったEDP監査人協会も、IT統制に軸足を移し、Information Systems Audit and Control Association(ISACA)、情報システムコントロール協会に名称を変更、その組織の変化させてきました。

CISA以外にもCertified Information Systems Manager(CISM)、公認情報セキュリティマネージャ、Certified in the Governance of Enterprise IT(CGEIT)という認定制度も発足しました。

CISAの30年の歴史を少しばかり振り返っても、その取巻く環境は著しく変化し、会計システムの監査からIT統制の評価、ITガバナンスへと求められる役割もより高度なものになってきたと思います。
そして、継続する変化に対応し、新たな役割を果たしていくことになるのでしょうね。

CISA30周年での雑感でした。

ISACA東京支部月例会

ISACA東京支部では、会員のCPE(継続教育プログラム)ポイント獲得機会の提供を主目的として、毎月月例会を開催しています。東京支部の教育委員会が月例会の担当ですが、私も教育委員、教育担当理事、教育担当常務理事として長く携わりました。

昨日も2008年7月度の月例会が日本教育会館で開催され、筑波大学の新保史生准教授が「モニタリング・ツールの利用と法」というテーマで講演されました。
電子メールの監視などの方法や法的な課題や注意点など、実際の裁判事例を基に説明され、誠も興味深い内容でありました。

社内の電子メールの監視が、法的に許されるのか。許され場合の法的要点とは何かなど、情報セキュリティ上の行われうる監視活動における法律上の課題の提起で、少なくとも私個人としては(下線にした理由は後述)、参考になりました。アンケートの結果も、そう悪くないように思われます。
CPE(継続教育プログラム)は、CISAやCISM、CGEITの認定者がそのスキルを維持向上させていくことが目的です。従って、月例会の講演内容も東京支部会員(というよりCISA,CISM,CGEIT認定者)の知識、スキル向上になるべきことが原則です。
月例会は、少なくとも下記の条件を充足させることが肝要と、私は考えて教育委員、理事、常務理事に任じてきました。
①東京支部会員の知識、スキル向上になる
②東京支部会員のCPEポイントになる
では、月例会が会員の知識、スキル向上の一助になったとして、職務上の利点はあるのでしょうか。例えば、昨日の講演は個人的には参考になりましたが、現在の職務に応用できるかと言えば、一部であろうと思います。というのは、個人の持つ知識やスキル、経験が勤務先の職務と100%と一致することは無いからです。
講演内容が知識スキル向上のなることと、職務に応用可能ということは、必ずしも等価ではないと考えています。職務に応用可能でなければ、満足度は低くなると言う考えもあります。しかし、月例会は職務へ応用可能な実践的セミナーばかりでなく、将来の動向を踏まえたもの、学術的性質のものなど多様な内容になっています。また、そういった内容を望む声をあるので、実践的内容を求められる方には、違和感がある場合もあることは否定しません。そのようなご意見を実際に聞いたこともあります。
私は、職務への応用可能性は十分条件であって必要条件とは思っていないので、昨日の月例会は職務への応用可能性は必ずしも高いものではありませんでしたが、満足度しては納得できる水準と評価いたしました。
月例会については、多くのご希望、ご意見があり、一回の講演で全てを充足させることは出来ません。性質の異なるセミナーを順次開催することで、自己目的に適う月例会を選択してもらうことが重要ですね。
もう、教育関係ではないのですが、昨日の月例会(2008年8月度)で、会員の満足度とは何なのだろうと、ふと思いました。

「米国流SOX法に無理に付き合う必要はない」 - 丸山さんのBlogから

今回も他の方のblogを見て考えたことです。他人の褌で相撲を取る、ということですね

丸山さんのBlogで、とある記事が紹介されていました。
　　↓
日本企業を縛る米国流SOX法に無理に付き合う必要はない

米国企業が性悪説で日本企業が性善説、ああ又かと思いました。性悪説性善説の件は、このBlogでも過去に何度か取上げています。私は、性悪説性善説 を以って、情報セキュリティを判断するのは、そもそも反対です。したがって、記事の締めになっている’日本は日本独自の「性善説」で行こうではないか’にも賛成できません。しかし、記事の中で、印象に残る記述がありました。

記事中にある
>日本企業では分掌規定にそもそも重点を置いていないのだ。
印象に残りました。これ、その通りだと思います。アクセスコントロールを実装する場合、職務分掌が明確でないと苦労します。過去の経験からくる実感ですが、’職務分掌の明確な日本企業’にお目にかかったこが無いんですね、私の場合。
アクセスコントロールの観点からは、宜しくないのですが、職務分掌を明確にせず皆で助け合う、日本企業の特徴であり、ある意味強みであったとも思います。したがって、私としては悪いとも言い切れず、悩みの種でありますね。
アクセスコントロールの基本は、アクセス権は人ではなく職務に対して設定する、所謂ロールベースが基本です。そのためには、職務の分掌が明確に定まっていることが重要なのですが、日本企業はそこを曖昧模糊にしているか、厳密性に欠ける場合は少ないようです。部門無いの業務に精通したパート社員に部門長がお伺いをたてるという場面も、決して珍しくありません。一部企業は、そういった非正規雇用の従業員の正社員化を図っているようですね。
職務j分掌が明確でないので、どうしてもアクセス権を個人に設定するという属人性の高いものになってしまいます。当該人の異動等に柔軟に対応できず、アクセス権の改廃を適切の行えなくなり、結果として、アクセスコントロールの形骸化を招く、というのがお決まりのパターンえすね。
属人性の高いアクセス権の設定
　　↓
当該人の異動
　　↓
アクセス権設定の不適切な改廃
　　↓
アクセス権管理の形骸化
日本企業は、期無分掌を明確せずお互いに助け合うことで、企業活動を活性化してきたとも言えるのだと、私は考えています。そうなると、アクセスコントロールの基本からは、甚だ宜しくないのですが、では悪いかと言えるか・・・・　　それも言い切れない(私個人は)、ジレンマがあります。
悩ましいところです。皆さんは、以下にお考えでしょうか

「2001年宇宙の旅」の近未来予測

GYAOの無料配信動画、土日や平日も時間が出来た際などに楽しんでいます。時々、昔の名作を見ることができるので、時間を忘れて見てしまうことがあります。過去に放映された作品は、大脱走、荒野の七人、ジャイアンツ、俺たちに明日はない、野獣死すべし、人間の証明、Ｗの悲劇など映画から、月光仮面、怪傑ハリマオ、シャーロックホームズの冒険、エルキュール・ポアロ シリーズなどの連続ドラマです。往年の名作話題作を好きな時間に鑑賞(ただし放映期間内)できるので、少々はまってます。

現在のGYAOの無料動画の中でのお勧めは、何と言ってもSF映画、いや映画史上の名作、日本の文部科学省が特選にしている唯一のSF映画、スタンリー・クーブリック監督の名作「2001年宇宙の旅」です。
しかし、この作品、その難解さもあり評価の分かれる映画でもあります。私も過去に映画のリバイバル上映、テレビでの放送、レンタルビデオと三回見ましたが、よく分かりませんでした。今回、GYAOで改めて見たのですが、その前にアーサー・C・クラークの小説を読みました。小説と映画、クーブリックとクラークの二人の奇才がアイデアを出し合い、映画製作と小説の執筆がほぼ同時並行で進んでいたことは、周知のことです。
小説を読んで、改めて映画を見ると、ああ成る程と思えることが多々あり、長年の疑問が氷解して、映画の良さを再認識しました。小説も素晴らしいのですが、やはり映画の映像表現がその後SF映画限らず映画一般に与えた影響を考えずにはいられません。私としては、映画に登場する公開当時としては近未来予測であったテクノロジーに着目をせざるを得ません。

１　登場する宇宙船のコックピット
この映画公開された当時(1968年)、最新鋭の旅客機でもコックピットの計器はアナログであり、ディスプレイを使ったものはレーダぐらいで、それも点の表示に過ぎません。それが、この映画に登場する宇宙船のコックピット、アナログ機器がなくディスプレイなのです。これは、最新のボーイング777やエアバスA380で採用されたグラスコックピットにそのものです。
��　通信手段
登場人物のヘイウッド・フロイド博士が、地球軌道上の宇宙ステーションから地球上の自宅にいる娘に連絡をするシーンがります。通信装置の前に座った博士が、一枚のカード取り出し、装置に挿入しディスプレイに映し出された幼い娘と会話をするのですが、当時はカードの認証などいう技術も当然存在せず、もちろん映像を媒介とした遠隔コミュニケーションなど考えもしない時代です。凄いです。
��　通信手段２
木製探査船、ディスカバリー号の乗員、デビッド・ボーマン船長とフランク・プール飛行士が船内でディスプレイに映し出されたBBCニュースの記事を読むシーンがります。これは、今回GYAOの動画をみて気が付いたのですが、まるでインターネットでBBCニュースから配信された記事を見ているようです。

元々、科学的考証の正確さには定評があったのですが、考証に拘り過ぎるとSF映画としての飛躍が無くなってしまいます。しかし、飛躍し過ぎても茶番に終わりかねず、加減が難しいと思うのですが、映画に登場した近未来技術の一部が実現しています。科学的考証をしっかりとし、その上でSF映画としての飛躍を表現した成果なのでしょうね。映画に登場し、そして実現した近未来テクノロジー、改めてこの映画の先進性に感嘆しました。
映画の初公開が1968年4月、何と40年前なのですね。アポロ11号の月面着陸が1969年7月、先立つこと1年3ヶ月です。公開から40年、流石に細部には古さを感じさせることはありますが、二人の奇才の近未来予想、驚嘆すべきものであり、映像表現もCG無しでよく出来たなと思います。
スタンリー・クーブリックは1999年、アーサー・C・クラーク2008年に他界しました。二人の奇才に、私は現在のインターネット社会の到来をどう思うか、映画製作当時に予想した近未来テクノロジーと現在技術の比較など尋ねてみたいと思わずにはいられません。勿論、そうしたテクノロジーに内在するリスクという負の面も含めてですが。
技術の進歩は、利便性を向上させるだけでなく、新たなリスク要因の発生というマイナス面も伴います。映画「2001年宇宙の旅」では、ヒトザルがモノリスの導きで道具を使うことを覚え、段々にテクノロジーを発達させた事が示唆(小説では明確に説明される)されています。ただ、テクノロジーの発達の伴う負の面、新たなリスク要因の発生も不可分なのだと思いつつ(職業病でしょうか)、4回目の鑑賞を終えたのでした。
(アーサー・C・クラークが執筆した続編、「2010年宇宙の旅」、「2061年宇宙の旅」、「3001年宇宙の旅」も買っちゃいました。通勤時間を利用して読んでいます)

「CSO/CISO」の人材像 - 長谷川さんのBlog記事から

CISSPホルダーの長谷川さんが、ご自分のBlog’「CSO/CISO」の人材像’と題した記事を連日投稿しています。この投稿、CSO/CISOの人材像、ISACAがこれから広めようとしている新たな認定制度、Certified in the Governance of Enterprise IT(CGEIT)にも関連しているので、興味深く拝見しました。

ISACA東京支部CGEIT委員会委員長として、この新しい認定制度を日本国内で普及促進していく責務があるのですが、CISAやCISMと異なり、そのバックボーンが未だ明確でないので、その明確化から始めなければと考えています。


情報セキュリティプロフェッショナルを目指そう

公認情報システム監査人(CISA)の場合、システム監査という職能職域が、このJ-SOX対応という潮流の中で、かなり認知されたと思います。システム監査は、財務報告に係る内部統制の重要な構成要素であるIT統制を評価するという、社会的にも明確な位置付けが成されたといえると、私は考えています。事実上の法定監査だと言い切る業界関係者も少なくありません。そのシステム監査の専門家を認定するという事にCISAの価値の源泉があります。それは、ここ3年ほどのCISA試験受験者の激増が、その証しでしょう。
公認情報セキュリティマネージャ(CISM)は、正直CISSPに押され低迷しているのが現状かと思います(ISACA東京支部CISM委員会の皆さん、ゴメンなさい。正直な感想です)。これからの建て直しが必要かと思います。しかしながら、CISPPホルダーの順調な増加、情報セキュリティへの関心の高まり、保証型情報セキュリティ監査、情報セキュリティ格付制度の検討など、認定制度の土台は出来上がりつつあると思います。情報セキュリティに関する専門的知見をもった管理者を認定することにCISMの価値があるといえるでしょう(あくまで私見で、ISACA東京支部の公式見解ではありません)。
さて、CGEITですが、ITガバナンスの関する専門的知見、職務経験を有する人材を認定するのですが、そのITガバナンスそのものの定義、職能、職域などの共通認識、コンセンサスがあるとは言えません。私は、ITマネジメントとはITガバナンスでない、と認識しています。ITや関連する領域を管理するという職能はITマネジメントであり、それを以ってITガバナンスとは言えません。事実、ISACAがCGEIT認定に要求する職務のドメインも、それ以上のことを要求しています。

ISACAが要求するCGEIT専門領域(ドメイン)

Domain 1 - IT Governance Framework（ITガバナンスの枠組）
Domain 2 - Strategic Alignment（戦略との整合）
Domain 3 - Value Delivery（価値の提供）
Domain 4 - Risk Management（リスク管理）
Domain 5 - Resource Management（リソース管理）
Domain 6 - Performance Measurement（成果の測定）

まずは、CISAやCISMのように職能職域を明らかにいていくことが、CGEIT普及促進の鍵を握っているいると考えています。そして、これは支部CGEIT委員の共通認識でもあります。で、そんなことを日々考えてますので、長谷川さんのBlog記事、興味深く読ませていただきました。

COBIT実践ガイドブック出版記念特別セミナー開催

日経BP社より、「COBIT実践ガイドブック」が出版されます。このガイドブックは、COBITを実践的に活用するための解説書となっています。
著者は、ISACA東京支部元会長の梶本政利氏、同原田要之助氏、ISACA東京支部元理事の島田裕次氏、同渡部直人氏の4氏です。私も著者の皆さんには、私が何かとお世話になっております。
日常の業務を進めていきながら、とても素晴らしい本を著述されこと、ご苦労様と申し上げたいです。

このガイドブックは、コンサルタント業を継続していく上で、誠に有益なものです。会社の図書として購入するように、出版後に申請してみようと考えています。

出版に合わせて記念の特別セミナーが開催され、著者の4氏が講演をされるようです。

　↓

COBIT実践ガイドブック出版記念特別セミナー開催

COBITという言葉は、コンサルティングの現場で頻繁に耳にするようになって来ました。私は、10年ほど前にCOBIT Ver2の幻の日本語版から知りましたが、ここにきてようやく業界内で認知されてきたように思われます。IT統制における事実上のフレームワークとして意識されてきたことの証なのでしょうか。

COBITは、これからの必要に応じて改良されていきます。その需要と重要度は、これからも益々高まっていくものと思います。

ISACA名古屋支部がHPをリニューアル

本Blogからのリンクを登録しています、ISACA名古屋支部のHPをリニューアルされました。私見ですが、デザインが一新され、洗練されたイメージです。リンクもクリックし易い位置にあり、使い易さも格段に向上しています。

言うまでもありませんが、会員への情報発信と手段として最も重要な地位を占めていると言っても過言ではりません。そのHP作りっぱなしと言うわけにもいかず、組織の拡大や変更に対応して改善をさせていく必要があろうかと思います。

東京支部のCGEIT委員会のHP、担当として最新情報を適切に発信しなければと考えています。しかし、情報発信のタイミングやデザインなど改善しなければならない点が多々あります。亀の歩みになりますが、ISACA東京支部CGEIT委員会のHPも徐々に改善していこうと思います。

名古屋支部の新HPです。是非、ご参照下さい。
　　↓
ISACA名古屋支部新HP

外付けHDDを購入しました

昨日、自宅PC環境の改善のため、外付けHDDを購入しました。早速、自宅PCへの接続とデータ移行を行いました。

購入した理由は、画像/動画データの増加により、PC本体のHDDの容量が逼迫、ページングなどにも支障を来たし、PCのパフォーマンスが著しく低下、その解決を図るためでした。

購入した製品は、BUFFALOのHD-CE1.0TU2、容量1TBはです。自宅近辺の家電量販店で、大枚\21,800の支出、支払い方法はクレジットカードで2回払いでした。このような高価な買い物した以上、代償は当然あり、子供に壊され買い替えたかったマウンテンバイクの購入は無期延期となりました。
PCですが、HDDは300GB、論理分割されています。Cドライブが40GB、Dドライブが260GBです。ページングは、Dドライブが指定されています。このDドライブに画像/動画データが230GB程溜まってしまい、容量を圧迫していました。極力不要なデータは削除したのですが改善にいたらず、ページングをCドライブに向けることも考えましたが、プログラムファイルとの分離と言う利点も捨てがたく、大きな改善効果も見込めないこと、画像/動画データの増加も見込まれることから、このような大きな出費を決意しました。
導入の成果ですが、3時間を費やして250GBの画像/動画データを移行、Dドライブを大幅に空けた結果、PCのパフォーマンスは大幅に改善、当初の目的を達成しました。
課題は、我が家の財務大臣の認可を得ておらず、諸物価高騰のおり、今後の政局に危惧があります。マウンテンバイクの購入延期だけでは済まず、断念に追い込まれる懸念があります。いや、懸念でなく、現実となるでしょう。
2年前のPC買い替えは、前のPCの故障、復旧断念というころで、緊急対策まさにBCPの発動とも言うべく事態でしたので、問題はありませんでした。
さて、今後の進展は如何に！！！！！！！！！！

Certified Information Systems Auditor(CISA)の認定証 Ⅱ

認定証紹介シリーズ、終了を宣言したばかり、舌の根も乾かないうちに前言撤回です。本日、会社に新しいCISAの認定証が届きました。ISO/IEC17024の要求事項に基づき、認定の有効期限が記載されたものです。デザインも変更されています。

正直なところ、前のデザインの方が好みです。また、思い入れも旧認定証の方が強いですね。だからと言って、この新しいデザインの認定証を粗末にするつもりは無く、CGEITやCISAの認定証と一緒に大切に保管します。

今度こそ、認定証紹介シリーズの終了です。

Certified Information Systems Auditor(CISA)の認定証

いよいよ本命の登場です。現在の業界内での基盤となっている認定証です。また、私と家族の日々の糧ともともなっています。

認定は、1998年の一月、10年前になります。当時は、試験は6月のみ、受験者が100名前後、合格者が10名程度、現在ほど知名度も業界でも影響度も小さい時代です。ISACA東京支部の会員数も200名にも達していなくて、3000名に迫らんとする今日を想像することすら出来ませんでした。

この認定証には、有効期限は記載されていません。CISAは、2008年から3年が有効期間なので、おそらく2011年には有効期限付の新しいデザインの認定証が送られてくるはずです。しかし、私は原点とも言うべき、この認定証は、今後も大事にしていくつもりです。10年という月日、紙製の認定証ですから劣化が免れませんが、今後は丁重に扱って、大事に大事にしていきます。

CGEIT/CISM/CISA、計5枚の認定証があるのですが、個人的に最も思い入れのあるのがCISAです。CISMとCGEITは、いずれもGrandfathering Provison、特例処置による申請を行い、試験を受けていないこと、CISAのみ受験し、しかも一回目は見事敗退、それだけに合格した時の喜びがあったことなどが理由です。

CISMやCGEIT、今後もその価値を高めていく事でしょうが(というか高めていくのが、ISACAやホルダーの責務だと思いますが)、このCISAの認定証に、個人として感じている価値観は、変わらないと思います。

以上、認定証紹介シリーズの終了です。

では

Certified Information Security Manager(CISM)認定証 新版の新

Certified Information Security Manager(CISM)認定証 新版の新です。この認定証は、有効期限付の認定証が郵送されてきた翌月、2007年9月に新たに送付されてきました。
何故、再送付されきたのか・・・　　同封された文書を読んで、合点しました。問題は、有効期限だったのです。2007年から3年間有効であるならば、2010年で満了すべきですが、前月の認定証は2009年1月が期限だったのです。そこで、ISACA国際本部は、訂正された2010年1月まで有効な認定証を再送付してきたのです。私は、全く気がつきませんでしたが、おそらく本部に有効期限につき、問合せがあったのだと思われます。

これが、CISM認定証が3枚ある理由です。勿論、有効なのは2007年9月に郵送されたものですが、私はこれからも全て保存していくつもりです。

Certified Information Security Manager(CISM)認定証 新版

昨日に引続き、Certified Information Security Manager(CISM)認定証の紹介で、今回は新版の旧です。これは、2007年の8月に送付されてきました。新旧の違いは、デザインもさることながら、有効期限が記載されたこと。次にISACAのロゴが変更になっています。

有効期限は3年です。これは、CISAやCISMが3年で120ポイントのCPEがないと更新できないことに関係しています。つまり。3年を1サイクルとして、有効期限にしているのです。どうも、そのサイクル毎に認定証を発行することになったようです。2007年から3年間が1サイクルなので、この認定証が送られてきました。

有効期限、よくみると2009年1月31日、3年間なら2010年では・・・・？　　これが3枚目の認定証に関係しています。その訳は次回に

Certified Information Security Manager(CISM)認定証 旧版

今回は、Certified Information Security Manager(CISM)認定証の旧版の紹介です。旧版と明言する以上、新版もあるのかと問われることになります。それは、然りです。

ISACA国際本部は、認証機関への要求事項であるISO/IEC 17024を取得しました。その要求事項を充足させるため、認定証に有効期限を記載するようなりました。従って、ISACA国際本部からのCISM認定証は3枚(その理由は後ほど)あるのです。

認定証は有効期限付になり、デザインも変更されました。今回は、古い版の、有効期限無し認定証をup致しました。このデザインでは、もう発行されることはないので、希少価値は・・・ある訳ないですね。

次回は、新版の旧を紹介します。

CPE監査

昨日、ISACA国際本部から要求のあった2007年申請のCPEの証明文書をメールで送信しました。
ISACA国際本部より、早速受領メッセージがありました。

Mr. Masuda,

Thank you for the support documentation for the audit. The audit committee has reviewed it and it has been approved. A letter will now be sent to you that confirms you are in compliance with the 2007 audit.　

証明文書発信　　　 20:03　(日本時間)　米国中部標準時　6:03(サマータイム)
受領メッセージ　　　23:05　(日本時間)　米国中部標準時　9:05(サマータイム)

素早い対応でありました。

ISACA CPE監査始末記

先ほど、CPE監査にて要求された2007年申請のCPEのEvidence、証拠文書をPDF化し、電子メールに添付して、ISACA国際本部のCertification Audit Review Committee宛てに発信しました。

TO : Certification Audit Review Committee

I prepared the documents which proved my CPE which you demanded.
And I converted the documents into PDF and attached it to this email.

I hope you examine these documents immediately and to accept continuation of my CISM certification.

Sincerely,

Masuda Seiichi, CGEIT,CISM,CISA

後は、Certification Audit Review Committeeでの審査結果を待つのみです。

私が証明すべき2007年のCPEは64です。

Listed below are the CPE hours you reported for the 2007 period. Please provide full and complete documentation as required by the policy in support of the CPE hours reported, otherwise additional follow-up will be necessary and will delay the verification process.
2007 CPE Hours Reported: 63

その内訳は、以下の通りです。
1　ISACA関係
　 ISACA東京支部理事として、支部への貢献　　　　　　　　　　　　10CPE
　　ISACA月例会参加　6回　　　　　　　　　　　　　2CPE　×　6　=　12CPE　　
　　ITガバナンスセミナー参加　　　　　　　　　　　　　　　　　　　　　　　5CPE
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　計 27CPE
2　日本セキュリティ監査協会(JASA)関係
　　情報セキュリティシンポジウム　　　　　　　　　　　　　　　　　　　　 6CPE
　　情報セキュリティ人材育成セミナー 6CPE
　　全国縦断情報セキュリティセミナー　IN 名古屋 1CPE
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　計 13CPE
3 Abitus(旧USエデュケーションネットワーク)関係
　　公認情報システム監査人(CISA)講座講師　　　　　　　　　　　　　23CPE
以上です。2と3については、JASA並びにAbitusに依頼し、私が作成した文書に責任者の直筆署名を貰いました。
1に関しては、月例会の受講票を用意しました。ISACA東京支部理事としての活動に関しては、やはり私が作成した文書に支部会長の太田さんの署名をいただきました。
��，２，３で集めた文書類に加えて、63CPEの内訳を説明した文書を別途作成し、それを本文としました。全文書をPDFファイルに変換し、メールに添付してCertification Audit Review Committee宛に発信しました。おそらく、10月頃までには審査結果が通知される筈です。前回監査と同じ要領ですので、まず大丈夫だと思います。取り敢えずは、Certification Audit Review Committeeからの受領メッセージを待つ事といたします。
CPE監査に対象となった方の中には、100枚以上の文書をCertification Audit Review Committeeに送ったケースもあったようです。私は、合計で15枚にも達していません。たしか、前回は10枚以下であった記憶があります。
基本的には、CPEを確実に証明できれば良いのです。CPEの管理台帳を作り、証拠を集めておき、確実に証明可能なCPEのみ申請しておけば、監査対象になっても慌てることはないです。　
人事を尽くして天命を待つのみ

Secure OS

日本においてはSecure OS、正確な英語的表現だとSecurity focused operating systemだそうです。以前から耳にしていたのですが、その度に生き残っている恐竜、メインフレームに愛着がある、私は思うのです。安全なOS、それはメインフレームだと。

メインフレーム、Unix系OSやWindows系サーバーに比し、Seucreだと思います。しかし、生き残りし恐竜を愛する者達以外は、そのように考えないようです。

Secure OSとは、強制アクセス制御や最小特権を実現する必要があるらしいです。であるならば、RACFやCA-Top Secret,CA-ACF2、を利用すれば、これらは実現可能です。また、ログもSyslogでもかなりの情報が取得てきますし、SMFデータを解析することで、より詳細な履歴を調査することも可能です。
Secure OS、その概念に最も近いのはメインフレームです、と声を大にして申し上げます

こちらのブログもよろしく！

6月に実施された試験の受験者の皆さんには、その結果が配信されているかと思います。桜が咲いた方おめでとうございます。改めて次回の挑戦を決意した方、今度こそ桜を咲かせて下さい。

私が合格した11年前は、まだ電子メールでの配信は行われて折らず、8月中旬頃まで試験結果が郵送されるの待っていたものでした。

ところで、12月のCISA/CISM試験を受験される方々への説明、CISAレビューコースが開催されます。

CISA/CISM試験を受験 受験者説明会

CISAレビューコース

受験を予定されている方、ご参加下さい。

Certified in the Governance of Enterprise IT(CGEIT)の認定証

本日、勤務先にCertified in the Governance of Enterprise IT(CGEIT)の認定証が、ISACA国際本部より郵送されてきました。期限は、2012年1月31日までです。これで、ようやく認定を得た実感が湧いてまいりました。

CGEITを狙っている皆様、これがCGEITの認定証です。この認定証を目指し、Grandfathering Provision、是非とも応募して下さい。

ところで、私の認定取得履歴ですが、下記の通りです。
　CISA　　1998年認定
　CISM　　2003年認定
　CGEIT 2008年認定

これで、ISACAが運営する全ての認定制度の証明書が揃いました。今まで気がつかなかったのですが、5年毎に認定を得ていたのですね。

CISAやCISMの認定証も紹介したいと思います。