2008年9月 5日 (金)

経済産業省 「ITサービス継続ガイドライン」

経済産業省が「ITサービス継続ガイドライン」を公表しました。

これまであいまいにされてきたことについて、このガイドラインで、実はさらっとふれています。。。

情報セキュリティと事業継続は包含関係なのか、上下関係なのか、横並びなのかについて、いろいろな考え方があります。
このガイドラインでは、図 2.1-2 「IT サービス継続、事業継続、IT 戦略との関係」(4ページ)で、事業継続にITサービス継続を含むとした上で、以下の図 2.1-3 「IT サービス継続と情報セキュリティとの関係」(5ページ)があります。

図 2.1-3

この図では、情報セキュリティの基本要件である機密性・完全性・可用性のうち、可用性だけをITサービス継続に配置した上で、以下のような注釈を加えています。

4ページ 脚注5

広義のIT サービス継続には、機密性・完全性の要素も含まれ得るが、本ガイドラインでは主に可用性の 面に着目し、情報の機密性と完全性の確保を主に情報セキュリティ上の責務と捉えた上で、IT サービス継 続は常に情報セキュリティ対策と並行して確保すべきとの考えに立つものとする。

つまり、「情報の機密性と完全性の確保は、情報セキュリティの責務であり、ITサービス継続には含んでいない。ただし、それはやらないということではなく、常に情報セキュリティ対策と並行して確保しなければならないことを意味する。」という考え方もあるとしました。
言い換えると、
「仮に、ITサービス継続にて、可用性を維持したものの、機密性と完全性だけが損なわれた場合があったとしたら、その場合には、ITサービス継続は機能したことになり、その際に、情報セキュリティのうち可用性以外の要件が機能しなかった。」という考え方で整理して、マネージメントシステムを構築することができます。

ガイドラインでのひとつの捉え方として、これを一般論とするつもりではないことにしていますが、これまであまり仮例も示されていなかったので、いいきっかけになるものと思います。


おまけ・・・

一方で、ITサービス継続で、情報セキュリティからはみ出している部分はどういうものになるのでしょうか?

結構つらいですが、
一応、無理無理ですが、以下のような解釈を議論の出発点にするしかなさそうです。

「情報セキュリティ対策は、リスク分析時の脅威の特定に基づくため、脅威として、たとえば故障を含めていなければ、それへのリスク対応としての情報セキュリティ対策が見逃されることになる。
それに対して、ITサービス継続対策は、脅威の有無を問わず、継続するという目標に必要な対策をすべて講じることがあってもよい。
検討においては、必要な対策をすべて洗い出す際に、脅威を想定するのが一般的であるため、ほとんどの場合は、可用性の侵害への脅威として特定されることで足りると考えるが、分類の考え方としては、情報セキュリティは脅威の特定に基づくもの、ITサービス継続は、必ずしも脅威に基づくことに限定しないものとして、わずかながら相違部分がある。」

これについてもいつかガイドラインに明記できるような仮例が示せるときがくるといいですな。。。


9月 5, 2008 | | コメント (0) | トラックバック (0)

2008年2月28日 (木)

ITゼネコンの構造的破綻?その1

ちょっとショッキングなタイトルですが、第1弾として、「無責任な委託の連鎖」ということで・・・

Y's Station にて、「委託先における情報セキュリティ対策のあり方と認証制度の関係」をお聴きください。

2月 28, 2008 | | コメント (0) | トラックバック (0)

2006年2月10日 (金)

e文書法解説完結

e文書法解説の完結編の紹介です。

後編は、通称、e文書法ガイドラインと呼ばれている「文書の電磁的保存等に関する検討委員会」の報告書を2回に分けて解説しました。
その2回目となり、これで全4回の連載はおしまいです。

連載の最終回は

●#4:文書の電子化に踏み切る前に、知っておきたい電子文書の特性

です。

これまでの連載は、こちらにリンクがあります。

なお、第3回で予告した隠しページは・・・
スキャンした電子文書の見読性についてというページにあります。
これは、連載の第3回原稿を編集者に提出した際に、「改ざんの画像イメージを用意してもらえませんか?その中のいくつかを記事に挿入したいので。」と言われて、画像イメージをまとめて送るときに、編集の人への解説として用意したものでした。
ところが、編集の人曰く、「こっちのページの方が原稿よりわかりやすいじゃないですか~」とのことでした。

ぼくとしては、原稿の方が内容として濃くて、こちらは、一見わかりやすそうだけど、実はスキャナ遊びのようなもので文章そのものには内容がない。と思っていたのですがねぇ。

みなさんはどう思われますかね。

2月 10, 2006 | | コメント (0) | トラックバック (0)

2006年1月20日 (金)

e文書法解説(後編1)

e文書法解説の後編の紹介です。

後編は、通称、e文書法ガイドラインと呼ばれている「文書の電磁的保存等に関する検討委員会」の報告書の解説です。

前編につづいて後編の第3回が掲載されました。

●#3:スキャンした紙文書に改ざんはないといえる?

実は上記の第3回解説には、隠しページがあります。。。
それは、もうちょっとしたらお知らせいたします。

連載は、次回の第4回で最終回となります。
衝撃のラスト・・・んなわけないです。。が、ご期待ください。

1月 20, 2006 | | コメント (0) | トラックバック (1)

2006年1月 6日 (金)

e文書法解説(前編)

以前、愚痴のように書いた「e文書法特需はありません」をもとに、IT media エンタープライズの連載として、まとめ始めてみました。

言いたいことは同じなのですが、解説とかもちゃんとつけて整理してみたつもりです。


IT media エンタープライズの連載としてe文章法の解説を書き始めました。

●#1:誤解から生まれるe文書法の落とし穴
●#2:e文書法は電子化のための金科玉条ではない

この後はe文書法の報告書の説明になるため、急に技術的な話になってしまいますが、参考にしてみてください。

連載回数は、上記を含めて全部で4回か5回を予定しています。

後編が仕上がったら、また紹介させていただきます。

1月 6, 2006 | | コメント (1) | トラックバック (0)

2005年5月13日 (金)

IPA のセキュアOS関連報告書

いわゆるセキュアOS関係について IPA が公開した報告書です。

強制的アクセス制御に基づく Web サーバーに関する調査・設計(IPA)
http://www.ipa.go.jp/security/fy16/reports/mandatory_access_contol/web_server.html

電子政府システムにおけるアクセス制御要件に関する調査(IPA)
http://www.ipa.go.jp/security/fy16/reports/eGov_access_control/index.html

5月 13, 2005 | | コメント (0) | トラックバック (0)

2005年5月10日 (火)

情報セキュリティと情報活用のバランスをふまえた企業情報管理戦略

ヒューレット・パッカードの自社事例として、「情報セキュリティと情報活用のバランスをふまえた企業情報管理戦略」と題して当社のプライベートイベントである HP World 2005 にて講演をすることになっています。


情報管理戦略の中でも、個人情報のILMについてを中心に紹介します。
今週号の AERA にて少しふれられていますが、ある条件下では、社内の誰も顧客の個人情報にアクセスしなくてもビジネスを遂行することができます。アクセスしなければ漏えいすることはありません。

ただ、ここで紹介する内容は、HPにとっては、1996年に計画し2001年に完成する予定だったIT戦略です。
その後、Agilent Technologies との分社や Compaq との合併などにより、当初計画から2年遅れて2003年に一部運用を開始したものです。
1996年当時は、この計画のセキュリティアーキテクトとして参加し、その後分社や合併で進捗がなかったため半ば忘れていたものでしたが、いまとなっては、その運用の責任者になるとは思っていませんでした。
今回の講演のために、96年当時に自分で作成した資料などを復習したりしています。
これらのことは国内社外でも講演しているものですので、不思議なかんじです。
約9年前に設計したアーキテクチャを、最新の対策として紹介するわけですから・・・

実際に90年代後半には、国内日本企業にコンサルティングも実施しており、当社の当初線表どおりに2001年に実現した日本企業もあります。
しかし、IT戦略というものは、外見からは実は見えにくいものです。
この講演内容を聞いて、どれだけの人が、このIT戦略に基づいたITを実装している日本企業を言い当てることができるのかが実は楽しみです。
そして、そのことがITアーキテクトの重要性に気づき、関心を持ってもらえるようになればいいなと思っています。

日本のIT構築の多くは、欧米企業の「外見」だけをまねているように思えて、嘆かわしいからです。
ITはビジネスを向上するための方策であって、目的ではないということが当たり前のことですが、とても重要なことなのです。

5月 10, 2005 | | コメント (2) | トラックバック (0)

2005年5月 9日 (月)

経済産業省 e文書ガイドライン

「文書の電磁的保存等に関する検討委員会」の報告書が発表されました。

http://www.meti.go.jp/press/20050506001/20050506001.html

個人的なコメントは、
経済産業省 e文書ガイドラインの補足
として書いておきました。

5月 9, 2005 | | コメント (0) | トラックバック (0)

2005年5月 8日 (日)

Webアクセシビリティ

Webアクセシビリティについてお勉強しましょう

まずは、JIS規格から。

JIS X8341-3
http://search.yahoo.co.jp/bin/query?p=JIS+X8341-3&fr=top

5月 8, 2005 | | コメント (0) | トラックバック (0)

2005年4月28日 (木)

事業活動のIT化に係る規制の状況

内閣官房IT担当室
「事業活動のIT化に係る規制の状況(平成17年4月版)に関する意見の募集」
http://www.kantei.go.jp/jp/singi/it2/pc/050408iken.html
にあったリンクを以下にメモしておきます。


●「事業活動のIT化に係る規制の状況」(平成17年4月版)
http://www.kantei.go.jp/jp/singi/it2/pc/050408iken_s.html
の抜粋として;
●「事業活動のIT化に係る規制の状況(概要)」(PDF)
http://www.kantei.go.jp/jp/singi/it2/pc/050408iken/00gaiyou.pdf

それらの発端
●「事業活動のIT化に係る規制の概要」
http://www.kantei.go.jp/jp/singi/it2/dai16/16kisei.html


ITで注意すべき法令等を俯瞰するのに役立つよい資料です。


ちなみに、当社は、この意見募集について、米国商務省から案内をいただきました。
日本国内でのITビジネスの促進に活用するとよいですよ。という趣旨です。
後日、在日アメリカ大使館からも通達するということになっています。
日本の有力企業には同様に政府から案内を能動的に行なっているのかな?
Webに掲載しただけだとすると、不親切かもしれませんね。

この類のことはよくあって、在日アメリカ大使館に呼ばれて意見を求められたり、勉強会で勉強させられたり・・・
商務省のマメさには感心してます。

4月 28, 2005 | | コメント (0) | トラックバック (0)

2005年4月 5日 (火)

IT道徳教育

読売新聞2005/4/5朝刊によると、世田谷区にて、区立小学校1校を「情報モラル教育」の研究校に指定する。とのこと。

きっかけは、世田谷区立中学の生徒が、旧千円札を偽造したこと。

3/25 に提出された検討委員会提言には、

家庭でのパソコンや携帯電話を使うルールとマナーの徹底や、有害情報を見分ける健全な価値観を子どもたちに育てるため、親も一定程度、情報を判断し、使いこなす能力を身につける必要がある。 また、学校には、パソコンの使い方に偏った従来の情報教育を改め、コミュニケーション能力や判断力を育てるカリキュラム編成などを求めた。

とあるらしい。

「コミュニケーション能力や判断力を育てるカリキュラム」。
大人にも展開してほしい。


4月 5, 2005 | | コメント (0) | トラックバック (0)

2005年4月 1日 (金)

経済産業省 技術戦略マップ

報道発表より転載:

経済産業省は、産学官の知見を結集し、我が国初となる『技術戦略マップ』を20分野で策定しました。技術戦略マップは、新産業を創造していくために必要な技術目標や製品・サービスの需要を創造するための方策を示したものです。今後、本マップを幅広く産官学に提供し、異分野連携等を促進するとともに、当省の研究開発マネジメントに活用していきます。

http://www.meti.go.jp/press/20050330012/20050330012.html

ソフトウェアのセキュリティとしては、

アクセス制御技術
デジタル・フォレンジック技術
電子署名・認証
暗号技術
セキュリティ評価技術

をあげています。

4月 1, 2005 | | コメント (0) | トラックバック (0)