« 2006年6月 | トップページ | 2006年8月 »

2006年7月28日 (金)

コストをかけないモバイルPCセキュリティ対策

ThinkIT の連載の第5回は、コストをかけないモバイルPCセキュリティ対策としてまとめました。

記事は以下に掲載しています。

第5回:コストをかけずにできるセキュリティ対策

PCのセキュリティ対策は、お金をかけなくてもできることが結構あります。
セキュリティ屋からセキュリティ対策を教わると、そういうことが逆におろそかになり、金のかかることばかりを勧められたりするので注意しましょう。

上記の記事では、TPMについては、簡単にしか触れていませんが、TPMもコストをかけずにできる強力なセキュリティ機能です。
そちらについては、以下のブログで紹介しているので、ご興味ある方は参照してください。


連載記事のバックナンバーは以下のとおりです。

第1回:データが語る個人情報保護法の実態
第2回:企業における対応方針と成功の秘訣
第3回:個人情報の分別
第4回:社内ガイドラインの作成

7月 28, 2006 | | コメント (0) | トラックバック (0)

2006年7月21日 (金)

失敗学のすすめ

畑村 洋太郎先生から「失敗学のすすめ」について直接お話しをうかがえるチャンスです。

失敗学とは、

失敗学とは、起きてしまった失敗からさまざまなことを学ぼうというものです。
佐藤も、失敗学会の講演を聴講させていただいていますが、共感を多々受けるところがあります。

世の中では、成功事例の紹介がよくありますが、成功事例というのは、いろいろな条件が積み重なって成功するものだと思っています。
そのため、成功事例における成功要因については、それをいくら他で真似ても成功に役立つことは稀です。
すべての条件が一致することは、なかなかないからです。
成功要因が十分条件ではないにしても、必要条件かというと、それですらないときさえあると思っています。

しかし、失敗事例というのは、その失敗原因と同じことをすれば、かなり高い確率で同じ失敗を引き起こすと思います。
それであれば、失敗事例における失敗原因を知って、それと同じことをしないようにするということは、多くの場合で役立つはずです。

成功事例の共有ばかりが目立つように思いますが、失敗事例の共有ということも併せて重要なことです。

そんなことを思っていたので、畑村先生の失敗学には興味があり、失敗学会があることも知って講演を聴きにいったりしていました。

これまでご存知ない方には、失敗学についてこの機会に聴いてみることをお奨めします。

7月 21, 2006 | | コメント (0) | トラックバック (0)

TPMガイドライン

経済産業省の高信頼性端末の電子認証基盤の調査研究である

信頼できるコンピューティング環境の実現に向けて
~Trusted Platform Module(TPM)の可能性 ~

が日本画像情報マネジメント協会から公開されています。

報告書は、上記のページの右下にある「成果報告書」というリンクからダウンロードできます。

7月 21, 2006 | | コメント (0) | トラックバック (0)

2006年7月14日 (金)

政府機関統一基準の設計理念

日本システム監査人協会の第122回月例研究会にて、政府機関の情報セキュリティ対策統一基準を紹介することになりました。

ここでは、解説書を読むだけでは汲み取れない、設計理念に類するようなことについても説明できればと思います。

政府機関の情報セキュリティ対策のための統一基準」については、民間でも利活用できることをこのブログでも以下のように紹介したことがありました。

しかし、完成した文書と解説があっても、設計理念などがわからないと、それを利活用するのは難しいものです。

今回、日本システム監査人協会第122回月例研究会にて、「政府機関の情報セキュリティ対策のための統一基準」を紹介することになりました。

同統一基準を、政府関係者以外に対して説明するのは、去年の「ネットワーク・セキュリティワークショップin越後湯沢2005」で10分間くらい紹介しただけで、2時間かけて説明するのは今回が初めてとなります。

十分な時間を頂きましたので、内容の説明は簡単に済ませて、むしろ設計理念についてを紹介させていただくのが、聴講者のみなさまにとって有益だろうと考えています。
特に、監査人協会向けですから、同基準での監査の考え方についても紹介します。

今回は主催者のご都合で参加費が有償となってしまいますが、別の機会も作っていければと思っています。
とはいえ、具体的に次回は未定ですので、以下、参考にしてください。

以下、転載。

第122回月例研究会 (日本システム監査人協会

「政府機関の情報セキュリティ対策のための統一基準」は、すべての府省庁が情報セキュリティ確保のために行うべき対策の統一的な基準を定めたものです。

 今後展開される省庁だけでなく、民間企業が自主的に情報セキュリティ対策を考案する上でも参考になると考えられます。また、これまでのシステム監査人の知識や経験を共有し、官民が積極的に連携する取り組みも重要になると思われます。

 そこで、今回の月例研究会では、政府機関統一基準の制定と運用の動向を把握し、概要を理解するため、内閣官房情報セキュリティセンター(NISC)(講師調整中)にご講演頂くことになりました。
 NISCは、省庁横断的に、また国際的な視野から情報セキュリティ政策に関する基本戦略を立案、官民の統一的・横断的な情報セキュリティ対策の推進に係る企画、立案、総合調整を行うために活動している組織です。
今月も、多くの皆様のご参加をお待ちしています。

1. テーマ 「政府機関の情報セキュリティ対策のための統一基準」について
2. 日時 2006年8月2日(水) 18時30分~20時30分
3. 場所 中央大学 駿河台記念館 2階281号会議室
4. 講師 内閣官房情報セキュリティセンター
5. 会費 会員 2,000円 非会員 3,000円

7月 14, 2006 | | コメント (0) | トラックバック (0)

2006年7月 6日 (木)

委託先におけるISMS認定の意味

JIPDEC から以下のガイドラインが公開されました。

制度の概要、認証基準及びガイド一覧
 の中の
外部委託におけるISMS適合性制度の活用方法

ガイドラインには長々と書いてありますが、何が言いたいかを簡潔にいうと・・・

委託先(下請け)に「ISMS 認定を取得していること」というだけの契約条件を課しているのではダメですよ。
ということです。

意味のあるものにするには、「適用範囲定義書」に記載された内容を確認しなければなりません。

意外にも、「ISMS 認定を取得していること」という不毛な規程を設けている委託元が多いため、わざわざガイドラインとして用意されました。
無意味な規程にならないような、規程の書き方の例としては、政府機関統一基準を参考にすることができます。


なぜ、統一基準で言及した上に、ガイドラインまで用意して理解を促そうとしているかということについては、

委託業務における委託元と委託先の関係

で解説をしていますので、参考にしてください。


これだけ、しつこく資料を用意したわけですから、今日以後は、下請けに対して「ISMS 認定を取得していること」とだけ要求する委託元は、自ら「当社は情報セキュリティ対策に責任を持つつもりはありません」と宣言しているのと同じです。
そうではなく、ISMSを有効に活用するために、委託する業務が適用範囲定義書に明記されるように求めるのならば、それを求めるか否かによって、それなりの対価を支払う必要があるということについて自覚していなければなりません。

そうしなければ、無責任の連鎖は止まらないのですから。。。

7月 6, 2006 | | コメント (0) | トラックバック (0)

電子政府の利用促進が急務

財務省は、政府予算の無駄遣いや効率の悪さを点検する2006年度の予算執行調査の結果として、利用者の少ない外務省のパスポート電子申請システムなど、5省6事業の廃止を求めた。
とのこと。

詳細は:

詳細は:
YOMIURI ONLINE
予算執行調査、パスポート電子システムなど6事業廃止求める

パスポートの電子申請は、年間運用費が8億円で、利用実績が年間103件。
・・・ひどすぎる。

今回調べてみて知ったけど、「外務省のパスポなび」というのがあるんですね。

パスポくんがむなしい・・・

ちなみに、米国では・・・

ブッシュ米政権における電子政府推進の本格始動

米国の電子政府政策とその現状

米国の電子政府法


米国と同じことをする必要はないにしても、電子政府の利用促進が急務ですね。
ITベンダーが、政府を食い物にするのは、いい加減やめないと、国が滅んでしまいます。

7月 6, 2006 | | コメント (0) | トラックバック (0)