掲示板お問い合わせランダムジャンプ

Google広告

2012年06月28日
サイバー攻撃の恐怖
サイバー攻撃の恐怖

クローズアップ現代「サイバー攻撃の恐怖 狙われる日本のインフラ」 6月28日

途中から見た。後でビデオで最初から見てみよう。

工作機械のプログラムにもウイルスが入り込む。そのくだりでブラックリスト・ホワイトリストの話が出てくる。世間はまだまだ遅れていると、まだまだ手助けが必要なことが実感させられる。例に挙がった企業はアマダ。CPUの負荷率がブラックリストとホワイトリストで変わるのは意外だった。

あるコードを見つけた時に、これがブラックリストに登録されているかどうか調べるのはブラックの件数が増えると大変。ホワイトは既知情報の範囲だから不可は小さいのかもしれない。まあ、負荷率の問題以前にブラックリストは亜種が入ってくると対応できない欠陥があるのでオンラインサービスでは最初から無理でしょう。

USBメモリーで隔離された工場にウイルス蔓延

インフラの制御システムへの感染リスク

アメリカは国家安全保障としての国を挙げての取り組みが特徴。日本は民間ベース。サイバー戦争の現代ではのんびりした構えで企業自身が防衛的活動を強化せざるを得ない。

.*.
[ 投稿者:ISMSNEWS at 16:23 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年06月21日
著作権法の改正(違法ダウンロードに罰則)インパクト
著作権法の改正(違法ダウンロードに罰則)インパクト

著作権法の改正:違法ダウンロードに罰則規定が付いた。罰則は2年以下の懲役または200万円以下の罰金。ダウンロードは子供でも誰でも出来てしまう実態を踏まえるとこの罰則は行き過ぎていると思われるほどに相当重い。例によって音楽業界の政治的圧力が功を奏した結果だ。米国に比べて日本の音楽関係者への保護は手厚すぎる印象だが、それを更に過剰なものに下のではないか。

サイトにアップした音楽データが違法かどうかは際と運営者では判断が付かないから、その責任はアップする人にありますよとやります。しかし、それで何処まで免罪されるかは分りません。単にチェックを入れるだけでOKとするのか更にエビデンスを求めるのか。何回か裁判でもやれば形は出来てくるでしょう。

しかし、

今回改定された内容:ダウンロードについてはもっと面倒かも知れません。アップされているコンテンツに著作権問題があるかどうかは利用者には判断が付かないからです。多分、違法も合法も全てのアップされているコンテンツは合法と判断するしかないからです。これは違法コンテンツと書いてあれば/表示されていれば判断できます。

サイト運営者が判断付かないものがユーザーに判断できるわけ無いでしょう。

入り口の違法コンテンツをアップロードした人に罰則があり、今度は出口のダウンロードした人に罰則があるなら、場所を貸していただけのサイト運営者にも責任を問われることは予見される。少なくとも説明責任を果たすなど争議に巻き込まれるのは必至でしょう。

.*.

ISMS的には企業はどうすべきか?

1) 自社のサイト、関連サイトへのコンテンツ提供:まあ従来どおり事前にチェックする。変更なし。

2) 社内が外部サイトを利用する。普通にインターネットを使うときに、違法ダウンロードに該当しないことを確認させなければいけない。しかし、その方法が多分、分らない。サイト信頼度を提供するサービスを利用するのかな?。フィルタリングサービスを強化して運用するか。

社員が自宅で利用するときはどうだろう。一定のことは守ってもらう必要がある。コンプライアンス違反は自宅でもNGです。

3) サイト運用者の場合は、最初の誓約書〜契約書のほかに、実際の運用のなかでもコンテンツ毎にチェックするなどの手順を求めることになるでしょう。

違法報告(不適切コンテンツの報告)を受けられる仕組みが必要。メジャーなネットサービスに今は殆どそういうページが用意されている。

一般のメールなどでの警告や、口コミサイトの噂を監視するなどの仕組みも求められる時代になっている。

.*.

日本のYouTubeは魅力的な違法コンテンツが消去され続け今は全く魅力的でない。洋物は数百万ダウンロードを誇るものが幾つも存在するので、再生リストは洋物中心になってしまった。日本の音楽業界の著作権意識が異常な結果ではないか。どの作品だって意識しているか否かに関わらず先人の影響を受けているに違いないのだからもっと寛容でいいのではないか。というより、多くの人に聞いてもらう歌ってもらうことが原点にあったのではないか。

.*.
[ 投稿者:ISMSNEWS at 16:22 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

東電の福島原発事故調査報告の問題点
東電の福島原発事故調査報告の問題点

昨日の東電福島原発事故調査報告(東電による内部調査)のニュースで面白いやり取りがあった。東電の現場放棄?全員退避?の下り。マニュアル(手順書)には全員退避だが「災害対策要員は除く」と記載があるから全員退避ではないと東電が主張している。

ISMSの関係者なら失笑ものでしょう。

1)この但し書きが記載されたのはいつか。それはどのように周知されたか。周知の確認〜教育の状況はどうであったかを記録から確認されていなければいけない。
2)事故当時の対策要員は誰か?それは本人へはどのように指示されていたか?
3)1)に重複するが一般理解とは別に役割を担当する前提で、対策要員は自分の役割責任を理解していたか?
4)災害対策要員としての活動の記録は手順書に沿って確認されなければいけない。記録が無い場合は記憶に基づいてでもその空間を埋めていかなければいけない。矛盾があればそれも記載しておくべきだ。

A:行動のレビュー:手順どおりに出来たか。
B:手順のレビュー:想定した手順の妥当性

こんなことは初歩的なこと。東電に人材が居ない訳では無いでしょうが、極度に政治的対応が迫られる中では、責任を外に転嫁したり、問題の所在を見せない報告書に纏め上げる方に力が注がれている印象だ。

真実を見ようとしなければ、本質課題を抽出しようとしなければ、改善することを狙いとしなければ、全く無意味な調査報告に終わってしまう。

例えば、この規模の津波は想定外として原因究明に取り込んでいないが、津波のリスクを指摘する外部(内部も?)の声に対して、真摯に取り組む体制もなかった、体制がなくても一人でもその子を聞いてテーブル(会議の席)に上げれば(一声発生すれば)、何らかの判断はされるはずだが、その判断の方法論にも問題は有った可能性が指摘できる。

.*.

分厚い調査報告書は問題を隠すときの常套手段。古典的な手法をとる東電経営陣とスタッフは保身主義に毒されている印象だ。

.*.
[ 投稿者:ISMSNEWS at 16:20 | ISMS四方山話 | コメント(0) | トラックバック(0) ]