掲示板お問い合わせランダムジャンプ

Google広告

2012年09月23日
フェイスブックのセキュリティリスク事例:オランダ少女の誕生パーティ暴動
フェイスブックのセキュリティリスク事例:オランダ少女の誕生パーティ暴動

オランダの少女(16歳)が誕生日の案内をフェイスブックで送るのに、友達と間違えて一般公開で送ってしまった。多分、時間、場所などプライベートな情報も載せているだろう。多くの若者(数千人?)が少女の家に集まり、一部は暴徒化して大騒ぎになった。警察は騒ぎを懸念し、少女と家族は事前に避難していたとのことだ。

これがSNSの怖さの一つ。

今のフェイスブックでは流出した情報はシェアとかすることでどんどん広がる仕組みに成っている。普通のウエブサイトの欠点と同じ特性でSNSとしてのよさがない。共有・公開・オープンは正義と信じ込んでいる主催者の愚かさの一つが現れた格好だ。

.*.

取り消し機能。記憶されない権利の実現。追い掛け消去機能。

やろうと思えばSNSなら出来ることだが、やればSNSの優れた特徴として評価されるが、そのことに対する取り組みについては何も情報が示されない。

この閉鎖性が問題なのだ。FBはオープン化のためのツールと主張しているが、その中身はクローズそのもの。

ISMS的に見れば、こんなあやふやなツールを業務インフラに仕立てることは無理がある。

オランダ少女の事件も流出した誕生パーティ情報だが、会社情報の場合は、更に深刻になるかもしれない。

.*.
[ 投稿者:ISMSNEWS at 19:23 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年09月16日
アップルとサムスンの特許紛争
アップルとサムスンの特許紛争

アップルとグーグルの代理戦争とも言われている。

アップルが作り出したスマートフォン。ほかが真似をしたのは間違いない。ここに市場があると分かって乗り出したのだから。商品と市場を開発したのはアップル。他社は一定のリスペクトを払う必要がある。それが仁義。

.*.

ISMSでは?

事業継続リスクがあります。端末が市場から退出すると、それを前提とした業務アプリに修正を迫られるかもしれません。しかし、利用者が直接リスクに晒されることは希。善意の第3者ですから、訴訟が直接及ぶ可能性はありません。ただ長期計画は修正する必要が出かもしれません。

.*.
[ 投稿者:ISMSNEWS at 19:20 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

iPhone5のセキュリティ
iPhone5のセキュリティ

アイフォンiPhoneの新型iPhone5が発売された。業務端末としている企業も少なくない。自由度は今一だが、アンドロイドのようにハッカーのターゲットに成ることが少ないので、それだけでもセキュアと言えるが、アップル側も更なるセキュリティ強化が図られている筈だ。

.*.

iPhone4/4Sで繋いできて、漸くiPhone5がリリースされた。しかし、開発力の非力さを露呈しただけかもしれない。もともと開発力が高い企業ではない。新しい技術に新しい意味づけをして商品化するのが得意な企業。

アップルは自らのコンピテンシーを履き違えている。最新技術が殆ど取り込められなかったことは明確にiPhone5は失敗プロダクト。サイズを変更しただけ。しかも横幅は同じまま。開発陣に大きな穴が開いたのだろう。外注で済ました部分の肩代わりは簡単でない。

セキュリティ技術も同様。指紋認証の技術を持つ企業を買収したらしい。商品化は未だ先になるだろう。業務用ならセキュリティアクセサリーとして使えるかもしれないが限定的だ。

カリスマが亡くなるとはこういうことなんだ。陳腐な改善を続ける能しかないのだ。法人ユーザーの声しか理解できなかったのかな。事務屋が作った新製品の典型事例になってしまった。

.*.

新しいチャレンジがなければリスクは少ない。馬鹿なことに、変化のないiPhone5だから逆に

セキュアとなる。iPhone4L(ロングバージョン)でも良かったかもしれない。

.*.
[ 投稿者:ISMSNEWS at 19:19 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年09月07日
付加価値審査から本質審査へ
付加価値審査から本質審査へ

営業が来て、審査員が来て、付加価値審査をやるという。一帯何をやるというのか。去年も一昨年も同じことを言っていた。お前ら、一体なにをやってくれるんだ。なんて、切れる必要は有りません。

期待以上のものをやってくれるって?。サプライズ審査なのか?。

10年以上も前から付加価値審査って良く聞くけど相変わらず。例えば、「事業にとってより有効であろう観点から審査いたします」って審査員ごときに事業に対する有効性の伝授を受けるのかね?。

余計なことを考えたり言ったりしないで、普通に規格適合性審査をしっかりやってくれ。

付加価値などといけしゃあしゃあ言う向きは鼻から信用できない。こんな審査機関、審査員は切ってしまいましょう。ウン?何処の審査機関も言っているって?。だったらISMSなんか止めてしまおう。

.*.

問題の本質を突き止めた所見

これこそがわれわれの求める所見。色々な現象をとらえて、本質に楔を打つ。

多くの場合、経営者にとって厳しい指摘になる。

ところが審査員と来たら、いいこぶりっこ。嫌なことは言わない。当たり障りのない表面的な指摘をして済ませる。困ったものだ。

.*.
[ 投稿者:ISMSNEWS at 18:55 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年09月06日
公益通報者保護法
公益通報者保護法

内部告発を行ったものを保護するのが目的。

これまでも社会正義のために内部告発を行うものはいたが、場合によっては、会社側から懲罰的人事(左遷、冷や飯、別件解雇など)が行われることがあった。

これからは、そのような人事などを含む、告発者への報復は禁止される。馬鹿をやれば、更に告発を受ける。

会社の機密であっても、反社会的(刑罰がある重大な違法行為)であれば、外部に流出させることが出来ることになる。

合法的な情報流出。

(告発先)


社内。しかし、内部告発を内部に行うのは誰が考えても無理がある。
警察など。
消費者団体など。


労働法の一環の位置づけ。保護されるのは労働者のみ。

いい加減な法律なのかな?

.*.

ISMSの関連?

コンプライアンス違反に関連する情報の取り扱いの有無は、リスクアセスメントなどISMSサイクルの中で洗い出されなければいけない。

違法なデータ収集の有無など。

この法律が直接ISMSに関連することはなさそうだが、通報情報(誰がいつ何をどこへ通報したかなど)の取り扱いに特別なものがあれば、コンプライアンス違反の可能性を含め注意を要する。

.*.
[ 投稿者:ISMSNEWS at 18:50 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年09月04日
ユーザーセキュリティモジュール
ユーザーセキュリティモジュール

ユーザーセキュリティモジュール〜クライアントセキュリティモジュール

セキュリティモジュールの実装機能

セキュリティモジュールの機能

このソフトウエアは何を実装するか?


パスワード
電子印鑑
電子証明書
ログイン
ロール
暗号化機能
ハッシュ機能
署名機能
.*.
[ 投稿者:ISMSNEWS at 18:49 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

ITサービス改善計画
ITサービス改善計画

ノーアイデアです。
SLA
サービスレベル目標(SLO)
サービスレベル要件(SLR)
定量化した管理のほかに、ユーザーの声などによるレベル評価、ユーザーの生産性改善による評価など、複眼的なアプローチも必要だ。多分。

.*.
[ 投稿者:ISMSNEWS at 18:47 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

VERSIONS
VERSIONS

さらにさっぱり。

Macで使えるGUIベースのSubversionクライアント

.*.
[ 投稿者:ISMSNEWS at 18:42 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

トランク(幹)とブランチ(枝)
トランク(幹)とブランチ(枝)

さっぱり。

バージョン管理における概念、または手法とされる。

変更を行った場合に何処まで影響するか。あるいは影響が及ばないように切り分ける考え方。単なる発想の問題化、具体的な手法にまで落ちているのか分かりません。

リリースの改修・デバッグにおいては特に重要な概念となるだろう。ソフトバンク系ファーストサーバーの事故も安全設計の基本に何か落ち度があったのではないか。

.*.
[ 投稿者:ISMSNEWS at 18:41 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

RUP
RUP

Rational Unified Process

オブジェクト指向開発を前提としたソフトウェア開発プロセス・フレームワーク?

米国ラショナルソフトウェア社がまとめた?。

.*.
[ 投稿者:ISMSNEWS at 18:31 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

TickITplus
TickITplus

http://www.tickitplus.org/

なんのことやら。SW開発の品質保証に関する複数の標準類(規格要求など)を一つに統合したもの。もしくはそういう統合させるような試み。かな?

世間で特に騒いでいないので、まだ出来てもいないか、広く受け入れられるものになっていないか。いずれにしても途上。でしょう。

.*.
[ 投稿者:ISMSNEWS at 18:29 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

ISO 15504
ISO 15504

ソフトウェアプロセスのアセスメントのためのフレームワーク

Software Process Improvement Capability Determination (SPICE)

ソフトウェア開発工程
ウィキペディア

.*.
[ 投稿者:ISMSNEWS at 18:28 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

タイムボックス
タイムボックス

ある時間に可能な作業キャパシティのことかな。投入可能は工数のこと。小さい単位に分割できる。

イテレーション

反復型開発における1回の繰り返し。繰り返さない1回分?。スパイラルのサイズ?。返って分かり難いかな。分っていないからですが。

このイテレーションのサイズ(期間)とタイムボックスのサイズから、選択できる開発シナリオが決まってくるのかな。逆に発想すれば、開発シナリオを実現できるタイムボックスの設計(各種手配のこと?)とイテレーションのサイズ設計が必要になる。

.*.
[ 投稿者:ISMSNEWS at 18:27 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

トレーサビリティマトリックス
トレーサビリティマトリックス

サイトの説明を読んでいると返って分りづらい。期待している答えが無いからか。

顧客の言葉、企画の言葉、開発の言葉、・・・。

求めたものが得られているかを確認する手法の一つ。

テスト段階だけで使うものではない。企画断、開発段階でも利用できる。

要件/要求を展開し、それがスペック、実装において正しく受け止められているかを確認するための、マトリクス表。

サイトの説明では、最近ではテストで利用されることが多いみたいだ。その場合は、テストツールの一つとなる。

実際は企画や開発設計のレビューに使うことも多い。というか、以前はこちら(上流プロセス)がメインだったらしい。

.*.
[ 投稿者:ISMSNEWS at 18:22 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年09月03日
ハドゥープインタフェースを改善した米ハピルスの成果
ハドゥープインタフェースを改善した米ハピルスの成果

ビッグデータ処理のためのアマゾン・クラウド利用技術「ハドゥープ」インタフェースを改善した米ハピルスがもたらす成果は?

日本人ベンチャーということで注目されている米ハピルス。この技術により、クラウド利用が進み、ビッグデータへのチャレンジも進むことが期待される。

何が起きるだろう?

充分に混沌としていて大丈夫だろうと思っていたことが、大丈夫でなくなる。想定外の会席が進む結果、何かが、丸裸になるのです。

布をまとって充分に人の目から遮蔽されていたはずなのに、ある日、あなたは丸裸で立たされているのです。

犯罪者も脅かされます。

充分に自分を隠蔽したつもりが、瞬く間に、逮捕されてしまいます。

.*.

ハドゥープ

ハピルス

.*.
[ 投稿者:ISMSNEWS at 18:19 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年09月01日
クリティカル・リスク領域
クリティカル・リスク領域

こんな言葉があるかどうか分からない。出鱈目です。雰囲気は伝わる。

<1>

金を扱う会社とかサービス。「絶対に」セキュアでないと困る。

<2>

医療分野。病院、医療器具、薬剤。一つ間違えば文字通り命取り。

<3>

原子力。放射能/放射線。ミスをしたら取り返しが付かない。基本的に手に負えないものを扱っている。

<4>

高緯度集積型の社会インフラ。なんのことでしょう。それがこけたら社会が著しく歪む。

<5>

国防、警察、裁判など国家安全保障に関連する機関。

.*.

こういう領域の仕事は本気でISMSをやらないといけない。審査機関などによる認証は必ずしも求めない。審査機関もリスクの一つだから。コンサルも同じだ。

助言(アドバイザリー)については、中に入れない資料も見せないで間接的に助言を貰う形、内部担当者を育成する観点からのコンタクトにとどめるのが良い。

.*.
[ 投稿者:ISMSNEWS at 18:15 | ISMS四方山話 | コメント(0) | トラックバック(0) ]