掲示板お問い合わせランダムジャンプ



この広告は30日以上更新がないブログに表示されております。 新しい記事を書くことで広告を消すことができます。

Google広告

2012年11月30日
情報システム部門のマネジメントポリシー
情報システム部門のマネジメントポリシー

情報管理部門、情報統括部門、システム統括部門、情報セキュリティ統括部門、どれもこれも似たようなものです。厳密に言えば、そのコンセプトの本旨とするところは違いますが、実態は同じようなものです。

とりわけ、情報インフラの管理は必須要件ですから、経営陣の思いがどうあれ、企業内で最大のストレスを受け止めるしかありません。

情報システム部門に対する要求は矛盾の塊です。

超安定と超革新。

.*.

システム部門は保守的?

企業を知らない人の意見だろう。若しくは愚かな経営者に委ねた企業の姿だろう。絶えざるチャレンジに追い込まれるのが実態。予算不足、人材不足で、最高のシステムサービスを要求されて、パニック寸前。

勿論、運用サービスの現場は保守的スタンスを取る。当然のことだ。

新しいチャレンジは小規模な部門、子会社、関係会社で実験をしてからというのもある。

.*.

適正予算規模。これが問題です。金くい虫。システムは直ぐに陳腐化する。競争優位を維持するには貪欲に金を要求する。下手に計算式をつくってみても、投資回収前に次の投資を求められる。割が合いません。決して保守的なのでない。金が無いのだ。

.*.

時代は変わった。静的なインフラとして情報システム・情報ネットワークを捉える経営者はもういない。

いまや、情報インフラは事業の骨格そのものだ。

.*.
[ 投稿者:ISMSNEWS at 19:12 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

クラウドvs.オンプレミスの混乱
クラウドvs.オンプレミスの混乱

言葉が勝手に踊るものだから初歩的なところで取り違えてわけが分からなくなる。

一般にクラウドとはインターネット環境、少し協議にすればWEB環境。ですが、クラウドコンピューティングといった瞬間に混乱が発生します。IT担当者でも。インターネットを利用したコンピューティング、WEBコンピューティングをクラウドコンピューティングと捕らえる場合です。これ自身が間違っているわけでは有りません。

しかし、クラウドコンピューティングとは仮想化技術と定義する場合も有ります。サービスを提供しているサーバーを特定しなくて良い技術?。そのサービスがWEBサービスである必然性はありません。サーバー利用(運用?)における仮想化技術。設備の増設縮小も容易とか。

物理的なサーバーハードウエアを特定しないサーバーパフォーマンスの提供技術?

社内専用システムをクラウド(仮想化技術)で実現しても構いません。もちろん、WEBサービスをクラウドで実現しても。

.*.

オンプレミスは別の概念。設備の自前化。そのサーバーが従来型の専用サーバーでも構いませんし、クラウド型でも構いません。もっともクラウド利用には一定の規模がないとメリットは出ないかもしれません。

自社設備か他社設備利用か。これがオンプレミスか否か。

設備に使われる技術がクラウドかどうかは別次元。

.*.

クラウドという言葉が独り歩きをしたがために余計な混乱をしてしまった向きはあちこちに結構いらっしゃるようです。

もっとも、時間の経過で意味が再定義されることもありますから、油断禁物という奴です。

.*.
[ 投稿者:ISMSNEWS at 18:27 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年11月29日
全日空ANAの2013/02予約情報消失事故はISMS担当者の恥さらし?
全日空ANAの2013/02予約情報消失事故はISMS担当者の恥さらし?

全日空ANAはISMSの認証を取っていないのだろうか?

全日本空輸のサイトを見てもISMSに関する記述は見当たらない。変わりにプライバシーポリシーを覗いてみた。個人情報の開示請求は有料設定だ。500円。ちょっと確認したいときでも500円は高い。誰もが全日空並みの給料をもらっているわけではない。人の情報を都合でしかも無料で収集しておいてその確認の時には500円も払えというのはお役所的だ。

ANAがISMSの認証も取得できないでいるなら、なおさら情報セキュリティの担当役員(CISOまたはCIO)は恥ずかしいだろう。予約システムの停止事件も記憶に残るが、ANAのシステム担当者は駄目だな。CIOは誰なんだ?。

システム関係は子会社に一切任せているから本体は知らないで通しているのかな。そうなると役割責任と権限の関係もゆがんでいる事になる。経営体の問題だ。

さて、

情報消失はきわめて初歩的に管理システムの欠陥だ。バックアップを取るのが常識。予約などという不連続に発生する情報の場合はリアルタイム性も要求される。ミラーリングとか。プラス、夜間バッチでの確保も。

2月分全部がずっこけるというのはありえない事故だ。

担当者が意図的に削除したとしか考えられない。

大いなる勘違い?

ログからの掘り起こしでも復旧できそうなものだが、ログ管理も中途半端だったわけかな。ログまで消していたら犯罪だからね。

.*.
[ 投稿者:ISMSNEWS at 22:03 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

CEO vs. CIO vs. CISO :ISMSは誰のもの?
CEO vs. CIO vs. CISO :ISMSは誰のもの?

他にもCで始まる略語の役員はたくさんありますから、情報系の役員だけ切り出すことにはあまり意味が無い。

ですが、

情報システム〜情報管理は最大の金くい虫。企業体質を作る主戦場。ここは技術の変化が激しく、ベンダー視点、ユーザー視点、ともに高い専門性が要求される。

CIOは、だから、CEOから尊敬されるくらいの力量が必要だ。IT経験の無い「名ばかりCIO」では会社は混乱する。置かない方が良い。CIOはCEOより難しい。人材も少ない。依然は一線で使い物にならない人材が情報部門にまわされることが多かった。

CISOは情報セキュリティ担当役員。独立性あるいは牽制の観点からCISOを設置する企業がいるのには驚かされる。しかも、CIOと同格の役職として設定しているのだから、ままごとみたいな役員ごっこだ。

機能設計と役割体制は別。

CEO>CIO>CISO

人をアサインしたら当然こうなります。うん?

機能別に主管する役員を設定しても構いませんが、ISMSを導入するときは要注意。CIOが放置してきた領域が、ISMSのCISOでは明確な業務領域として入り込んできますから、それをもってCISOだけ責任領域を広げ、CIO責任領域を修正しないで置くといびつな管理体制になります。

.*.
[ 投稿者:ISMSNEWS at 18:27 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年11月26日
業務委託時にソフトウエアを貸与できるか?
業務委託時にソフトウエアを貸与できるか?

業務委託では、委託先にいろいろなものを貸与または支給することがある。要求スペックの詳細、開発または製造に際して注意すべきこと。

特定のパーツ支給や、特注となるツール類。

ソフトウエアやソフトウエアをインストールした環境まで支給することがある。

著作権を有するソフトウエアの場合は、自社開発ソフトウエア、あるいは著作権を有するソフトウエアの取り扱い規定に基づくことが求められる。この時は主に自社の著作権が侵害されないことが主眼となる。

他社の著作物であるソフトウエアを貸与する場合は他社の著作権を侵害しないことに注意することが必要。貸与の前にライセンス契約を確認しよう。事後にコンプライアンス違反が発覚したときに生じる損害の大きさを考えて必ず事前に確認すること。

会社の業務委託に関する規定の中でライセンス違反の有無を事前にチェックさせることを明記すべきだろう。

割と多いのは、大きな企業が内で買った方が安いからこちらから支給するケース。委託先利用がディスカウント対象になるかどうかは要チェック。

.*.
[ 投稿者:ISMSNEWS at 10:18 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年11月21日
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2012」
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2012」

今年のISMSユーザー会セミナーの案内です。取り敢えず申し込んでおきました。場所は昨年と同じ新宿でクリスマス前の21日(金曜日)です。ボランティアの方々のご尽力に感謝したいです。

.*.

http://j-isms.jp/



日本ISMSユーザグループ
「情報セキュリティマネジメント・セミナー2012」のご案内

 セミナー概要

日本ISMS ユーザグループ「情報セキュリティマネジメント・セミナー2012」を以下のとおり開催しますので、ご案内させていただきます。

本セミナーでは、日本ISMSユーザグループで検討を進めている、「情報セキュリティマネジメントシステム(ISMS)の実施・運用に関わるベストプラク ティス」を、利用者の視点から整理・検討した結果を報告します。具体的には、以下のプログラム(予定)のとおり、現在のISO/IEC JTC1/SC27のISMS関連規格の動向把握に加え、日本ISMSユーザグループメンバの実施経験をベースに、ISMS実施・運用に関わる課題を導出 し、主に運用管理、内部監査、及び有効性評価などの課題に焦点を絞った具体的な解決方法に関する検討内容を共有します。

 開催概要

日 時
2012年12月21日(金)13:00-17:35(12:30受付開始)
会 場
工学院大学新宿キャンパス
[高層棟3階]URBAN TECH HALL(アーバンテックホール)
住所:〒163-8677 東京都新宿区西新宿1丁目24番2号
主 催
日本ISMSユーザグループ
定 員
250名
費 用
無料
ご注意
・定員となり次第お申し込みを締め切らせていただきます。
・記載の内容は予告無く変更する場合がございます。あらかじめご了承ください。
・会場での資料配布はありません。あらかじめホームページからダウンロードの上、ご持参ください。

*本年度のセミナーは、13:00開始です。お間違えのないようにお越しください。

 プログラム

資料は現在準備中です。(アップロード予定:セミナー開催5日前)

講演内容(予定)
スピーカー(予定)

1
セミナー開催のご挨拶
(13:00-13:10)
日本ISMSユーザグループ
代表 中尾 康二
(KDDI(株))
2
APTによる攻撃の最新動向
(13:10-13:30)
日本ISMSユーザグループ
代表 中尾 康二
(KDDI(株))

3
基調講演:クラウドセキュリティ監査と情報セキュリティ会計
(13:30-14:00)
工学院大学
大木 榮二郎

4
ISO/IEC27000シリーズの改訂とWG1におけるクラウドセキュリティ規格化の動向
(14:00-15:00)
SC27/WG1
主査 山崎 哲

休憩(15:00-15:10)
5
ISMS実践手法 BCPのモデル化の検討
(15:10-15:50)
インプリメンテーション研究会
副主査 魚脇 雅晴
(NTTコムテクノロジー(株))

6
可視化手法を用いたリスク対策モデルとその実践的応用
(15:50-16:30)
インプリメンテーション研究会
主査 羽田 卓郎
(リコージャパン(株))

7
管理策の有効性測定
(16:30-17:10)
メジャメント研究会
主査 岸田 明
(綜合警備保障(株))

全体の質疑応答(17:10-17:25)
8
本日のまとめと入会のご案内
(17:25-17:35)
日本ISMSユーザグループ
事務局長 工藤 悦郎
(NTTデータ先端技術(株))


送信完了

ご登録ありがとうございました。
後ほど受付完了のご連絡と受講票をメールにてお送りいたします。

受付完了のご連絡のメールが届かない場合は、お手数ですが下記セミナー事務局までお問い合わせください。
なお参加者多数の場合はご参加いただけない場合もございますので予めご了承ください。
ご参加いただけない場合は、その旨事務局よりご連絡させていただきます。


日本ISMSユーザグループ セミナー事務局 seminar2012@j-isms.jp

.*.
[ 投稿者:ISMSNEWS at 10:13 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年11月16日
(組織課題)
(組織課題)

Google
Open Computer Network
NTT Communications Corporation
U's Communications Corp.

KDDI CORPORATION
InfoWeb(Fujitsu Ltd.)
Microsoft Corp
Softbank BB Corp
IIJ Internet
NTT Plala Inc.
NTT PC Communications,Inc.
OCN Provided By NTT-Communications which is ISP
Microsoft Hosting
BIT-DRIVE
NEC BIGLOBE Ltd.
Marubeni Access Solutions Inc.
K-Opticom Corporation
DION (KDDI CORPORATION)
HITACHI
Nec Corporation
Fujitsu
SOFTBANK TELECOM Corp.
Asahi Net
InfoSphere (NTTPC Communications, Inc.)
@Home Network Japan
Equinix Asia Pacific
UQ Communications Inc.
NS Solutions Corporation
So-net Service
Sony Business Solutions Corporation
Ntt Docomo
Chubu Telecommunications Co.,Inc.
Internet Initiative Japan
eAccess Ltd.
Open Data Network(JAPAN TELECOM CO.,LTD.)
Otsuka Corporaion
Panasonic Corporation
Kyushu Telecommunication Network Co., Inc.
Dream Train Internet Inc.
YAMATO SYSTEM DEVELOPMENT CO., LTD.
Osaka Gas Information System Research InstituteCo.
FreeBit Co.,Ltd.
So-net Entertainment Corporation
Mitsubishi Electric Corporation
NTT NEOMEIT CORPORATION
XePhion(NTT-ME Corporation)
Sony Corporation
TOKAI Communications Corporation
Fujitsu Limited
VECTANT Ltd.
Ntt-me Corporation
Chubu Telecommunications Co., Inc.
INTERLINK Co.,LTD
Oki Electric Industry Co., Ltd.
TOKAI Corporation
UEDA CABLE VISION CO.,LTD.
Hare no Kuni Net
Kyushu Telecommunication Network Co.,Inc.
NTT Software Corporation
GLORY LTD.
Broadgate
eMobile
NTT DATA CORPORATION
Excite Japan Co., Ltd.
Y2S Corporation
SECOM Trust Systems Co.,Ltd.
Rakuten, Inc
IWATSU ELECTRIC CO.,LTD.
Japan Radio Co., Ltd.
Nomura Research Institute,Ltd.
TOKYU STAY Service Co., Ltd.
SAGAWA EXPRESS Co.,Ltd.
Dream Wave Shizuoka Co., Ltd.
Wingtechnology Communications, Inc.
NTT Communications
TOSHIBA I.S. CORPORATION
Nihon Unisys, Ltd.
Its Communications
Sekisui Chemical Co., Ltd.
Kagoshima University
PAL CO.,LTD.
KDDI R&D Laboratories Inc.
Yamaguchi University
CITIZEN
Aichi University
INFORMATION SERVICES INTERNATIONAL - DENTSU, LTD.
hi-ho Inc.
Canon Marketing Japan Inc.
EHIME CATV CO.,LTD.
SOUTH TOKYO CABLETELEVISION
EDION Corporation
audio-technica Corporation
Kanden Information Systems Company,Incorporated
J:COM WEST Co., Ltd.
SAKURA Internet Inc.
JEOL
SOFTBANKBB Corp.
Ministry of Agriculture,Forestry and Fisheries
Sanyo Medicom Software Co.,Ltd.
Japan Atomic Energy Research Institute
National Hospital Organization
ELNA., CO.LTD
Yokohama Cablevision inc.
Tata Communications
HORIBA,Ltd
Mitsubishi Research Institute DCS Co.,Ltd.
Tohmatsu & Co.
Niigata Communication Service
DIGITAL TECNOLOGIES CORPORATION
TOYOTA DIGITAL CRUISE INCORPORATED
FUJITSU SOFTWARE TECHNOLOGIES LIMITED
BENIC SOLUTION CORP.
D.C.N. Corporation
Yokohama National University
Toyo Networks & System Integration Co.,Ltd.
KANAZAWA CABLE TELEVISION NET CO.,LTD.
RICOH Company, Ltd.
FirstServer, Inc.
FLAG Telecom Ltd
Cable Network Chiba Co. ltd
AP Communications Corp.
MEIDENSHA CORPORATION
Japan total system incorporated.
National University Corporation Okayama University
SUMITOMO BAKELITE COMPANY LIMITED
Mini Mini Corporation
Tyco Healthcare Japan Inc.
Mitsubishi Electric Information Technology Corp.
NAMCO
KATCH Network Inc.
Nihon Fukushi University Educational Group
eSOL Co.,Ltd.
Nippon Office Systems, Ltd.
Panasonic Electric Works Information Systems Co.
Birds Systems Research Institute,Inc.
JAPANESE STANDARDS ASSOCIATION
SANNET INTERNET SERVICE
TAISEI CORPORATION.
Kansai Paint Co., Ltd
DAIKIN INDUSTRIES, LTD.
Hokuden Information Technology,Inc.
COMMUNITY NETWORK CENTER INC.
ZTV CO.,LTD
ASATSU-DK INC.
Kashiwazaki Internet Service
WASEDA University
TERUMO CORPORATION
GMO Internet,Inc.
Mitsubishi UFJ Securities Co., Ltd.
ITOCHU Techno-Solutions Corporation
KYOCERA Corporation
Ogilvy & Mather Japan K.K.
Sammy Corporation
IPSTAR Company Limited
Toshiba Solutions Corporation
Mitsubishi-logistics Corporation
ITEC HANSHIN CO., LTD
Pikara(STNet, Incorporated)
Cable Media WAIWAI Co.,Ltd.
The Sumishin Information Service Co., Ltd.
NTT COMWARE CORPORATION
KONICA MINOLTA HOLDINGS, Inc.
Matsushita Electric Works Infomation Systems Co.,L
LCV Corporation
Suntory Business Expert Limited
ITEC HANSHIN CO.,LTD.
Suzuka Cable Co.,Ltd
NS Computer Service Corporation
Dai Nippon Printing Co., Ltd.
U-net Internet Service SURF
Ministry of Land, Infrastructure and Transport
Naganoken Kyodou Densan Co.Ltd.
maruha co.,ltd
SIOS Technology,Inc.
Densan Co., Ltd.
[ 投稿者:ISMSNEWS at 19:47 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

TOKAIコミュニケーションズのISMS
TOKAIコミュニケーションズのISMS

ここもインフラの会社ですね。

.*.
[ 投稿者:ISMSNEWS at 19:45 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

KDDIのISMS
KDDIのISMS

通信インフラサービス会社かな。

最大は可用性。完全性。機密性。難儀な会社ですな。

顧客情報も多い。どのように管理しているか気になります。

KDDIのセキュリティポリシー

"KDDI社内"のセキュリティ事故

"KDDI社内"のセキュリティ事件

.*.
[ 投稿者:ISMSNEWS at 19:44 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

日立のISMS
日立のISMS

組織が大き過ぎる。セキュリティマネジメントは困難である。深刻な課題である。グループ企業、協力企業などを視野に入れれば一般的な対応では到底追いつかない。

専門組織による統治機能が末端までいきわたる仕組みが必須。セキュリティ憲法が日立内に必要。

日立グループに連なる誰か一人を捉まえて話を聞けば憲法の本質が見えてくるはずである。

日立のセキュリティポリシー

どうだろう?有言実行か今夜の白袴か。ベンダーとしてコンサルタントとしてアクティブに関わっているが日立自身はどのような状況にあるんだろう。

"日立社内"のセキュリティ事故
"日立社内"のセキュリティ事件

ネガティブメッセージを外に出さない仕組みもあるのでネット上では本当のことは分からない。顧客やパートナーを巻き込んだケースになれば表に出てくるものもあるだろうが、事例は少ない。

.*.

各事業部門、各グループ企業、各部門はそれぞれの業界それぞれの部門のセキュリティ要求を受ける。

.*.
[ 投稿者:ISMSNEWS at 19:43 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年11月11日
ISMSにおける中国リスク
ISMSにおける中国リスク



中国リスクをあげたらキリが無い。存在そのものがリスクだし、昨今の敵対的な出方を視野に置けば、一切合切がリスクに見えてくる。人も情報も早々に引き上げるべしだね。中国で儲けようなんて考えること自体がリスクだ。



中国人、中国資本、関連企業が近づいてきたら先ず身構えなければいけない。美味い話は危険な話。



中国という国のやり方は十分学習したでしょう。材料であれ、設備機器であれ、サービスであれ、資金・融資であれ、依存してはいけない。どういう事態でどういうとばっちりを受けるか分かったものではない。



各企業・各組織は自らが抱える中国リスクを早急に評価すべきだ。関連会社の中国リスクも押えておくことだ。



.*.
[ 投稿者:ISMSNEWS at 10:28 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年11月10日
日本ISMSユーザーグループ(J-ISMS UG)
日本ISMSユーザーグループ(J-ISMS UG)

ユーザーグループって感覚はどうかと思うがISMSの規格を利用活用しているという意味では立派なユーザーになります。そういう意味ではコンサルも審査機関もユーザーかな。

http://j-isms.jp/index.html

有意義な活動が広く公開されて賞賛に値します。今年も高齢の「情報セキュリティマネジメント・セミナー」が開催されます。201/12/21(金曜日)

まだ参加者募集案内は出ていませんが、事情が許せば参加してみたいものです。

遠隔操作ウイルス・ネットバンキングウイルスの話はスキップできないでしょうね。
隣国からのサイバー攻撃も無視できません。大手企業がメンバーに入っている当グループにとっては中国・韓国筋からの情報盗用は深刻ですから多いに啓蒙すべきです。特に中国は法的にも勝手が違いますから徹底した防戦に向けた施策を啓発すべきです。
また中国の執拗な日本攻撃もISMS領域も含めたリスクとして検討を加える必要があります。中国企業との取引の有無、中国に組織の一部、即ち企業情報を置いていることによるリスク評価、事業継続関連のリスクなどについても考察が求められます。
クラウドについては依然問題が残ったままです。信頼性問題もあればコンプライアンス問題も状況は変わっていません。
規格の次期バージョンの進捗と有効性についての議論も欠かせません。規格自体の問題と規格運用の問題をクリアにした議論が待たれます。

.*.
[ 投稿者:ISMSNEWS at 19:42 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年11月03日
国家的損失を招いた新日鉄の情報セキュリティ水準
国家的損失を招いた新日鉄の情報セキュリティ水準

新日鉄がポスコを提訴した。新日鉄の元社員を使って企業の極秘情報を盗み出したからだ。この極秘情報はポスコから中国に盗み出されたようだ。新日鉄の極秘技術「方向性電磁鋼板」は40根二条かけて開発してきた超極秘情報。それを研究職社員が盗み出して売り払ったものと思われる。日本国家への大損失を招いたサラリーマン史上最低の社員だろう。いずれ実名なども公表され社会的制裁も加えられることになるだろう。

それにして、

新日鉄の情報セキュリティはどのようであったのか。超機密情報が易々と盗み出されたのではないだろうが、ポスコから盗んだ技術で作った商品が表に出てくるまで何も分からなかったなんて。セキュリティ管理体制が、そもそも拘置されていたのかどうかさえ怪しいものだ。ISMS認証などはどうでもいいが、実際にやることをやれなければ極秘情報も何もないだろう。ずさんな管理実態がもしあれば、裁判に勝つことさえできなくなる。

問題は本当に大きいのだ。裁判に買ったところで、流出した技術は戻らない。特許もとってなければひっくり返る。注意しろ!。中国のいんちき木牛は特許だけ世界のあちこちに申請しているだろう。新幹線技術さえ、自分たちのものだと言い張って特許取得に動き出す国なんだ。

.*.

ISMS?これは絶対に必要。認証取得はどうでもいいです。コンサルとか審査員に機密情報をさらす必要はない。彼は認証取得のノウハウには長けていても本当のセキュリティ技術に長けているわけでないし、そもそも何の責任能力も持っていない。

社内にISMSの専門家がいなければ、しかし、外部の力を借りるのは止むを得ない。商売っ気の多い、コンサルファームや審査機関は捨てて、純粋なセキュリティアドバイザー(経験のあるボランティア)の意見を聞いてみることだ。

セキュリティが甘いと国家の損失ということをしっかり理解すべきだ。その企業・団体だけの問題では済まないのだ。

懲罰的活動(提訴)もしっかりやらなければいけない。問題を(ソフトバンクのように)闇から闇に葬るようではいけないのです。

.*.
[ 投稿者:ISMSNEWS at 19:39 | ISMS四方山話 | コメント(0) | トラックバック(0) ]