セキュリティ界隈で気になった、２０２３年の振り返り。私調べ。 ① 生成AIによる、フィッシングの巧妙化 ② 社員による不正に向けての対処 ③ RMMソフトウェアによる不正 ④ SaaS機能の生成AIによる高機能化 ⑤ 結局は基本のキ さっきまで違うことも考えてたんだ…

昨日は、仕事納め。 昨年度末までは一般社団法人への出向、そして４月に帰任し新たな仕事。そして改めて１２月に転職して、新たな年を迎えるという、慌ただしい１年。昨年度末には夢にも考えてなかった展開。 最近はテレワークも盛んで、仕事納めとはいって…

１０年ぶり以上で、システム運用監視の部署のヒトの話を伺った。 システム運用監視って何？というヒトもいるかも知れない。まあ、各企業で使っている情報システムの安定稼働監視とシステム運用業務を行ってくれる部署なので、子会社や外部委託してるかもしれ…

守破離、という言葉がある*1 守破離： 剣道や茶道などで、修業における段階を示したもの。「守」は、師や流派の教え、型、技を忠実に守り、確実に身につける段階。「破」は、他の師や流派の教えについても考え、良いものを取り入れ、心技を発展させる段階。…

目標管理って、やってますか？ 目標設定が半年ごとの会社もあれば、３ヶ月ごとの会社もある。目標は上司が基本は設定する場合もあれば、メンバーが設定する場合もある。自分がMBO（Management by Objectives：目標管理制度）の用語を見たのは２００４年くら…

セキュリティポリシーとはなにか。総務省のホームページで解説*1があった 情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。情報セキュリティポリシーには、社内規定といった組織全体のルールから…

人生の節目が近づいた師匠にお会いした。 師匠と思う方はたくさんいる。その中の一人、一枚紙（いちまいがみ）の大切さを教えてくれたヒト。一枚紙とは、例えば幹部へのレクや打ち合わせの相手に伝えるメッセージを1枚の紙にまとめたエグゼクティブサマリ。…

天国はどんなところですか・・・美味しいものがたくさんある。天国のヒトはみんな１ｍにもなる長い箸を持っておってな、お互いに食べさせてあげながら、みんな助けてあげている。 地獄はどんなところでした・・・天国とはあまり変わらない。美味しいものが沢…

日本初のパフォーマンスグループがものすごい人気なのだそうだ https://xgalx.com/xg/profile/ TV番組で見た受け売り情報なんだけど、デビューに向けてパフォーマンスの技術を磨いたのはもちろん、言葉も英語・韓国語・日本語をマスターするために、毎日のレ…

日本人は同調圧力が強いと言われる。あの人はみんなと違うことをしている、とか、みんながしているであろうことをやってない、礼を欠いているのではないか、とか。 同調圧力ってのは（ある意味）ポジティブな言い方であって、実は事なかれというか、仕事をし…

各社で組織セキュリティの推進をするなかで、質問が多かった点をまとめてみた。 ① セキュリティ統制、セキュリティポリシーの策定と推進 セキュリティ統制の方針については、JISとかでも規程されてる。会社がポリシーとして決めたものは守る、を基本にするの…

大昔のこと、交換機の付帯系システムのプログラミングをしていた。始まりはまだ昭和の終わり、DKUが１GBで１０００万円だった頃。（うーん、それから考えると、今はSDメモリだと１TBで１万円くらいかな。ビット単価は１００万分の１だな。３０年以上前だが）…

「ゼロトラスト」が、セキュリティ対策の１つのキーワードになっている。 悪い人が中と外に分けている「境界型セキュリティ」に比べて、データも悪い人も、内にも外にもいる現状を踏まえてセキュリティの再設定ということだけど、各組織でのセキュリティ担当…

#StopRansomware Guide*1について、まとめておきたい。 先日のDDoSガイドに続いて、また最近、CISAやFBI、MS-ISACが連携して啓蒙しているのかね、と思ったらとんと勘違い。オリジナルは２０２０年に出ていて、すでに改訂第３版。半田病院のランサムウェアの…

再び、組織セキュリティの話。サイバー攻撃等、何らかの情報喪失による事業の停止に備えるため、情報資産のバックアップをやるというのは通常の話。本来は、事業継続に必要な情報資産を洗い出して、台帳等にも管理ルールを定めておくとともに、実際の情報の…

唐突ですが、プロジェクトを完成する秘訣は、ステークホルダーの範囲を正しく捉えて、すべての関係者との折り合いをきちんと付けることだと思う。決められたことを納期だけで一人だけでやらされている感から、PMがプロジェクトに関する誤解や、しんどいので…

以前から、IT人材のスキル標準に関わっている。ITSS、UISSの時代から考えると、もう17年位。最近は仕事柄、IT人材育成からは離れていたので、昨日開催されたSSUGのイベント*1で10年ぶりの近況伺いが出来た。 情報システムに取り組んでいるヒトからすれば、IT…

以前、PMOとなったヒトから、相談を受けたことを書いた。記事を読み返していて、相手に確認すべき大きな観点が一つ抜けていたことに気がついた。 PMOはPMを助けるだけの組織だったのか PMOは会社の統合基盤運用をうまく行かせるためにPMを助ける組織だったの…

DevOps*1 DevOpsとは、ソフトウェア開発チームとIT運用チームの作業を統合して自動化し、高品質なソフトウェアを迅速に提供できるようにすること。 DevSecOps*2 DevSecOpsとは | 開発（development）、セキュリティ（security）運用（operation） を略したも…

昨年度まで、海外連携で一緒に連携させていただいた、米国 IT-ISAC*1の事務局長Scottが３年前に以下のブログをまとめています。 元記事はこれです。→ https://www.it-isac.org/post/simple-solutions-for-a-complex-threat ポイントは以下のとおりです。 攻…

少し旧聞になるのですが、昨年の１０月に、米国のサイバー庁*1とFBIとMS-ISAC*2が連名で、「Understanding and Responding to Distributed Denial-of-ServiceAttacks（DDoS攻撃の理解促進と対策の向上に向けて：仮訳題）」という資料が公開されています。MS-…

◯◯の手習い？ 最近、動画づくりにハマっている。きっかけは、ある団体でのセキュリティに関する注意喚起、啓蒙活動をしようと思ったこと。最初は紙（リーフレット）、その後はホームページでの啓蒙の狙いで、侃々諤々、検討チームで議論の上でリーフレットと…

テレワークが増えてきたからこその気づきかもしれない。 問合せ業務の引き継ぎ 半年ほどから、社内各所（グループ会社も含めて）から、セキュリティに関する問い合わせを受け付ける業務をしていた。 問い合わせは、担当チーム全部に送付されるメーリングリス…

同級生の個展 小中学校の同級生が、銀座で写真や絵画の個展を開いているとのことで、訪問させていただいた。 絵とかグッズも販売ありとのことなので、仕事での悪い癖か、どこらへんが損益分界点なのかと、勝手に想像してみた。 ところが、彼には会社員として…

先日とりあげた「セキュリティ対応組織（SOC/CSIRT）の教科書」で、もう１つ興味深い図があるので、参照させていただいた。 前回はCDCという考え方は、ヒトでもなく（セキュリティ委員会といった）会議体でもなく、ちょうどいい概念だなぁというのが気づきで…

注意喚起と銘打って、サイバー攻撃のリスクに晒されているヒトに注意喚起をする取り組みがある。注意喚起の取り組みは政府の取り組みでもあるし、各社社内での情報提供の取り組みとしてもあるかと思う。各自がそれぞれにセキュリティに気をつけて、というよ…

日本セキュリティオペレーション事業者協議会（ISOG-J)が2013年10月に改訂３．１版のセキュリティ対応組織の教科書（https://isog-j.org/output/2023/Textbook_soc-csirt_v3.1.pdf）というのがまとめられていた。 不勉強にも、この教科書は存じ上げなかった…

コンサルってのはね、誰でも知っていることを勿体つけてきて説明して、高い金を分捕っていくもの。というのは、以前聞いた、アメリカでのコンサルの定義だそうな。 本当かどうかはさておき、その後、ITSSとかスキル標準に携わっていたときも、コンサル職種は…

自分の家の近所の治安が悪いので、ドアに鍵を２つ付けた。鍵を１つにするか、２つにするかは、誰が決めるべきなのでしょうか。 一軒家なら我が家の判断。賃貸なら不動産やさんが予め考えているかもしれません。マンションでも分譲なら、まあ、これも不動産屋…

もともと、プログラミングが好きだった。 ゲームを作って、人を楽しませるのが面白かった。当時のプログラミングはCUIベースだから、見た目には寂しい表示だけど。 もちろん遊ぶのも大好きで、憧れたのが、ゲームセンターにあったハングオン（ハングオン / H…