日本人は同調圧力が強いと言われる。あの人はみんなと違うことをしている、とか、みんながしているであろうことをやってない、礼を欠いているのではないか、とか。 同調圧力ってのは（ある意味）ポジティブな言い方であって、実は事なかれというか、仕事をし…

各社で組織セキュリティの推進をするなかで、質問が多かった点をまとめてみた。 ① セキュリティ統制、セキュリティポリシーの策定と推進 セキュリティ統制の方針については、JISとかでも規程されてる。会社がポリシーとして決めたものは守る、を基本にするの…

大昔のこと、交換機の付帯系システムのプログラミングをしていた。始まりはまだ昭和の終わり、DKUが１GBで１０００万円だった頃。（うーん、それから考えると、今はSDメモリだと１TBで１万円くらいかな。ビット単価は１００万分の１だな。３０年以上前だが）…

「ゼロトラスト」が、セキュリティ対策の１つのキーワードになっている。 悪い人が中と外に分けている「境界型セキュリティ」に比べて、データも悪い人も、内にも外にもいる現状を踏まえてセキュリティの再設定ということだけど、各組織でのセキュリティ担当…

#StopRansomware Guide*1について、まとめておきたい。 先日のDDoSガイドに続いて、また最近、CISAやFBI、MS-ISACが連携して啓蒙しているのかね、と思ったらとんと勘違い。オリジナルは２０２０年に出ていて、すでに改訂第３版。半田病院のランサムウェアの…

再び、組織セキュリティの話。サイバー攻撃等、何らかの情報喪失による事業の停止に備えるため、情報資産のバックアップをやるというのは通常の話。本来は、事業継続に必要な情報資産を洗い出して、台帳等にも管理ルールを定めておくとともに、実際の情報の…

唐突ですが、プロジェクトを完成する秘訣は、ステークホルダーの範囲を正しく捉えて、すべての関係者との折り合いをきちんと付けることだと思う。決められたことを納期だけで一人だけでやらされている感から、PMがプロジェクトに関する誤解や、しんどいので…

以前から、IT人材のスキル標準に関わっている。ITSS、UISSの時代から考えると、もう17年位。最近は仕事柄、IT人材育成からは離れていたので、昨日開催されたSSUGのイベント*1で10年ぶりの近況伺いが出来た。 情報システムに取り組んでいるヒトからすれば、IT…

以前、PMOとなったヒトから、相談を受けたことを書いた。記事を読み返していて、相手に確認すべき大きな観点が一つ抜けていたことに気がついた。 PMOはPMを助けるだけの組織だったのか PMOは会社の統合基盤運用をうまく行かせるためにPMを助ける組織だったの…

DevOps*1 DevOpsとは、ソフトウェア開発チームとIT運用チームの作業を統合して自動化し、高品質なソフトウェアを迅速に提供できるようにすること。 DevSecOps*2 DevSecOpsとは | 開発（development）、セキュリティ（security）運用（operation） を略したも…

昨年度まで、海外連携で一緒に連携させていただいた、米国 IT-ISAC*1の事務局長Scottが３年前に以下のブログをまとめています。 元記事はこれです。→ https://www.it-isac.org/post/simple-solutions-for-a-complex-threat ポイントは以下のとおりです。 攻…

少し旧聞になるのですが、昨年の１０月に、米国のサイバー庁*1とFBIとMS-ISAC*2が連名で、「Understanding and Responding to Distributed Denial-of-ServiceAttacks（DDoS攻撃の理解促進と対策の向上に向けて：仮訳題）」という資料が公開されています。MS-…

◯◯の手習い？ 最近、動画づくりにハマっている。きっかけは、ある団体でのセキュリティに関する注意喚起、啓蒙活動をしようと思ったこと。最初は紙（リーフレット）、その後はホームページでの啓蒙の狙いで、侃々諤々、検討チームで議論の上でリーフレットと…

テレワークが増えてきたからこその気づきかもしれない。 問合せ業務の引き継ぎ 半年ほどから、社内各所（グループ会社も含めて）から、セキュリティに関する問い合わせを受け付ける業務をしていた。 問い合わせは、担当チーム全部に送付されるメーリングリス…

同級生の個展 小中学校の同級生が、銀座で写真や絵画の個展を開いているとのことで、訪問させていただいた。 絵とかグッズも販売ありとのことなので、仕事での悪い癖か、どこらへんが損益分界点なのかと、勝手に想像してみた。 ところが、彼には会社員として…

先日とりあげた「セキュリティ対応組織（SOC/CSIRT）の教科書」で、もう１つ興味深い図があるので、参照させていただいた。 前回はCDCという考え方は、ヒトでもなく（セキュリティ委員会といった）会議体でもなく、ちょうどいい概念だなぁというのが気づきで…

注意喚起と銘打って、サイバー攻撃のリスクに晒されているヒトに注意喚起をする取り組みがある。注意喚起の取り組みは政府の取り組みでもあるし、各社社内での情報提供の取り組みとしてもあるかと思う。各自がそれぞれにセキュリティに気をつけて、というよ…

日本セキュリティオペレーション事業者協議会（ISOG-J)が2013年10月に改訂３．１版のセキュリティ対応組織の教科書（https://isog-j.org/output/2023/Textbook_soc-csirt_v3.1.pdf）というのがまとめられていた。 不勉強にも、この教科書は存じ上げなかった…

コンサルってのはね、誰でも知っていることを勿体つけてきて説明して、高い金を分捕っていくもの。というのは、以前聞いた、アメリカでのコンサルの定義だそうな。 本当かどうかはさておき、その後、ITSSとかスキル標準に携わっていたときも、コンサル職種は…

自分の家の近所の治安が悪いので、ドアに鍵を２つ付けた。鍵を１つにするか、２つにするかは、誰が決めるべきなのでしょうか。 一軒家なら我が家の判断。賃貸なら不動産やさんが予め考えているかもしれません。マンションでも分譲なら、まあ、これも不動産屋…

もともと、プログラミングが好きだった。 ゲームを作って、人を楽しませるのが面白かった。当時のプログラミングはCUIベースだから、見た目には寂しい表示だけど。 もちろん遊ぶのも大好きで、憧れたのが、ゲームセンターにあったハングオン（ハングオン / H…

組織での情報セキュリティって、性善説なんですか？性悪説なんですか？ つまり、組織の情報セキュリティの統制の中で、例えば、従業員のアクセス権限管理って、性善説で設定すればいいんですか？それとも性悪説なんですか？って、質問の意味だと理解するのに…

かつてネットワークサービスを作る機会があった。プリペイド型の通信サービスってやつだ。 当時、その機能が実現するまでは、テレフォンカードの偽造カードの流通が社会問題化していて、せっかく買ったテレフォンカードが使えないのではないかという不安があ…

保守開発生産性の分析で、論文を書く機会があった。 保守開発生産性って言葉は耳馴染みないと思います。私が関わった２００以上の情報システムでは、各システムが相互に連携してビジネスを提供していました。 企業の事業の変化を情報システムの上に実装する…

前に、組織ごとにセキュリティ規程を共有する必要性を書いた。 規程と基準、要領(手順書)の段階的に分けて考えるのは正しいのですか、特に基準の濫用にならないようにしたい。 基準というのは、セキュリティリスクやリスクのある業務に対して、どこまでの業…

情報システム作りだけでないかもしれませんが、プロジェクトを進めるに当たり、進め方の選択肢は多い方がいい。プロジェクトに想定外やトラブルは付き物だし、選択肢が沢山あれば、その種類だけ挽回策を立てるのもたくさんの方法で立てられる。 例えば製品の…

中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構のセキュリティ管理規程の中でも、最初の方に、情報資産管理の話があります。 その記載をそのまま引用すると 当社事業に必要で価値がある情報及び個人情…

昔、スキル標準の導入・活用事例として、社員のスキルの見える化に取り組んだ。取り組みの事例と活用を各社の経営の方々に紹介させていただいたときのこと。スキルでもなんでも、可視化できないものは計画的な成長ができないので、標準に基づいた可視化は大…

ISACという組織を知っていますか？ Information Sharing and Analysis Centerの略で、業界内での情報共有・連携の取り組み推進を図る組織を指します。日本では、２００２に通信業界からなるTelecom-ISAC（２０１６年から放送事業者も巻き込んで独立したICT-I…

某国からのサイバー攻撃、あちこちでの戦争の発生など、サイバーセキュリティとしても非常に物騒な時代になってきました。 ここで、政府の各省庁がまとめているセキュリティ戦略をまとめてみたいと思います。 内閣官房（NISC） NISCには、国全体のサイバーセ…