組織での情報セキュリティって、性善説なんですか？性悪説なんですか？ つまり、組織の情報セキュリティの統制の中で、例えば、従業員のアクセス権限管理って、性善説で設定すればいいんですか？それとも性悪説なんですか？って、質問の意味だと理解するのに…

かつてネットワークサービスを作る機会があった。プリペイド型の通信サービスってやつだ。 当時、その機能が実現するまでは、テレフォンカードの偽造カードの流通が社会問題化していて、せっかく買ったテレフォンカードが使えないのではないかという不安があ…

保守開発生産性の分析で、論文を書く機会があった。 保守開発生産性って言葉は耳馴染みないと思います。私が関わった２００以上の情報システムでは、各システムが相互に連携してビジネスを提供していました。 企業の事業の変化を情報システムの上に実装する…

前に、組織ごとにセキュリティ規程を共有する必要性を書いた。 規程と基準、要領(手順書)の段階的に分けて考えるのは正しいのですか、特に基準の濫用にならないようにしたい。 基準というのは、セキュリティリスクやリスクのある業務に対して、どこまでの業…

情報システム作りだけでないかもしれませんが、プロジェクトを進めるに当たり、進め方の選択肢は多い方がいい。プロジェクトに想定外やトラブルは付き物だし、選択肢が沢山あれば、その種類だけ挽回策を立てるのもたくさんの方法で立てられる。 例えば製品の…

中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構のセキュリティ管理規程の中でも、最初の方に、情報資産管理の話があります。 その記載をそのまま引用すると 当社事業に必要で価値がある情報及び個人情…

昔、スキル標準の導入・活用事例として、社員のスキルの見える化に取り組んだ。取り組みの事例と活用を各社の経営の方々に紹介させていただいたときのこと。スキルでもなんでも、可視化できないものは計画的な成長ができないので、標準に基づいた可視化は大…

ISACという組織を知っていますか？ Information Sharing and Analysis Centerの略で、業界内での情報共有・連携の取り組み推進を図る組織を指します。日本では、２００２に通信業界からなるTelecom-ISAC（２０１６年から放送事業者も巻き込んで独立したICT-I…

某国からのサイバー攻撃、あちこちでの戦争の発生など、サイバーセキュリティとしても非常に物騒な時代になってきました。 ここで、政府の各省庁がまとめているセキュリティ戦略をまとめてみたいと思います。 内閣官房（NISC） NISCには、国全体のサイバーセ…

組織の情報セキュリティ管理規程を作ろう、って話です。 先にもお話しましたが、組織の情報セキュリティ規程というのは、組織が組織運営することに対して、情報セキュリティをちゃんとやろうか、そこそこにやろうか、組織の考え方、指針を示したものです。 …

病院の給食システムの脆弱性を突いたサイバー攻撃があったのも記憶に新しいところではないでしょうか。（大病院を「修羅場」に変えたサイバー攻撃 異変はひそかに忍び寄った [大阪府]：朝日新聞デジタル） 公立病院のお医者さんって、IT弱いよね、で片付ける…

CISOって、どんな人をどうやって雇えばいいんですか？と聞かれることがあります。 CISOとはどんな役職？ 企業ニーズが高まっている理由や仕事内容、必要スキルを徹底解説 - エンジニアtype | 転職type 大企業のCISO、事業基盤のセキュリティ設計を理解した上…

個人のセキュリティ対策というか、リテラシーの話を置いておいて、組織のセキュリティ統制って、何やるの、ってまとめてみました。どうしても情報セキュリティって難しく捉えられて、思考が止まっちゃうことが多いですが、まずは基本の形からう作っていくっ…