‘2011/03’ カテゴリーのアーカイブ

セキュリティ管理策の適合性と有効性

2011/03/31

情報セキュリティマネジメントシステムを運用されている組織にとって、133の詳細管理策の監視及び測定には頭を悩まされるところです。
一般的には、管理策の適合性は内部監査で監視されています。つまり実施しているか否かを監査して、出来ていなければ是正処置を取る仕組みなのです。
それに対して管理策の有効性についてはどうでしょう?管理策の有効性測定のプロセスで行います。ここのプロセスが旨く機能していないことが多く、管理策の適合性と同じ監視の仕方に留まっている事例を多く見受けます。ポイントは適合性でなく有効性を評価する点と、監視するのではなく測定するのです。つまりどの程度実施できているのか?また、取られた管理策が有効であるか?を重視して下さい。その結果はマネジメントレビューにインプットされ評価されます。
セキュリティ管理策はなかなか完璧に実施することは困難です。ですから内部監査において適合性を監視します。また、リスクアセスメントの結果として管理策を適用してもリスクはゼロにはなりません。だから管理策の有効性を測定する必要があるのです。この辺りを正しく理解して取り組まれると監視と測定の効果があらわれてくるでしょう!

HiBiSでのAndroid活用部会

2011/03/22

広島インターネットビジネスソサエティ(HiBiS)において、来年度からAndroid活用部会を立ち上げることになりました。これまでネットスクエアではPaintNoteをはじめとして、幾つかのAndroidアプリを世に送り出しており、これらの技術と実績を会員にも広めたいと思っています。Android活用部会に参加するためにはHiBiSの会員になることが必要ですので、この機会に是非とも入会をご検討下さい。尚、Android活用部会の事業内容は以下の通りです。
   
(1)事業方針
昨年度は「Androidケータイ」が各社から多数販売され、また「iPad」の対抗として「GALAXY Tab」が発売されるなど、スマートフォンの販売数が予想をはるかに上回るといった、劇的な一年であった。情報産業協会技術委員会OSS研究部会と合同で開催した「Android塾」も、第1回目では募集後2日で受講者予定数を上回り、2回目を実施するほどの盛況であった。そのアンケートでは、中級コースの実施を希望された方も多かったことから、今年度も引き続き「Androidケータイ」について、必要なアプリとは何か、また、ビジネスモデルの研究や事例研究を行なうとともに、Android塾の中級コースを実施することとする。今年度も部会活動は必要に応じて情報産業協会の技術部会OSS研究部会と合同で開催する。
 ・Androidの背景、技術、実例の研究
 ・Androidアプリを活用したサービスモデルの検討
 ・Android塾中級コースの開催

(2)活動内容
 ①月1回程度の部会開催
 ②外部講師による事例の紹介
 ③Android塾中級コースの開催

東北地方太平洋沖地震

2011/03/14

宮城県三陸沖を震源とした「東北地方太平洋沖地震」におきまして、被害にあわれた皆様に心よりお見舞い申し上げるとともに、犠牲になられた方々とご遺族の皆様に対し、深くお悔やみを申し上げます。一日も早く普段の生活に戻れますよう、皆様のご無事を心よりお祈り申し上げます。
私共でも出来る限りのご支援をさせて頂きたいと思っています。遠方からではありますが、同じ日本人として応援しておりますので、お気を強くもって立ち向かって下さい。また弊社のお客様でお手伝いできることがありましたら、何なりとお声かけ頂けますようお願いします。

スマートクラウド戦略

2011/03/08

先日、総務省の方のお話を聞いたとき、スマートクラウドという言葉が出てきました。そこで初めてスマートフォンの意味を知りました。皆さん知ってましたか?スリムな携帯電話ではないですよ!スマートとは「賢い」と訳します。つまり、賢い携帯電話なのです。そう言われれば沢山アプリが使えて高機能な端末ですよね。素直に納得しました。
またクラウドコンピューティングと言うタイトルでの書籍も沢山目にします。クラウドとは「雲」を意味し、仮想化、標準化、自動化を行い、雲の上から情報を管理し分析し利用する仕組みなのです。様々なサービスを受けることができ、また情報の保管や管理に役立ちます。
そこで、日本の位置づけなのですが面白いデータがありました。日本の進んでいる領域は、設備、装置、機能だそうでインフラ系は「光の道」構想も相まって充実しています。それに対して遅れている領域は、医療、教育、行政のサービス面だそうです。勿論ICTを活用したサービスになります。まさに箱物施策の結果の様な気がしてきます。
今後は折角充実してきたインフラがあるのですから、そこからどんなサービスを提供していくか、この辺りにビジネスチャンスが生まれそうです。キーワードは、「スマート」と「クラウド」です!!!

ITILとISO20000

2011/03/04

ITサービスの普及に伴って、また情報システムおよびネットワークの障害に対する社会的な影響が増大していく中、ITILの導入やISO20000の認証のお話をよくさせて頂いています。そこで、ITILとISO20000の違いについて定義させて頂き、組織として何を目指すのか検討頂ければと思います。
まず、ITILは、イギリス政府が策定した、コンピュータシステムの運用・管理業務に関する体系的なガイドラインで、数冊の書籍の形でまとめられています。1980年代、イギリス政府がIT活用の先進事例を調査し、模範的な事例(ベストプラクティス)を収集し、「ITを活用して業務の遂行を援助する」方法論として体系化したものです。ITILでは、運用管理業務を、日常的にユーザが必要なサービスを利用できるようサポートする「サービスサポート」と、サービスを高い投資効率で長期的に改善していく「サービスデリバリー」の2つに分けて考えています。そして、両者をそれぞれ5~6個のプロセスに分割し、模範的な事例を示していています。ITILは包括的なガイドラインであり、何をどのように行なうか詳細に記述されているわけではなく、導入にあたっては実際の業務に照らして独自にプロセスを定める必要があります。
それに対して、ISO20000は、ITサービスマネジメントの国際規格であり、ITサービスを提供するすべての組織に適用されるマネジメントシステム規格です。。英国政府が作成したIITIL(IT Infrastructure Library)というITサービスの品質向上のためのガイドラインをもとに作成した英国の国家規格BS15000を国際標準化した規格です。
従って、ITサービスの運用基準としてのベストプラクティスを導入したいのか、国際規格を認証して対外的にもそれを示しビジネスに繋げたいのかで判断されるのがよいかと思います。そこで注意して頂きたいので、ITILの導入でサービス標準を作成しただけでは、運用は旨く回りません。マネジメントシステムとして監視プロセスが働かないと、旨く言っているのか?また何が問題なのかを把握することが困難です。
ISO20000を認証している組織はその辺りの問題意識が高いのですね。。。

Categories
Bookmarks
Search
Archive

You are currently browsing the コンサルタントのこぼれ話 ブログアーカイブ for 3月, 2011.