毎年の更新になりますが、今年も経済産業省の 平成18年度情報セキュリティ監査企業台帳に登録しました。 これまでの所、この台帳を通じてのご依頼はないのですが、 ネットスクエアとしては監査の実績は多くありますので、 その中から抽出した事例を含めて掲載しています。 ○平成18年度情報セキュリティ監査企業台帳のページ(経済産業省) http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html 興味がありましたら、ご参照下さい。
先日渋谷にある某ベンチャー企業に行って来ました。 一昔前渋谷新宿で起業した若者達を集めて、 ビットバレーと称したことも記憶には新しいですね。 訪問した企業はIPOを成功させ企業グループを形成していました。 オフィスも渋谷新宿が見渡せる高層階に位置しており、 スタッフは私より若い社員が多かった気がします。 弊社にもリクルートで優秀な若者が訪れてきますが、 条件面よりベンチャー精神が大切になってきますね。 他の企業と比べて○○がよいではなく○○をしたいから、 ネットスクエアに入って条件は後からでも良くしてやろう! そう言った気概のある若者にはこちらも影響されます。 地方の企業でもIPOを成功させている事例は沢山あり、 けして首都圏での成功事例ばかりではないのですが、 地方との格差は年々感じられる今日この頃でした。
私の知人が中国で環境ビジネスをはじめようとしています。 青島で環境展示会に出展したのがきっかけみたいですが、 ネットスクエアでも上海のソフトハウスにプログラムを外注したり、 私自身今年の11月にQMSの審査に廈門に行く予定だったりと、 最近のご時世にあわせて中国ビジネスが身近になっています。 これまでも中国企業と関係がなかったわけでもなく、 いろいろと成功事例や騙された失敗事例もよく聞いています。 騙されたと言うのはきっと捉え方次第だと思うのですが、 日本と中国との商慣習や文化の違いから、 ビジネスに対する考え方や将来像が違って来るのでしょうね。 プログラム発注にしても色々と問題がありましたよ。。。 ただ巨大なマーケットを抱えている国であることは間違いなく、 また世界の工場と化している中国大陸では、 今後環境問題は国際レベルでのテーマになって行くでしょうね。 我々の車の燃料の高価格化も影響しているとか。。。 私としてもサポートして行きたいと考えています。
カーネギーメロン大学が神戸に日本校を出しています。 昨年開校されたみたいですがみなさんご存じでした!? 私は昔CMMI(プロセス成熟度)の研究をした際に、 同校のHPから論文を取り寄せて翻訳した経験があります。 その成果から高田馬場のSRC(ソフトリサーチセンター)にて、 CMM/CMMIの講師を3年間に渡り担当させて頂きました。 それがきっかけで大手コンピュータメーカー系システムハウスで、 CMMIのコンサルの契約を頂き大変貴重な経験をさせて貰いました。 同校ではソフトウェア工学に加えてセキュリティの専門家を 社会に送り出そうと米国と共同で講義を進めておられます。 ネットスクエアにもそういった学生さんに来て貰いたいですね。。。
この時期になると台風の進路によく悩まされます。 今朝も気象情報をチェックしながら1便繰り上げて空港に来ています。 この判断が微妙で新幹線にした方がいい場合もあります。 今回はどっちでしょうね。。。 今のところ台風の影響で監査が延期になったことはないのですが、 監査スケジュールを大幅に変更したことはあります。 その際にチームリーダーは大変で全ての判断が委ねられます。 それが年に何回かあるのですから厄介なものです。 さあ今回は商談と採用面接と監査が控えていますので、 目の前の飛行機よ、無事に飛んでくれ!!!
セキュア・ジャパン2006において、 「政府機関統一基準」が出されています。 各府省庁が情報セキュリティ確保のための 対策およびその基準だそうです。 何年か前にeジャパン計画と言った話を聞きましたが、 その結果NTTをはじめとしたキャリア各社が頑張り、 光ファイバーを中心としたインフラが整備されました。 今度はその上でやりとりされるセキュリティですね。 「政府機関統一基準」の内容なのですが、 ISMSの詳細管理策に比べより具体的に記述してあります。 そもそも詳細管理策は基準ではないので目的は違いますが、 この政府機関統一基準を旨く使うと標準が見えてきそうですね。 勿論我々コンサルタントは色々な組織の実例をみており、 そこからクライアントにあった管理基準を示しているのですが、 そこにコストをかけられない組織にとっては一読の価値があります。 http://www.nisc.go.jp/active/general/kijun01.html ただし、そのまま読んで解釈できるかが問題ですね。。。
ネットスクエアではISOやISMSの認証取得のほかに 情報セキュリティポリシーの策定の依頼を受けることがあります。 一体情報セキュリティポリシーの策定ってなんぞや!? と思ってしまうのですが。。。 通常ISMSの様なマネジメントシステムでは、 Plan-Do-Check-Actのサイクルを維持して、 継続的改善を目指してゆく訳ですから、 情報セキュリティポリシーの策定は含まれます。 それではどこまでがポリシーの策定なのでしょうか? ポリシー文書としては基本方針、規程、実施手順等がありますが、 それれらを作成するためにはリスクアセスメントが必要です。 勿論そのリスク評価によって対策基準が変わってきます。 また決められたルールを実施するためには教育が必要です。 そしてルール通り実施しているか確認するためには監査が。。。 てな感じで進めているとISMSになってしまいますね。 基本的にはマネジメントシステムを構築して、 その中でセキュリティに取り組まないとなかなか浸透しません。 ただこのご時世ですから、 情報セキュリティポリシーの策定というご依頼で、 ポリシー文書の作成と教育を実施することもお受けしています。 あとは皆さんがどこまでやられようとしているかですね。。。
ISOの要求事項の中に教育・訓練が入っています。 これはPlan-Do-Check-Actのサイクルの中で、 Do(実施)をするための手段に該当します。 また教育・訓練プロセス自体にもPDCAサイクルがあり、 教育計画を立て、実施し、有効性を評価し、効果が確認できない場合は、 再度フローアップの必要性を見なすことにより一巡します。 これはQMSでもISMSでも同じプロセスであり、 最近ではプライバシーマークでも有効性は求められています。 教育に関してはどの組織でも何らかの形で実施していますが、 その教育の有効性評価までは至っていないことが多いですね。 特に情報セキュリティの教育に関しては、 従業員の意識付けに大きく影響してきますので、 本当に受講者が理解したのか何らかの方法で確認が必要です。 そう言った意味ではeラーニングのコンテンツが出ていますので、 それらを有効に活用することが得策かも知れません。
本日Web関係の就職を希望されている学生さんが訪問されました。 会社見学といった形でお話しを聞くことができたのですが、 とても初々しくて新鮮さを感じました。 Web関係のお仕事って華やかそうで結構地道ですよね。 毎日遅くまで作業していますし、好きでないとやっていけません。 でも開発した案件が評価されると全てが報われます。 Web開発はデザイン系とプログラム系に分類されますが、 右脳と左脳の関係かもしれませんがどっちかに分かれますね。 ネットスクエアではデータベースを絡めた開発が得意ですので、 プログラム系の技術者がメインですがデザインも大切です。 ただデザインだけではなかなか仕事にならなくて、 提案力やプレゼン力が必要になってきます! これからWeb関係のお仕事を目指される学生さんは、 是非ともこれらの能力を磨いて自分をPRして下さい!
今年の梅雨は酷いですね。。。 私は出張が多いので台風にはよく悩まされますが、 今年はこの雨で交通状況が変わってきています。 また全国各地で災害が出ていますので早く明けて欲しいものです。 皆さんはこれらの災害の対策は何か取っているでしょうか? 今回の雨による浸水や濁流もそうですが地震や火事も然りです。 避難マニュアルはお手元にありますか? また避難場所はどこだかご存じでしょうか? これらのことをISMSでは事業継続管理と言っています。 自然災害や人為的なミスで事業継続が困難になりそうな場合の備えです。 今年の梅雨に例えるとけして他人ごとではないですね。 組織にとっての様々な脅威を分析してそこから優先順位をつけ、 例えば地震の多い地域は地震対策を海抜の低い地域は水害対策を、 また情報漏洩の可能性がある場合はマスコミ対策を計画して行きます。 そしてその計画が非常時に実行できるか試験をすることになります。 つまり避難訓練ですね。。。 これが結構重要で絵に描いた餅にならないことが大切です! 事業継続管理は危機管理にも繋がります。 9.11のテロ以降大変重要視されている管理策でもあります。 皆様の組織での対応は如何でしょうか!?