韓国ドラマは哲学的感性を刺激する

韓国ドラマ、IT・デジタルなこと、AIなどと並んで哲学に関する事柄や、よろずこの世界の出来事について書き綴ります

シン・クライアント

2005-11-30 09:18:20 | 情報セキュリティ
 最近セキュリティの世界ではシン・クライアントという言葉がよく聞かれます。簡単に言えば、普通のPCからハードディスク等の記憶装置をなくしてしまったものと思えばいいと思います。

 通信回線を介してサーバと接続して使うことを前提となっていますので、どんな場所でも使えると限らないのですが、情報漏洩対策が優先されるようになって、導入事例が大手企業を中心に増えてきました。

 現場で使用する人は不便な思いをする可能性が高いのですが、とにかく大切な情報を外部に漏らしてはいけないということが優先される姿勢は評価できると思います。

 組織内の管理されたエリアから情報を持ち出すのを最小に使用という思想での情報漏洩対策ですが、これとて100%安心してはいけません。いずれにしても、きちんとしてルールのもと、シン・クライアントを利用することが望まれます。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

セキュリティの責任所在

2005-11-29 12:27:17 | 情報セキュリティ
 日経BPのサイトで「記者の眼」というコラムがあるのですが、そこで「セキュリティの"ベンダー任せ"が危ない」という記事がありました。

 先日のワコールの情報漏洩事件を題材に取り上げていて、セキュリティ対策をベンダーに丸投げにしていたユーザの姿勢に対して、問題提起をしていました。

 たしかに、ユーザはセキュリティ対策には素人なのですべてベンダーにお任せというのも仕方がないといえば仕方がないのですが、最終的なセキュリティ対策の責任はユーザ(この場合はワコール)にあるのですから、ではいったいどうすればきちんとしたセキュリティ対策を取れるのかということなります。

 現実的な対応としては、ユーザがセキュリティの専門家を雇うことが考えられます。社員として雇うのでもよし、外部のコンサルタントと契約してもいいと思います。

 とにかく、ここでのポイントは、ユーザが積極的にセキュリティ対策にかかわって、監督していく姿勢です。ベンダーにすべてお任せで自分たちは知らなかったではすまされないのですから、なんらかのアクションを起こす必要があります。

 情報セキュリティに関しては、受け身の姿勢は厳禁です。常に、積極的に立ち向かっていかないといけないと思います。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

自由と不自由

2005-11-29 07:00:00 | 情報セキュリティ
 一般に情報セキュリティの強度を高めると、ユーザは情報機器を利用する際に不自由な思いをすることになります。組織の中に、セキュリティポリシーを導入して、具体的なセキュリティ対策を実施していくごとに一般ユーザの「抵抗」を感じるようになります。今はやりの言葉で言えば、抵抗勢力という言葉で置き換えられるかもしれませんね。

 セキュリティ管理の責任者から見れば、彼らの存在は目の上のたんこぶのように思えるかもしれませんが、彼らは彼らで自分たちの生活がかかっているので、必死で抵抗しようとします。今まで何不自由なく快適に仕事をしてきたのに、やれ、あれをやるな、これはダメと頭ごなしにうるさいことを言われるのですから、当然といえば当然です。

 ですから、情報セキュリティの強化は現場レベルや、情報システム部レベルでは、よほど小さな組織を除いてはまず不可能だと思います。その意味で、経営者の直接的な関与が求められるのです。

 組織のトップ自らが決断し、命令を下すという形にしないとセキュリティの強化などという面倒なことは前に進みません。そして、それ以前に、先の記事で書いたとおり経営者が情報セキュリティにお金をかけたがらないという状況があります。

 こういう状況で一番気をもんでいるのは、現場のリーダークラスの人たちではないでしょうか。このままでは、今に大変なことが起こる。セキュリティ対策がろくにできていない状況を一番把握して、理解しているのおそらくそのレベルの人たちだと思います。

 そして、自分たちだけの力で状況を大きく変えることもむずかしいということをわかっているので、自分たちがどう行動すればいいのか迷っているということがあるかもしれません。

 セキュリティ対策をしっかりとするとどうしても一般のユーザに不自由な思いをさせることになります。しかし、なぜそのような不自由な思いを我慢してでもそれをしなくてはいけないか、行き着くところは教育と啓蒙活動ということになります。

 現場で日夜気をもんでいるリーダークラスの方たちがいらっしゃったら、あれこれ思い悩むよりは、上記のことをよく頭に入れて、自分のできることから始めてみることをお勧めします。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

情報セキュリティの費用対効果

2005-11-28 12:20:36 | 情報セキュリティ
 今でこそ、情報セキュリティに対する意識が個人、法人ともに高まっているようにおもわれますが、それでも、特に企業では情報セキュリティに対してできるなら、お金など使いたくないと考えているのが普通の態度のように思われます。

 理由は簡単で、セキュリティ対策は利益を直接産み出さないからです。利益を産まないとわかっているものに、カネをださないというのは経営者としては当然の態度といえますが、はたしてそれでいいのでしょうか。

 この2年間、いろいろな企業の情報漏洩問題がマスコミで大々的に報道され、当事者の企業もお詫びのための費用の支出、社会的な信用の失墜という大きな被害を被っているにもかかわらず、まだまだセキュリティに対する投資がメジャーなものになりつつあるようには思えません。

 一部大企業では、しっかりとした対策を施しているようですが、そうでない大企業もあるでしょうし、ましてや中小企業に至ってはそんな余裕はないというのが経営者の本音ではないでしょうか。

 結局、セキュリティに対する社会的な認知がもっと高まらなければ、人ごとで終わってしまいますし、ああ、こわいこともあるんですねということで世間話のネタにされてしまうだけです。

 新しいことが社会に浸透するには時間がかかるのが常です。もちろん、爆発的な流行というものもありますが、ことセキュリティに関してはそれはなさそうですので、地道にその重要性を訴えながら、社会にセキュリティ意識が浸透することを待つしかないというのが現状です。

 経営者の皆さんが、情報セキュリティに対する投資がいかに重要かということを、もっともっと認識してもらいたいというのが、私の強い願いです。

★★★ 人気ブログランキング参加中!!!ぜひぜひ!クリックお願いします ★★★

知識と啓蒙活動

2005-11-28 09:53:47 | 情報セキュリティ
 皆さんの中には、ネットでクレジットカードを使って買い物をすることに抵抗があるという方がいるのではないでしょうか。昨今の報道をみていると、今にも自分のクレジットカード番号が盗まれて悪用されそうな気がしてくるからです。

 たしかに、ネットカフェのような不特定の人が使用するPCでオンラインバンキングを利用したり、クレジットカード番号を入力することには大きなリスクが伴いますが、自宅の自分専用のPCでそれをやっている限りは、そうそう簡単に情報を盗まれるわけではありません。もちろん、日頃からウイルスチェックをしていればの話ですが、上記のような不安を抱く人はセキュリティに対しての知識が不足していることで、何となくわけがわからないので不安ということがあるのだと思います。

 人間、未知のものに対して不安を抱くのは当然で、正しいセキュリティ対策には、教育が必須です。しかし、よほど自分で興味のある人以外、体系的に学ぶことはおろか、最低限の知識を身につける機会もないというのが実情ではないでしょうか。企業ですら、やっと重い腰を上げたいうところで、正しいセキュリティ知識が世の中に行き渡るにはまだまだ時間がかかりそうです。

 私は、そのお手伝いを少しでもできればと思いながら、このブログを書いています。正しい、セキュリティに対する知識が広まるよう、努力していきたいと思っています。

★★★ 人気ブログランキング参加中!!!ぜひぜひ!クリックお願いします ★★★

倫理と責任

2005-11-27 16:29:19 | 情報セキュリティ
 このブログで連日取り上げている構造計算書偽造事件ですが、この報道をみていて感じたことがあります。

 一つは、こういう事件では当然のように行われる責任のなすり合い。当事者としては、当然でしょうが責任の所在をできるだけ自分から遠ざけようとどの関係者も懸命です。

 もうひとつは、倫理観の欠如。これは、上記と関連しますが自分からいさぎよく非を認めるようなことをしてしまうと、責任が重くなってしまうという自衛本能がはたらくのでしょう、それを第三者としてみていると倫理観というものが感じられない状態になります。

 倫理というものは、自分がそうしたいからそうするという自発的な気持ちなので、今回のような大きな賠償責任が絡んだ事件で、関係者に対して最初から倫理的な行動を期待する方が、無理というものでしょう。

 情報セキュリティの事故・事件でも同じことが言えます。何か、セキュリティ上の事件を起こしてしまったら、もし、自分が当事者だったらできるだけ責任の所在を遠ざけて、なりふりかまわず自分は悪くないと言い張りたい気持ちになるはずです。

 しかし、そのような態度や行動は長い目で見ればその当事者たちにとってマイナスになるだけで、きちんとした対応をすることで、事件で失った社会的な信用を少しでも取り戻すことができるのです。

 万が一のため、普段からセキュリティ対策をほどこしてその時に備えておくのが、経営者あるいは組織の長の努めなのではないでしょうか。やるべき手順がわかっていて、自分がどう行動すればいいか理解していれば、うっかり失言をしてしまったり、世間から無責任な態度と思われるような行動をすることも防止できます。

 セキュリティ意識というものは一朝一夕では育ちません。組織の中で、だんだんと醸成されていくものなのです。そのような状態に組織を持って行ければ、情報セキュリティ対策はうまくいったと言えると思います。

★★★ 人気ブログランキング参加中!!!ぜひぜひ!クリックお願いします ★★★

富士通の責任

2005-11-26 10:53:54 | 情報セキュリティ
 東証、名証のシステムダウンの件で富士通の社長と役員が責任を取って、報酬カットを行うという報道をみました。一番重いのは社長で、50%を6ヶ月間カットするそうです。

 これで、一応対外的にも自分たちの責任を取ったという姿勢を示していることになりますが、ルールや規定に違反したり大きな、事件、事故を起こしてしまった場合の責任の取り方というのが、ISMSでも項目としてあります。

 従業員に対する懲罰規定を設けておいて、ルールに従わなかった場合、それを実施するという内容なのですが、従来はセキュリティに対してそのような規定もなかったし、よほど重大な事件でない限り処分は行われなかったのが通常の例ではないでしょうか。

 このような処分の規定は性悪説にたっているということで、あまり気分がいいものではありませんが、セキュリティ事件や事故の抑止効果ということでは一定の効果があります。

 これからは、この面についてももっと注目されるようになるのかもしれませんね。

★★★ 人気ブログランキング参加中!!!ぜひぜひ!クリックお願いします ★★★

検査と監査

2005-11-25 16:43:56 | 情報セキュリティ
 このブログでもたびたび取り上げている構造計算書偽造事件ですが、偽造を行った建築士の責任が問われるのはもちろんですが、それをチェックするはずの検査機関の責任も大きな問題になっています。

 私はこの事件が起きるまで、そのような検査が役所から民間企業に委託して行われていることを知りませんでした。そういうわけで、建築の際の検査を民間に委託することが本当にいいのかどうかという議論も起こっているようです。

 情報セキュリティの世界での検査は、監査と言われますが、何か不具合がないかを調べるということでは共通点があります。情報セキュリティポリシーを策定し、実施している企業や、ISMS認証を受けている企業ではまずは内部監査が必須事項です。

 内部の人間が、自分の部署以外をチェックするというわけです。これも、うまくやっていかないとなあなあになって、チェック機能としての役割を果たさなくなる恐れがありますので、運用にあたってはいろいろと工夫が必要です。

 そして、ISMS認証を取得している場合は、内部監査の他に認証機関よる、認証を維持していくための継続審査が行われます。これは、第三者が行うものですから本来は信頼できるものなのですが、今回の建築業界のような例もありますのでこれからどうなっていくか、ちょっと心許なくなってきました。

 建築の際の検査は、それがないと仕事が全く進まないかつ予算に直結する話なので今回のようなことも起きるのかなと思っていますが、ISMS認証が企業にとって必須事項となりつつある現在、これから、建築業界で行われているようなずさんな検査・認証が行われるようにならないとも限りません。

 それを防止するためにはいろいろなチェック機構が必要だと思われますが、最終的にはかかわる人間一人一人のモラルの問題だと思います。

 今回書類の偽造を行った建築士は、取引先から圧力をかけられ、仕事を失っては困るのでやってしまったと述べているようですが、こんな大事件に発展して、自分の職業人生を棒に振ってしまったのですから、愚かだったと言われても仕方がありません。

 最後には、われわれ一人一人の倫理が問われるわけです。皆さんも、心して日々業務を遂行していただきたいものです。

★★★ 人気ブログランキング参加中!!!ぜひぜひ!クリックお願いします ★★★

資格と職業倫理

2005-11-25 07:00:00 | 情報セキュリティ
構造計算書偽造事件で考えさせられるのは、なんと言っても一級建築士が事件の張本人だと言うことです。きちんとした国家資格を持った専門家が、救いようのない事件を起こし、その影響は日々拡大しています。

 今回は建築の分野の事件ですが、情報セキュリティの分野でも本質的には変わらないと思います。情報サービスの世界では、専門家として仕事をするために特に資格は必要ありません。いろいろな資格制度はありますが、その資格を持っていないとできないという仕事は基本的にはありません。

 しかし、資格が必要ないからと言って誰でもができるかといえばそういうわけではありません。実力と信用がなければ、この分野で成功はおぼつかないでしょう。

 資格を取ることは、たしかに社会的な信用は増しますが、それが、直接仕事の能力に結びつくわけではありません。このことは、資格取得が必須の職業、建築士や、医師といった職業にもあてはまると思います。本当に、この人は国家試験に合格して資格をもっているのか、と疑われるような輩が問題になることは珍しくありません。

 もちろん、無免許の医師が診療を行えば法律違反になって、そのような行為は論外ですが、われわれの側でも資格を全面的に信用せずに、相手の実力を見極める必要が出てくるということになります。

 しかし、これは至難のわざです。そして、そこが今回の問題点になります。このような不正をはたらく専門家を別な専門家が検査、チェックする機能すら働かなかったということで、救いようのない事件となってしまいました。

 結局、資格と職業倫理は別物だと理解し、その人が本当に専門家として信頼できる人物かを判断するのはわれわれ自身だということになってしまいます。

 悲しいことですが、日頃から用心するにこしたことはありません。欠陥マンションを買わされたり、藪医者にかかって命を落とさないためには、最後は自分自身の判断にかかっているのですから。

★★★ 人気ブログランキング参加中!!!ぜひぜひ!クリックお願いします ★★★


ボット?ロボット?

2005-11-24 10:07:57 | 情報セキュリティ
 最近のセキュリティ関連のニュースを見ていると気になる言葉が「ボット」という言葉です。もともとは、ロボットが語源のようですが、セキュリティの世界での意味は、悪者のいいなりになって悪さをするPCという感じの意味になります。

 もちろん、最初からボットであるPCはないわけですから、ボットを感染させるためのウイルスがあって、それに感染するとそのPCはボットとして動作し始めるというわけです。

 ボットの特徴としては、どこかに命令者がいてその命令に従って動くということがあります。普段はおとなしくその存在を隠しているのですが、命令を受けるやいなや活動しはじめるというわけです。

 そして、そのPCから個人情報を盗み出したり、他のボットと共同してWEBサイトを攻撃したりするというわけです。

 ボットの一番の問題点は、常に動作しているわけではないので、PCの所有者、管理者が感染に気づきにくいという点にあると思います。それでも個人情報を持ち出されればいつかはおかしいと疑うきっかけができるかもしれませんが、自分のPCが命令者にあやつられて、夜な夜などこかのWEBサーバを攻撃しているなんて夢にも思わないことでしょう。

 このようにして、いつの間にか自分が悪事の加害者になってしまうということは、恐ろしいことだと思います。みなさんも、自分のPCのウイルスチェックには本当に気を付けて頂きたいものです。

★★★ 人気ブログランキング参加中!!!ぜひぜひ!クリックお願いします ★★★