このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。2008年9月に旧ブログから引っ越しました。バックアップをご覧ください。

ゲストログインがうまくできないので、コメントを承認制にしました。スパムでないことを確認の上、公開します。判断はあくまで「風見鶏」の主観で行いますので、文句は受け付けません。(笑)承認が遅れることもままあると思いますが、あしからず・・・

システムトラブルのため、2015年以降のブログ画像と2018年5月以降の記事が消失しました。画像は鋭意、新しい物から順次復旧中ですが記事については残念ながら戻せません。残念ですが、あきらめます。

なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。

8月30日朝のお散歩日記・・と昨日の続き

風見鶏 (2012年8月30日 10:16) | コメント(0) | トラックバック(0)

昨夜は、新宿での某研究会の後ちょっと飲みに行って、帰宅が12時前になってしまったので、そのまま就寝。今朝はちょっと辛くて、6時前起床。とりあえず散歩にはでかけた。

今朝はなんとなく昨日より暑い感じがして、汗が大量に噴き出す。もしかしたら昨日飲んだのと睡眠不足のせいかもしれないのだが。

散歩コースは、ほぼ昨日と同じだが、寄り道なしでちょっと短め。公園脇の階段のあたりにこんな花がぽつんと一つ咲いた。

空を見上げたらぽつんと丸い雲。

天気予報だと、今日も晴れて暑くなるものの、いくぶん天気は不安定とのこと。

この高台のあたりで、かなり汗だくになっている。やはり今日はちょっと気温が高いか、湿度が高そうな感じだ。坂の途中の猫たちは、今日は勢揃い。

横浜線手前の公園、こいつは今朝はちょっとダレ気味。8月下旬になって、暑さが増しているように思うのだが、猫も夏バテ気味なのか。

そういえば、ガソリンの値段がまた1円上がっていた。車の買い換えは、とりあえず即金買いを前提に、インプレッサとレガシィの両方の見積もりを取ろうと思っている。ちょっと値引き交渉はシビアにやってみようかと。(笑)

とにかく、ハイオクで10Km/Lの燃費の車はちょっときつい。これがレギュラーで15Km/Lくらいになれば、距離あたりのガス代は2/3くらいにはなるので。

しかし、今朝は暑い。もうエアコンを入れないと我慢ができない状態。しかし、いつまで続くのか、この猛暑。

さて、今日は午後遅くに会社に行って、机の中身を全部整理する。おおかたは5月末にやっているので、あとは不要物を廃棄にまわすだけだ。

ここからは、昨日の続き。昨夜は飲んで遅くに返ったので書けなかったことをいくつか。

昨日は、午後に横浜で用事をすませたあと、夕方から新宿で「情報セキュリティ心理学研究会」というのがあって行ってきた。知り合いの先生が主催していて、その先生の仲間や研究室のOBなどが中心に集まっているのだが、今回はちょっと趣を変えて、ISMSの再考という話。ファーストサーバ事件で、BSIがISMS認証を一時保留しているのは報道のとおりだが、事故報告にもあるとおり、ルール破りが常態化していたということに対して、内部監査も十分に機能していなかった実態を、審査機関が見抜けなかったという点が、ISMSの信頼性という意味で大きいのだろう。昨日の議論でも出ていたのだが、ISMSを「お墨付き」として、営業目的で取得する企業がほとんどなのだが、そういう企業に限って、マネジメントサイクルの意味をきちんと理解しておらず、それを形骸化させてしまっているというのが、日本での最大の問題点だろうか。審査員の質や、属人性も問題視されている。同じ審査機関でも審査員によって言うことが違ったり、素人目に見ても不適格な審査員がいるというのが多くの取得企業の担当者の感想のようだが、だとすれば、本来マネジメントをきちんと確立することで、属人性を排してセキュリティを高めようというISMSの、その審査機関自身のマネジメントがきちんとできているのか、という疑問に突き当たる。昨日の話しでも、最近、国外の有力クラウド事業者があいついでISMSを取得しているが、先生曰く、彼らのマネジメントは本物だとのこと。思うに、マネジメントサイクルはイノベーションであって、ルーティンワークではないのだ。それをルーティンワークと誤解しているところに、そもそもの問題がある。それでは、新たな脅威や環境の変化には絶対についていけない。審査、監査する側にもそうした視点が欠けている。また、審査員が技術に疎い、もしくはマニアックすぎるなどのアンバランスさも指摘されている。たとえば、CISAの試験では、あるケースで、監査人がすべき質問を選ばせるようなものが出てくる。これは、表面上とりつくろわれたマネジメントの化けの皮を剥ぐことが必要だという発想があるからだ。はたして、ISMS審査員の教育で、こういう基本的なことが行われているのかというと、どうもそうではないらしい。単に、27002の管理策を並べてチェックリストを作って、チェックするだけだったら、それは監査ではなく、単なる検査だ、というのが先生のご意見である。まったくそのとおりだと思う次第。たとえば、目的にてらして、正しいコントロールが導入されているのかという視点が必要で、もしそれに合うものが、27002にないならば、考えて作り込むべきだし、必要の無いコントロールは27002にあっても、実装しなくていい。要は、どうしてそうなのか、ということを宣言書にきちんと書いて、マネジメントがそれを理解できているということが重要なのだ。

書き出すとキリがないので、これくらいにしておこう。本当は、審査を受ける側の担当者がきちんと理論武装して、中途半端な審査員をやっつけてしまえばいいのだが、そもそも、企業側の取得目的が「お墨付き」だと、そんな面倒なことはしないで、「コンサル」が言うとおりにやってしまう。これまた「コンサル」とは名ばかりで、審査を受けるテクニックの伝授にのみたけた連中が多いのも実態。ここに、日本のISMSを取り巻く、ゆがんだ生態系ができあがってしまっているわけだ。総元締めのJIPDECはこういう事態をどう見ているのだろうか。それともそういう認識すらないのか、ちょっと興味があるところだが。

そんなことを話しながら、夜の歌舞伎町を通って帰ってきた。

カテゴリ:

トラックバック(0)

トラックバックURL: https://www.kazamidori.jp/MT/mt-tb.cgi/1803

コメントする

カテゴリ

月別 アーカイブ

この記事について

このページは、風見鶏が2012年8月30日 10:16に書いた記事です。

ひとつ前の記事は「8月29日朝のお散歩日記」です。

次の記事は「なんとなく遠い景色」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。