今日は「勤労感謝の日」というわけで森岡孝二「働きすぎの時代」を読みました。
帯には「死にいたるまで働いてはいけない!」という過激な言葉がついていました。著者によると1980年代以降、世界は「働きすぎの時代」に入ったそうです。本書ではその背景を高度資本主義の特徴として四つあげています。
グローバル資本主義
グローバリゼーションが進み、途上国を巻き込んで競争が激しくなる。そうすると低賃金で長時間労働の途上国の労働者と先進国の労働者が互いに競争することになる。結果として先進国の労働者の労働時間が長くなる。
2005年版ISO 17799では情報セキュリティインシデント管理があらたに基本管理対策として追加されるようです。管理策の個別項目は1999年版の他の部分から移動させたものですが、新たに独立した管理対策として追加したのはそれなりに意味があるのでしょうね。
◆インシデント(事故)管理◆
セキュリティ・インシデント(事件・事故)を管理するためには、情報セキュリティ事象を管理しなければなりません。定義によると情報セキュリティ・インシデントは情報セキュリティ事象の一部ですね。つまり、セキュリティ事故に直接つながるかどうかわからない事象でも、報告されるしくみを作っておかなくてはならないということです。
情報セキュリティ・インシデント(information secrity incident)
望まないまたは予期しない単独または一連の情報セキュリティ事象であって、事業運営を危うくする確率およびセキュリティを脅かす確率が高いもの。
[ISO/IEC TR 18044:2004]
情報セキュリティ事象 (information security event)
システム、サービスまたはネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反もしくは管理策の不具合の可能性、またはセキュリティに関連するかもしれない未知の状態を示しているものをいう。
[ISO/IEC TR 18044:2004]
家族で逗子のオリエンテーリング大会に参加。
途中で散歩している豚に会いました。
音楽CDのコピー防止技術を組み込んだCDから勝手にプログラムをユーザのパソコンにインストール、さらにこれがアンインストールできません。しかもこのプログラムがトロイの木馬を誘発するなどの問題を起こしています。その後の対策もお寒いようでして…
“スパイ的コピープロテクト”の波紋 ITmediaNEWS
ソニーBMG社CD:感染は50万以上のネットワークに? hotwired japan
川崎で「イントゥ・ザ・ブルー」をみました。
沈没船の宝探しのお話。水中シーンが見所なのですが、途中でトイレに行きたくなってしまい困りました。主人公のジャレッドが後ろ手錠のまま、バハマの海に飛びこんで悪者から逃げるシーン、その後、どうやって手錠をはずしたんでしょうか?見逃してしまいました。
風邪気味で調子が悪く、週末はだらだらとしていました。
パソコンのメンテナンスをしたり、仕事とは直接関係のない本をぱらぱらと読んだりしました。それとDISCASで借りたDVDをみました。
読んだ本
三神万里子著 「パラサイト・ミドルの衝撃」
小沢牧子著「心の専門家」はいらない
見たDVD
チャーリーと14人のキッズ
ライフ・オブ・デビット・ゲイル
名古屋に出張。個人情報保護と情報セキュリティに関する研修をしてきました。
最初の1時間ちょっとは講義形式で。あとはリスク・コミュニケーション・ゲームと参加者によるプレゼンテーションをしました。人の話を一方的に聴くのは90分が限度ではないかなあ。というわけで最近はなるべく参加型の研修をこころがけています。そのほうがおおむね出席者の反応もよいようです。
今日はリスク管理の手法を実務に適用するための支援をします。
どうも最近、情報セキュリティ系の第三者認証を得るための条件として、
(1)情報資産のライフサイクルにそってリスクを認識すること
(2)残存リスクを管理していること
の2点は必須になってきているようです。
この2つを満たすためには、詳細リスク分析が必要になってきます。これは差分分析(標準的なセキュリティ要求事項を満たしているかチェックする方法)にくらべてなかなか難しいです。リスクを認識するためには、情報資産のセキュリティ目標に対してどのようなセキュリティ上の脅威と脆弱性があるのかを知る必要があります。
また、残存リスクを管理するためには個々の脅威に対するリスク値を決めなければなりません。いくつまでのリスク値に対して対策を講じるかを決め、対策を講じなかったリスクを残存リスクとするからです。
ザ・バンド「ミュージカル・ヒストリー」CD5枚+DVD1枚。川崎のタワーレコードで、衝動買いしてしまいました。PCにいれたらクラシックロックというジャンルに登録されました。後期の「南十字星」が発売されたのが1975年ですから、いまから30年前。なるほどクラシックですね。
私はそのころLPレコードがほしくなると昼飯を抜いてその分の小づかいをためて買ったのですけど。今は衝動買いできるようになりました。ありがたいことです。
ある会社がプライバシーマークの取得申請をしたところ、審査機関から指摘を受けたそうです。指摘されたのは「特定の機微な個人情報の収集の禁止」のところで、記述部分ついて会社の個人情報保護規程と要求事項(JIS Q 15001)とに相違がある、とのことでした。
まあ、審査をうけるテクニックとしては、「ここはJIS規格どおりの文言にしておいてください」ということです。
ただ、自社の個人情報保護規程を作るために、そのまま文言を丸写しにして、どうなのか?という疑問も規格をまじめに読むと、あります。 たとえば
東京証券取引所は一日、株式売買を処理する情報システムの障害で、午前中の取引を全面停止した。すべての取引が停止したのは東証発足以来初めて。
東証が一時全機能停止 システム不備露呈 CNET Japan
◆コメント◆
よく参考にさせてもらっているブログのエントリーをご紹介。
東証システムダウン せっかくの機会だから・・・ まるちゃんの情報セキュリティ気まぐれ日記
そうなんですよね。失敗から学ばないとね。すごくまともな意見だと思います。
東証でシステム障害 エンジニアの立場に立つと心が痛む 情報システム部門コンサルタントblog
私も元SEのはしくれとして、エンジニアに同情してしまうのです。
東証のシステムがダウンした! 元社長日記
といつつ、ちゃっかり商売のネタにしようと。私も同じこと考えてました。(笑)
ブログは自分のために書く。とはいってもどんなエントリーにアクセスがあるのか、少しは気になります。
10月の統計からアクセス数の多いエントリーの上位5つです。
1位 ウェーブミュージックシステム
2位 内閣府防災担当から事業継続ガイドライン
3位 小泉純一郎の高校時代
4位 派遣社員が9億円以上着服・東京三菱銀行
5位 インディペンデント・コントラクター
1位と3位はどうでもいい話。←検索エンジンから訪問してもらった人には悪いですが。
2位と4位は情報セキュリティニュースとコメントです。これがメインのコンテンツのつもり。
5位は1年近く前に読んだ本の感想文でした。こういうエントリーにアクセスがあるのは、うれしいものですね。