***************
　学習や仕事をしている限り進歩があります。それどころか、人生は日々進歩の積み重ねなのです。しかし、戸惑ったり焦ったりすることはありません。自分らしく進めばよいのです。意欲的に自分らしく日々進歩を重ねることへの想いを、週間日記に書き綴っています。
***************

　夏も後半に入りました。前半は猛暑あり、大型台風あり、妙に涼しいことあり、といった具合でした。家庭菜園の夏野菜はそこそこ収穫していますが、今年は百日紅の花がぜんぜん咲きません。病気か、害虫か、それとも陽気変動のせいか、何か異常を感じています。さあ、これからどんな夏後半になるのでしょうか。

　今回の言葉は、物事を成し遂げるための第一条件だと思います。

◎先ずやることを考えよう◎

　何かやりたいことがあるのに、「自分には無理だ」とか「できない」
と思うことがありませんか。そんな時、先ずはやることを一生懸命考え
ましょう。なにしろこの世の中には「できない」ことより「できる」
ことの方がずっと多いのですから。

　着手しないことは絶対にできません。これは誰もが知っている真理
です。着手するには、どうすればできるのか、何を学ぶことが必要か、
自分が今すぐできることは何か、といったことを考え、できることに
一歩踏み出してみることです。

できない理由が頭に浮かんだ時は、その理由を解消あるいは回避する
方法を一生懸命になって探ればよいのです。一歩踏み出すと別の景色が
見えるようになります。勇気も湧いてきます。

　これからもどうぞ進歩の日々をお楽しみください。

　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝


◆情報セキュリティの実践は..：考房だより７０◆

　組織の内部統制の法制化に対応して、ＩＴ全般統制、情報セキュリ
ティガバナンスを手掛けてこられた、情報産業分野の専門家から説明を
していただきました。その上で、身近な問題および世間を騒がせている
問題に関して質議応答と意見交換を行いました。

・情報セキュリティの重要性が社会的に認識され、広く知られるように
　なったのは、内部統制の法制化からだ。

・情報セキュリティの脅威はおおよそ次の９種類である。
　＊外部からの不正アクセス　→　破壊、改竄、踏み台、など
　＊外部からの侵入　→　機密情報の漏洩による社会的信用の失墜
　＊なりすまし　→　機密情報の漏洩による社会的信用の失墜
　＊電子データ管理の欠陥　→　障害時には情報消失も
　＊情報漏洩（Web）→　社会的信用の失墜
　＊情報漏洩（mail）→　管理責任を追及される危険
　＊内部犯行による不正アクセス　→　管理責任を追及される危険
　＊ウィルス蔓延　→　経済的損失、加害者になる危険
　＊内部の不正アクセス　→　社会的信用の失墜に発展する危険

・情報セキュリティガバナンスにおいては、セキュリティ管理と
　セキュリティ監査とがつながりを持つ必要がある。
・セキュリティ対策は次の４つのシーンを対象としている。
　＊セキュリティ管理／セキュリティ監査
　＊外部からの攻撃に対するセキュリティ対策
　＊一般社員・職員に対する管理・統制
　＊システム管理部門における管理・統制

・ＩＴ全般統制に活用されるフレームワークとして、次の３つがある。
　＊COBIT(Control Objectives for Infomation and Related
　　　　　　Technolojy)
　＊ISMS(Infomation Security Managema[ent System)
　＊ITIL(IT Infomation Library)
　中でも、COBITが最も一般的に使われている。

・ＩＴ全般統制の４つの観点とは、
　＊プログラムの開発
　＊プログラムの変更
　＊コンピュータの運用
　＊プログラム、データへのアクセス　　　である。

・COBITでは、ＩＴ全般統制の成熟度を６段階で定義している。
　０：不在　　　　コントロールが存在せず、課題があることも認識
　　　　　　　　　されていない状態
　１：初期状態　　課題が認識されているが、標準が存在せず、担当者
　　　　　　　　　ベースで対応している状態
　２：再現性　　　公式な手続はないが、担当者が概ね同一の手続を
　　　　　　　　　再現できる状態
　３：定義　　　　手続が標準化、文書化されており、研修等により
　　　　　　　　　周知されている状態
　４：管理　　　　プロセスに対してＰＤＣＡサイクルが適用されて
　　　　　　　　　いる状態
　５：最適化　　　プロセスが最適化され、ベストプラクティスの
　　　　　　　　　レベルまで高められている状態

　成熟度３：までを達成し、その後に４：へ、５：へ、とレベルアップ
　に取り組んでいくのが好ましいだろう。

・COBITでは、この成熟度をベースにして半年に１回の運用テストを
　定めている。これでは、質問への回答を評価して結果を判定する。

・ＩＴＡＣの運用評価テスト、というものがある。業務プロセスをＩＴ
　アクセスコントロールの９つの視点から捉え、リスクコントロール
　マトリックスを展開して評価するものだ。

・ＭＡＣ認証というものがある。これを適用すれば、個別の機器ごとに
　接続される状況が判る。どの機器が接続されたかが明確に把握でき、
　認証外の機器の接続を排除できる。

・とにかくリスクを明らかにして、システムでカバーできないものが
　あれば、人的にカバーできるようにすることが重要だ。

・一般社員・職員に対する管理・統制のレベルは、次の６つのレベルで
　考え、レベルアップに取り組み続けるのがよいだろう。
　　レベル０：ＩＤ／パスワードのみで利用者を制限
　　レベル１：端末構成の状況を把握し、ウィルス対策を徹底
　　レベル２：社員・職員の不正な操作を制限し、情報を守る
　　レベル３：端末側にデータは置かず、ファイルサーバーで集中管理
　　レベル４：重要情報を扱う業務や部署を絞って操作制限
　　レベル５：複数業務のＩＤを統合管理し、確実な本人認証

　レベル２までを何とか実現し、その後もレベルアップの取り組みを
　続けるのがよいだろう。

　レベル２とは、ＰＣ、ＵＳＢメモリー、メール、印刷物などから
　情報の持出しや流出を防ぐための操作の禁止やログの収集を行い、
　個人の持込みＰＣなど管理外ＰＣのネットワーク接続を機器認証
　（ＭＡＣ認証）により排除しているレベルである。

　一通りの説明後、具体的な理解のために、現実に発生しそうな問題の
原因とそれへの対処方法を示す、幾つかのエピソードトレーニングを
行いました。

その後に意見交換された内容を以下に上げておきます。

・徐々にレベルアップしていこうとする取り組みは、ＩＳＯの認証の
　取得・維持活動と同じだ。そう考えれば取り組みやすい。ＰＤＣＡの
　管理サイクルを回すことが重要であることも、ＩＳＯに符合する。

・ウィルスの生成とその防止ソフトの開発との関係は、所謂ドロナワ的
　だと感じているがどうだろうか。趣味と金儲けとが微妙に絡み合った
　妙な関係のようだ。

・シェアの小さいＯＳや旧パージョンのＯＳなどは、ウィルスなどに
　犯されにくいと聞いている。実際、MacOSが隆盛でなかった時代には
　ウィルスは全く侵入して来なかった。愉快犯にとっては、大多数の
　人々が右往左往するのでなければ楽しくないのだろう。

・ハッカーグループに対しては、全面対決企業と妥協企業があると
　聞いている。この度のソニーの膨大な情報漏洩事件も、ソニーが前面
　対決企業であることを狙ってのことだ、との報道もあった。

・サイバー攻撃を国家戦略としている国さえもある、インターネット
　空間は無法地帯のようなものだ。そこを歩き回ろうとすればそれなり
　の知恵がいる。妥協企業の姿勢もそのための知恵の一つだとも言え
　そうだ。

・罰則強化とか公安の取締り強化とか、もう少しなんとかならないの
　だろうか。
・ハッカーソフトを作った人は、核兵器を作った科学者と同類だ。
・孔があれば必ずハッカーが入り込むと受け止めるほうがよい。確率は
　１００％だ。
・最近よく使われるようになった「ワンタイムパスワード」は、情報
　セキュリティ対策としてかなり効果が高い。

・情報セキュリティ対策として重要なことは、自分あるいは自社はどこ
　までできているか、どこに危険が残っているかを的確に認識した上で
　対処法を考え、継続的にレベルアップを図っていくことだ。

・情報セキュリティ対策のポリシーは、自分あるいは自社の実態と能力
　に応じて掲げるべきだ。世間には、観念的な文書などから借りてきた
　ようなポリシーが多いが、これでは効果的な対策は打てない。

　以上のような内容でした。現代社会では、情報セキュリティは必須
事項になりつつあります。今回の内容がお役に立つようでしたら幸いに
思います。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆企業ＯＢの皆さんへ、そして中小企業経営者の皆さんへ◆
　　　　　━━前兵庫県知事、貝原俊民氏からのメッセージ━━
　・「企業ＯＢの持てる力を地域のために活かそう」
　　「企業で長年培った経験と知識の持ち主に力を貸してもらおう」
　・産業人ＯＢネット設立５周年記念　特別講演会
　　　　　演題『長寿国にっぽんをめざして』
　　　２０１１年９月１４日（水）午後１時～３時
　　　県民会館けんみんホール（神戸元町）、入場無料
　・詳細情報およびお申し込み窓口は下記のウェブサイトへどうぞ
　　　　　http://www.sanobnet.jp/kouen/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆改善実践考房、８月度のご案内◆

　７月２８日に開催しました。内容は本文に掲載の通りです。
８月は下記のテーマの案が出ています。物事を成し遂げるために必要な
こと、有効なこと、能力、思考特性、行動特性などについて広く捉え、
それぞれの経験と考え方を出し合うことは有意義だろうと思います。

　　『物事を成すために必要だと、自分が考えていること』

　開催日と会場を下記にご案内します。新しいことに期待をお持ちの
皆様、ご自身のお考えをお持ちで他者の意見や考え方も聞いてみたいと
思われる皆様、どうぞお運びください。お待ちしています。

　組織の若手マネジャーや、マネジャー候補生の皆さん！！　是非一度
覗いてみてください。大歓迎です。

日　時：２０１１年８月２５日（木）午後６時３０分～８時３０分
テーマ：案：物事を成すために必要だと、自分が考えていること
会　場：神戸市勤労会館３０３号室（神戸市中央区雲井通５－１－２）
　　　　　（ＪＲ三宮駅浜側を東へ徒歩で約５分）
ご案内サイト：
　　　http://homepage1.nifty.com/koken_pat/kowbow.html
ご連絡先：
　　　メールアドレス　hiro.oshima@nifty.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
★サイト「経営改善で会社を元気に」に次のメッセージを掲載中です
　　＊多様性～存続の必要条件
　　　　http://homepage1.nifty.com/koken_pat/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

　改善実践考房　主宰　／　大島啓生
　　E-mail　hiro.oshima@nifty.com
　　URL　http://homepage1.nifty.com/koken_pat/
　神戸市垂水区桃山台５－７－７　〒655-0854
　　TEL:078-755-2276 FAX:078-752-9097
　メールマガジン
　　仕事力を研く
　　　http://www.mag2.com/m/0000087454.html
　リンク集
　　http://homepage1.nifty.com/koken_pat/activity.html#link

突然のコメント、失礼いたします。
私はこちら⇒http://blju.net/
で無料オンラインゲームサイトをやっているfarrといいます。
色々なサイトをみて勉強させていただいています。
もしよろしかったら相互リンクをお願いできないでしょうか？
「やってもいいよ」という方はメールを送ってくだされば、
私もリンクさせていただきます。
よろしくお願いします＾＾(2011.08.09 08:04:45)