« 2007年9月 | トップページ | 2007年11月 »

2007年10月

2007年10月31日 (水)

漏洩や危険を知っていても、なぜ減らないのか?

昨今、食品偽装が多く発覚している。あんこのお餅などは、個人的にも好きだったし、それを食べていた思うと、何ともやりきれない。

一方、人間の身体は、あの程度では壊れないようだ。

ただ、食に関するものは、口から入るものだし、直影響のあるもの。気分的にもよろしくない。

なぜ、今、なのだろうか?昔からあったことが多くある。これも最近報道などで、私なんかもわかったこと。

内部の勇者が耐えきれずに。。。発覚しているだろし、もっとしっかりとして欲しいものだ。

コンプライアンスなどのキーワードが踊っているが、前回も書いたがおかしい。

法令遵守。。。当たり前のことではないだろうか?世の中、隠蔽体質がまかり通っている。もっと発覚すべきこと。

結局、人を騙しているのだから。

じゃあ、情報セキュリティではどうだろうか?

フレッシュアイ情報漏洩のニュースをみても、ネタ切れしないほどに起きている。

私の専門は漏洩対策なので、正直、食の安全はよくわからない。

漏洩を100%止めることは出来ない。しかし、その危険性とシチュエーション、プロセスは事件から知ることはできるし、そこから学べることも多くある。ゼロにならなくとも、コンプラの定義が多少間違っていても、ある程度は出来る。

にもかかわらず、何もしない。その姿勢が問われる。コンプラなんかの以前の問題。

発生前においては、そのリスクを知ることからはじまる。あり得ないことだけではないはず。あり得ることが多く発生している。想定外であっても、それを回避はできない。

発生後にあっては、開き直っても仕方ないが、今出来うる応急対策と、今後案になる恒久対策を提示しなければならない。

ここでも隠蔽体質は変わらないようだ。あまりにもバカにしているとしか思えない対応しかしない企業が多い。

起こりうること、発生することがわかっているにもかかわらず、何もしない。。。。

やらなきゃならない!意識はあっても、何もしなければ何も知らない無智よりも悪意があるとしか思えない。

自分のことだけで、自分だけの問題であれば、一回でも発生し、痛い思いをしなければわからない。てもいいだろう。

企業においては、これでは通用しない。コンプラは法令遵守ですか?

やった方がいい!ってレベルの話ではなくなっている。ネットも使わずにアナログ時代に戻るならば、今時の危険も減る。

実際にそんなことは出来ないのだから、対策するしか選択肢はない。はずだけど。。。。

企業の社会的責任って、何でしょうか?社会還元ですか?わからないように隠蔽することですか?

知らない方がいいことも世の中にはある。ここでは通用しない論理だ。

発表すればそれで良い。その程度しかしない企業を多数見てきた。時間の問題でそれは大きくなる。

なぜか?。。。何もしないから、起きているだけ。子供でもわかるような簡単な話。

もっと、しっかり考えてもらいたい。ってわかっていただける企業は、そんなことも起きていない事実。

インターネットの特性を知り、ヒューマンエラーがなくならないことも理解して、方法を考えなければ意味はない。

それでも。。。減らないですね。マイナスとマイナスのかけ算は、プラスになるが、ここでは余計に悪化するだけ。

じゃあ、どうします?

| | コメント (0) | トラックバック (0)

2007年10月26日 (金)

「情報セキュリティ対策が企業価値を高める」

【Security Solution】「情報セキュリティ対策が企業価値を高める」--経産省の下田裕和課長補佐ITproより

「企業にとって情報セキュリティ対策は,企業価値を高めるものだと評価されなければならない。そのための仕組み作りに積極的に取り組んでいく」--。経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐の下田裕和氏は10月25日,「Security Solution 2007」併催の「セキュリティ・ソリューションフォーラム」の基調講演で,経済産業省の情報セキュリティ対策の取り組みについて,こう説明した。

4つの柱で構成する経産省のセキュリティ対策

下田氏は続いて,目標達成に向けた経済産業省の情報セキュリティ対策について解説。(1)早期警戒体制の整備,(2)組織的対策の推進,(3)企業や個人への継続的な普及広報活動,(4)技術的対策の推進--の4つの柱からなる取り組みを説明した。

展示会で直接聞きたい話だった。結局行けずに・・・残念だった。

この4つの柱の中、私は特に(2)と(3)が重要であり、興味を持った。

この(2)組織的対策の推進は、相互牽制効果の働く仕組み作りであると考える。認証制度であるPマーク等も勿論重要であるが、実際にはどうだろうか?

無いよりも良いって程度ではないだろうか?どこかの肉まんやミンチと同じにするつもりはないが、評価制度があれば、本当に間違いないのだろうか?

食品に限らず、情報セキュリティにおいても同じこと。認証評価がすべてであると思いこんでいる方々が、どれほどたくさん存在し、それで大丈夫と思いこんでいることか・・・まったくお話にならない。

実際に、某大手印刷会社では認証制度を受けていた事実や、年間に百数十者の認証を受けた企業から情報漏洩が起きている。やはり無いよりも良いって程度でしかないのでは?

組織で頭でっかちの、本に書いてあることだけを棒読みし、なんちゃってマスターになっている方々を拝見する。

基礎は知っているが応用は出来ずに、自分のことは考え守るが、規則に書いてあるはずの根本を理解していないから、都合良く解釈する。まさにチェリーピッキングをしている。こんなところではチェリーピッキングしてはならないのだ。

(3)の企業や個人への継続的な普及広報活動は、どうだろうか?

先の(2)とも重なる部分は多い。ここでも、なんちゃってマスターの方々は、本質も解らずに、知識の詰め込み教育になっている。知恵に移行していない。だから応用が利かない。

もっと、この情報セキュリティ対策における本質を知らなければならないのだ。

じゃあ、本質は何だろうか?

ここで質問したい。コンプライアンスってどんな意味か?

法令遵守。。。なんて答えないでもらいたい。こんなの当たり前のこと。まぁ当たり前が出来てないこと、新聞を賑わす問題が多いこと。だから法令遵守なのだろうか?

コンプライアンスとは、語源であるコンプレイン(他人に嫌がられることはしない、喜んで貰える行動を行う)ことである。

間違っても、苦情などと考えないで欲しい。ホテル業界の用語っぽくなっているが、それだけではない。

言葉の定義もさることながら、もっと深い意味を考えて欲しい。情報セキュリティはコンプラ・・・って、キレイすぎて当たり前。

都合によって、定義も意味も変えている方々が多くいる。

じゃあ、自分だったら。。。そんなことはあり得ないのかもしれない。だからチェリーピッキングになってしまう。

漏れてからでは遅いのである。もっと現実にできる、身近に出来る簡単なことからはじめないと、続かないのだ。

今一度、本質を考えてみたい。

| | コメント (0) | トラックバック (0)

2007年10月17日 (水)

総務省や文科省もWikipediaを編集していた 「WikiScanner」日本語版で判明

総務省や文科省もWikipediaを編集していた 「WikiScanner」日本語版で判明 ITmedia News

Wikipediaを編集した組織や企業が分かるツール「WikiScanner」の日本語版がこのほど登場した。これを利用して行政機関からの編集について調べてみると、総務省や文部科学省、宮内庁などから、行政に関わる内容からエンターテインメント関連まで、さまざまな内容について編集があったことが判明。行政に批判的な内容を削除する編集も見つかった。

WikiScannerは、 IPアドレスを入力すれば、そのIPから編集された内容を一覧表示できるツール。IPアドレスと組織名を対応させる仕組みも備えており、特定の組織が編集した記事や内容を確認できる。英語版はすでに公開されていたが、今回新たに、日本のWikipedia内を検索できる日本語版が登場した。

今年の夏のニュース記事。突然思いだし、引用してみた。

なぜか?

ネタっぽい話になってしまうが、例のボクシング試合での出来事で思い出してしまった。

負けた人の失言が、あたかも過去の本当にあった話のように、Wikipediaに書かれてしまっていた。J-CASTニュースより

詳しいことは、ここでは書かないので見ていただきたい。Wikipediaのページも荒らし対策規制がかかっている。

で・・・

今更かもしれないがWikipediaは、みんなで編集し、知の共有をしようという素晴らしいもの。私も相当にお世話になっている。これこそが、インターネットの凄いところであり、恩恵にあずかれるところ。

Wikipediaに限らず、インターネットにも限らず、それが本当に正しいのか?見極めるのは難しいところ。テレビが正しいのか?新聞が正しいのか?マスメディアの威力の出てしまうところでもあったりする。

結局のところ真偽を見極めるのは、ユーザー自身の自己判断しかない。

で・・

Wikiscannerは、編集した接続元や編集した部分が”もろ見え”してしまうこと。それも簡単に。

IPアドレスと接続元を対応させる機能も備えているため、組織から接続し編集した場合には、その組織名が明らかになる。

普通に普及しているADSL等のプロバイダー経由で繋げば、組織名も出ようがない。

ここで興味深いのは、どの組織が、どのページの、どこを編集したか?なのだ。

笑い話として何かを隠す場合に、”ここには何もありません!”なんて、引き出しの前に立つようなもの。

それ、わかりやすい!ってもの。正直な人でも、沈黙した方がいいこともあるかもしれない。

ある組織からは、業務と関係なさそうな編集を行ったりしている。イケナイとは言わないが、公的機関の場合だと、バッシングの対象になりやすい。

一方で、業務と関係あるものについては逆に、”なんでだろう?”と疑問を持ってしまう。引き出しの話に似ている。

何もしなければ、そのまま放置されるか、誰かが書き直してくれる。実際に海外では、Wikipediaに間違った書き込みをして、どれほどの時間で発見され直されるか?研究している人たちもいる。

公的機関に限らず民間企業でも編集履歴が残ると、”何かあったのか?”と思ってしまう。理由がない限り、そんな事はしないはず。隠蔽?と思われるようなこともあるかもしれない。Wikiscannerでそれが明らかになってしまう。

見えない事をしているつもりでも、見ている人がいる。ビッグブラザーほど大きいものではないが、ブラザーは見ているのだ。

さて、調べ物が残っているから、Wikipediaに行くか。

| | コメント (0) | トラックバック (0)

« 2007年9月 | トップページ | 2007年11月 »