政府機関のインターネット、次世代規格に全面移行検討

　今回のタイトルは、ネット版の日経新聞の見出しを借りました。表記の通りの検討が行われているようです。

　具体的に言うと、どうやらネットワーク機器をIPV6に対応した機器に変更することによって、セキュリティを強化するという意味と、政府機関が率先してこのような対応を行うことで、民間にも右をならえしてもらいたいという意図があるようです。

　技術的になってしまいますが、今のインターネットや通常のLANで使用されているTCP/IPというプロトコルはVersion4で、IPV4と呼ばれています。それに対して、次世代のIPプロトコルはVersion6で、IPV6と呼ばれています。

　IPV6になると何が一番いいのかということがよく語られますが、一番大きな違いは、IPアドレスというネットワーク機器一つ一つに振られるアドレスの数が、飛躍的に増えるということがあります。

　現状のIPV4では、少ないアドレスを何とかやりくりしながらネットワーク通信を維持しているという側面があって、この上家電一つ一つにIPアドレスを割り当ててインターネット上で通信させようとなると、とても数が足りなくなるのです。

　IPV6は規格の上で、ほとんど事実上無限と言えるほどたくさんのアドレスを扱えるようになっているので、上記の心配は解消されます。

　そして、もう一つ、IPV6に移行すると何がいいかというと通信が暗号化されるということです。現在のIPV4では、それ自体で暗号化についても規格はありません。しかし、IPV6になるとIPsecという暗号化がIPV6の規格の中に含まれているので、IPV6を利用しさえすれば通信が暗号化されてセキュリティが高まることが期待されています。

　このIPV6のIPsecによる暗号化については、細かい話をしていくと手放しで喜べない面もあるのですが基本的には標準で暗号化通信が行われるようになるということで、通信のセキュリティが高まることは喜ばしいことです。

　この政府の計画が実施されれば、少なからずIT業界に影響を与えることになるでしょう。ネットワーク機器の一種の特需にもなりますし、一般社会へのセキュリティ意識の向上をアピールするという意味でも望ましいことと言えます。

　今回のニュースは非常に地味なものですが、今後のネットワークインフラのセキュリティ向上に対して一定の意味を持つのではないかと、私は考えています。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

下関駅放火事件に思う

　ＪＲ下関駅の駅舎が７日未明に放火された件で、ちょっと驚く事実が報道されています。なんと、駅舎にはスプリンクラーが設置されていなかったそうです。そして、それが適法だったと聞いて二度びっくりです。公共の建物はもっと防火対策がしっかりしていると思っていたのですが、商業スペースの広さが今回の場合はぎりぎり設置義務の範囲外（狭い）で、駅舎そのものには設置義務はなかったいうことです。

　しかし、この放火事件で驚くことがもう一つ。愚かな男による衝動的な犯行だったわけですが、いくら古いとはいえ、ライター一つであれだけの建物を全焼させてしまえることが、私には大きな驚きでした。

　由緒ある木造建築の建物を、実につまらない理由（腹が減っていてむしゃくしゃした）で衝動的に燃やしてしまうという人間の愚かさを嘆くと同時に、あんな簡単に、駅舎が数時間で全焼してしまったこともまた、それ以上に嘆くべき事態だと感じています。

　企業が法律を順守することをコンプライアンスといいますが、今回の場合は適法状態だったので、必ずしもコンプライアンスに問題があったと言えるか微妙なところなのですが、単に適法か違法かという以外に、倫理的、道徳的に問題ない行動かどうかも、企業コンプライアンスでは問われます。

　そのような意味で、セキュリティ上は防火対策とコンプライアンスに問題があったと言えると思います。たとえ法律違反ではなくとも、あのような大きな公共の場所、しかも木造で燃えやすいわけですから、そのような駅舎に積極的にスプリンクラー等の防火設備を設けていなかったわけですから、道義的には大きな問題があると言わざるを得ません。

　JR西日本は、この点を問われるわけで、放火事件とはいえ昨年の宝塚線の脱線事故に続いてまたまた企業イメージを低下せてしまったわけです。

　今回は火災ということで一見情報セキュリティと関係がなさそうですが、ISMS（ISO27001）でも施設、設備のセキュリティ対策が要求事項にはいっていて、今回のような火災に備える義務も当然含まれているのです。

　情報セキュリティというと、とかくコンピュータシステムそのものやウイルスなどに目が行きがちですが、今回のような情報機器と関係ない部分でも大いに関連があるということを知っていてもらえればと思います。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

入退出管理の重要さ

　6日に仙台で起こった新生児連れ去り事件は、実は身代金目当ての誘拐事件だったということと、人質になっていた赤ちゃんが解放されて犯人も逮捕されたというニュースが流れました。

　誘拐事件だったので、詳細な事実の報道は伏せられていたようです。なにはともあれ赤ちゃんには何事もなくよかったわけですが、一つ重大な問題が残っています。

　その問題は、いうまでもなく誘拐を許してしまった仙台の病院の管理体制です。深夜早朝になぜ、そんな不審人物が病院内に入れたのか、その点が一番問題です。夜間の出入り口は一カ所しかないという報道もありましたが、そこが出入り自由では何の意味もありません。

　ISMS（ISO27001）でも、入退出管理は重要な要求事項となっており、内部の人間と外部の人間の出入りできる場所を確実に分離することが求められています。

　最近のオフィスでは、ISMS認証取得に関係なくきちんとした入退出管理を実施しているところが増えています。オフィス街でIDカード（社員証）を首からぶら下げた人をたくさん見かけることでもそれがわかります。

　オフィスの中では、社員なのか部外者なのかがはっきりとわかるようにできる仕組みを導入することが必須です。それに、オフィス出入り口の常時施錠を実施すれば入退出管理に関しては合格です。

　赤ちゃん誘拐事件では、病室の母親の横に寝ていた赤ちゃんを、母親に不審を抱かれることなく連れ去っています。火事という非常時を装って、身分確認の隙を与えずその点は巧妙だったといえますが、それにしてもその前に新生児室に侵入しようとして職員に阻止されていたのに、なぜ、そのまま別の赤ちゃんを連れ去ることを許してしまったか、病院側はこのようなことが起きてしまった原因をしっかりと把握し、今後二度と起こらないように対策することが肝心です。

　大きな組織になればなるほど、部外者の出入りが多くなり、またそれを見分けることが困難になります。同じ組織の人間同士でも顔もわからないというのも、大企業では珍しくないことですから、ましてや外部の人間に対して何の対策もしなければわかるはずがありません。

　入退出管理は、導入されてしまえば何気ない日常の一風景に過ぎなくなりますが、それがしっかり行われている組織が外部から見て信頼されることは、意外と気づかれていないことかもしれません。皆さんも、自分が属している組織での入退出管理について、今一度考えてみてもらえればうれしく思います。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

DLNAとセキュリティ対策

　昨今、その名称をよく耳にするようになったデジタル家電ですが、DLNA（Digital Living Network Alliance）という業界団体があって、そこでデジタル機器同士の接続の規格を定めたガイドラインが策定されているのをご存じでしょうか。

　ガイドラインといっても、何か特別な規格が定められているわけではなく、既存の技術を利用して映像や音声の伝送、伝達を行うごく緩い仕様になっています。

　そこで、気になるのがデジタル家電機器のセキュリティということになります。既存の技術、たとえばワイヤレスでの機器同士の接続には無線LANを利用するわけですから、DLNAだからといって特別なセキュリティ対策があるわけではありません。その点においては、無線LANのセキュリティをしっかりと行う必要があるわけです。

　そのように考えると、現在のITの世界でのセキュリティの問題がそのまま家電の世界に持ち込まれるわけです。しかし、はたしてそれでDLNA家電のセキュリティ対策は十分なのでしょうか？

　IT機器が爆発的に普及し、家庭にもブロードバンドが当たり前のように普及しているわが国ですが、家電までもその渦の中に巻き込まれるとなると、また話は変わってきます。

　家電の種類と数はIT機器と比べものにならないくらい多いわけですから、そのひとつひとつに有効なセキュリティ対策を施すことは至難のわざとなることが予想されます。

　はたしてこの件について、バラ色の未来だけを語れるのでしょうか？私は現在、DLNAに関してこの一点にとても関心をもち、同時に大きな危惧を持っています。

　新しいIPプロトコルの規格であるIPV6によって、事実上の無限の数のIPアドレスが利用できることが、肯定的に語られていますがそれは裏を返せば爆発的なセキュリティ上の問題点の増加を招くことにもなるのです。

　このあたり、今後見守っていくべきポイントだと思っています。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

　

金融とITの垣根

　1/6付け日経朝刊のコラム「大機小機」のタイトルを引用させてもらいました。読んでみて、私とこのコラムの筆者の考え方に共通点が多いと感じたので、ここで紹介させて頂きました。

　東京証券取引所のトラブルに関して、コンピュータシステムの運営は別会社の東証コンピュータシステム（TCS）が全面的に請け負っていることを知りました。実際のインテグレータである富士通は、TCSと取引をしていることになります。

　しかし、そのTCSですが、東証の持ち株比率は3割に過ぎないそうです。財務改善をねらって約六割のTCS株を2002年に売却してしまったそうです。そのことにより位置づけがあいまいになってしまったTCSに対応を任せっきりにしていたことが、今回のトラブルの遠因になっていると、筆者は指摘します。

　私が今までブログで述べてきたのと大筋同意見なので、これを読んでいて思わずひざを叩いてしまいました。

　金融業は日々システム依存を高めているのに、それに逆行するような経営を行うのはおかしいと思うのですが、そのあたり経営者の感覚がずれていると思っていたのは私だけではなかったということです。

　このコラムでは、日本の金融機関の経営者は大半が文系出身でシステムのことをよく理解していないのではないかと述べていますが、システムの重要性を理解していないという点では同意見ですが、文系、理系であるかどうかはこの際関係ないと思います。

　文系出身でもシステムのことを理解している人は世の中にたくさんいます。この私もその一人です。問題は、センスと理解しようという気持ちだと思います。このどちらが欠けていても残念ながらシステムに詳しくなることは無理だと思います。

　経営者は、何も技術的なことをすべて理解する必要はないのです。システムの設計やプログラミングができなくてはいけないというわけではないのです。しかし、大局的な観点から自分の経営している企業で、システムがどのような役割を果たすべきか、そして、システムはどうあるべきかビジョンを描けて、そこに社員を引っ張っていく力が求められるのです。

　その意味で、少なくとも金融機関のトップに立つ人物はITやコンピュータシステムについて理解できる能力、センスを持っていることが要求されると思います。システム音痴な人物が金融機関のトップに立つことほど、不幸なことはありません。

　そして、ここでは金融機関を例に挙げていますが、一般の企業でも今後はITやコンピュータシステムなしで済む企業はほとんどないことを考えると、経営者には金融機関の経営者同様の能力が求められると考えられます。

　そうなれば、情報システム、情報セキュリティに対する無理解も解消されよりよい企業経営が実現されるのではないでしょうか。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

モニタリングとプライバシー

　最近よく話題になるのが、会社やその他組織において、社員、職員の行動を情報セキュリティの観点からどの程度監視するのが許されるかということです。

　一番気になる点として、社員のメールのやり取りを監視していいのかどうかということがあります。職場によって、そのポリシーは千差万別だと思いますが、私用メールは一切禁止という職場ならば、社員のメールをすべて詳細に監視しなければなりません。

　メールによる情報漏洩は、企業としては全く頭の痛いところで、実際のところ防ぐのが非常に難しい問題です。あまりにもメールの送受信について厳しいルールを定めても、業務に支障が出る恐れがあるので実際のところ、リアルタイムに見張るという企業は少数派のはずです。

　社員のメールがその直属の上司にもコピーされて届く（届ける）という運用をしている会社もあるようです。私用メールは常識の範囲内で許容する代わりに、上司にも読まれるということでゆるやかな監視がメール濫用の抑止力になるというわけです。

　また、すべてのメールをアーカイブ（書庫に記録）するセキュリティ対策製品もあるようですし、そちらの方は、何か事件、事故があったときの原因追及に役立つ仕組みですね。これは、ISMS（ISO27001）の要求事項にもぴったりの仕組みです。

　経済産業省による「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」というものがあって、その中にモニタリングについても触れた部分があります。

　そこでは、しっかりとモニタリングのルールを決めて、社員に対してモニタリングを行うということを周知徹底させてからモニタリングを行うのが望ましいということになっています。また、労働組合がある会社では組合との合意も必要になるでしょう。

　多かれ少なかれ、これからは企業や組織においてメールは監視し管理される時代になると思われます。今まであいまいに利用していた人々にとっては、公私の区別をはっきりとつけるよう、考え方の切替をせまられることになりそうです。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

IT予算とセキュリティ

　日経BPのサイトで「記者の眼」というコラムがあるのですが、そこで「IT予算をどこに投じていますか」という記事が目にとまりました。

　どの会社もIT予算が少なく、システムの必要な改修や機器購入がままならないという状態だと述べられています。また、人材不足にも触れられ、特に中小企業ではIT部門の人材を募集しても若い人が集まらず自社で育てることもできず、システムについて、結果的にベンダー丸投げになりがちだということです。

　繰り返しますが、上記の状況は中小企業では深刻で、また社員が数百人規模の会社でもIT要員が1名ないし数名というケースもあるそうです。

　ベンダー丸投げでは、社内にベンダーの提案をきちんと評価できる人もなく、相手の提示する価格が適正かどうか判断できず、言い値で取引せざるを得ないとなると、少ないIT予算がますます有効に活用できないという状態に陥ります。

　そして、基幹システムの改修がままならないということは、とても情報セキュリティになどお金が回るはずもなく、セキュリティ的に望ましくない状態が放置される恐れがあります。

　そのような状況の会社が、30万のルータの購入をあきらめた会社が、ISMS（ISO27001）認証取得にコンサルと認証審査費用あわせて1000万の予算と、担当者をその仕事に1年間配置してプロジェクトを実行できるわけもなく、こうした目に見えない部分には、お金は回らないという構図が想像できます。

　このブログで何度も強調しているとおり、ファイアーウオールやウイルス対策ソフトといった技術的な対応はもちろん必要なのですが、それを生かすために、企業としての情報マネジメントシステムが機能しない限り、真の情報セキュリティを確立することは不可能です。

　予算不足、人材不足、このないないづくしの状態で、いかにしてますます厳しくなる情報セキュリティについての要求を企業として乗りきるか。その点に経営者の手腕がかかっていると言っても過言ではないでしょう。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

防衛庁からの魚雷データ流出

　ネット版の読売新聞によると、防衛庁の技術研究本部の技官が魚雷の動きのシミュレーションデータの変換を、組織の許可を得ずに個人的に民間の会社に委託していたそうです。

　この事件は単に情報流出という面ではなく、委託をした技官が別の防衛庁からの情報流出事件をきっかけに、自分のしたことも警察の捜査の対象にされてしまうのではないかと思い悩んだあげく、無理心中をはかり両親を殺害し、自分も自殺しようとする事件に発展してしまいました。

　事件が報道され、生き恥をさらすくらいなら両親共々死んでしまえという気持ちになったようですが、全く気の毒な話です。

　データを外部に出すことについて、組織ではなんら上司に報告する仕組みもなかったということで、これは情報セキュリティの観点から非常にまずいことと言えます。

　組織にきちんとしたセキュリティポリシーがあるか、またはISMS（ISO27001）の認証を取得していれば、現場の人間もそのルールにしたがって行動したはずですから、一人で外部へ情報を出してしまった責任を感じずに済んだはずで、そうすれば無理心中などということも起こらなかったはずです。

　情報セキュリティ事件が殺人事件に発展するという珍しいケースですが、組織の情報管理がしっかりしていないとこんなとんでもないことが起こりうるという実例として、われわれは心に留めておかなければなりません。

　最後に、以前予告していた情報セキュリティメルマガ（有料版）の発行が始まりました。以下の、リンクから申し込みできますので、是非無料期間の間だけでも購読して頂ければと思います。

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

←　クリックして応援よろしくお願いします！

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

構築と運用

　昨年大きな問題になった東京証券取引所のトラブルは、システム構築よりも、システム運用が軽視されている姿勢を浮き彫りにしました。

　構築については、きちんとしたドキュメント、手順が確立しているのに運用の段階になるとドキュメントの作成もついついいい加減になったり、意図せずとも出来の悪いドキュメントを作成したりして、運用に支障をきたす原因を作ったりということがあるようです。

　当然ですが、コンピュータシステムというものはそのシステムを使用し活用するために作るものであって、構築して終わりではないのです。むしろ、構築が終わった段階がそのシステムの誕生の瞬間であり、そこからそのシステムの歴史が始まるのです。

　社会的な影響度の大きい大規模なシステムについて、ともすれば、構築の苦労や秘話が語られることはあっても、運用の苦労が語られることは、意外と少ないのです。

　このことからも、この世界で運用よりも構築に世の中の人々どころか、IT業界の関係者の目が集まる傾向がみてとれます。実際、これはおかしな話で、どんな立派なシステムを作っても運用がまともでなければ、そのシステムは画餅と同じで眺めるだけで役に立たないということになりかねません。

　システム運用が注目されるようになってきた背景には、インターネットの普及があると思います。ネット上でWEBベースの様々なシステムが動くようになって、これらのシステムがいかに円滑に運用できるかということに関心が集まることで、システム運用に目が行くようになってきた側面があります。

　というのも、インターネット上のWEBベースのシステムは、閉じた世界で動くシステムに比べて、はるかに運用がむずかしいからです。正直なところ、動かしてみないとどのくらいの負荷がかかるかわからない、また、負荷の多いときと少ないときの落差が大きい、そして、世界に向かって開かれていることによりセキュリティ対策が大変むずかしいということがあるからです。

　一昔前は、コンピュータシステムの代表といえば金融機関のオンラインシステムでしたが、現在ではネット上の様々なシステムの方がわれわれに身近になり、信頼性や安全性を求められるようになっています。

　しかし、オープンなインターネットで動作するという性質上、信頼性、安全性を堅牢なものとして運用を続けることは一種の自家撞着で、相反するものをどうにかして苦労しながらまとめながら、システムを運用しているというのが現場の実際の姿です。

　システム運用の世界的な標準ガイドラインであるITIL（IT Infrastructure Library）が日本でも注目を集めて来ていることでもわかるよう、これからもIT業界はシステムの構築よりもその運用に関心が集まるのではないかと私は感じています。

　もちろん、ISMS（ISO27001）もその一環として関心が高まることが予想されます。システム運用と情報セキュリティ、この2つが今年のIT業界のキーワードになるのではないでしょうか。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！ 「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

偽装請負とコンプライアンス

　IT業界では、書類上は請負契約もしくは業務委託契約なのに、開発・運用担当者を実質的に「派遣」として取り扱われる業務形態が日常化しています。しかし、これは偽装請負と言われる立派な違法行為なのです。

　そして、この請負の構造が何重にも重なって多重請負となって、下手をすると五重、六重の偽装請負が行われているケースがあったりします。

　このような形態で働くSEの労働上の権利が守られるはずもなく、当局に摘発されると懲役の可能性もある重い刑だという認識がほとんどないというのが実態です。

　実際、現場の経験が長い私の目から見て、このような労働形態は当たり前のものとして行われていて、途中に入る会社で利益を抜かれて、末端の実作業を担当するSEの取り分は雀の涙ということが珍しくありません。

　ITインテグレータとしては、企業コンプライアンス（法令順守）の観点からもこんなことは絶対にしてはいけないのですが、実際これを一気に犯罪として摘発すると、IT業界は大混乱に陥ることは必至です。

　ISMS（ISO27001）の観点からも、このような点での法令違反がないか隅々までチェックしないといけません。大きなインテグレータですと、契約一件一件を全部チェックするだけでも大変な作業になると思います。

　しかし、IT業界が健全に発展していくためには避けられない問題です。若者からあこがれの職業として選ばれるような、社会的にも認められる業界、職業としてSEがみられるようにならないと人口の自然減も加わって、IT技術者不足はますます深刻な事態になると思われます。

　社会は、ますますITを必要としています。しかし、それを支える技術者の層は薄くなるばかりでかつ疲弊しています。この問題をどう解決するかは、単なる一企業の力だけでは解決策も出せませんが、業界と政府が一体になって今すぐにでも解決策を打ち出していく必要があると思っています。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～