2006年2月のブログ記事一覧(3ページ目)-韓国ドラマは哲学的感性を刺激する

搾取の構図～東横インの横暴

2006-02-08 05:00:00 | 情報セキュリティ

　ホテルチェーン東横インの違法改造問題ですが、それに付随した報道で東横イン内部の実態が明るみに出てきました。

　一言で言うと、よく言えばあくなき合理化の追求を行っていると言えるのですが、それが行きすぎて従業員を搾取しているという実態が浮かび上がってきました。

　たとえば、支配人にはすべて女性を登用するということが話題として取り上げられていましたが、これは実際には女性の方が安い給料でよく働くという経営者側の意図が見え隠れしています。

　また、支配人やフロント係は24時間休む間もなく働くことが要求され就業規則に記されている休憩など取っていてはこなせないほどの仕事を与えられ、清掃係のパートの人たちも、規定の時間内に終わらないほどの仕事を与えられ、超過勤務をしてもその分の給与は一切支払われていないという実態が報道されていました。

　おそらくこんなひどい労働条件でも、仕事がないよりもまし、贅沢は言ってられない、とにかく働かないと生活していけないという従業員の、いわば弱みにつけ込んだ経営方針は企業倫理の観点からは全くほめられたものではないでしょう。

　違法改造の件も、全国の支店で十数年前から行われていて、自治体から改善を求められていたにもかかわらずそれを無視し続けるという悪質な態度を取ってきたことをみても、この企業にはコンプライアンス順守という考え方がないことがわかります。

　ひとえにこれは経営者の姿勢の問題で、経営者の人格やものの考え方がここに現れていると言えます。こんな状態が続くようでは、会社に不満を持った従業員が顧客名簿を同業他社に横流ししたりという、情報セキュリティ上の事件に発展する恐れも十分考えられます。

　おそらくこの社長に情報セキュリティ投資を勧めても、その意味も理解してもらえないような気がしています。従業員に対する成績に応じた報奨制度もあったようですが、それは良い成績をほめるという意味ではなく、成績が悪い従業員への見せしめの意味があったのではないかと勘ぐってしまいます。

　あめとむちで従業員をうまく操縦できるという考え方、社会的にどうしても立場が弱い女性なら安く使えるという、一種の女性蔑視とも取れるものの考え方がこの社長の言動や、ホテル運営の実態から透けて見えてきます。

　東横インでは大きな情報セキュリティ上の事件や事故は起こっていないようですが、このようなコンプライアンス順守意識が低い経営者のもとでは、いつそれが起こっても不思議ではありません。

　不満を持った従業員という存在が情報セキュリティ上一番恐ろしい存在なのですから、よくよくこの社長は自分が今までやってきたことを振り返って、外面ばかり良くするのではなく、内部で働く従業員にももう少し目を向けるべきだと私は感じています。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

IP電話詐欺

2006-02-07 05:00:00 | 情報セキュリティ

　報道によれば、最近の新手の詐欺として、IP電話詐欺というものが出てきているそうです。このIP電話詐欺という名前は私が勝手につけたものですが、手口として、光ファイバー網が整備されて電話がすべてIP電話になれば現在の電話は使えなくなるので、今、買い換えませんかという勧誘をするというものです。また、IP電話になれば電話代も今より大幅に安くなるという売り文句も活用するそうです。

　このブログの読者なら、このような理屈は全くナンセンスであるということが理解できますが、こちらの方面の知識に疎い高齢者層をターゲットにして悪事を繰り返しているようです。IP電話になれば電話代が安くなるというのは、基本的には正しいですが、今までの電話が使えなくなるということは必ずしも正しくなく、そのような買い換えをする必要がない人たちに高額な電話機を売りつける点が問題です。

　そしてその被害額ですがリースの総支払額が、220万ですとか、317万というとてつもない金額でまったく被害者はお気の毒としかいいようがありません。その上、泣きっ面に蜂ともいうことがあります。法人契約をした場合にはクーリングオフ制度は適用されないという点を、業者側はついてきているそうです。

　また、業者はNTTの関連会社を装うということで、この点でも悪質です。実際は、そうではないということがあとになってわかっても後の祭りということです。

　全く悪知恵もよく働くもので、ここまで頭を使うならもっとまっとうなビジネスをしろと思うのですが、私としてはただただあきれるばかりです。

　せめてもの救いとして、経済産業省は法人契約であっても、電話の用途がもっぱら個人用、家庭用ならクーリングオフ制度を適用して、契約を解約できるようにという通達を出したそうです。

　情報セキュリティの基本として、外部から与えられた情報をいかにして正しいものかそうでないかを識別する能力があるかどうかが問題になります。フィッシング詐欺を見分けるのはその代表的な事例です。

　今回のような詐欺で一番のポイントは、だまされる人たちが自分に知識がないのに、業者に勧められるままに必要ない電話機購入の契約をしているという点です

　ですから、この問題は結局、教育・啓蒙活動に落ち着くということになります。正しい知識を持っていればだまされることもなかったわけですから、いかに教育が大切かということがわかります。

　組織内で情報セキュリティ対策を行おうとする場合に、まず、どんなハードやソフトを導入するかが問題になりますが、実は一番大切なのは従業員に対する情報セキュリティに対する教育と啓蒙活動なのです。これをないがしろにしては、その組織の情報セキュリティ対策は成果をあげることはできないと思います。

　この教育という問題、目に見えにくいコストなので経営者としても気が付かなかったり、その重要性を理解できなかったりするのですが、実は、最も大切なことだということを理解してもらえればと思っています。

東横インの違法改造問題

2006-02-06 05:00:00 | 情報セキュリティ

　ビジネスホテルチェーン大手「東横イン」の違法改造問題が、報道で大きく取り上げられています。

　再び、違法建築がらみのニュースなので、またか、という気がするのですがこれまで取り上げてきた、姉歯・ヒューザー事件とはまた異質な問題になっています。

　このホテルチェーンは、社長の経営方針としてとにかく合理性を追求するということがあります。今回は、それが行きすぎてしまったようです。

　そして、悪質な点として工事の建築確認をパスするための設計図と、本来の設計図の二種類を用意して検査を通過した後、自分たちにとって不必要な施設、特に身障者用の客室や駐車場を撤去し、普通の客室等に改造してしまうというものでした。

　身障者団体からは当然抗議を受けていますし、また、極端な人件費の節減で従業員にとっては過酷な労働条件となっているという報道をみると、平時はいいのですが万が一火事にでもなった場合の避難誘導がきちんと行われるか、とても心配な面があります。

　この問題は、企業コンプライアンス上大問題ですし、また過酷な条件で働く従業員のモラルの低下が、情報セキュリティ上の事件、事故を誘発する恐れが十分あります。

　ホテルの顧客情報というものはきわめてプライベートなものですから、このような情報が万が一でも外部に漏れることがあってはなりません。

　しかし、東横インでは上記のようにいろいろな問題を抱えており、社長のワンマンなやり方に不満を抱いている従業員も少なからずいるようですから、情報セキュリティ対策の観点からあまり良い状態にあるとはいえません。

　違法建築の問題と情報セキュリティとは何の関連もないように思えますが、子細に状況をみていくと問題点が浮かび上がってくるものです。

　今後もこの問題は見守っていこうと思っています。

静かなオフィスとセキュリティ

2006-02-05 05:00:00 | 情報セキュリティ

　日経BPサイトの記事、記者の眼で「静かなオフィスに突然訪れる危機」という記事がありました。現在のオフィスは昔と違って電子メールや携帯電話が普及したため、社員が外部と連絡を取る様子が同僚や上司の目にふれなくなってしまい、そのことがトラブルの発覚を遅らせてしまうという主旨の記事でした。

　この記事を読んで思ったのですが、情報セキュリティにも本質的に同じことが言えるのです。

　もちろん人目にふれるセキュリティポリシー違反もたくさんあります。重要書類を机の上に広げたままにして席を離れるとか、長い間席を離れる時にPCのディスプレイがスクリーンセイバーに切り替わっていないとか、執務エリア内に必要もないのに外部の人間を入れてしまうとか、数え上げればきりがありませんが、このような違反は目に見えるからまだすぐに注意のしようがあります。

　しかし、一般的に言って情報セキュリティに関する違反やトラブルは目に見えないところで起こったり、進行するものです。ウイルス感染にしても、感染してすぐに目に見える活動を始めるものならば気が付きますが、目に見えない形で活動したり、感染してから活動（発症）までのタイムラグがある場合、非常に気が付きにくいものです。

　また、オフィスIT化の効果は上記の記事に述べられているように、オフィス内のコミュニケーションについて特に顕著に現れるものです。静かになってしまったオフィスで静かにセキュリティ違反が進んでいるとすれば、それは問題です。

　一番いけないのは、何か困ったことが起こった場合に誰かに気軽に相談できないような雰囲気が出来上がってしまうことです。オフィスが静かだと、ついつい隣の席の人に話しかけるのさえはばかられるような職場環境ができてしまいがちですが、これは情報セキュリティのみならず、いろいろな意味においてよくない職場と言わざるを得ません。

　あまり騒がしいオフィスも困りものですが、適度にざわつきがあって、隣や前の席の人に気軽に話しかけられるような雰囲気、これが大切です。

　なんだか、情報セキュリティと何の関係もないじゃないかと言われてしまいそうですが、何かおかしいことがあっても、誰にも話せず、相談できないような雰囲気というのが、繰り返しますが一番よくないことだと思います。

　何気ないことですが、ちょっと隣の人に声をかける、これが情報セキュリティの向上に役立つことがあるということを覚えておいていただければと思います。

経営者のIT能力

2006-02-04 05:00:00 | 情報セキュリティ

　ISMS（ISO27001）はトップダウンで実施しなければいけないということを、経営者の方々はご存じでしょうか。

　経営者自らが中心となって関わって、初めて実現されるマネジメントシステムなのです。これは、他のISOに認証に付いても同様で、トップダウンのマネジメントシステムがその特徴となっています。

　では、実際のITの現場はどうでしょうか。経営者のITについての関わり方、興味・関心の持ち方、理解の仕方、これらの項目について、実際はどのようになっているでしょうか。

　最も散見されるのが、経営者がITというものをよく理解していないケースです。もちろん、経営者が全員ITの専門家である必要はありませんが、ITを道具としてつかいこなせるくらいの見識は持っていないとこれからの時代は経営者としてやっていけないと私は思っています。

　とかくITの知識というと、ITのシステムを構築する側のシステムのことを思い浮かべますが、経営者に必要なITの知識はいかにビジネスにITを利用していくかと言うための、利用技術です。もちろん、利用技術とはいえ、最低限のIT関連の基礎知識は必須ですが、多くの経営者はその基礎知識の習得のレベルでつまずいてしまうことが多いのではないでしょうか。

　これでは、ITを経営の観点から利用したり、自分たちにとってどんなシステムが必要か考える力を身につけることができません。自分でどうしても理解できなければ、ITに詳しい人間を側近にもって（外部の人間たとえばコンサルタントでもかまいません）、その人に意見や解説を求めて、自分は大局に立った判断をくだすようにすればよいのです。

　しかし、中小企業ではこのような考え方を持つ経営者すらまれで、職場でPCを使用することがIT化で、それにウイルス対策ソフトをインストールして使用することが情報セキュリティ対策だと思いこんでいる人たちが大半だと思います。

　このような立場では、ITシステムや情報セキュリティを、もっと基礎から勉強して自分の会社の経営に結びつける観点が決定的に欠けています。

　世の中の情報漏洩事件や、東証のような公的なサービスを行っている企業でのシステムトラブルを見ていると、何が必要か自ずと見えてくるものですが、そのレベルに達するまでのITに対するリテラシーとでもいうべき、ITの力、IT力を経営者は身につけるべきだと私は感じています。

　ITはこれらからの時代、経営者にとって避けて通れない課題です。どんなビジネスにおいても常にそれについての見識が求められます。しかし、現在の経営者の皆さんはこのことを理解しているでしょうか？それが、今私が一番気になっていることです。

おサイフケータイのセキュリティ

2006-02-03 05:00:00 | 情報セキュリティ

　ケータイで改札を通過できる、モバイルスイカのサービスが始まりました。これまでの、ケータイで電子マネーが使えるサービスは展開されていましたが、電車の乗り降りにもケータイが使えるということで、一気に電子マネーの普及をはかりたいというのがねらいと思われます。

　携帯電話にこれほどの機能を統合させてしまうことは、たしかに便利でありますが、普段から携帯電話を使わない人には全く縁のないことですし、また、私はここまでの機能を携帯電話に持たせてしまうことは、セキュリティ対策上いろいろとやっかりな問題を引き起こすと考えています。

　このように携帯電話にさまざまな機能を集中させるという考え方は、普段から肌身離さずケータイを持ち歩く人々がターゲットなのは明かですが、その当の人たちは本当にこれが便利な機能と考えるのでしょうか。

　セキュリティの観点から言えば、リスクの対象がひとつに絞られるのはある意味では管理が楽になると言えます。携帯電話だけに管理を集中すればいいわけですから、サイフ、定期券（スイカを含む）、携帯電話と3つを持ち歩いていた時よりも、紛失や盗難の可能性について管理は楽になると言えるでしょう。

　また、別な観点からみると、一点にいろいろな機能を集中させることはその一点がだめになると、すべての機能が使えなくなってしまうリスクを抱えています。

　もちろん、携帯電話本体が故障したり、バッテリーが消耗した場合でも電子マネー機能は使えるようになっているとか、リスク管理はいろいろと考えられているのかもしれませんが、携帯電話本体が完全に破壊されてしまったり、盗難、紛失にあってしまうと抱え込むリスクは従来よりも大きいと言えます。

　玄関の鍵までケータイで開け閉めできるものが現れていますので、外出中にケータイを紛失・盗難してしまうと無一文になり、誰にも電話もできず、自分の家にもはいれないという事態が起こりえます。

　このような事態を防ぐためには、せめて家の玄関の鍵は別に持ち歩くとか、小銭入れに少しのお金を入れておくとか、定期入れにテレホンカードを入れておくとか、いろいろとリスク分散の工夫が必要です。

　新しい技術・サービスを利用する場合にはその利点・欠点をよく理解して、自分なりに使いこなすことが重要だということがわかると思います。

　守るべきものを一点に集中させると、管理はしやすくなりますが、その一点がダメになった場合すべての機能が停止してしまうことになるので、適度な機能とリスクの分散は絶対に必要です。そのあたりの塩梅は個人個人によって違うと思いますので、皆さんが自分の問題として考えていただきたいと思います。

やる気とモラル

2006-02-02 05:00:00 | 情報セキュリティ

　以前にも、従業員のモラルについて取り上げたことがありました。今回は、モラルについて、やる気という側面から考えてみることにします。

　情報セキュリティ対策において、従業員のモラル（士気）という問題はとかく見逃されがちですが、実は大変重要な要素であることを、私はあえて主張します。

　というのも、情報セキュリティというのは究極的には人間に対する問題だからです。外部からの悪意を持った侵入者に備えることももちろんそうなのですが、昨今問題になっている、内部の人間による情報セキュリティ違反についていえば、このモラルという問題が最重要課題として浮上してきます。

　考えてみれば誰にでもわかることです。各人が自分の役割、任された仕事、待遇に満足していれば組織内の自分の立場を危うくするようなことをするはずがありません。

　しかし、その反対にいろいろな理由で不満を抱えたまま、それが解消される希望がないとすればその従業員は組織を去るか、内部にとどまってよからぬことをしでかす可能性が高まるわけです。

　ただ単にやる気をなくして仕事の能率がおちるとか、仕事をしなくなるというだけならまだしも、積極的に情報セキュリティ上の違反行為に手を染めるようになられると、組織としては大変大きなマイナスになります。

　しかし、従業員が多くなればなるほど、すべての従業員のメンタルな側面まで完全にケアすることも不可能ですし、組織が従業員一人一人のご機嫌取りをするわけにもいきません。そこで、世の中にはいろいろと管理術の本が出回るわけですし、上司と部下の関係が勤め人の大きな問題としてなくなることがないわけです。

　従業員の目に見える行動は規則でしばることができます。目に見える行動は誰の目にも明かだからです。しかし、従業員が何を考えているか、また、何をしようとしているかまではしばることもできませんし見ることもできません。そこが、情報セキュリティ上の大きなポイントとなります。

　不満を持った従業員というのは、情報セキュリティ上の大きな脅威なのです。いろいろな情報資産に対しての脅威となり、考えられる脆弱性を利用してセキュリティ違反行為を行う可能性があるのです。

　そこで、従業員のやる気という問題についてもう一度考えるべきなのです。従業員が気持ちよく仕事ができる環境、実は、こんな単純なことが情報セキュリティ対策上重要だったりするのです。

　最近は、性悪説に立った従業員管理がだんだんと浸透しつつあります。執務室には監視カメラが設置され、入退室の際に身体検査が行われ、セキュリティ違反があった場合にただちにパトランプが点灯したり、管理者用のモニタに警告が大きく出たりするシステムが導入されたりする職場もあります。

　しかし、そんな環境で従業員のやるきをそがずに、気持ちよく仕事をさせることができるのでしょうか？人は、禁止すればするほどその禁を破りたくなるものですし、厳しい監視のもとでも何とかばれなければいいという考え方で、悪事をはたらく可能性もあるのです。

　ですから、いかにして従業員のやる気をそがず、逆に引き出せるか。そんな職場環境を実現することが、情報セキュリティの向上につながることを、今一度考えてみるべきだと思います。

情報セキュリティ対策の基礎

2006-02-01 05:00:00 | 情報セキュリティ

　このブログでは情報セキュリティ対策について何度も述べてきましたが、今日はそれについてちょっとまとめをしてみましょう。

　情報セキュリティ対策を行う場合、まず守るべき情報資産を洗い出します。情報資産は自分たちの組織において、守らなければならないもの、具体的なものでもいいですし、抽象的な概念でも何でもかまいません。とにかく自分たちがそれを大切と考え、守らなければならないものはすべて情報資産になりえます。

　もちろん、考えられるものすべてを守ることは現実的ではないので、守るべきものをリストアップして、それに重要度の重み付けをします。

　そして、それぞれの情報資産のセキュリティを脅かすものについて考えます。それを、脅威と言います。また、それぞれの情報資産を守る場合において、それぞれの情報資産にはセキュリティ上の弱点があります。その弱点のことを脆弱性（ぜいじゃくせい）と言います。

　この脅威と脆弱性の組み合わせからリスクが決まります。たとえ、脅威が存在しても脆弱性が全く存在しない場合にはリスクもまた存在しないことになります。ですから、脅威があるからといって、それがすべてリスクになるわけではないのです。

　例を挙げてみましょう。会社でノートPCを使用しているとします。ノートPCには紛失という脅威が存在します。しかし、社内の規則でノートPCを一切外部に持ち出さないというふうに定めて、かつ、ノートPCをセキュリティ・ワイヤー（固定用のワイヤー）で机に固定して使用していれば、外部へ持ち出して紛失するというリスクは存在しないと言えるでしょう。

　では、同じ対象に対して、盗難という脅威はどうでしょうか。セキュリティ・ワイヤーで固定されていますので、脆弱性はかなり低いと言えますが、ワイヤーカッターを準備した泥棒に遭った場合、盗まれてしまう可能性があるので盗難に関してのリスクは低いですが、ゼロとは言えません。

　こんな風に、脅威、脆弱性の組み合わせから情報資産に対するリスクを考えていくのです。実際ISMS（ISO27001）の認証を取得するためには、この作業が必須です。というより、この作業が情報セキュリティマネジメントシステム（ISMS）構築の主たる作業となります。

　脆弱性がたくさん存在する情報資産については、その脆弱性を減らさなければなりません。自分たちが安全と定める一定の基準以下に脆弱性を減らした時点で、その情報資産についてのリスク管理が適切になされているということになります。

　どうしても脆弱性が減らせなくてリスクの軽減ができない場合があります。そういう場合は、その情報資産自体の所有をやめてしまうことも、ひとつの選択肢です。また、そこから生じるリスクを他に移転してしまう方法があります。たとえば、保険をかけることによって、ノートPCが盗難にあってもノートPC自体は再び購入することができます。

　もっとも、PCを盗まれるということは内部に入っている情報も盗まれてしまうわけですから、物品の盗難保険に入っただけでは、情報そのものの盗難に対するリスクは減らせないことに注意してください。

　情報セキュリティ対策という何かとてもむずかしいように聞こえますが、上記の考え方さえきちんと押さえていれば、基本は理解できていることになります。

　皆さんも、普段からいろいろなものに対してどんな脅威と脆弱性があって、最終的にリスクはどうなるかということを考えるくせをつけてみると、セキュリティ対策をより身近なものとして感じることができるようになるはずです。

goo blog お知らせ

	ブログを読むだけ。毎月の訪問日数に応じてポイント進呈
	【コメント募集中】1番好きな「おせち」の具材は？
	gooブロガーの今日のひとこと
	訪問者数に応じてdポイント最大1,000pt当たる！