叡智の三猿

〜森羅万象を情報セキュリティで捉える

ISMS・情報セキュリティ管理

経営資源と優先順位

企業は営利を目的として、事業活動を行う組織です。よく経営資源の3要素として「人、物、金」といいます。そこに「情報」が加わることもあります。企業は営利の追求を目的とすることから、経営資源のなかで何がいちばん重要かを書くなら「金」だと思います…

DX化と情報セキュリティ対策

経済産業省が発信した「DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~」では、DX推進の必要性を「2025年の崖」という強い表現を用いて解説しています。 多くの経営者が、将来の成長、競争力強化のために、新たなデジタル技術を活…

「信用」と「信頼」は同じ意味か!?

「信用」と「信頼」は、同じ意味なのか、そうでないのか、どうでもいいような疑問を持つことがあります。日常生活で「信用」と「信頼」を使い分けることはなく、信用は信頼に置き換えても、またその逆でも同じ文脈で伝わります。金融関係では「信頼」よりも…

情報漏洩のコスパ

サイバーセキュリティに関する情報ポータルサイトの「サイバーセキュリティ.com」は、「個人情報漏洩事件・被害事例」が充実したサイトです。このサイトを見ると、ほぼ毎日、組織から何らかの情報漏洩の事件・事故が発生していることがわかります。皆さんが…

人間とコンピュータの距離

人間とコンピュータの距離 わたしが新入社員だった30年ちょっと前の1990年、人間とコンピュータは距離がありました。この時代のホワイトカラーの職場イメージをうまく切り取っているのが、映画「私をスキーに連れてって(馬場康夫監督)」です。この映…

転がる石のように、誰にも見向きもされなくなった

Once upon a time you dressed so fine Threw the bums a dime in your prime, didn’t you? People call, say “Beware doll, you’re bound to fall” You thought they were all a’kiddin’ you You used to laugh about everybody that was hangin’ out Now y…

ISO/IEC 27001(JIS Q 27001):気になる情報セキュリティ用語

ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報の機密性・完全性・可用性の3要素(情報セキュリティのCIAといいます)をバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。 ISM…

社内SEは出世できるのか

100人以上社員がいる会社であれば社内の業務がシステム化されていて、社内システムを保守する専門チームがあるはずです(情報システム部門と呼ばれます)。もちろん、100人に満たない会社でもシステムやパソコンの面倒を見る人はいます。ただ、それが組織化…

プライバシーマーク:気になる情報セキュリティ用語

プライバシーマークは、JISQ15001(個人情報保護マネジメントシステム ― 要求事項)という、事業者が取り扱う個人情報を適切に管理するための標準である、日本規格協会の原案によって策定された日本工業規格に基づく認証です。プライバシーマークの認証は、…

セキュリティの仕事とカルーアミルク

「セキュリティ人材の3人に1人は職種を変えたがっている」と書かれた記事をみたとき、妙に納得しました(笑)。 サイバーセキュリティの分野から離れたいと考える理由には、やりたかった仕事は既に全てやったという満足感や、燃え尽き症候群、給与額に対する…

クラウドサービス利用のための情報セキュリティチェック

2010年以降、あらゆる企業がクラウドサービスを採用する動きが加速しました。企業がクラウド採用をするはじめの目的はシステムの導入コストを削減できる期待でした。ただ、クラウドはサービスの利用料が発生するので、長期間利用すると、トータルコストはオ…

プライバシーマークの取得と維持

わたしが以前に勤めていた会社はプライバシーマークを取得していました。プライバシーマークは、JISQ15001(個人情報保護マネジメントシステム ― 要求事項)という、事業者が取り扱う個人情報を適切に管理するための標準である、日本規格協会の原案によって…

バイオマス素材のレジ袋

マクドナルドでテイクアウトするとレジ袋は無料です。それはなんでだろう!?と、思い調べてみました。マクドナルドのレジ袋(下図)を見ると ⇐ にバイオマスと書いたマークがあります。 バイオマスマーク経済産業省のホームページには有料化の対象外となる…

ナウン:情報セキュリティのブランディング

Apinkは2月14日に「HORN」で、1年10ヶ月ぶりのカムバックを果たしました。「HORN」は、Apinkのデビュー10周年を記念したアルバムです。このブログでは「もし、Apinkのメンバーが情報セキュリティの仕事をしていたら、何が適職か?」を個々のメンバーの性格や…

チョロン:最高セキュリティ責任者

Apinkは2月14日に「HORN」で、1年10ヶ月ぶりのカムバックを果たしました。「HORN」は、Apinkのデビュー10周年を記念したアルバムです。このブログでは「もし、Apinkのメンバーが情報セキュリティの仕事をしていたら、何が適職か?」を個々のメンバーの性格や…

「2025年の崖」まであと3年

経済産業省が発信した「DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~」では、DX推進の必要性を「2025年の崖」という強い表現を用いて解説しています。※「2025年の崖」の概要はこちらを参照ください。 www.three-wise-monkeys.com…

パスワードからパスフレーズへ

以前に努めていた会社はプライバシーマークを取得していました。わたしはその会社で「個人情報監査責任者」という役割でした。「個人情報監査責任者」は内部監査を指揮する役割で、個人情報保護管理者の仕事をチェックします。代表取締役や個人情報保護管理…

私の彼はサラリーマン

わたしが社会人になったのは、バブル真っただ中の1990年です。そして、就活生のころ、大企業は絶対に潰れないと思っていました。先輩からは、就職するなら各業界でベスト3の会社なら安泰だと言われました。当時の業界ベスト3といえばーーー銀行なら、第一…

弱肉強食

前回の記事で入室権限を持った社員の後について不正な入室をする脅威をピギーバックと書きました。 www.three-wise-monkeys.com ピギー(piggy)は子豚を意味します。ピギーバックは「こぶたの背中」です。セキュリティエリアへの不正入室の手口をずいぶんと…

「セキュリティインシデント年表」から

セキュリティインシデント数の推移から 一般社団法人 JPCERT コーディネーションセンターでは「セキュリティインシデント年表」を公表しています。公表データをもとに年代別のインシデント報告数を棒グラフで表示し、移動平均でプロットしてみました。 年別…

CISOのメンタルと責任

サッカーにあまり詳しくないわたしでも、ワールドカップを見ると、感動と興奮に包まれます。そして、サッカーの試合を見ると、いつも頭の片隅でゴールキーパーを気にしているように感じます。敵か味方がシュートを放つタイミングでしか、画面に映らないゴー…

情報セキュリティーは攻撃優位

攻撃と防御 いまさらですが、サッカー⚽️は、お互いのチームでボールを蹴り合い、ボールを相手のゴールに入れたら1点が入るスポーツです。ひいきしているチームが点を取ったら喜び、取られたら悔しがります。面倒なルールがわからなくても楽しめるのがサッカ…

GIGAスクール構想の不安

令和の二宮金次郎 昭和40年代、小学生のわたしは相模原市・南部(通称オダサガ)に住んでいました。当時、このエリアは大規模な団地の建設、宅地開発により急激な人口増加が起きてました。わたしの通っていた小学校の校舎は全ての児童を収めることが出来ま…

AIを使った内定辞退率予測

個人情報とは 「個人情報」とは、氏名、住所、性別、生年月日、電話番号、勤務先など個人を識別できる情報や、ほかの情報と組み合わせることで個人を特定できる情報をいいます。【個人情報の例】 基本情報:氏名、住所、性別、生年月日、国籍 家族情報:親族…

成功率0.02%

成功率0.02% キャッシュカードやクレジットカード等、4桁の数字による暗証番号は世界で普及しています。これがどのくらい安全かということについて考えます。数字4桁ですので、暗証番号のパターンはー10×10×10×10=10000 通りあります。A…

FISCのパスワード管理基準

盗賊の致命的なミス 「アラビアン・ナイト」の「アリババと40人の盗賊」で、盗賊が隠している財宝をふさぐ巨大な岩を開ける為に発信する合言葉は「開けごま」です。この合言葉ー 一度、耳にしたら忘れられないフレーズ しかし、言葉の内容は意味不明 とい…

セキュリティの表札

対策が難しい「サプライチェーン攻撃」 情報セキュリティの脅威である「サプライチェーン攻撃」とは、攻撃対象とする会社の子会社や、関係会社等のグループ会社。サプライチェーンを構成する取引先のなかで、脆弱性のある会社を狙って攻撃対象とする会社の機…

素因数分解とRSA

素因数分解を使った入試問題 中学の数学で勉強をした素数や素因数分解を覚えていますか? 忘れてしまった人はまずはこちらで復習してみましょう! 素数 youtu.be 素因数分解 youtu.be 素数を使った計算は高校入試の定番問題です。たとえば、今年(令和2年)…

神奈川県HDD転売・情報流出問題を振り返る

わたし達の個人情報は予期せぬことで流出します。その事例として2019年末に起きた「神奈川県ハードディスク転売・情報流出事件」は衝撃でした。神奈川県ハードディスク転売・情報流出事件神奈川県からハードディスクを回収したのは、ブロードリンクとい…

全体最適というオーケストラ

昭和の終わりから平成のはじめころ 昭和の終わり頃、まだAIもITもありませんでした。「携帯電話」もありません。「電子メール」も「インターネット」も使いません。時はバブルの真っ只中。遊び浮かれているイメージがありますが、実際の若者は「ポケベル」と…