アカウント名:
パスワード:
誇れるような実装でもなければ認識もダメダメだったわけだ。今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。
この宅ふぁいる便のサービスをしてた大阪ガスの子会社オージス総研、ISMS適合性評価制度の認証を取ってるんだよな
ISMS(情報セキュリティマネジメントシステム)適合とはいったいなんなのか(哲学
ISMSは、情報のセキュリティについて、リスクに対する計画の作成と実行、承認、監査を行うシステムです。ですので、計画の作成者がリスクに対する計画を作っていない場合、それがどんな大きなリスクであっても、ISMSには影響しません。そして、計画を作るのは、現場の人間が作るので、申請しやすい内容にしかなりません。
#ISMSやISO、Pマークなんてのはあくまで、該当のシステムに沿った監査を行った証でしかないのです。#第三者機関が内から・外からセキュリティリスクを洗い出ししてるわけではないので・・・
存在しないものに名を授ける神学的行為なのでは?
ISMSは最低限守るべき手続きの規定しかない。
ISMSも取れない企業は信用に値しないことは間違いないが、ISMSを取ってるからと言っても信頼はできない。
ISMSとってる大手なんか信用してはいけません。大手PJのセキュリティチェック行為はザルで、効率下げているだけなので直ちに停止しろ。
最善の効率とは、完全属人化状態で、疑似エスパー状態の時をいい、(「時が見える!」状態)それの解消がISMSとかの管理フレームワークの目的だとしたら、効率が下がるのは、「予定通り」では?
ザルさの解消のためには、さらなる効率の低下が求められるが、そこまでのコストは、大手でも負えない、だけ、では?
プライバシーマーク(笑)と同じようなもんですよ
嘘偽らざる日本の技術力ってのはこんなもんでしょ。監査やら対策やらしたところでパスワードの定期変更とか.exe形式自己解凍書庫導入とか、わざわざ事故が起こるように状況を悪化させておいて「悪化させなかったらお前は責任を取れるのか」とか反論を封じるようなことしかできないし。
オージス総研の技術力が高いとは思わんけど、さすがにコレは技術力の問題ではない。
自分が理解できてないからって逆ギレすんな。
セキュリティ監査をやっても、監査する側が身内だったりお仲間だったりしますし、場合によっては「コンピュータなんて難しくて使えん!紙が最高!」っていうお爺ちゃんが書類審査にやってくるだけだったりすることもあります(いずれも実話)ので、あまり期待はできないですね。
とはいえ、完全に知識を持った第三者がやってきたら、それはそれで今度は監査を受ける側が機密漏洩を気にしそうですが・・・
せっかくセキスペ(情報処理安全確保支援士)を士業にしたんだし、一定以上の個人情報を運用するには有資格者の監査必須にすればいいのに。
情報処理安全確保支援士検索サービスhttps://riss.ipa.go.jp/ [ipa.go.jp]
オージス総研で検索したら、28人の情報処理安全確保支援士が見つかりましたw
そいつらの資格取り消したほうがいいんじゃないかw
まあ、全員が開発に携わったわけではないから…と思う。
えっ、監査って普段からきちんと対応してると監査人が仕事してない気になって面倒なこといいだすから、あえて2,3差しさわりのない改善できる内容をそれとなく用意しておいてあげるものでしょ。意味なんてあるわけないじゃん。
会計検査院に仕事を与えるために毎年わざとツッコミどころのある予算の用意をしておくようなものですね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
開発期間の短さを誇っていたが (スコア:0)
誇れるような実装でもなければ認識もダメダメだったわけだ。
今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。
Re:開発期間の短さを誇っていたが (スコア:4, 興味深い)
誇れるような実装でもなければ認識もダメダメだったわけだ。
今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。
この宅ふぁいる便のサービスをしてた大阪ガスの子会社オージス総研、ISMS適合性評価制度の認証を取ってるんだよな
ISMS(情報セキュリティマネジメントシステム)適合とはいったいなんなのか(哲学
Re:開発期間の短さを誇っていたが (スコア:5, 興味深い)
ISMSは、情報のセキュリティについて、リスクに対する計画の作成と実行、承認、監査を行うシステムです。
ですので、計画の作成者がリスクに対する計画を作っていない場合、それがどんな大きなリスクであっても、ISMSには影響しません。
そして、計画を作るのは、現場の人間が作るので、申請しやすい内容にしかなりません。
#ISMSやISO、Pマークなんてのはあくまで、該当のシステムに沿った監査を行った証でしかないのです。
#第三者機関が内から・外からセキュリティリスクを洗い出ししてるわけではないので・・・
Re:開発期間の短さを誇っていたが (スコア:1)
存在しないものに名を授ける神学的行為なのでは?
Re:開発期間の短さを誇っていたが (スコア:1)
ISMSは最低限守るべき手続きの規定しかない。
ISMSも取れない企業は信用に値しないことは間違いないが、
ISMSを取ってるからと言っても信頼はできない。
Re: (スコア:0)
ISMSとってる大手なんか信用してはいけません。
大手PJのセキュリティチェック行為はザルで、効率下げているだけなので直ちに停止しろ。
Re: (スコア:0)
最善の効率とは、完全属人化状態で、疑似エスパー状態の時をいい、
(「時が見える!」状態)
それの解消がISMSとかの管理フレームワークの目的だとしたら、
効率が下がるのは、「予定通り」では?
ザルさの解消のためには、さらなる効率の低下が求められるが、
そこまでのコストは、大手でも負えない、だけ、では?
Re: (スコア:0)
プライバシーマーク(笑)と同じようなもんですよ
Re: (スコア:0)
# セキュリティ監査資格ホルダーだけど回し者ではありません、ISO認定員ではありません
・ISMS認証となると第三者認証が必須です。ただ、認証機関は出てきた材料で判断します。
・顕在化していないリスクは存在しないものと同じです。シュレーディンガーの猫。
・ベストプラクティスとなるリスクシナリオスタンダードはこの世に存在しません。ビジネスによって如何様にも変化します。
Pマークもそうだったけど、PDCAを1ループだけ回す建付けではきめ細かい改善はできません。
また、ビジネス側の強い要望があればセキュリティより優先されます。
まぁ、ビジネス側の要望とユーザーの欲しい物やレピュテーションリスクが相反することはままありますので。今回のケースみたいに。
---- 何ぃ!ザシャー
Re: (スコア:0)
嘘偽らざる日本の技術力ってのはこんなもんでしょ。監査やら対策やらしたところでパスワードの定期変更とか.exe形式自己解凍書庫導入とか、わざわざ事故が起こるように状況を悪化させておいて「悪化させなかったらお前は責任を取れるのか」とか反論を封じるようなことしかできないし。
Re: (スコア:0)
オージス総研の技術力が高いとは思わんけど、さすがにコレは技術力の問題ではない。
自分が理解できてないからって逆ギレすんな。
Re: (スコア:0)
セキュリティ監査をやっても、監査する側が身内だったりお仲間だったりしますし、
場合によっては「コンピュータなんて難しくて使えん!紙が最高!」っていうお爺ちゃんが
書類審査にやってくるだけだったりすることもあります(いずれも実話)ので、あまり期待はできないですね。
とはいえ、完全に知識を持った第三者がやってきたら、それはそれで今度は監査を受ける側が
機密漏洩を気にしそうですが・・・
Re:開発期間の短さを誇っていたが (スコア:1)
せっかくセキスペ(情報処理安全確保支援士)を士業にしたんだし、一定以上の個人情報を運用するには有資格者の監査必須にすればいいのに。
Re:開発期間の短さを誇っていたが (スコア:1)
情報処理安全確保支援士検索サービス
https://riss.ipa.go.jp/ [ipa.go.jp]
オージス総研で検索したら、28人の情報処理安全確保支援士が見つかりましたw
Re: (スコア:0)
情報処理安全確保支援士検索サービス
https://riss.ipa.go.jp/ [ipa.go.jp]
オージス総研で検索したら、28人の情報処理安全確保支援士が見つかりましたw
そいつらの資格取り消したほうがいいんじゃないかw
Re: (スコア:0)
まあ、全員が開発に携わったわけではないから…
と思う。
Re: (スコア:0)
えっ、監査って普段からきちんと対応してると監査人が仕事してない気になって面倒なこといいだすから、
あえて2,3差しさわりのない改善できる内容をそれとなく用意しておいてあげるものでしょ。
意味なんてあるわけないじゃん。
Re: (スコア:0)
会計検査院に仕事を与えるために毎年わざとツッコミどころのある予算の用意をしておくようなものですね