最近の雑感です。

個人情報保護法は、企業に対して大きなインパクトを与え続けているわけで、企業だけではなく行政の担当者の方も深刻な問題として認知されています。最近私が依頼されるセミナーのほとんどは、この個人情報保護法を受けてものものになります。

私はプライバシが専門ではないわけですが、情報保護の観点からみると、個人情報とは機密情報という枠に括られるものであって、これだけを特別視しすぎるのはどうかと思うわけです。じつは蔑ろにしていた情報にも、もっと注意して扱うべきものだってあるわけですね。
たとえば、営業さんの見積もり。原価計算などが含まれる情報は競争力を維持するためにも非常に戦略的な位置づけなのに、ミスプリントした紙をゴミ箱へポイしてしまったことはありませんか？

個人情報保護法については、数多行われている法律セミナーで聞き及んでいる方も多いと思うのですが、正しく活用することを制限しているものではなく、的確な情報を、的確な本人の認知のもと、的確な使用を行う事には何も問題がないわけです。もちろんお客様からいただいた情報は、提供した個人が把握している範囲で活用し、情報を保護する義務はありますが、それはこの法律が無くても行わなければならないことは変わりないわけで。コンプライアンスという意味では、立法された事が万人の認識を高め、対策を促進する原動力になった事は非常に良い事ですが、過度な恐怖感を持ちすぎるのは逆効果かもしれません。

私が行うセミナーでは、かならず冒頭に言う事があります。それは、プライバシの保護とセキュリティの確保、どっちが重要か、という疑問はあり得ないということです。そもそもプライバシを含めた機密情報は情報は、守るべき対象物です。セキュリティとは守るための手段なわけです。この両者の関係は、プライバシを守るためにはセキュリティの対策を行い、守るための手段を手に入れる、という一文になると思います。情報を守るためにプライバシーポリシーだけを浸透させても対策は完遂できず、それを守るための手段である広義のセキュリティの確保が必要となります。

企業の活動とは、最底辺に信頼というものが無ければ成立しないとおもいます。財務情報が信頼できるものであるとか、部下に見られたくないものを保護できているとか。機密情報とは、そういったインフラのうえで初めて保護できるものなんですよね。
ハイレベルな話しに聞こえるかもしれませんが、まずはトイレで席を立つとき、食事に行くとき、家に帰るとき、情報や自分の権限を自分の管理化に置けない状況では、必ずコンピュータや資料をロックする、ということを繰り返してみてはいかがでしょうか？嫌々繰り返すうちに、自然と意識が変わってくるものです。
（これ、自分自身の体験談だったりします）

SRT 奥天

うーん、Blog から随分遠ざかってました・・・
ここ数ヶ月、いろいろ海外を飛び回っていたため、落ち着いている今のうちに書いちゃおう、と思います。

先日、大手企業のセキュリティ対応部門の方々とお会いする機会に恵まれ、いろいろと勉強になるお話しをうかがいました。

何せ日本を代表する企業の皆様です。とにかく企業グループ全体が巨大であるわけですが、IRT のコントローラは一つが基本です。巨大なグループを一部門で把握することは、とにかく大変だ、という話しでした。
確かにコンピュータの分野においては意識も高まっています。問題点も明確だとおもいます。でも、本来重要インフラであるべき発電プラント、他のライフラインなどへの対応とか、携帯電話、家電、数多ある Web システムなどのサービスなど、多岐にわたる領域をカバーするのはそれぞれの文化の違いもあり大変だろうと想像できます。
ソフトウェアの開発一つをとっても、マイクロソフトであれば開発者や責任者が明確です。そのためセキュリティに関する教育も行いやすいわけです。では、オフショア開発など推進したとき、だれがセキュリティを考慮したコードが書かれていることを証明できるのか。Web サイト上のサービスは常に生まれ続けているが、IRT 部門が開発者を特定することができるのか。大きな組織の場合には悩みも大きなものになるとおもいます。

セキュリティ対応チームを組織したときに、活動のドライバは様々なイベントになります。とにかく社内外からの情報流通を滞りなく行える事が活動の基本要素なわけです。
マイクロソフトでは、米国が MSRC、日本が私の属する JPSRT という専任部門があります。組織を作った当初は、社内でもまったく知られない秘密の部門でした。ですから情報などほとんど入ってくる事もなく、活動の軸が一定しない時期がありました。
IRT 部門は、常に判断の連続です。特別な対応が必要なのか、深い調査を必要とする問題なのか、お客様に対してどの程度の影響があり引き続くのか。判断には絶対的な情報と、相対的な情報がないと的確な判断はできません。一度決定して動き始めたセキュリティ対応は、収束するまで止める事はできません。下手をすると、大きな混乱を引き起こしてしまう事もあります。だから情報を集めることは自分の立ち位置を把握するためにも重要なのです。
当初はそれが困難でした。ここまで来るのに日本では5年もかかりましたが、今ではそういった状況も多少は改善され、風通しも良くなり、ようやく IRT としての活動が軌道に乗り始めています。

これから出発されるセキュリティ部門の皆様、この先、いろいろな困難に見舞われるかもしれませんが、それを乗り越える事で状況は変わるとおもいますので、一致団結してがんばってください。

SRT 奥天

小野寺です

6 月のセキュリティ情報の公開がおわりました。事前のお知らせ通り、計 10 件 (緊急 3, 重要 4, 警告 3) を公開しています。
そのほかに、MS02-035, MS05-004, MS05-019 の3件を更新しています。 詳しくは、http://www.microsoft.com/japan/security/default.mspx をご覧ください。

今月は、数が多目ですがクライアントＰＣであれば、Windows Update で必要なものはすべて適用できますので、早めの適用をお勧めします。
もちろん、公開されたばかりの Microsoft Update でも、同様に適用可能です。 今月は、Windows が主体でしたので、Windows Update と Microsoft Update で入手できる更新に違いは無いのですが、今後 Office 製品などの更新が提供された場合は、Microsoft Update で Windows と Office の両方を一度に最新の状態にできます。
今までのように、 Windows Update と Office Update の 2 箇所で更新しなくてもいいので、少しだけですが面倒が減るのではないでしょうか。

Microsoft Update については、まだ日本語の情報をあまり公開していませんが、これから順次公開されていくのでお楽しみに
英語の情報は、 http://www.microsoft.com/technet/prodtechnol/microsoftupdate/default.mspx からご覧いただけます

2005/06/16 追記:
Microsoft Update の日本語サイトを公開しました: http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx