12 11月 08
NIKKEI NET(日経ネット):経済ニュース 金融庁、ジョインベスト証券を処分へ

金融庁は12日、野村ホールディングス傘下のインターネット証券会社、ジョインベスト証券(東京・港)に対し、近く行政処分を発動する方針を固めた。業務改善命令を軸に検討している。顧客に取引が成立したことを通知する作業が丸1日以上遅れ、翌日の売買機会を奪ったことが金融商品取引法で禁止する行為に違反したと判断したもようだ。

   Tag: 企業©

14 6月 10

この書籍でも紹介されていますが、企業の情報システムではISO 27001/27002という国際標準が重要な意味を持っています。少なくても企業として、このレベルのセキュリティ管理の認定を受けていないと話になり ませんが、日本ではまだまだ認識が低い。それと海外ではこうした認定というのは、この認定を満足していれば、その認定がカバーできないセキュリティ問題に 対する免責理由になる場合があり、企業のセキュリティレベルを示すとともに、法的問題が最小化するために重要です。しかし、こうした認定制度についてクラ ウドコンピューティングと絡めて説明している書籍は他にはなく、一読の価値があると思います。

ただ、残念だった部分もあります。それは企業に対する認定制度の説明は詳細にあるのですが、管理者のセ キュリティ資格制度の説明がないことです。最後は技術や組織ではなく人なので。せっかくですから、ここで少し解説をしておきます。

海外には管理者向けの複数のセキュリティ絡みの資格制度がいくつかあり、大手データセンターの管理者や、 企業や政府の情報セキュリティ担当者になるにはこうした資格を持っていることが前提になっており、実は海外クラウドコンピューティング事業者が日本にデー タセンターを作らない理由でもあります。セキュリティに関する資格制度ですが、米国だったらCISSP (Certified Information Systems Security Professional、セキュリティシステムプロフェッショナル資格制度)が有名どころ。大手企業や米国政府やセキュリティ関連業務の社員・職員に資 格取得を義務づけているところが増えています。この他に実務重視のGIAC(Global Information Assurance Certification、グローバル情報保証資格制度)などがあります。欧州だったらCEH(Certified Ethical Hacker、倫理的ハッカー資格制度)やCHFI(Computer Hacking Forensic Investigator、ハッキング犯罪科学資格制度)あたりでしょうか(ちなみにセキュリティホールを見つけてはそれを公表している方々は、高い倫理 観要求されることから、例えばCEHやCHFIあたりの資格をもっていると信じたいですが、どうなのでしょうか)。

セキュリティの資格をもった者が管理すればセキュリティ問題が起きないということはないのですが、管理者のクオリティ維持には有効な方 法です。実際、上述の資格の多くは有効期限も短いことから、管理者は日々勉強することになります。また、管理職にも資格取得を義務づけている会社もありま す(噂ですが、HPのデータセンター管理者の解雇騒動では無資格管理者がターゲットになったとか、真偽は知りませんがね)。ちなみに資格の受験料は10万 円近いものもあり、事業者が自らのセキュリティ要件を維持するために受験料を肩代わりすることが多いです。逆に言えばそうした人材を揃えないとデータセン ターとしてやっていけないということ。

実はこうしたセキュリティ関連の資格が重要になるのは法的問題がおきたとき。というのは大型データセンターやクラウドコンピューティン グ事業者において、情報漏洩などの何らかのトラブルがあった場合、その賠償請求裁判では必要なセキュリティ管理を行っていたのかが焦点になります。そのと きに、これらの資格をもっていない管理者にセキュリティに関わる情報管理をさせていたりしたら、その事業者はセキュリティ管理義務を怠ったとして、多額の 損害金を請求されることがあるのです。それはデータセンターを利用するユーザ企業も同じです。無資格者によって管理されているデータセンターにデータを預 けていていて、何らかのトラブルがあったときは、そのユーザ企業にも賠償請求がされることがあります。

さて日本には海外で認められるセキュリティ関連の資格を持っている人は非常に少ない。これは日本のデータセンターが海外企業から使われ ないことや、海外クラウドコンピューティング事業者が日本にデータセンターを作らないこととも深く関連しています。というのは仮に海外企業が日本のデータ センターを利用したとして、仮にそのデータセンターに関わる情報漏洩などのトラブルが起きた場合、そのデータセンターの管理者が無資格者だったりしたら、 そのデータセンターだけでなく、利用者である、その海外企業もセキュリティ管理義務を怠ったとして、多額な損害賠償請求がまわってきてしまいます。また仮 に海外クラウドコンピューティング事業者が日本にデータセンターを作ったとしても、セキュリティ資格をもった管理者を日本で集めるのは難しいでしょう。実 際、海外クラウドコンピューティング事業者に関しては管理者は複数のセキュリティ資格をもっていることは当然として、身辺調査をしており、彼らの要求を満 足する人材を多くないそうです(逆に言えば海外の大規模データセンターの管理者数が異常なほど少ないのは、コスト削減もありますが、その裏には条件にあっ た管理者の確保がたいへんなのです)。

佐藤一郎: Web日記 (2010年)

   Tag: CloudComputing© 運用管理© security© 企業© 書評©