kuzira_diver

とある部長とモンスター社員との攻防記録 はじめに モンスター社員、問題社員、ハラスメント社員という言葉を聞いたことがあるだろうか。 職場、仕事上での言動、態度に問題がある社員を指す。よく言われる〇〇ハラスメント、XXハラスメントに当てはまる行動・言動がみられ、いじめや嫌がらせに繋がり、他の社員に迷惑をかけるだけで無く、会社に不利益をもたらす。 その為、会社・マネージャーとしては早期に解決しなければならない。 そんなモンスター社員と対峙してしまい、大きな失敗を犯してしまった私の記録をここに記す。 これを読んだ人の役に立つことを願う。 序章：やる気に満ちた社員！？ 私は長年所属していたアプリケーション開発部からITサービスマネジメント（運用保守）部へ異動し部長となった。その時に初めて彼、Aさんと出会った。 Aさんは、見た目・性格ともに大人しい雰囲気 だった。 100人以上いる部下の一人だったので、Aさんと接する機会は少なかった。 直属の課長からは人事評価時に以下のようなことを聞いていた。 「Aさんが現行業務に課題を感じている」 「リーダーが、その課題を対処しない為、Aさんが孤立奮闘している」 「実質はAさんがリーダー的なことをやらされていて不満をもっている」 「なにもしないリーダーであれば、自分が先頭にたって変えたいと思っている」 これを聞いて、大人しい見た目とは裏腹に仕事に対し熱意をもって対応してくれる社員なんだと思った。 １章：責任者の任命 年度末、戦略から部を編成することになった。 数名の課長が異動となった為、複数の課を統合した。その時に課長の負担を下げる為、係長としてAさんを抜擢した。 彼に任せたのは、上司や課長の進言があったからだ。 「Aさんには、そろそろ係長ぐらいの役職をつけないと不満で会社を辞めてしまう」 「Aさんに辞められると業務が回らない」  etc... 一抹の不安を残しながら、新しい体制はスタートした。 【私の後悔】 人の上に立つ役職を他人の評価で決めてしまった。 自分の目で見て、話をして、人となりを理解しようとしなかった。 ２章：パートナーさんが会社に来ません それは突如、私に報告された。 「Y社のパートナーさんYさんが、先週から体調不良で休まれています。」 良くない報告だが、100人以上も部下がいれば、そのようなことも起きる。 私は通院...

情報処理安全確保支援士 オンライン講習（2021年度）単元６：情報セキュリティ関連の標準やガイドライン 日時：2022年5月12日～5月15日 概要 情報セキュリティに関する標準やガイドラインの制定・改廃、社会通念の変化、国内外の動向、それらを活用する理由を学習する １章：セキュリティ対応における標準・ガイドラインの活用 ガイドラインを用いることにより、「自組織が相手に求めること」「自組織が満たしているセキュリティレベル」を共通言語で示すことができる ISMS-T標準化動向と今後 マネジメントコース 情報セキュリティマネジメントの実践ポイント ２章：国内のガイドライン NISC みんなで使おうサイバーセキュリティ・ポータルサイト 国内のサイバーセキュリティに関する公的機関等の施策・取り組みを紹介 サイバーセキュリティ経営ガイドラインVer.2.0および支援ツール サイバー・フィジカル・セキュリティ対策フレームワークの内容と要点を知り組織のガバナンスに有効活用することができる サイバーセキュリティ研修会WG　事務局説明資料 サイバーセキュリティ経営ガイドライン 経営者を対象としたガイドライン 経営者が認識する「3原則」、担当幹部に指示すべき「重要10項目」をまとめている サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 経営者、CISO等、セキュリティ担当者を読者として想定 重要10項目を実践するための考え方、ヒント、実践手順などを記載 サイバーセキュリティ体制構築・人材確保の手引き セキュリティリスク管理体制の構築 セキュリティ対策のための資源（予算・人材等）確保 サイバーセキュリティ経営可視化ツール サイバーセキュリティの実践状況を可視化するためのツール 状況を定量的に把握し、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の判断につなげる 中小企業の情報セキュリティ対策ガイドライン 情報セキュリティ対策の指針、手順、手法をとりまとめたもの サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）のポイント サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の概要 サイバー空間とフィジカル空間が融合した産業社会を３つの切り口（「企業間の繋がり」、「フィジカル空間とサイバー空間のつながり」、「サイバー...

情報処理安全確保支援士 オンライン講習（2021年度）単元５：倫理と法 日時：2022年5月8日～5月12日 概要 倫理の考え方、倫理的判断や行動の指針となる規範について学習する 理解しておくべき関連法制度や内部統制などについて学習する １章：倫理とは 倫理とは何か 善悪の判断をするための根拠となる規範を「倫理」と呼ぶ ２章：情報処理安全確保支援士の倫理観 情報処理安全確保支援士について（倫理の観点から） 機密情報に接する機会が多く、技術・知見から高度な技術的攻撃が可能 高い倫理観と規範意識が求められる 倫理的な行動ができるよう内発的・自発的に考えなければならない 無意識のうちに非倫理的な行為を行ってしまう危険も認識する 会社・組織が非倫理的な意思決定を行った場合、自らの倫理観とコンフリクトが起きる可能性がある どのように行動するべきかを内発的・自発的に考えなければならない 以上を認識し、自らの行為を客観視したり、第三者の意見を求めたりすることで、非倫理的な行為の防止に努める 情報処理安全確保支援士 倫理綱領 情報処理安全確保支援士 倫理綱領（説明付き） 安全確保支援士が業務を行っていくうえでの指針 倫理的判断が重要な理由 科学技術の進歩による専門分野の細分化、高度化により技術者の判断が難しくなってきている 相反する事態に遭遇することもある 例）コストの低減と公衆の安全確保、情報公開と守秘義務 判断結果が社会に多大な影響を与える可能性がある、など ３章：コンプライアンス 広義のコンプライアンス 倫理的な判断や行動を主体的に行う 狭義のコンプライアンス 明確化された法や規則に従う コンプライアンス経営 コンプライアンスを基礎に「経営倫理」の確立と実践を目指す経営 コンプライアンス経営の実践は組織の維持発展に寄与する 内部統制 コンプライアンスの目的実現のために、組織が主体的に取り組む手段 法律や内容は多岐にわたるが以下の趣旨・目的を理解しることが必要 会社法：株式会社に適用 金融商品取引法：上場企業等に適用 企業会計審議会による「財務報告に係る内部統制の評価及び監査の基準」 内部統制の基本的枠組み ４つの「内部統制の目的」 ６つの「内部統制の基本的要素」 要素のひとつに「ITへの対応」が含まれる 公益通報者保護法 労働者が、公益のために通報を行ったことを理由として不利...

情報処理安全確保支援士 オンライン講習（2021年度）単元４：様々な脅威への対応 日時：2022年5月5日～5月5日 概要 自組織における外部からの脅威だけではなく内部に潜む脅威や、脅威への継続した相合サイクルについて学習する １章：様々な場所に潜む脅威 情報システムを取り巻く環境の変化 情報システムはセキュリティ対策として内部と外部の境界を分離すること実施してきたが、クラウド化や働き方改革により、オフィス以外の場所での業務、協力会社や取引先とのサプライチェーンなどにより境界があいまいになり、情報システムの防御対策が難しくなっている 多様化した脅威に対応するセキュリティ対策 組織内部のシステムは外部公開システム同様のセキュリティ対策が必要 ゼロトラストのように、全てのアクセスがUntrusted（信用できない）であるという概念から、トラフィックを全て検証・認証していくアプローチもある セキスペが考える脅威への３ステップ 情報の収集と自組織のアップデート（システムや運用ライフサイクルの意識） 脅威の特定（脅威の要因や起こりうるシステムの把握） リスクへの対応（リスク対策の実施） ２章：内部に潜む脅威 テレワーク等のニューノーマルな働き方を狙った攻撃 テレワーク等の環境を考慮したポリシーの作成を行い、被害を受けた場合でも早期検知、対応ができる体制構築を行う 被害の予防 セキュリティ教育の実施 セキュリティに強いテレワーク環境 組織としての体制確立 CSIRTの構築 対策予算の確保と継続的な対策の実施 テレワークのセキュリティポリシー／規定／運用ルールの策定・整備 利用するソフトウェアの脆弱性情報の収集・周知 被害の早期検知 適切なログ取得と継続的な監視 ネットワーク監視、防御 被害後の対応 CSIRT運用によるインシデント対応 内部不正による情報漏えい 内部不正を出来ない環境を構築する、また不正が発生しても早期に検知できるよう対策をする 被害の予防 内部不正対策における基本方針の策定（内部不正チェックシートの活用） 情報資産の把握、体制の整備 情報モラルの向上 コンプライアンス教育 離職者に対する秘密保持義務を課す誓約書 被害の早期検知 システム操作履歴の監視 ログや証跡の監視 被害を受けた後の対応 自組織にて規定している報告先への連絡 影響調査、今後の対策強化 組織に...

情報処理安全確保支援士 オンライン講習（2021年度）単元３：継続して実施していくセキュリティ対応 日時：2022年5月2日～5月5日 概要 システムやソフトウェアのライフサイクルにおいて、開発を中心としてどのようにセキュリティを確保した設計、実装、試験を行うべきか学習する。 1章：変化するIT環境 ITインフラの変化の影響 ネットワーク範囲や防御すべきシステムは拡大しており境界防御が難しくなっている 制御システムの変化 もともとクローズド環境で長期間の利用を想定しており、防御機能が十分でなく、都度のアップデートが難しいことからサイバー攻撃の標的となっている クラウドファーストと安全性の考え方 自組織のシステムに対して システム環境や運用を正しく把握・管理する 適切なセキュリティ対策を実施する クラウド・バイ・デフォルト原則とは クラウド利用を第一候補と考え、クラウドの有効性を活用する政府方針 クラウドサービスの有効性（ 政府情報システムにおけるクラウドサービスの利用に関わる基本方針 ） 2章：IT環境の把握 資産と構成を把握し、最新の状態に維持することはセキュリティ対策を行う基本となる。 資産管理情報⇒絶対数の管理 IT資産やライセンスなどの管理 構成管理情報⇒構成物・数の把握 ITサービスを構成する要素の管理 その他管理情報⇒リスク・影響の把握 ネットワーク情報（全体ネットワーク図、ルーティング、ファイアウォール設定など） 機器同士の相互関係 システム・ソフトウェアのライフサイクル 正確に把握できない場合 脆弱性の影響を受ける機器の把握ができない セキュリティ対策の実施が徹底されているか把握ができない 緊急時の影響範囲の特定、予測ができない 情報システムの導入に際し、必要なデータを管理するルール・仕組みが必要 情報システムや新規に導入するシステムの管理情報を適切に収集・登録する仕組み 情報システムのライフサイクルを意識し、適切なシステム更改計画を立てる サポート終了を見据えた計画を IPA システム再構築を成功に導くユーザガイド 継続的なセキュリティ監視の重要性 自組織の状況を正しく理解する必要がある。継続に情報を収集・分析し、システム全体が正常であること、事象分析に必要な情報が収集できていることを確認し、状態を維持することが重要。 「正常である状態」を監視する...

情報処理安全確保支援士 オンライン講習（2021年度）単元２：セキュア開発 日時：2022年4月27日～5月1日 概要 システムやソフトウェアのライフサイクルにおいて、開発を中心としてどのようにセキュリティを確保した設計、実装、試験を行うべきか学習する。 1章：システムライフサイクルとセキュリティ 政府機関等のサイバーセキュリティ対策のための統一基準群 システムライフサイクルの企画・設計（早い段階）でセキュリティを意識して高める「セキュリティ・バイ・デザイン」「ビルトイン・セキュリティ」 企画・要件上の問題として、発注側もセキュリティ要件を定義すること システムライフサイクルを考えて、企画。要件定義、設計、製造などの開発プロセスを進めることが重要。 運用終了時には確実な廃棄を実施し、その証明を求める。 ２章：セキュアな企画と要件定義 セキュリティ・バイ・デザイン 企画段階からのセキュリティ確保 手戻りが少なく納期が守れる 最終的にコストを少なくできる 保守性の良いソフトウェアができる IPA セキュリティ・バイ・デザイン入門 発注側からセキュリティを意識 業務要件の検討 守るべき情報資産を洗い出す 環境やインシデント時の影響など業務要件を詳細化 セキュリティ要件の策定 業務要件からリスク評価し、対策方針を検討 費用対効果や優先度を考慮し対策要件を決定 発注仕様に具体的な対策要件を記載 セキュリティ要件に基づいて予算化・発注 企画段階から各段階においてセキュリティ対策を組み込み不可欠なものであると受注側に示す 予算や期間、人材などのリソースを確保 機能要件と非機能要件 機能要件 ステークホルダーがシステムの目的に対して意図した機能を実現する要件 発注側も意識してこの要件を受注側に提示 非機能要件 ステークホルダーが意図しない機能以外の当然対応されるべきものと考えられる要件 快適に利用できる、安全に利用できるなどの期待、セキュリティ要件も含まれる 非機能要件の課題 発注側が当然と考える非機能要件を機能要件として的確に定義することは難しい 発注側が意図したセキュリティ対策になっていない 運用監視ができるログが出力されない 非機能要求グレードの活用 IPAから提供されているツール群 システム構築の上流工程強化（非機能要求グレード） 残存リスク 組織の資源や目的に対する悪影響...

情報処理安全確保支援士 オンライン講習（2021年度）単元１：情報処理安全確保支援士に期待される役割と知識 日時：2022年4月10日～4月27日 1. 情報処理安全確保支援士に期待される役割と知識 1章：情報処理確保支援士の人材像 安全確保支援士が活躍する場面は情報システムのライフサイクル全般 ①経営課題への対応 ②システム等の設計・開発 ③運用・保守 ④緊急対応 「情報処理安全確保支援士　倫理綱領」役割と責任を果たすために従うべき規範（１．公正と誠実、２．秘密保持、３．法令等の遵守、４．信用保持、５．自己研鑽） 【倫理が重要な理由】 ・専門分野の細分化、高度化により、技術者に要求される判断が難しくなっている ・相反する事態に遭遇することがある ・判断結果が、社会に多大な影響を与える可能性がある 【倫理と法律】 ・倫理的問題に対し、妥当な結論を導くための「考える力」が必要となる ・一定の「法律」の知識も必要 ・「法律」は倫理の内容として重要な位置を占める ・組織の「内部統制」「公益通報」に関し、法律は多くの規定がある 2章：情報処理確保支援士に期待されること DXが加速しサイバーセキュリティが経営課題と認識さえっる企業や組織において、必要不可欠な存在     ・技術を安全に事業に活かすという視点をもった専門家     ・セキュリティリスクを経営層、事業部門にも平易に説明し、必要な支援、協力、連携を取り付ける     ・セキュリティ事故発生時も必要な専門家と連携しながら早期に回復できるよう、経営層、事業部部門、情シス部門の橋渡しを推進 必要な情報を組み合わせ、活用できるように伝える セキュリティ対応サイクル（導入、実行、運用、対応、見直し）の中で様々な支援を求められる（ セキュリティ対応組織の教科書 ） 3章：情報セキュリティを取り巻く環境の変遷 OT・IoTへの広がりにより「境界防御」の概念が曖昧に、セキュリティ確保が難しくなっている。 サプライチェーンの弱点を悪用した攻撃も2019年からランクイン 攻撃者の主な分類：金銭、ハクティビズム、愉快犯、諜報 4章：セキュリティ対応　導入フェーズの知識 ■「導入」の場面で必要となる知識　～必要性～ 「サイバーセキュリティ経営ガイドライン」 経営者が認識すべき「3原...

書籍名：『失敗の本質』 日時：2021年5月9日～ 序章　日本軍の失敗から何を学ぶか 合理性と効率性に相反する行動を示した日本軍 本来の合理的組織となじまない特性があり、それが組織的欠陥となって失敗を導いた 日本軍は平時では有効に機能していたが、不確実性が高く、不安定かつ流動的な状況下で有効に機能せず、組織的欠陥を露呈した 日本軍の組織原理を無批判で導入した現代日本の組織一般は、危機に遭遇した時に日本軍同様、組織的欠陥を表面化する可能性がある 本書の目的は日本軍の組織的欠陥や特性を析出し、組織としての日本軍の失敗に籠められたメッセージを現代的に解読すること 戦史研究の成果をもって、組織論や意思決定論（政策決定論）の理論的アプローチを適用することによって、失敗の本質を析出しようと試みる

久しぶりに鈴虫寺に行ってみたら、今回も良い説法を聞けました。 コロナの関係で、お茶は有りませんでしたが、お菓子は頂きました。 覚えている範囲で書いてみると、 苔は生き方をあらわしている。 苔は根がない。その為、葉っぱで雨を吸収している。 雨がふらない時は死んだふりして茶色くなってじっと耐えている。 雨が降ったときにパッと葉をひろげ青々と生い茂る。 人生も同じではないか、辛いとき、苦しいときはあるがじっと耐えていると、良くなるときが必ずくる。 祇園祭、釘を一本も使わずに組み立てている。その伝統を伝える為、今年は山鉾を組み立ててる。 お地蔵様に願い→日々、忙しい毎日を過ごしていると思います。お寺に来たときぐらい、本当の幸せを考えてみてはいいのでは？ 『 即今只今（そっこんただいま） 』 とは 「即今」も「只今」も「今この瞬間」ということを指しており、ふたつ重ねることで今、この瞬間を一所懸命に生きることが大事ということ。 コロナ禍によって生きにくい世の中になってしまった。 楽しみにしていたイベントも中止になったり 人と会うことも少なくなったが 過去を悔やまず 未来を不安に思わず 今を一所懸命に生きましょう。 『洗心』コロナ禍の影響もあって、手も洗って心も洗おう。みたいなことを仰っていた。 心を洗うためには、人に良いことをするといいらしい。ただし見返りは求めてはいけない。 お寺の開山300年を間もなく迎えるということで、客殿の建替えと文化財の修復をされるそうです。その記念として限定の御朱印を３つ用意されてました。いずれも金色の文字が入っていて、ご利益がありそうです！

書籍名：『ストーリーとしての競争戦略』 （ 著者：楠木 建 ） 日時：2020年12月20日～ 各章の紹介 第１章　戦略は「ストーリー」 ストーリーの戦略論とは何であり、何ではないかをお話しし、ストーリーとしての競争戦略という視点を明らかにします。 第２章　競争戦略の基本論理 本題に入る準備として、競争戦略というものの考え方が立脚している基本論理について、その本質部分をおさらいします。 第３章　静止画から動画へ 「筋の良い」ストーリーとは何か、優れた戦略ストーリーの条件についてお話しします。 第４章　始まりはコンセプト ストーリーとしての競争戦略のカギとなる二つの論点、具体的には戦略ストーリーの基点となる「コンセプト」と、ストーリーのキラーパスともいえる「クリティカル・コア」について話を深めたいと思います。 第５章　「キラーパス」を組み込む ストーリーという戦略思考の最大の強みである持続的な競争優位の論理を明らかにします。 第６章　戦略ストーリーを読解する ガリバーインターナショナルを例にとって、優れた戦略ストーリーの読解をしたいと思います。同社が構想し、現実に動かし、成功をもたらしたストーリーをじっくり読み取り、優れたストーリーの条件についての理解を深めることがこの章の目的です。 第７章　戦略ストーリーの「骨法10ヵ条」…それまでの議論のまとめとして、優れた戦略ストーリーを描くための「骨法」のようなものをお話ししたいと思います。 第１章　戦略は「ストーリー」

情報セキュリティに関連する法令と契約 情報セキュリティに関連する法令と契約について、情報セキュリティ業務を実施するうえでの重要なポイントを学習する。

情報処理安全情報確保支援士の倫理 情報処理安全確保支援士の倫理と倫理的判断や行動の指針となる規範について学習する。

  平常時の対応 平常時に行うべき対応の全体像の把握、インシデント対応のための準備としての脆弱性情報の対応や状況把握、ユーザへの働きかけとしての普及啓発や注意喚起、訓練などを学習する。 第1章　平常時の対応に関する全体像 インシデントマネジメント活動 脆弱性対応 事象分析 普及啓発 注意喚起 その他インシデント関連業務 インシデントハンドリング（非常時） 『 一般社団法人 JPCERT コーディネーションセンター CSIRT ガイド 』 第2章　脆弱性対応 脆弱性対応における活動全般 『 IPA 脆弱性対策の効果的な進め方（ツール活用編） 』 資産と構成の把握 資産管理：IT資産の管理やライセンス管理などの実施⇒絶対数の把握 構成管理：ITサービスを構成する要素の管理を実施⇒構成数の把握 その他の管理情報：ネットワーク情報（ネットワーク図、ルーティング、ファイアウォール設定など）⇒リスクの把握 情報セキュリティの基本ポリシーに従い、物理的、環境的、技術的、人的な対策を実施する（ISO/IEC 27001） 契約時に合意すべき事項 『 IPA セキュリティ担当者のための脆弱性対応ガイド 』 脆弱性対応における情報収集先 JVN(Japan Vulnerability Notes） JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供 JVN脆弱性レポート 「情報セキュリティ早期警戒パートナーシップ」に基づき報告された脆弱性情報 海外の調整基幹と連携 第3章　事象分析 自組織が守るものを明確にする 誰が→オーナーの明確化 何を→資産とその価値の把握 どこに→オンプレミス、クラウドなど 何を守るべきか コストは有限である。どこを重点的に守るのかを明確にする。 何を守るかを検討する為に脅威も把握しておく必要がある。 状況の把握 資産情報の収集 サーバ／ネットワーク機器 OS、ミドルウェア・ファームウェアのバージョン 外部クラウド等 ネットワーク情報の収集 構成と装置 セキュリティ装置 システム ID 証跡ログ、設定情報監視（改ざん検知） ネットワーク ファイアウォール、IDS/IPS、WAF、プロキシ等の監視 エンドポイント アンチウイルスソ...

  インシデント対応 インシデント発生検知から対応の流れまでを学習する。 第1章　インシデントハンドリングの前に PSIRT（Product Security Incident Response Team）　自社製品やサービスのセキュリティレベル向上やインシデント対応を行う組織 「情報セキュリティ10大脅威 2020」 を公開。対応しなくてはならない脅威は組織によって異なる。 脅威とは「本来行われるべきではない行為によって、組織に負の影響をもたらすこと」 脅威は外部からだけでなく、内部からも発生する。 インシデントマネジメントとは、インシデントに対してCSIRTが行う一連の業務の総称。 セキュリティインシデントとは 組織のセキュリティポリシーやコンピュータ利用規定に反するもの イベントによって検知されることがある 組織によって「セキュリティインシデントとは何か」は異なる CSIRT ガイド 第2章　インシデントハンドリングの実務 インシデントハンドリングの流れ（準備＞検知分析＞封じ込め（根絶 復旧）＞事後の対応） NIST コンピュータセキュリティインシデント処理ガイド 準備フェーズで行うこと インシデント処理に必要なツール、リソースの準備 起こった事象を分析する為のツール 起こった事象を根絶、復旧させる為のツール インシデント処理の関係者へのエスカレするための設備 発生した事象を分析する為の各種情報 リスクアセスメントやリスクベースのセキュリティ対策などの予防 対応計画や体制 ホストセキュリティ ネットワークセキュリティ マルウェア対策 ユーザの意識向上とトレーニング 構成情報管理 情報収集体制の整備、外部連携の土台作り 検知・分析フェーズで行うこと インシデントの前兆・兆候を検知 インシデントの分析 インシデントの文書化 インシデントハンドリングの優先順位付け 関係者への通知 [手掛かり]→[IOCの作成]→[IOCの配備]→[被疑箇所特定]→[書庫集め]→[データ分析]→[IOCの作成へ戻る] IOC（Indicator of Compromise）侵害指標や痕跡情報（セキュリティ侵害インジケーターと呼ばれることも）。サイバー攻撃の痕跡を記録しデータベース化して技術仕様として活用する。 「アラート」や「ログ」といった客観的なデータが重要であり...

  セキュリティ体制の構築 セキュリティ対策を推進する活動を継続させるには、経営者による理解とリーダーシップが不可欠な為、経営者の視点と実務者または支援者としての視点をこの章で学ぶ。 第1章　セキュリティ体制構築の必要性 『 サイバーセキュリティ経営ガイドライン 』 「経営者が認識すべき３原則」 経理者のリーダーシップが重要 自社以外のビジネスパートナー等にも配慮 平常時からのコミュニケーション・情報共有 担当幹部に指示すべき「サイバーセキュリティ経営の重要1０項目」 指示１「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」 指示２「サイバーセキュリティリスク管理体制の構築」 指示３「サイバーセキュリティ対策のための資源確保」 『 情報セキュリティ管理基準 』組織体における情報セキュリティマネジメントの円滑で効果的な確立を目指して、マネジメントサイクル構築の包括的な適用範囲を有する基準 『 サイバー・フィジカル・セキュリティ対策フレームワーク 』サイバー・フィジカル一体型の社会のセキュリティの新たなモデルを提示 第１層「企業（組織）間のつながり、第２層はフィジカル空間とサイバー空間のつながり、第３層はサイバー空間におけるつながりで整理      第2章　セキュリティ体制構築の具体的な手法 経営者によるサイバーセキュリティリスクの認識とリーダーシップ発揮による対策の推進 経営戦略としてのセキュリティ投資不可欠かつ経営者としての責務 サイバーセキュリティ対策を実施するうえでの責任者となる担当幹部を任命 情報セキュリティポリシーは経営層の意思表明 文章構成は一般的に「情報セキュリティ基本方針（ポリシー）」「情報セキュリティ対策基準（スタンダード）」「情報セキュリティ実施手順（プロシージャ）」の３階層となる 情報セキュリティマネジメントとPDCAサイクル 第3章　様々なセキュリティ組織の形態 セキュリティ体制の拡張と高度化 日本はシステム構築運用をアウトソースすることが多い為、分業体制を前提とし事業継続の観点から法令遵守、リスクマネジメント等に基づくセキュリティ推進活動を行う「セキュリティ統括（室）」に着目している。 セキュリティ統括室とは、期間となるIT領域、製造・運用のOT領域、IoT領域の全てのセキュリティ戦略に対応...

情報処理安全確保支援士に期待される役割と知識 情報処理確保支援士に何が期待されているか把握し、どのような知識が必要なのかを学習する。 第１章　情報処理安全確保支援士の人材像（役割と責任） サイバーセキュリティを確保し、国民が安全で安心して暮らせる社会を実現すること 『情報処理安全確保支援士　倫理綱領』役割と責任を果たすために従うべき規範 公正と誠実 秘密保持 法令等の遵守 信用保持 自己研鑽 第２章　情報セキュリティを取り巻く環境の変遷 これまでは境界の内側は安全で、外部は危険があるので外からの脅威を防ぐ「境界防御」の考え方が一般的であった。しかし情報システムのクラウド化により、守るべき情報資産が外部にあるケースが増え、「境界」は曖昧なものへ。 サプライチェーン上の脆弱なポイントを攻撃者は狙ってくる。 「ゼロトラスト」 第３章　情報処理安全確保支援士に期待されること セキュリティにおいて、実務と経営をつなぐ（意思決定：経営層、助言指示：戦略マネジメント層、対策実施：実務者・技術者層） セキュリティ対応組織（SOC/CSIRT）の教科書 セキュリティ対応サイクルの各フェーズで求められる知識を提供。 第４章　セキュリティ対応 導入フェーズの知識 「導入」では企業経営、産業構造、機能的な視点が必要 サイバーセキュリティ経営ガイドライン 　経営者が認識すべき「３原則」 　経営者がCISO等い指示すべき「重要10項目」 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の概要 　産業社会を「三層構造」に整理し、セキュリティ対策の概念を整理したもの 重要インフラのサイバーセキュリティを改善するためのフレームワーク 　 セキュリティ対策の基本機能を５つに分類。 体制や役割の参考  ユーザ企業のためのセキュリティ統括室　構築・運用キット　（統括室キット） CSIRTマテリアル セキュリティ対応組織の教科書 v2.1 CSIRTサービスフレームワーク 適切な人材の配置、新たな人材の登用、人材の育成の３つの観点で検討。 産業横断 人材定義リファレンス ：事業活動の観点から要求知識や業務区分、スキルを整理したもの セキュリティ知識分野（SecBoK2019） ：人材育成の観点から、スキルだけでなくタスクやロールを整理しまとめたもの CSIRT 人材の定義と確保 ：人...

  書籍名：『仮説思考』（ 著者： 内田和成） 日時：2020年11月14日～11月28日 Before 　会社から勧められた一冊。 序章　仮説思考とは何か

 AfterShokz Aeropex（エアロペクス）骨伝導ヘッドホン　使用レビュー

書籍名：『エッセンシャル版　マネジメント』（著者：P.F.ドラッカー） 日時：2020年7月14日～8月4日 Before 　社内研修の事前課題として、 『エッセンシャル版　マネジメント』 を読み、パワポ１枚に気づきを書いてこいと云われたので、10年ぶりに本書を読み返すことに。10年たって自分の成長とともに新たな気付きが生まれることに期待したい。 　 気づき／メモ Part1　マネジメントの使命 1．マネジメントの役割 第1章　企業の成果 ２．企業とは何か いちいち、言い回しが難しい【被用者】雇われている人 マネジメントなしに組織はない、マネジメントが成果をあげなければならない。マネジメントは成果に対する責任に由来する客観的な機能。 利益は企業にとって目的ではなく条件である。 企業は高い利益をあげて、初めて社会に貢献できる。 企業の目的：顧客を創造すること 顧客が価値を認め購入するものは、財やサービスそのものではなく、財やサービスが提供するもの、効用である。 企業は２つの基本的な機能をもつ。マーケティングとイノベーション。 マーケティングは顧客からスタートする。顧客は何を買いたいか。顧客が価値をありとし、必要とし、求めている満足がこれであると。 イノベーション 新しい価値を生み出すこと 経済的な財とサービスを供給 資源に対し、より大きな富を生み出す新しい能力をもたらすこと 成果に結びつくあらゆる活動を含む生産性のコンセプト 知識 時間 製品の組み合わせ プロセスの組み合わせ 自らの強み 組織構造の適切さ、および活動間のバランス 利益は原因でなく結果 成果の判断基準 不確定性というリスクに対する保険 よりよい労働環境を生むための原資 医療、国防、教育、オペラなど社会的なサービスと満足をもたらす原資 ３．事業とは何か 自社をいかに定義するかー我々の事業は何かー顧客と市場の観点から見て、初めて答えられる 我々の事業は何かー顧客によって事業は定義される。顧客の関心事は、彼らにとっての価値、欲求、現実。顧客の価値、欲求、期待、現実、状況、行動からスタートしなければいけない。 顧客は誰かー少なくとも2種類の顧客をもつ。 顧客はどこにいるか、何を買うかー車でなく、ステータス いつ問うべきかー事業は変化している、常に問うべきである。 我々の事業は何になるかー事業は陳腐化する。環境の...

迷惑メールの見分け方 最近、凝った迷惑メールが多いので、見分け方を解説。 このようなメールが送られてきました。。。 件名： システム更新の問題により、AppleIDがロックされています。【警告】 このようなメールが送られてきたら、メールヘッダを見てみましょう。 詳細情報の表示等でみれると思います。 例）迷惑メールのヘッダ抜粋