株式会社ナレッジベース

ナレッシベースの杉山です。

7/30に開催された特定営利法人 日本セキュリティ協会(JASA) 西日本支部主催の「製品セキュリティセミナー」に参加してきました。・・・毎度、まったくもってタイムリーと正反対の投稿です。

今回はパナソニック 製品セキュリティセンターの林さんから、IoT機器製品のセキュリティについての取り組みなどをお話しいただきました。

所謂業務システムの視点とは異なり、IoT機器のセキュリティ担保とは品質としての作りこみであると伺いました。
また、業務システム､製品、の他工場についても別に組織があり、それぞれについてセキュリティのあり方が異なることも新鮮でした。
普段業務システムの基盤の設計や運用保守に携わっているものとしては、貴重なお話しを伺うことができました。

そして、日本だけではなくグローバルなビジネスを手掛けるパナソニックとして様々な国やEUなどのセキュリティ規約に対応する必要がありビジネスを行う上でセキュリティを担保、また継続的に維持するために相当な労力が必要になっていることが解りました。

また、製品のセキュリティを向上するためにハッカーと呼ばれる人たちと敵対せず、協力してセキュリティを向上させる取り組みがあることに驚きがありました。

新製品などをあえてハッキングしてもらって、セキュリティホールをつぶす手法もあるようです。

私自身はIoT製品の製造に関わっていないのでなかなか想像できない世界ですが、そのようなハッキングのイベントなども世界中で行われているそうです。

セキュリティと一言では言えない様々な取り組みがあること知りました。

非常に有意義なセミナーでした。

 

ナレッジベースの杉山です。

5/17に「サプライチェーンにおけるサイバーセキュリティを語り合うシンポジウム」に参加してきました。

今回のテーマは、「サプライチェーンにおけるサイバーセキュリティ」となっていますが、2019年4月に公開された「情報セキュリティ10大脅威 2019」に「サプライチェーンの弱点を悪用した攻撃の高まり」が初めて脅威として登場しました。

企業が日々の業務を行うためにITの利用が必須となっています。

また、インターネットが普及し、企業間の商取引にネットワークシステムを利用したシステムが導入されることも珍しくありません。

しかし、その一方でセキュリティに関する企業の投資については、規模やセキュリティに関する機器や教育の投資額の違いがあります。

当然、システムの運用やセキュリティ対策に掛かる体制の予算についても当然格差があるなかで、セキュリティの対策が弱いところを攻めると言うのですがからかなり大変な世の中です。

できる範囲でセキュリティ対策も必要となるのですが、あえてアナログの手法もとっていることが解りました。

また、Society 5.0を支える信頼来の確保についての講演や、EUとイギリスでのセイキュリティについての規約の作成についてなど、一般では聞けない話しもあって非常に有意義な時間でした。
個人情報などはビジネスによっては、あっさり国境を超えてしまうことがあるので、規約などを把握するのも大変な時代だと思います。

 

ナレッジベースの杉山です。

「第1回ソフトウェア品質保証責任者の会 Re-born 活動成果報告会」に参加してきました。

多分、関西圏でソフトウェア品質管理についてここまで熱心に取り組んでいるグループは無いと思います。

残念なことに大阪を中心とした関西地区には、ソフトウェア品質管理についての専門家が少ないのが現状です。

これは、大規模な企業のほとんどが東京を中心とする関東に本社機能を移転してしまったことが大きいと感じます。

ソフトウェア品質管理は短期的に効果がでません。このため、ある程度の利益を確保できる規模の会社でないとなかなか社内のリソースをさけません。
将来的に品質向上が利益につながるとしても、中小企業では短期の利益に目が向きがちです。

情報セキュリティもそうですが、仕掛けを導入するための費用負担も二の足を踏ませる理由になるかと思います。

だからと言ってまったく取り組みをしない訳でもないのですが、見ている限り上手くいっていないのが現状のようです。

原因のひとつとして、現場の理解が得られていないことです。

品質管理するために様々なデータの収集が必要ですが、登録の手間がかかるのでうんざりされてしまいます。

また、定期的な進捗報告での資料作りに莫大な時間と手間がかかることです。

プロジェクトのリーダーが、様々な会議資料作成に忙殺されて、肝心のプロジェクト管理がおろそかになり機能不全になっている様を何度も見ています。

最後に、品質管理のデータを読み解けない上司です。

手間を掛けてデータを登録し、がんばって報告資料を作成して、上手くプロジェクトが進んでいないことも叱責されたのでは、品質管理など不要と考えるのはあたりまえです。

何も改善、解決しないのであれば、無駄な手数です。

今回報告されたなかで、上手くツールを連動させて情報収集が自動化される仕組みを構築されており、収集したデータを自動でグラフ化するしすてむを構築された事例がありました。

省力化、自動化のためには、システムを構築する時間が必要なのですが、会社としてソフトウェア品質管理の重要性を認識しているが故に、開発していることが解ります。

上司もグラフ化された情報を読み取ってプロジェクト管理に活かされているようで、非常に興味深い内容でした。

今後、CATなるツールについて、調べてみたいと思います。

 

ナレッジベースの杉山です。

元号の改元対応はお済でしょうか。

もしかしたら本日ただいま対応中でしょうか。

lxegen コマンドを実行した際、XLE-00201のエラーコードでお困りでしたら、一度  lxecal.nlt  の文字コードを確認してみてください。

もしかしたら、Windowsが動作しているパソコンで作成したファイルをLinux上で動作しているOracleの[ORACLE_HOME]/nlsに改行コードを変換せずに転送していないでしょうか。

 

株式会社ナレッジベースの杉山です。

3/22(金)に開催された関西セキュリティ合同セミナーに参加してきました。

初参加のため、雰囲気がわからず、緊張して臨みましたが非常和やかで、セキュリティのプロが集まっているなという印象でした。

セッションは、企業や地域のセキュリティについての取り組みが伝わってくる内容で、非常に参考になりました。
予防以上に問題が発生した後の対策についても、しつかり検討しないといかんと考えせられました。
災害発生時の対応と同じですね。冷静に確実な対応をするためには、普段からの訓練が大事です。

また、規模の小さい企業などは、セキュリティに掛ける費用をひねり出すのが大変なのですが、身の丈にあったセキュリティの対策が必要であると感じました。