「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました(その1) 2019/09/07 No Comments

株式会社ナレッジベースの杉山です。

9/4に開催されました「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました。 会場のグランフロント大阪は。オシャレビルなので毎回場違いな気がして妙にドキドキする場所です。

初代インターポールIGCI総局長を務められた中谷昇氏の基調講演では、「情報漏えい」ではなく「情報は盗まれている」と表現が適切であるとおっしゃられていたのには納得でした。

確かに比率としては、人的ミスが大半なのですが、 まだまだ日本では情報セキュリティの脅威としては、メールの誤送信などが主たるものであると考える風潮があります。

しかし、IPAが発表した「情報セキュリティ10大脅威 2019」にベスト10にも挙がっていますが、企業を狙った攻撃が大きな問題になっています。

攻撃者は、従来の愉快犯から政治目的などのテロリストや金銭目的の犯罪者、そして国家が背後にある組織など一企業が戦うには手に余るほどの資金や技術力を持っています。

そのような流れの中で、サプライチェーンのなかでセキュリティの対策の甘い企業が狙われる危険性が高まっています。

うちの会社は世界から狙われるような秘密なんか持っていないと思っていると、取引先を間接的に攻撃することになりかねない状況です。

もし、取引先で情報セキュリティのインシデントが発生し、攻撃の発端が自社のサーバ経由や自社のアドレスを利用した偽装メールであった場合、後の取引の影響は計り知れないうえ、賠償問題に発展することもあります。 まったく持って他人事で済まないようになりました。

そして、その情報セキュリティの脅威の対策については、「EPP( Endpoint Protection Platform)」+「EDR( Endpoint Detection and Response )」が主流となってきているようです。

文書が長くなってきたので、続きは次回に。

 

製品セキュリティセミナーに参加してきました 2019/08/10 No Comments

ナレッシベースの杉山です。

7/30に開催された特定営利法人 日本セキュリティ協会(JASA) 西日本支部主催の「製品セキュリティセミナー」に参加してきました。・・・毎度、まったくもってタイムリーと正反対の投稿です。

今回はパナソニック 製品セキュリティセンターの林さんから、IoT機器製品のセキュリティについての取り組みなどをお話しいただきました。

所謂業務システムの視点とは異なり、IoT機器のセキュリティ担保とは品質としての作りこみであると伺いました。
また、業務システム、製品、の他工場についても別に組織があり、それぞれについてセキュリティのあり方が異なることも新鮮でした。
普段業務システムの基盤の設計や運用保守に携わっているものとしては、貴重なお話しを伺うことができました。

そして、日本だけではなくグローバルなビジネスを手掛けるパナソニックとして様々な国やEUなどのセキュリティ規約に対応する必要がありビジネスを行う上でセキュリティを担保、また継続的に維持するために相当な労力が必要になっていることが解りました。

また、製品のセキュリティを向上するためにハッカーと呼ばれる人たちと敵対せず、協力してセキュリティを向上させる取り組みがあることに驚きがありました。

新製品などをあえてハッキングしてもらって、セキュリティホールをつぶす手法もあるようです。

私自身はIoT製品の製造に関わっていないのでなかなか想像できない世界ですが、そのようなハッキングのイベントなども世界中で行われているそうです。

セキュリティと一言では言えない様々な取り組みがあること知りました。

非常に有意義なセミナーでした。

 

「サプライチェーンにおけるサイバーセキュリティを語り合うシンポジウム」に参加してきました 2019/06/17 No Comments

ナレッジベースの杉山です。

5/17に「サプライチェーンにおけるサイバーセキュリティを語り合うシンポジウム」に参加してきました。

今回のテーマは、「サプライチェーンにおけるサイバーセキュリティ」となっていますが、2019年4月に公開された「情報セキュリティ10大脅威 2019」に「サプライチェーンの弱点を悪用した攻撃の高まり」が初めて脅威として登場しました。

企業が日々の業務を行うためにITの利用が必須となっています。

また、インターネットが普及し、企業間の商取引にネットワークシステムを利用したシステムが導入されることも珍しくありません。

しかし、その一方でセキュリティに関する企業の投資については、規模やセキュリティに関する機器や教育の投資額の違いがあります。

当然、システムの運用やセキュリティ対策に掛かる体制の予算についても当然格差があるなかで、セキュリティの対策が弱いところを攻めると言うのですがからかなり大変な世の中です。

できる範囲でセキュリティ対策も必要となるのですが、あえてアナログの手法もとっていることが解りました。

また、Society 5.0を支える信頼来の確保についての講演や、EUとイギリスでのセイキュリティについての規約の作成についてなど、一般では聞けない話しもあって非常に有意義な時間でした。
個人情報などはビジネスによっては、あっさり国境を超えてしまうことがあるので、規約などを把握するのも大変な時代だと思います。

 

「第1回ソフトウェア品質保証責任者の会 Re-born 活動成果報告会」に参加してきました 2019/05/29 No Comments

ナレッジベースの杉山です。

「第1回ソフトウェア品質保証責任者の会 Re-born 活動成果報告会」に参加してきました。

多分、関西圏でソフトウェア品質管理についてここまで熱心に取り組んでいるグループは無いと思います。

残念なことに大阪を中心とした関西地区には、ソフトウェア品質管理についての専門家が少ないのが現状です。

これは、大規模な企業のほとんどが東京を中心とする関東に本社機能を移転してしまったことが大きいと感じます。

ソフトウェア品質管理は短期的に効果がでません。このため、ある程度の利益を確保できる規模の会社でないとなかなか社内のリソースをさけません。
将来的に品質向上が利益につながるとしても、中小企業では短期の利益に目が向きがちです。

情報セキュリティもそうですが、仕掛けを導入するための費用負担も二の足を踏ませる理由になるかと思います。

だからと言ってまったく取り組みをしない訳でもないのですが、見ている限り上手くいっていないのが現状のようです。

原因のひとつとして、現場の理解が得られていないことです。

品質管理するために様々なデータの収集が必要ですが、登録の手間がかかるのでうんざりされてしまいます。

また、定期的な進捗報告での資料作りに莫大な時間と手間がかかることです。

プロジェクトのリーダーが、様々な会議資料作成に忙殺されて、肝心のプロジェクト管理がおろそかになり機能不全になっている様を何度も見ています。

最後に、品質管理のデータを読み解けない上司です。

手間を掛けてデータを登録し、がんばって報告資料を作成して、上手くプロジェクトが進んでいないことも叱責されたのでは、品質管理など不要と考えるのはあたりまえです。

何も改善、解決しないのであれば、無駄な手数です。

今回報告されたなかで、上手くツールを連動させて情報収集が自動化される仕組みを構築されており、収集したデータを自動でグラフ化するしすてむを構築された事例がありました。

省力化、自動化のためには、システムを構築する時間が必要なのですが、会社としてソフトウェア品質管理の重要性を認識しているが故に、開発していることが解ります。

上司もグラフ化された情報を読み取ってプロジェクト管理に活かされているようで、非常に興味深い内容でした。

今後、CATなるツールについて、調べてみたいと思います。

 

XLE-00201で困ったら 2019/05/01 No Comments


ナレッジベースの杉山です。


元号の改元対応はお済でしょうか。

もしかしたら本日ただいま対応中でしょうか。

lxegen コマンドを実行した際、XLE-00201のエラーコードでお困りでしたら、一度  lxecal.nlt  の文字コードを確認してみてください。

もしかしたら、Windowsが動作しているパソコンで作成したファイルをLinux上で動作しているOracleの[ORACLE_HOME]/nlsに改行コードを変換せずに転送していないでしょうか。