QCプラネッツ

投稿者: QCプラネッツ

  • ISMS,ISO27001 組織に必要な規程類がわかる

    ISMS,ISO27001 組織に必要な規程類がわかる

    本記事のテーマ

    ISMS,ISO27001 組織に必要な規程類がわかる

    多くの要求内容を求められる
    ISMS,ISO27001ですが、
    組織に必要なルールとは
    具体的にどんなものかは
    あまり知られていません。

    組織で必要最低限のルールを解説し
    ISMSの構築の仕方をお伝えします。

    言われたとおりルールを作ると
    ルールだらけになり
    運用が厳しくなる。
    それこそ、サイバーリスクが高まってしまう!
    • ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
    • ②必要な規程類の概要を解説!
    • ③規程類一覧

    ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる

    大事なのは

    なぜそのルールがあるのか?
    背景を理解することです。

    当然、組織の初期の状態は、
    情報セキュリティは気持ちはあっても、ルール等は未整備です。

    その組織にいろいろな苦労を経て
    ISMSが構築されていったはずです。

    その経緯、流れを理解することが大事です。

    関連ブログ記事にて、確認ください。

    【リンク】【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
    どんな背景・理由を経て、ISMSを構築していったのか?をわかりやすく解説します。

    ②必要な規程類の概要を解説!

    リンクの解説記事のとおり、
    必要な規程類がいくつかあります。

    その規程類の種類、目的、必要な要求事項を下表にまとめます。

    それぞれの要求事項を眺めることで
    ISMS運営に何が必要かを
    具体的にイメージすることができます。

    ここまで具体的に紹介する記事が
    意外とないので、
    QCプラネッツから紹介します。

    ③ 規程類一覧

    個別に見ていきます。

    (1)情報セキュリティーポリシー

    目的

    組織一丸となって取り組む宣言

    必要な要求事項

    ・情報の「機密性・完全性・可用性」の維持
    ・法令・規制・契約の遵守
    ・情報セキュリティ管理体制
    ・リスク管理
    ・教育・訓練
    ・インシデント対応
    ・継続的改善
    ・方針(情報セキュリティポリシー)の公開

    (2)ISMSマニュアル

    目的

    組織全体の運営方針(規程類に書いていない内容)

    必要な要求事項

    ・ISMS適用範囲
    ・引用規程(ISO27001)
    ・組織内の用語・定義
    ・組織内規程類とISO27001要求事項との関係
    ・組織体制(体制図、ネットワーク図、フロアーズ、緊急体制図)

    (3)情報セキュリティ運営管理規程

    目的

    情報セキュリティ運営の必要項目

    必要な要求事項

    ・組織体制(役割・責任)
    ・コミュニケーション(情報セキュリティ会議)
    ・組織間の協力(社内外)
    ・外部委託契約におけるセキュリティ要求事項
    ・情報セキュリティマネジメントシステム目標・計画・実行
    ・マネジメントレビュー
    ・文書管理(文書管理規程としてもよい)

    (4)リスクマネジメント管理規程

    目的

    リスク管理運用方法

    必要な要求事項

    ・リスク評価定義
    ・情報資産の分類・評価
    ・リスクアセスメント評価・運用
    ・リスク低減施策・運用

    (5)適合性管理規程

    目的

    法的、ライセンス順守・管理手順

    必要な要求事項

    ・法的要求事項の順守
    ・知的所有権を遵守するための実施事項
    ・ライセンス管理

    (6)システムの開発および保守管理規程

    目的

    情報システムの運用(ISO27001 管理策8. 技術的管理策)

    必要な要求事項

    ・マルウェア対策
    ・技術的脆弱性の管理
    ・構成管理
    ・データマスキング
    ・データ漏洩防止
    ・情報のバックアップ
    ・ログ・監視・保護
    ・ネットワーク管理
    ・ウェブフィルタリング
    ・暗号管理
    ・開発環境管理

    (7)事業継続管理規程

    目的

    不慮の災害や事故等による被害を最小化するための運用

    必要な要求事項

    ・リスク洗い出し
    ・インシデントからの復旧目標
    ・インシデント対応手順
    ・平時の維持管理
    ・リスクアセスメントの実施と評価
    ・事業継続計画テストの運用・評価

    (8)アクセス管理規程

    目的

    アクセス管理

    必要な要求事項

    ・利用者のアクセス管理
    ・特権的アクセス権の管理
    ・モバイル機器の方針
    ・リモートワーク
    ・供給者関係

    (9)物理的・環境的管理規程

    目的

    組織の物理・環境についての運営体制

    必要な要求事項

    ・物理的セキュリティ境界
    ・物理的入退
    ・装置のセキュリティ・保守

    (10)人的セキュリティ管理規程

    目的

    人的ミスや不正行為などのリスクを回避

    必要な要求事項

    ・雇用
    ・教育・力量
    ・懲戒
    ・情報削除

    (11)内部監査管理規程

    目的

    ISMS,ISO27001 内部監査要求事項

    必要な要求事項

    ・内部監査関係者
    ・監査計画
    ・監査実施手順・結果報告
    ・是正処置

    (12)外部審査管理規程

    目的

    ISMS,ISO27001 外部審査要求事項

    必要な要求事項

    ・審査の計画
    ・審査の実施
    ・審査結果と処置

    (13)是正処置管理規程

    目的

    不適合を除去するための是正処置

    必要な要求事項

    ・不適合発生
    ・処置手順
    ・処置の有効性評価

    (14)セキュリティ事件・事故管理規程

    目的

    インシデント発生による被害を最小化

    必要な要求事項

    ・リスクアセスメント結果によるシステム監視
    ・情報セキュリティインシデントを想定
    ・事故発生時の報告指示体制
    ・事業継続管理
    ・懲戒手続き
    ・再発防止対応

    いかがでしょうか。
    1つずつ見ていけば、
    項目だけでも、
    あなたの組織でやるべきことが
    具体的に見えるはずです。

    いきなりルールを作るのではなく
    組織にISMSの必要性
    ISMSで何をしたいか?
    をしっかり構想することが大事です。

    まとめ

    以上、「ISMS,ISO27001 組織に必要な規程類がわかる」を解説しました。

    • ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
    • ②必要な規程類の概要を解説!
    • ③規程類一覧
  • 【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる

    【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる

    本記事のテーマ

    【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる

    多くの要求内容を求められる
    ISMS,ISO27001ですが、
    どの組織も最初から細かくルールを
    構築・運用しているわけではありません。

    組織で必要最低限のルール運用から
    ISMS,ISO27001要求レベルまでの上げ方を
    解説します。

    要求レベルは
    少しずつ上げていかないと
    組織が追い付かないことを
    意識しましょう。
    • ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
    • ②ISMS化する前の組織の状態
    • ③ISMS化するステップを解説!

    ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる

    まず、ゴールである、
    ISMS,ISO27001 運用する組織に
    必要な規程一覧を
    紹介します。

    関連ブログ記事にて、確認ください。

    【ISMS,ISO27001 運用する組織に必要な規程が何かがわかる】リンク
    情報セキュリティは煩雑な運用になりがちなため、必要最低限にするコツが大事!

    規程類一覧

    リンクのとおり、
    情報セキュリティは品質管理より要求事項が多いため、
    必要最低限の規程類でまとめることが大事です。

    その一覧は

    No ISMS 目的
    1 情報セキュリティーポリシー 経営陣からの情報セキュリティに対する宣言
    2 情報セキュリティ運営管理規程 ISMS体制・責任を定めたもの
    3 文書化した情報の管理 文書管理方法
    4 ISMSマニュアルの発行・管理 規程類以外で、必要な定義をまとめたもの
    5 セキュリティ事件・事故管理規程 インシデント発生時の対応方法
    6 人的セキュリティ管理規程 力量向上に必要な要求事項
    7 是正処置管理規程 不適合、インシデント発生後の処置方法
    8 内部監査管理規程 内部監査運用
    9 外部審査管理規程 外部審査運用
    10 事業継続管理規程 不慮の災害・事故に対する被害を最小化するルール
    11 アクセス管理規程 アクセス管理方法
    12 物理的・環境的管理規程 業務フロアー内のルール
    13 リスクマネジメント管理規程 リスクへの対応方法
    14 法規制管理 情報セキュリティ法規制関連

    運用に必要な規程類・マニュアルの詳細を紹介

    上の表にて、
    それぞれの規程類の目的
    規程類以外にISMSマニュアルを追加
    を加えます。

    それを下表でまとめます。

    番号 文書一覧
    1 (1) 情報セキュリティーポリシー
    2 (2) ISMSマニュアル
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    6 4 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図)
    7 (3) 情報セキュリティ運営管理規程
    8 1 年間情報セキュリティ目標
    9 2 情報セキュリティ委員会録
    10 3 プロジェクト会議録
    11 4 稟議書
    12 5 外部委託における契約書,SLA
    13 6 マネジメントレビュー報告書
    14 7 マネジメントレビュー議事録
    15 8 文書管理台帳
    16 (4) リスクマネジメント管理規程
    17 1 情報資産台帳
    18 2 重要資産持ち出し管理台帳
    19 3 リスクアセスメント表
    20 (5) 適合性管理規程
    21 1 法規制管理台帳
    22 2 ライセンス管理台帳
    23 (6) システムの開発および保守管理規程
    24 1 ブロックリスト
    25 (7) 事業継続管理規程
    26 1 訓練記録
    27 2 バックアップ確認表
    28 3 復旧手順書
    29 4 事業継続計画テスト結果記録
    30 (8) アクセス管理規程
    31 1 アカウント管理台帳
    32 2 アカウント申請書
    33 3 誓約書
    34 4 リモートワーク許可申請書
    35 5 情報セキュリティー供給者レビューチェックリスト
    36 (9) 物理的・環境的管理規程
    37 1 入退室管理台帳
    38 2 来訪者入退室管理台帳
    39 3 作業報告書
    40 4 情報資産台帳廃棄管理台帳
    41 (10) 人的セキュリティ管理規程
    42 1 力量管理表
    43 2 力量認定要件表
    44 3 教育・研修アンケート
    45 4 教育・研修受講記録管理台帳
    46 (11) 内部監査管理規程
    47 1 内部監査員リスト
    48 2 内部監査計画書
    49 3 内部監査結果
    50 4 内部監査報告書
    51 (12) 外部審査管理規程
    52 1 改善機会一覧表
    53 (13) 是正処置管理規程
    54 1 是正処置要求・報告書
    55 (14) セキュリティ事件・事故管理規程
    56 1 セキュリティ事件・事故報告書

    必要最低限なものまで絞りましたが、それでもかなりの文書が必要だとわかりますね。

    ②ISMS化する前の組織の状態

    どの組織でも、最初からISMS,ISO27001には対応していません。

    自分たちなりに、
    情報に対するルールや運用方法がある程度でしょう。

    ISMS化する前の組織運用

    自分たちなりに必要なルールや運用方法はどんなものかを列挙しましょう。

    番号 文書一覧
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    10 3 プロジェクト会議録
    11 4 稟議書
    31 1 アカウント管理台帳
    32 2 アカウント申請書

    ぐらいでしょう。

    組織に関する基本情報、会議録、アカウント設定くらいがある程度でしょう。

    この状態から
    ISMS,ISO27001レベルに必要な
    規程類・文書を構築していきましょう。

    ③ISMS化するステップを解説!

    大事なことは、

    組織にとって、
    不確定要素(リスク)が全くなければ、
    何もしなくていい。

    でも、

    情報関連のトラブルに巻き込まれたり、
    逆に、情報セキュリティへのアピールによる高評価を得たい
    などを受け、
    ISMS,ISO27001レベルに
    上がっていくわけです。

    これから、1例として4つステップで
    組織が情報セキュリティへの取り組み強化する
    様子を解説します。

    • 【ステップ1】情報セキュリティトラブルが起きてしまった。
    • 【ステップ2】トラブルが頻発するようになった。
    • 【ステップ3】顧客、ビジネスパートナーへのリスク回避必須となった
    • 【ステップ4】ISMS構築、ISO27001取得が必須となった。

    1つずつ見てきましょう。

    【ステップ1】情報セキュリティトラブルが起きてしまった。

    気持ちとしては、本来はやりたくない業務です。

    しかし、そんな組織にトラブルが発生することで
    仕方がなく、対策を取り始めるのが現実
    です。

    意外と思うかもしれませんが

    いきなり映画みたいな高度攻撃」ではない!
    身近で地味なミスが始まる!
    だけど、
    それを放置しておくと
    致命傷になりうるトラブルに
    発展します。

    品質、環境などの管理系において、だいたい当てはまります。

    具体的には、

    1. フィッシングメール・マルウェア添付ファイル
    2. メール誤送信・添付ミスによる情報漏えい
    3. パスワード使い回し・弱い認証による不正ログイン
    4. ランサムウェアによる業務停止(バックアップ不備)
    5. ノートPC・USBメモリ・紙資料の紛失・盗難

    このような攻撃を受けて、被害に遭って初めて
    対策を投じることになります。

    対策

    ちょっとしたルール化や
    ルールを運用するための文書・帳票が
    登場するようになります。

    番号 文書一覧
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    6 4 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図)
    10 3 プロジェクト会議録
    11 4 稟議書
    27 2 バックアップ確認表
    28 3 復旧手順書
    31 1 アカウント管理台帳
    32 2 アカウント申請書
    55 (14) セキュリティ事件・事故管理規程
    56 1 セキュリティ事件・事故報告書

    上表の黄色マーカー部分が追加されるでしょう。
    ・緊急体制
    ・バックアップ・復旧
    ・事故報告書
    などの必要最低限のものが追加されることが
    イメージできますね。

    【ステップ2】トラブルが頻発するようになった。

    【ステップ1】で済めばここでEndですが、

    同じようなトラブルが頻発します。
    最初は軽視していても、
    さすがにまずい!となり、
    目先のトラブル回避だけでなく
    ルール運営が必要となります。

    ルール運営化するために、
    規程がいくつか増えます。

    表で追加部分を見てみましょう。

    番号 文書一覧
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    6 4 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図)
    7 (3) 情報セキュリティ運営管理規程
    9 2 情報セキュリティ委員会録
    10 3 プロジェクト会議録
    11 4 稟議書
    12 5 外部委託における契約書,SLA
    16 (4) リスクマネジメント管理規程
    17 1 情報資産台帳
    18 2 重要資産持ち出し管理台帳
    25 (7) 事業継続管理規程
    27 2 バックアップ確認表
    28 3 復旧手順書
    30 (8) アクセス管理規程
    31 1 アカウント管理台帳
    32 2 アカウント申請書
    36 (9) 物理的・環境的管理規程
    37 1 入退室管理台帳
    38 2 来訪者入退室管理台帳
    39 3 作業報告書
    40 4 情報資産台帳廃棄管理台帳
    41 (10) 人的セキュリティ管理規程
    42 1 力量管理表
    44 3 教育・研修アンケート
    55 (14) セキュリティ事件・事故管理規程
    56 1 セキュリティ事件・事故報告書

    いかがでしょうか。
    上表からいくつか規程が登場しています。

    1. 情報セキュリティ運営管理規程
    2. リスクマネジメント管理規程
    3. 事業継続管理規程
    4. アクセス管理規程
    5. 物理的・環境的管理規程
    6. 人的セキュリティ管理規程

    情報セキュリティ対策を
    組織で運用するために、
    ルール整備が整ってきます。

    【ステップ3】顧客、ビジネスパートナーへのリスク回避必須となった。

    【ステップ2】でも十分かと思いますが、
    それなりにセキュリティレベルが上がったとはいえ、
    内外の環境状況をみて、

    情報セキュリティ対策運用部門の立ち上げ
    が必要と感じるでしょう。

    ルールができたとはいえ、形骸化するのは時間の問題でもあり、
    有効に機能させるための組織化が必要となります。

    表で追加部分を見てみましょう。

    番号 文書一覧
    1 (1) 情報セキュリティーポリシー
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    6 4 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図)
    7 (3) 情報セキュリティ運営管理規程
    8 1 年間情報セキュリティ目標
    9 2 情報セキュリティ委員会録
    10 3 プロジェクト会議録
    11 4 稟議書
    12 5 外部委託における契約書,SLA
    15 8 文書管理台帳
    16 (4) リスクマネジメント管理規程
    17 1 情報資産台帳
    18 2 重要資産持ち出し管理台帳
    20 (5) 適合性管理規程
    21 1 法規制管理台帳
    22 2 ライセンス管理台帳
    23 (6) システムの開発および保守管理規程
    24 1 ブロックリスト
    25 (7) 事業継続管理規程
    26 1 訓練記録
    27 2 バックアップ確認表
    28 3 復旧手順書
    29 4 事業継続計画テスト結果記録
    30 (8) アクセス管理規程
    31 1 アカウント管理台帳
    32 2 アカウント申請書
    33 3 誓約書
    34 4 リモートワーク許可申請書
    36 (9) 物理的・環境的管理規程
    37 1 入退室管理台帳
    38 2 来訪者入退室管理台帳
    39 3 作業報告書
    40 4 情報資産台帳廃棄管理台帳
    41 (10) 人的セキュリティ管理規程
    42 1 力量管理表
    44 3 教育・研修アンケート
    45 4 教育・研修受講記録管理台帳
    53 (13) 是正処置管理規程
    54 1 是正処置要求・報告書
    55 (14) セキュリティ事件・事故管理規程
    56 1 セキュリティ事件・事故報告書

    上表からわかるように、組織化によって、
    下の項目が追加されました。

    1. 情報セキュリティーポリシー
    2. 年間情報セキュリティ目標
    3. 適合性管理規程
    4. 法規制管理台帳
    5. ライセンス管理台帳
    6. システムの開発および保守管理規程
    7. 事業継続計画テスト結果記録
    8. 誓約書

    情報セキュリティ対策を
    組織で運用するために、
    ルール整備が整ってきます。

    【ステップ4】ISMS構築、ISO27001取得が必須となった。

    【ステップ3】レベルまで組織運用できていれば、

    ISO27001が取得できるし、取得したい

    となるでしょう。

    あとは、

    ISO27001に要求されるものを追加・整備すればよいとなります。

    具体的には、

    1. ISMSマニュアル
    2. マネジメントレビュー
    3. リスクアセスメント
    4. 情報セキュリティー供給者レビュー
    5. 内部監査
    6. 外部審査

    が追加されます。
    すでに、組織でISMS運用が機能されているので、
    追加対応はそれほど大変でもないでしょう。

    全ステップのまとめ

    【ステップ0】から【ステップ4】までの変化を図でまとめます。

    ISMSの構築手順がよくわかりますね

    本記事のやり方が絶対ではなく、
    組織によって、若干の味付けの違いはあるでしょう。

    ただ、いきなり、
    ISMS,ISO27001要求レベル
    へ組織をもっていくのは、
    無理なので、
    1つずつステップを刻む必要があります。

    まとめ

    以上、「【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる」を解説しました。

    • ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
    • ②ISMS化する前の組織の状態
    • ③ISMS化するステップを解説!
  • 「平方和」「データの構造式」QCの数学を究めるための問題集

    「平方和」「データの構造式」QCの数学を究めるための問題集

    本記事のテーマ

    「平方和」「データの構造式」QCの数学を究めるための問題集を販売します
    実験計画法、
    回帰分析、
    多変量解析、
    ロバストパラメータ設計など
    たくさんの分析手法に苦戦していませんか?
    実は、「平方和」、「データの構造式」を見れば
    全ての手法の本質や手法間の比較ができ、
    QCに必要な数学が早く・楽にマスターできます。
    ●商標使用について、
    ①QC検定®と品質管理検定®は、一般財団法人日本規格協会の登録商標です。
    ➁このコンテンツは、一般財団法人日本規格協会の承認や推奨、その他の検討を受けたものではありません。
    ➂QCプラネッツは、QC検定®と品質管理検定®の商標使用許可を受けています。

    ①QC(品質管理)の数学で困っていませんか?

    QC(品質管理)は数学で勝負だが大変!

    品質管理、データ分析、QC検定®には
    高校数学、大学数学の
    高等な数学が求められます。

    でも、

    1. そもそも数学が苦手
    2. 公式が多すぎて覚えきれない・使いこなせない
    3. 実験計画法、回帰分析、多変量解析、ロバストパラメータ設計、…と範囲が広すぎ

    と困ることばかりです。

    なので、QCプラネッツは

    広範囲なQC数学を俯瞰でき、それぞれの手法の違いがすぐ理解できる問題集が必要ではないか?

    とし、本問題集を作成しました。

    実は、「平方和」、「データの構造式」さえわかれば、QC数学はマスターできる!

    実験計画法、
    回帰分析、
    多変量解析、
    ロバストパラメータ設計、

    とさまざまな範囲がありますが、

    すべてマスターした後、俯瞰してみると、

    「平方和」、「データの構造式」さえわかれば、QC数学はマスターできる!

    なのです。

    「平方和」、「データの構造式」で乗り切ってほしい所

    一方、「平方和」、「データの構造式」は難所があり、これを乗り越える必要があります。

    1. 平方和(2乗和)の計算
    2. 数列の展開
    3. 数列Σを使った平方和の分解
    4. 中間積和項=0の導出

    なので、この難所を乗り越える演習を最初に行い、
    その難所を乗り越えたメリットを各単元の演習問題を通じて
    マスターしていただく問題集を今回作りました。

    ➁問題集のメリット

    本問題集を学ぶメリット

    結論はシンプルで、

    「平方和」、「データの構造式」さえわかれば、QC数学はマスターできる!

    「平方和」、「データの構造式」さえわかれば、あらゆる手法の関係性がわかるので、公式暗記不要であり、一生忘れない力が手に入る!

    です。

    逆にデメリットは

    1. 勉強しないと習得できない
      ⇒それはしゃーない!ですよね(笑)

    是非、ご購入いただきたいです。
    次に、全問題の内容を紹介します!

    ➂内容の範囲

    本問題集の全問題を紹介!

    【「平方和」「データの構造式」QCの数学を究めるため問題集】
    の全49題の問題内容を紹介します!

    大事なのは、各問題を個別に理解するのではなく、
    各手法の関係性を意識して学習しましょう。

    つまり、全問題集の表(下表)で、
    ↔で見るのではなく、
    ↕の関係性を意識    して
    学んでください。

    第1章 QC数学を早く極めるための「平方和」

    基礎を確認します。
    苦手になりがちな

    1. 数列Σの展開演習(代表例:Σ\((x_i-\bar{x})^2\)
    2. 中間積和項=0の演習(代表例:Σ\(x_i\bar{x}\)=0の導出)
    3. 平方和の分解や、直交性の導出

    第2章 QC数学を早く極めるための「データの構造式」

    実験計画法、回帰分析、多変量解析、ロバストパラメータ設計に扱う「データの構造式」を作る演習をします。

    様々な手法がありますが、「データの構造式」でできていることを実感いただきます。

    データの構造式で、例えば、「実験計画法」と「回帰分析」の違いが説明できるようになります。

    そうなれば、単元どうしの違いや特徴を自分の言葉で理解できるようになります。これが一番大事!

    第3章 「データの構造式」から有効繰返し数を導出

    田口の式、伊奈の式がありますが、覚え方がわかりにくく、間違いやすいです。
    でも、「データの構造式」からすべて導出できます。

    その秘訣を伝授します。

    第4章 平方和・分散の公式導出

    平方和、分散の公式も自力導出できます。

    第1章から第4章で、「平方和」、「データの構造式」の基礎をマスターした上で、実際に、実験計画法、回帰分析、多変量解析、ロバストパラメータ設計
    を解いていきましょう!

    平方和、データの構造式の特徴や
    注意すべきポイント、
    他の手法との違いを比較しながら
    習得できます。

    第5章 平方和でマスターする実験計画法

    第6章 平方和・データの構造式で理解する回帰分析

    第7章 平方和・データの構造式で理解する多変量解析

    第8章 平方和・データの構造式でロバストパラメータ設計

    第9章 まとめ「平方和とデータの構造式をみれば分析手法に頼らなくても本質がわかる」

    全範囲の演習から、「平方和」、「データの構造式」ですべて構成されていることが実感いただけます。

    内容
    1 【1】 数列式の展開演習1
    1 【2】 数列式の展開演習2
    1 【3】 数列式の展開演習3
    1 【4】 平方和の計算1
    1 【5】 平方和の計算2
    2 【6】 2変数におけるデータの構造式
    2 【7】 3変数におけるデータの構造式
    2 【8】 データの構造式(回帰分析と実験計画法)
    2 【9】 実験計画法とデータの構造式
    3 【10】 一元配置実験の有効繰返し数
    3 【11】 二元配置実験の有効繰返し数(その1)
    3 【12】 二元配置実験の有効繰返し数(その2)
    3 【13】 三元配置実験の有効繰返し数
    3 【14】 直交表L16215の有効繰返し数
    4 【15】 分散の公式
    4 【16】 共分散の公式
    4 【17】 分散の加法性の注意点
    5 【18】 実験計画法で分散分析とF検定する理由
    5 【19】 データの構造式の練習
    5 【20】 平方和の分解の証明
    5 【21】 平方和の分解
    5 【22】 繰返しなし3因子配置実験vs直交表(分散分析)
    5 【23】 繰返しなし3因子配置実験vs乱塊法vs乱塊法+分割法
    5 【24】 多元配置実験、分割法、枝分かれ実験の比較(分散分析)
    5 【25】 直交表の平方和の導出方法
    6 【26】 一元配置実験とくりかえしのある単回帰分析
    6 【27】 回帰平方和S_Rの平方和
    6 【28】 単回帰分析式の導出
    6 【29】 平方和の分解
    6 【30】 寄与率Rの導出
    6 【31】 コーシ・シュワルツの不等式と相関係数
    6 【32】 回帰分析と実験計画法を比較
    6 【33】 繰返しのある単回帰分析の分散分析
    6 【34】 重回帰分析の回帰式の導出
    6 【35】 重回帰分析における平方和の分解
    6 【36】 重回帰分析の寄与率R
    7 【37】 2次元の主成分分析の導出
    7 【38】 主成分分析と回帰分析
    7 【39】 主成分方向の平方和と固有値が一致する理由
    7 【40】 線形判別関数
    7 【41】 因子分析の1因子モデルの導出
    7 【42】 因子分析(1因子モデル)
    7 【43】 多変量解析のまとめ
    8 【44】 ロバストパラメータ設計
    8 【45】 全変動と平方和の関係 
    8 【46】 全変動と平方和の関係 
    8 【47】 ロバストパラメータ設計
    8 【48】 動特性は回帰分析と同じ
    9 【49】 まとめ

    上表にて、↕の関係性を意識して
    学んでください。

    9つの章に分けてしっかり解いていきましょう。

    解説も充実!

    丁寧な解説ページやQCプラネッツのブログ記事を活用してわかりやすく解けますので、ご安心ください。

    是非、ご購入ください。

    ➃【問題集ご購入方法】

    本ブログとメルカリとnoteから販売しております。
    「QCプラネッツ」で検索ください。

    (1)本ブログからのご購入

    ご購入いただけます。ご購入後、QCプラネッツからアクセスサイト先(アクセスのみ可)をご案内いたします。データの拡散を防ぐため、ダウンロードと印刷は不可とさせていただきます。

    (2)メルカリでの販売

    「QCプラネッツ」で検索ください。

    (3)noteでの販売

    電子販売もしています。こちらへアクセスください。

    近日公開予定

    まとめ

    「「平方和」「データの構造式」QCの数学を究めるため問題集を販売します」、ご購入よろしくお願いいたします。

  • ISMSマニュアルの作り方(シンプルがベスト)がわかる

    ISMSマニュアルの作り方(シンプルがベスト)がわかる

    本記事のテーマ

    ISMSマニュアルの作り方(シンプルがベスト)

    ISOでは必須ではなくなったマネジメントマニュアルですが、
    割と提出が求められるものです。

    手間をかけないためにも
    シンプルであることが最も大事です。

    • ①マネジメントシステムのマニュアル
    • ②ISMSマニュアルの注意点
    • ③ISMSマニュアルをシンプルに作成することが重要

    ①マネジメントシステムのマニュアル

    品質にも、「品質マニュアル」があります。
    品質マニュアルの書き方や運用について
    ブログ記事を紹介します。

    品質マニュアル 【品質マニュアルがわかる】リンク
    書き方、運用のポイントをわかりやすく解説します!

    元々は最上位の重要文書だった

    マネジメントシステムのマニュアルは
    元々は最上位文書でした。

    ISO要求事項は、文書管理をベースとしていたのが背景です。

    現在のマニュアルはオプションの位置

    ISO9001 2015以降、マニュアルは
    ISOの最上位文書から、
    オプションの位置でよいと
    暗に伝えています。(明確には書いていませんけど)

    その理由は、

    文書管理から
    文書化した情報
    へ変わったからです。

    でも、マニュアル提出を要求される場合が割と多いから作成する

    じゃー、マニュアルは要らない!のか?
    というと、

    マニュアルを提出要求されるシーンが割とあります。

    例えば、

    1. 監査、審査にむけて、組織のマニュアルを提出要求される。
    2. 「品質マニュアル」の場合、「公共案件受注」の時に顧客から提出要求される。
    3. マニュアル整備しておくと、印象がよい。
    4. 自組織の規程類だけで定義しきれないものがある。

    なので、

    マニュアルはあった方がよいです。

    ただし、手間がかかるのでシンプルにしたいですよね。

    よくあるマニュアル構成

    いろいろな組織の監査や、
    マネジメントシステムの講習演習などで、
    マニュアルを見てきました。

    ほとんどのマニュアル構成は以下となっています。

    ISO要求事項文面を写し
    自組織の場合を追記する。
    品質マニュアルの場合だと40ページくらいになる
    手間がかかるがそれなりに仕事している感じになる。

    ②ISMSマニュアルの注意点

    注意点は、

    ISO27001 要求事項・管理策をすべて書いた
    マニュアルにすると大変!

    ISO27001では、
    30超の要求事項+93管理策
    があります。

    この文面を写し、
    さらに、自組織の場合を追加すると、

    ISMSマニュアルが100ページ超となります。

    一回100ページ超のISMSマニュアルをみたことがありました。

    なぜ大変かというと、

    1. ページ数が多く手間。
    2. 各内容との整合を合わすのがもっと手間。
    3. マニュアル整備から承認まで手間。
    4. マニュアルと自組織の規程や運用との整合を合わせるのも手間。

    手間だらけです。

    ③ISMSマニュアルをシンプルに作成することが重要

    なので、

    マニュアルはシンプルに作ろう!

    です。

    では、どうすればシンプルに作成できるかを解説します!

    1. ISO要求事項は自組織の規程類に落とし込む。
    2. ISMSマニュアルは規程類などでもどうしても書けない情報と、ISMSの構築構成のみ書けばよい。
    3. 提出要求される場合、ISMSマニュアルと自組織の規程類をセットで提出すればよい。

    どうでしょうか?

    これなら、シンプルに書けそうですね。

    マニュアルの設計図

    過去に作ったマニュアルを
    急に全く異なる構成なマニュアルに
    になる点は慎重にすべきですが、
    マニュアルの設計図を提唱します。

    マニュアルの中に、必要なもの

    マニュアルの中に、必要なものは、

    1. 適用範囲
    2. 適用事業
    3. 引用するISO27001
    4. 自組織の用語定義
    5. 自組織の組織体制
    6. 規程類一覧、
      規程類とISO27001要求事項+管理策との関係

    マニュアルの外にしたいもの

      ISO27001要求事項+管理策の記述・写し

    としたいです。

    こうすれば、ISMSマニュアルが20ページ以内に収まり、
    規程類の更新の時だけ、個々のISO27001要求事項+管理策との関係
    をチェックすれば効率的な運用ができるからです。

    ISMSは大事ですが、煩雑になりやすく
    煩雑になると情報セキュリティインシデントの際
    身動きがとれなくなります。

    そうならないように、シンプルな構成がベストです。

    ISMSマニュアルの作り方(シンプルがベスト)

    ISOでは必須ではなくなったマネジメントマニュアルですが、
    割と提出が求められるものです。

    手間をかけないためにも
    シンプルであることが最も大事です。

    まとめ

    以上、「ISMSマニュアルの作り方(シンプルがベスト)」を解説しました。

    • ①マネジメントシステムのマニュアル
    • ②ISMSマニュアルの注意点
    • ③ISMSマニュアルをシンプルに作成することが重要
  • 疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)

    疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)

    本記事のテーマ

    疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)

    インシデント発生は「恐怖・不安」ですが、
    本当ですか?

    煩雑な運用である、情報セキュリティだけに、
    冷静であることが最も大事です。

    • ①情報セキュリティインシデント事例
    • ②ありがちな恐怖
    • ③その恐怖は本当なの?
    • ④恐怖・不安を仰ぐ理由
    • ⑤情報セキュリティインシデントの真因を隠す傾向が強い
    • ⑥サイバー攻撃する方も実は大変苦労している
    • ⑦情報セキュリティインシデント対策でやるべきこと

    ①情報セキュリティインシデント事例

    いくつか事例を挙げます。

    1. 大病院がサイバー攻撃を受け、医療機能が数カ月麻痺。
    2. 大企業がサイバー攻撃を受け、受発注が麻痺。
    3. サイバー攻撃が年々増加。国内では1日数百万回(前年度1.5倍)を記録

    どうでしょうか?

    ヤバいよ! ヤバいよ! ヤバいよ!
    とスイカのヘルメットをかぶったバイクのおじさんが来そうです(笑)。

    ②ありがちな恐怖

    「情報セキュリティインシデント」と聞くと、どうでしょうか?

    1. 情報セキュリティを徹底しているが、いつ外部攻撃されるかわからない恐怖。
    2. 情報セキュリティ防御力を超える外部攻撃があるかもしれない恐怖。
    3. インシデントが発生するととんでもない大変な対応に迫られる恐怖。

    が伝わってきます!

    ヤバいよ! ヤバいよ! ヤバいよ!
    とスイカのヘルメットをかぶったバイクのおじさんが来そうです(笑)。

    ③その恐怖は本当なの?

    恐怖にかられると、天邪鬼なQCプラネッツは
    「ホンマにそうなの?」
    「しっかり対策を取っていても攻撃でやれらるの?」
    「ぶっちゃけインシデント発生した真相はどうなの?」
    と疑ってしまいます。

    公になっている情報を鵜呑みせず、一旦冷静になりませんか?

    ④恐怖・不安を仰ぐ理由

    このテーマですが、あえて、考えましょう!

    情報セキュリティインシデントでは
    恐怖・不安を仰ぐのか?

    この意地悪な問いに対して、
    理由がなければ、
    情報セキュリティインシデントは本当に恐怖だと
    思います。

    天邪鬼なQCプラネッツはこの問をこう考えます。

    なぜ恐怖・不安をあおるのか?

    いくつか考えてみました。

    1. 気を付けてほしいから(これはわかる!)
    2. 不安ビジネスに乗せたい
      (「これくらい大丈夫!」と言う情報セキュリティ専門家がいない)
    3. 本当は、ヘボい理由で攻撃くらっただけなのに、
      大変さを演出して情報セキュリティの高さを誇張したい

    こういう情報ばかりだと、不安になるし、
    専門家にすがりたくなります。

    でも、それは相手の思う壺かもしれません。

    本当に知りたいこと

    本当に知りたいのは、

    その組織の情報セキュリティの高さ(防御力)
    に対して
    どの攻撃力でダメージを受けたのか

    です。

    我々がいつも想像するのは、下図のように、
    (1)普段からあるべき防御力があるが、
    (2)それを上回る攻撃を受けた。

    だから、情報セキュリティインシデントは怖い!
    であれば、仕方がないし、納得できます。

    しかし、実体はどうでしょうか?

    我々がいつも想像するのは、下図のように、
    (3)普段からあるべき防御力があるが、
    適正な運用がなく、本来の防御力が機能していない。
    または、実は防御力そのものが低かった。

    だから
    他社なら回避できる程度の攻撃でもインシデントになってしまった。

    可能性もあるでしょう。

    しかし、
    実体(本来の実力)を知らない(公表されない)から
    名のある企業なら
    「情報セキュリティ体制は万全なのにどうして?」
    と過大評価することも考えられる。

    実情を冷静かつ客観的に見る必要があります。
    そのために、「報告書」が公表されています。

    しかし、

    「報告書」にインシデントの真因は書かれていない場合がほとんど

    これは、なぜでしょうか?

    ⑤情報セキュリティインシデントの真因を隠す傾向が強い

    会計、品質、環境、情報セキュリティなどの管理すべきものは、
    不正や法令違反がある場合、組織・企業は真因究明と再発防止を
    コミットするために報告書を公表しています。

    品質不正は必ず真因を報告書に載せる

    品質不正事例は、QCプラネッツのブログ記事でまとめています。

    【まとめ】品質不正がよくわかる

    どの報告書も、真因は明快に書かれています。
    だから、さらに深部へ分析ができる。

    どの報告書も、真因は明快に書かれています。

    情報セキュリティインシデント報告書は真因を明示しない

    一方、情報セキュリティインシデントは
    報告書に真因を明示しない、
    公表しない場合が
    多いです。

    それには理由があるからです。

    理由

    情報セキュリティインシデントは犯罪行為。
    犯罪の手口を明示すると再犯されるリスクがある。

    確かに、納得がいく理由です。

    しかし、1つ注意が必要で、

    対象となった組織・企業の情報セキュリティの防御力が低い弱点をさらさなくて済む。

    本来、組織が改善すべきポイントが露わにならないため、
    改善したと後日公表しても、本当かどうかは疑わしいかもしれません。

    品質でもそうですが、
    組織改革にはエネルギーと時間がすごくかかります。
    その間に、再攻撃受けるリスクが残っています。

    情報セキュリティインシデント真因をあるある

    とはいえ、
    数件ですが、
    真因を明示している事例もあります。
    (本当にありがたいです!)

    その事例を紹介します。

    真因

    1. 名のある大企業だが、情報セキュリティ専門者が0.5人(他業務と兼任)。
    2. 大病院だが、管理者パスワードが初期設定のままだった。
    3. 業務中に、NGなサイトをクリック・ダウンロードしてしまった。
    4. インシデント対策訓練

    確かに、
    ・報告書では体制強化、モラル・意識向上など
    難しく、それらしい言葉が並ぶが、
    上の理由を見れば、
    「そりゃ、ダメでしょう!」
    と言いたくなるものが意外と多いです。

    少ない情報の中、
    名のある企業・組織だからと
    過大評価せず、
    何が真因なのかをよく考え、調べる必要があります。

    ⑥サイバー攻撃する方も実は大変苦労している

    サイバー攻撃は確かに怖いけど。。。

    1日、数百万件のサイバー攻撃を我々は受けています。
    確かに、怖い!
    でも、ここでも冷静に考えてみましょう。

    攻撃力が上がれば、相手の防御力も上がる

    20年前は、確かに世界的なサイバー事件がニュースになり、
    知り合いがその対象になったことを思い出します。

    しかし、

    攻撃力や攻撃種類が上がると、
    すぐに対策が講じられ、
    それほど深刻ではないと
    いう冷静な目線も必要です。

    攻撃は犯罪行為であり、逮捕されるリスクがあります。
    一方、防御は良い行為であり、評価されるメリットがあります。

    あなたが優秀なハッカーなら
    攻撃?
    防御?
    どちらで飯を食いますか?

    明らかに、後者ですよね。

    多数の攻撃のイメージ

    など、考えると、

    攻撃力や攻撃種類が上がると、
    すぐに対策が講じられ、
    それほど深刻ではないと
    いう冷静な目線も必要です。

    ハッキングのイメージ

    ハッキング攻撃のイメージは
    下図のように、
    組織のセキュリティの壁を叩きまくって
    力で壁を壊し内部に侵入する

    とよく思われているはずです。

    しかし、実際は、防御力も高く、外部から力で侵入するのは難しいです。

    実際は、下図のように、
    道にとりあえず、ハッキングする種をばらまき
    そこに引っかかる獲物を捕まえる

    方が現実的ではないでしょうか。

    汚い例ですが、
    道に放置された動物の糞を避けれるのに、
    うっかり踏んでしまった
    のが情報セキュリティインシデント
    というイメージがわかりやすいでしょう。

    ⑦情報セキュリティインシデント対策でやるべきこと

    情報セキュリティインシデントはリスクであることは間違いありません。
    しかし、見えない恐怖に疑心暗鬼にならずに、冷静に考えて対応しましょう!

    では、どのような対策をすればよいでしょうか?

    情報セキュリティインシデント対策

    大事なのは、

    ●たくさん対策をとるな!(逆効果)
    ●レベルの高いことをやるな!(組織全員では無理)
    ●外部攻撃より、身近なミス・不正防止を徹底(その方が確実)

    でしょう。

    難しく、たくさん対策して万全と言えば、
    かっこいいと思いがちですが、それは無理で、逆効果です。

    ●個人レベルでは簡単な対策でいい。
    ●簡単なアクションを組織全体で回すことに一番注力すべきです。

    当たり前のことを、皆でやる!
    がISMSであり、
    ISO27001です。

    まとめ

    以上、「疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)」を解説しました。

    • ①情報セキュリティインシデント事例
    • ②ありがちな恐怖
    • ③その恐怖は本当なの?
    • ④恐怖・不安を仰ぐ理由
    • ⑤情報セキュリティインシデントの真因を隠す傾向が強い
    • ⑥サイバー攻撃する方も実は大変苦労している
    • ⑦情報セキュリティインシデント対策でやるべきこと
  • 【まとめ】高校物理「原子物理」がよくわかる

    【まとめ】高校物理「原子物理」がよくわかる

    本記事のテーマ

    【まとめ】高校物理「原子物理」がよくわかる
    • ①【必読】高校物理「原子物理」がすぐわかる方法を伝授!
    • ②【重要】高校物理から原子構造が解明できる
    • ③「プランク定数」が「粒子性と波動性の二面性」を導いた
    • ④光子のエネルギ、運動量の公式が導出できる
    • ⑤粒子性と波動性を合わせた原子モデルが作れる
    • ⑥光速不変の原理によって質量とエネルギーの等価性がわかった
    • ⑦シュレディンガー方程式を高校物理を用いて導出する
    • ⑧【商品】「高校物理問題集」のご紹介

    ①【必読】高校物理「原子物理」がすぐわかる方法を伝授!

    本サイトを読んで、本問題集をしっかり取り組めば
    「原子物理がわからない!」が解消します!

    (本音:時間かけて作りこんで本当に良かった! 多くの方に読んでいただきたい!)

    高校物理「原子物理」がわからず困っていませんか?

    受験が間近に迫る中に学ぶ「原子物理」は
    わからないし、不安
    ではありませんか?

    高校物理「原子物理」が難しく感じる理由

    しっかり問題集を作っていく過程で、ふと疑問が浮かび、
    それが、「原子物理」が不安にさせる原因だと分かりました!

    その原因は

    1. 「原子物理」を学ぶと何が面白いのかが見えない。。。
    2. いきなり定数\(h\)や公式\((E=hν,p=h/λ,E=mc^2\))は暗記だけだからすぐ忘れる。。
    3. 「粒子性と波動性の二面性」に気づいた経緯がわからない
    4. 大学入試問題は原子物理の現象を断片的に出題するので、
      何を解いているかさっぱりわからない。
    5. 大学物理「量子力学」と連続性がなく、
      別物を学んでいる感覚がある。

    など、「原子物理」はどこか縁遠いおとぎ話の世界にいる感覚になります。

    でも、そうじゃない!

    原子物理領域になって
    やっと、
    現象⇒数式モデル⇒仮説⇒検証⇒…
    と考えながら解明していく
    本当の物理が学べる!
    本当の面白さが堪能できる範囲なのです。

    わけのわからない世界の話ではなく、
    物理本来の取り組み方を身に着ける大事な単元です。

    高校物理「原子物理」は本当は面白いし、物理脳を鍛えるには重要!

    QCプラネッツのブログ・問題集を活用いただき、「原子物理がわからない」を解決しましょう!

    高校物理「原子物理」ここがわからない!ポイントをまとめると以下になると考えました。

    1. 目に見えない「原子」の構造が解明できる!
    2. 「数式やモデルからどんな物理現象が起こりうるか」が自問できる
    3. 自問した疑問だから、検証し、解明したくなる!
    4. 力学、波、熱、電気、磁場と学んだことを駆使できる総力戦!
    5. 大学数学・大学物理への誘いとなる大事な「高校物理の原子物理」
    「原子物理が面白い!」と
    共感いただける自信があります。

    「原子物理」が面白く学べるQCセミナーの高校物理「原子物理」を紹介します。

    QCセミナーの高校物理「原子物理」

    「高校物理・原子物理」がとても面白く学べるために以下の構成でまとめています。

    • ②【重要】高校物理から原子構造が解明できる
    • ③「プランク定数」が「粒子性と波動性の二面性」を導いた
    • ④光子のエネルギ、運動量の公式が導出できる
    • ⑤粒子性と波動性を合わせた原子モデルが作れる
    • ⑥光速不変の原理によって質量とエネルギーの等価性がわかった
    • ⑦シュレディンガー方程式を高校物理を用いて導出する

    ブログ記事(無料)と問題集(有料)の違いは下表のとおりです。
    まずブログ記事を読み進めていただき、問題集でしっかりマスターしましょう。

    項目 記事 問題集(有料)
    学んでほしい
    大事なこと    		 有り 有り
    学ぶための
    大事な問い    		 一部あり 全問有り
    重要公式の詳細な
    導出解説    		 概要のみ 全て有り
    メリット 原子物理の
    大事な流れが
    すぐわかる    		 詳細な導出過程や
    それを考える問いに
    触れられる

    では、大事なエッセンスをまとめたブログを紹介します。

      

    ②【重要】高校物理から原子構造が解明できる

    【結論】原子物理は何を学ぶのか?」をしっかり問うと

    目に見えない原子構造を解明すること

    です!

        

    高校化学の序盤で暗記する「原子構造」です。
    必ず暗記するので、皆は知っています。

    でも、

    どうやってわかったの?
    は気になりませんか?

    この疑問を「解説ブログ問題集」で解消します。

    【QCセミナーの高校物理】リンク
    「【重要】高校物理から原子構造が解明できる」

    ③「プランク定数」が「粒子性と波動性の二面性」を導いた

    高校物理の原子物理では、中盤、
    ●プランク定数\(h\)が
    いきなりでてきます。

    プランク定数\(h\)はどこから導出されたの?
    この定数はなぜ大事なの?

    波動によるエネルギーや運動量を求める
    都合のよい定数
    くらいしかピンと来ません。

    だから、
    プランク定数\(h\)の導出
    プランク定数がなぜ超重要とわかったのか?

    この疑問を「解説ブログ問題集」で解消します。

    【QCセミナーの高校物理】リンク
    「【重要】「プランク定数」が「粒子性と波動性の二面性」を導いた」

    ④光子のエネルギ、運動量の公式が導出できる

    プランク定数\(h\)の
    重要さは理解できたとしても、

    ●エネルギー\(E=hν\)
    ●運動量\(p=h/λ\)
    はどうやって導出されたの?
    は知らないでしょう。

    公式導出を学ばないから
    公式暗記代入練習しかしない。
    だから、意味がわからずすぐ忘れる!!
    ではありませんか?

    だから、
    ●エネルギー\(E=hν\)
    ●運動量\(p=h/λ\)
    はどうやって導出されたの?

    この疑問を「解説ブログ問題集」で解消します。

    【QCセミナーの高校物理】リンク
    「光子のエネルギE=hν、運動量p=h/λ の公式が導出できる」

    ⑤粒子性と波動性を合わせた原子モデルが作れる

    原子物理の中盤になると
    ボーアの水素原子モデル
    を学びます

    ●ボーアの水素原子モデル
    が伝えたいエッセンスがわからない

    複雑な式を変形するところは
    試験に頻出なので解き方は知っているが
    意味が解らない
    となっていませんか?

    だから、
    ボーアの水素原子モデルから
    は何を学ぶべきか?

    この疑問を「解説ブログ問題集」で解消します。

    【QCセミナーの高校物理 6原子物理】リンク
    「粒子性と波動性を合わせたボーアの水素原子モデルが作れる」

    ⑥光速不変の原理によって質量とエネルギーの等価性がわかった

    核分裂の内容を理解するために、
    \(E=mc^2\)
    という式がいきなり出てきます。

    \(E=mc^2\)って何?
    相対性理論から来たらしいが
    意味不明。。。

    試験の解き方だけ理解しているでは、
    本質が見えませんよね。

    だから、
    \(E=mc^2\)はどうやって導出されたのか?
    相対性理論との関係性は何か?

    この疑問を「解説ブログ問題集」で解消します。

    【QCセミナーの高校物理 6原子物理】リンク
    「光速不変の原理」によって「質量とエネルギーの等価性E=mc^2」がわかった

    ⑦シュレディンガー方程式を高校物理を用いて導出する

    大学の原子物理は
    「シュレディンガー方程式」から始まります。

    「高校物理の原子物理」と
    「大学物理の量子力学」
    の間に大きなギャップがあり
    関係性がわからない

    「シュレディンガー方程式」は大学数学を駆使して導出する。

    だから、
    「高校物理の原子物理」と
    「大学物理の原子物理」が
    どうつながっているか?

    この疑問を「解説ブログ問題集」で解消します。

    【QCセミナーの高校物理 6原子物理】リンク
    シュレディンガー方程式を高校物理を用いて導出する

    この大事なエッセンスを理解すれば、原子物理は得意になるのは必至です。

    原子物理の理解を深めるための「問題集」を紹介します。

    ⑧【商品】「高校物理問題集」のご紹介

    記事解説で紹介した各問題を詳細に学べるために、

    「高校物理問題集」

    を作成しました。

    ブログ記事で紹介しきれない、エッセンスをわかりやすく解説します。

    是非ご購入いただき、一緒に学びましょう
    【QCセミナーの高校物理】リンク
    【「6.原子物理」編】の紹介・ご購入ページ

    まとめ

    「【まとめ】高校物理「原子物理」がよくわかる」を解説しました。

    • ①【必読】高校物理「原子物理」がすぐわかる方法を伝授!
    • ②【重要】高校物理から原子構造が解明できる
    • ③「プランク定数」が「粒子性と波動性の二面性」を導いた
    • ④光子のエネルギ、運動量の公式が導出できる
    • ⑤粒子性と波動性を合わせた原子モデルが作れる
    • ⑥光速不変の原理によって質量とエネルギーの等価性がわかった
    • ⑦シュレディンガー方程式を高校物理を用いて導出する
    • ⑧【商品】「高校物理問題集」のご紹介
  • シュレディンガー方程式を高校物理を用いて導出する

    シュレディンガー方程式を高校物理を用いて導出する

    本記事のテーマ

    シュレディンガー方程式を高校物理を用いて導出する
    • ①光速不変の原理によって質量とエネルギーの等価性がわかった
    • ②オイラーの公式を高校数学で導出する
    • ③電子の原子核内の運動を表現する(波動方程式)
    • ④シュレディンガー方程式を高校物理を用いて導出する
    • ⑤【まとめ】高校物理「原子物理」
    • ⑥【商品】「高校物理問題集」のご紹介
電子の運動は
「シュレディンガー方程式」から計算できますが、

大学数学を前提に導出するため、
高校物理とのつながりが見えません。

しかし、実際歴史では、

高校物理「原子物理」の範囲
⇒シュレディンガー方程式の導出
⇒大学物理「量子力学」の世界
となります。

高校物理と大学物理が
扱う、高校数学と大学数学の違いもあり、
全く別物となりがちです。

ここが、「シュレディンガー方程式」の理解を妨げる要因の1つです。

「高校物理から大学物理へのつなぎ」
を解説したいです。

その前に、

①光速不変の原理によって質量とエネルギーの等価性がわかった

本記事の「シュレディンガー方程式の導出」を理解するには、
前々記事の【光速不変の原理によって質量とエネルギーの等価性がわかった】
を事前に確認しておく必要があります。

前記事を復習しておいてください。

【QCセミナーの高校物理 6原子物理】リンク
「光速不変の原理」によって「質量とエネルギーの等価性E=mc^2」がわかった

②オイラーの公式を高校数学で導出する

問題集に該当する問題

詳細は
問題集 06-11 【1】
にあります。

オイラーの公式

オイラーの公式とは

\(e^{iθ}\)=cosθ+\(i\)sinθ
(\(i\)=\(\sqrt{-1}\))

ですね。

大学数学では違和感ないのですが、
高校数学では、指数に虚数があることが違和感だと思います。

なので、

\(e^{iθ}\)の\(i\)は別の定数で
(\(e^{aθ}\) の「\(a\)」と同じ)
\(i^2\)すると-1になる変わった定数とみてください。

「指数に虚数がある」でアレルギー反応しなくてOKです。

オイラーの公式を導出

いろいろな導出方法がありますが、一番シンプルな例を持ってきました。

導出問題

【例題】
関数\(f(x)=\frac{cosx+isinx}{e^{ix}}\)
\(x\)は実数、\(i\)=\(\sqrt{-1}\)
とおく。
(1) 導関数\(f’(x)\)=0を示せ。

(2) \(f(x)\)=1から
\(e^{ix}\)=cosx+\(i\)sinxを示せ。

(3) 関数\(f(x)= cosωx+isinωx\)と、関数\(g(x)=e^{iωx}\)について、
・\(\frac{d^2f(x)}{dx^2}\)=\(-ω^2f(x)\)

・\(\frac{d^2g(x)}{dx^2}\)=\(-ω^2g(x)\)
を示せ。

詳細は問題集で解説します。

③電子の原子核内の運動を表現する(波動方程式)

波の関数(波動関数)を用意する。

波の話で、
波は、位置と時間の関数でしたね。

下図のように、ある時刻tでの、各場所における波の高さをグラフにしました。

しかし、実際は同じ場所xでも時間によって波の高さも変わりますよね。

なので、波は、時間と距離の2変数から構成されることがわかりますね。

具体的には、
\(y=f(x,t)=sin(kx-ωt)\)
と書きますが、

「シュレディンガー方程式」の導出のために、もう一工夫して
\(Φ(x,t)\)=\(e^{i(kx-ωt)}\)=\(cos(kx-ωt)+isin(kx-ωt)\)
(\(k=\frac{2π}{λ}\),\(ω=2πν\))
と置きます。

関数が複素数へのアレルギー反応が出ると思いますが、
sin,cosの波の式を扱っている!程度で思っておけば大丈夫です!

④シュレディンガー方程式を高校物理を用いて導出する

詳細は
問題集 06-09 【2】【3】
にあります。

導出の概要

高校数学、高校物理の範囲でわかりやすく解説しますが、

詳細は問題集で解説します。

本記事では、導出の概要を解説します。

解法の順序は以下の通りです。

  1. \(Φ(x,t)\)=\(e^{i(kx-ωt)}\)=\(cos(kx-ωt)+isin(kx-ωt)\)は
    \(t,x\)の2変数の関数なので、
    それぞれ片方について微分(大学では偏微分)します。
    ・\(x\)で微分:\(\frac{\partial Φ(x,t)}{\partial x}\)=\(ikΦ(x,t)\)…(式1)

    ・\(t\)で微分:\(\frac{\partial Φ(x,t)}{\partial t}\)=\(-iωΦ(x,t)\)…(式2)

  2. \(p,E,k,ω\)の関係を(式1)(式2)に代入して、
    運動量とエネルギーに関する意味合いを出します。
    ・(式1):\(pΦ(x,t)\)=\(-ih’ \frac{\partial Φ(x,t)}{\partial x}\) …(式3)

    ・(式2):\(EΦ(x,t)\)=\(ih’ \frac{\partial Φ(x,t)}{\partial t}\) …(式4)

    (\(h’=\frac{h}{2π}\))

  3. エネルギーEと運動量pには、
    \(E=K+U\)=\(\frac{p^2}{2m}+U\)の関係があるので、
    この関係式を使って(式3)と(式4)をつなぐ。
  4. まとめると、「シュレディンガー方程式」が導出できる。
    \((-\frac{h’^2}{2m}\frac{\partial^2}{\partial x^2}+U)Φ(x,t)=ih’Φ(x,t)\) …(式5)

より詳細な式変形については、

詳細は問題集で解説します。
偏微分は大学数学の範囲ですが、高校数学でも十分理解できます。
・「\(x\)で偏微分」は\(x\)を変数、\(t\)を定数とみなして微分します。
・「\(t\)で偏微分」は\(t\)を変数、\(x\)を定数とみなして微分します。
なので、
\(f(x)=x^2+2ax+4\)を\(x\)で微分する感覚と同じです。

導出のポイント

大事なポイントは、

  1. 難しそうな「シュレディンガー方程式」の解は「波の挙動」であること。
  2. 原子内を動く電子は波の挙動を示すことが方程式の解からわかること。
  3. ①波の挙動、②粒子性・波動性の二面性、③エネルギー・運動量の関係式を駆使して、関係をつなげたのが「シュレディンガー方程式」であること。
  4. 高校物理の範囲から「シュレディンガー方程式」が導出できること。

つまり、下図のように電子は波のように飛び回ることが数学的に証明できたと言えます。

以上、高校物理「原子物理」で学ぶべき内容がすべて解説できました!

⑤【まとめ】高校物理「原子物理」

6つのブログ記事を使って、解説してきました。

  1. 原子構造が解明できたこと。
  2. プランクの式、プランク定数が「粒子性と波動性の二面性」をつなげたこと。
  3. 光の特殊な性質がわかり、相対性理論、\(E=mc^2\)ができたこと。
  4. 高校物理の範囲から「シュレディンガー方程式」が導出でき、さらなる解明は大学物理へとつなげたこと。

ここまで、解説できれば、
「高校物理、原子物理」の教材として十分でしょう。

大学入試対策から一旦離れて、
本質を見てきました。
ここまで読んだあと、大学入試問題見ましょう。
原子物理領域の問題がスラスラ理解できるはずです。
詳細は問題集で解説します。

⑥【商品】「高校物理問題集」のご紹介

記事解説で紹介した各問題を詳細に学べるために、

「高校物理問題集」

を作成しました。

ブログ記事で紹介しきれない、エッセンスをわかりやすく解説します。

是非ご購入いただき、一緒に学びましょう
【QCセミナーの高校物理】リンク
【「6.原子物理」編】の紹介・ご購入ページ

まとめ

「シュレディンガー方程式を高校物理を用いて導出する」を解説しました。

  • 情報セキュリティインシデントに対する組織の本音がわかる

    情報セキュリティインシデントに対する組織の本音がわかる

    本記事のテーマ

    情報セキュリティインシデントに対する組織の本音がわかる

    インシデントへの対策は必須ですが、
    本音はどうですか?

    • ① インシデントに対する組織の対応
    • ② インシデントへの組織の本音
    • ③ 痛い目に合わないと本気で組織は動かない

    ① インシデントに対する組織の対応

    品質、環境、情報セキュリティなどあらゆる分野で
    事故(アクシデント)への対策は必須です。

    ●品質:事故、品質不正
    ●環境:事故、法令違反
    そして、
    ●情報セキュリティ:情報セキュリティインシデント
    ・・・
    があります。

    未然防止、再発防止の観点から
    組織への要求事項があります。

    ISO27001からの要求事項

    一覧にします。

    やるべきこと一覧

    1. 6.1.3 情報セキュリティリスク対応
    2. 8.3 情報セキュリティリスク対応
    3. A5.24 情報セキュリティインシデント管理の計画策定及び準備
    4. A5.25 情報セキュリティ事象の評価及び決定
    5. A5.26 情報セキュリティインシデントへの対応
    6. A5.27 情報セキュリティインシデントからの学習
    7. A5.28 証拠の収集
    8. A5.29 事業の中断・阻害時の情報セキュリティ
    9. A5.30 事業継続のためのICTの備え
    10. A5.31 法令、規制及び契約上の要求事項
    11. A6.8 情報セキュリティ事象の報告

    要求事項がたくさんあります。

    インシデントに対する組織体制の在り方

    組織が取るべき体制は主に

    1. 組織体制と権限の範囲
    2. 組織内規程の構築
    3. インシデント対応動き方
    4. インシデント対策訓練

    の3つがありますね。

    組織体制と権限の範囲

    表にまとめます。

    役割
    ①経営層
    (意思決定)    		 ・重大判断
    ・資源投入
    ・外部公表
    ②インシデント統括
    (CSIRT)    		 ・全体指揮
    ・判断
    ・指示
    ・外部連携
    ③実務対応チーム
    (事務局)    		 ・技術対応
    ・封じ込め
    ・復旧
    ・記録
    ・報告書
    ・再発防止

    それぞれが役割と権限をもって、
    インシデント対応できるように体制を組みます。

    組織内規程の構築

    有事の際の行動と、
    それを備える平時の行動を
    冷静に対応するために、
    規程(ルール)を作っておく必要があります。

    インシデント対応動き方

    主に3つあり、

    レベル 深刻度 最高責任者
    1 情報セキュリティ管理者
    2 情報セキュリティ管理者or経営層
    3 経営層

    インシデントの深刻さによって
    組織内の動き方が変わります。

    1. 情報セキュリティインシデントの想定(どんな事故が起こりうるか)
    2. インシデントの深刻度によって、報告指示体制を決めておくこと
    3. インシデントの処置、完了、最終報告の指示
    4. 再発防止、事業継続管理へのアップデート

    インシデント対策訓練

    組織にとって、
    事業継続危機に瀕するもの
    から
    一部の社員の不手際で軽微だが、頻発するもの
    などの想定しうるものを対象に
    日頃から訓練します。

    ② インシデントへの組織の本音

    よくある本音ですが

    消極的なのが本音

    インシデントに対応する組織の行動は当然ですが、

    ●手間もコストもかかるので、
    なるべくやりたくたいのが本音
    ●どうせ、インシデントなんてあんまり来ないでしょう!と思いたい
    ●経営層や中間管理職は情報セキュリティの意識が低いし。。。
    ●コストかけた分だけのリターンは無いし。。。

    など、本音は、消極的なはずです。

    ISMS活動の動機づけが難しい

    情報セキュリティが大事な近年ですが、
    現実味がないだけに、いまいちピンと来ない
    こんな煩雑で手間なことわざわざしなくても大丈夫だよ!
    まあ、指示されたことだけやっていればいい。通常業務が忙しいからISMSどころではないよ!

    が本音であり、

    動機づけが難しいのも現実です。

    ③ 痛い目に合わないと本気で組織は動かない

    いい話ではありませんが、

    痛い目に合わないと本気で組織は動かないし、
    あえてそうさせるのも手かもしれません。

    インシデントが発生すると

    組織内の混乱の中、次のことがよく見えるでしょう。

    1. 誰が他責、自責の念を持つのか?
    2. 本当に経営層は全面に立って責任を取るのか?
    3. 管理職やISMS事務局は本気で対応するのか?
    4. 自分の業務に支障が出るまで、誰も動かないではないのか?
    5. インシデントが発生してどれくらいダメージを受けたら組織は本気になるのか?
    6. 日頃の情報セキュリティへの意識や行動の大切さを身に染みるかどうか?

    何でもそうですが、痛い目に合わないと、
    平常のありがたみがわからないものです。

    勉強、品質、環境、情報セキュリティ、防災、法令遵守などは
    大事なのはわかるけど、日ごろは後回しにしたい面倒なもの
    ですよね。

    一番言いたいこと

    1つ注意なのは、

    痛い目に合いましょう!ではありません!!
    そうなってはいけませんが、
    平時から組織への意識向上・動機づけは
    非常に難しいので、
    くじけず、組織内に働きかける粘り強さが重要

    と言いたいのです!

    平時から粘り強く動機づけしよう!

    勉強、品質、環境、情報セキュリティ、防災、法令遵守などの管理するものは
    大切さを粘り強く伝え、行動につなげること
    です。

    あまり評価されませんが、
    土台を支える事務局担当者が
    周囲への動機づけ、行動につなげるか
    がキーポイントです。

    事務局担当の頑張りにかかるので、この頑張りへの評価も組織でしてあげてください。

    1. 煩雑なISMSをわかりやすく伝えること
    2. NG行動とそれによる代償を何度も伝えること
    3. 不審な動きをする従業員への上手な注意喚起
    4. 情報セキュリティなどの管理活動の面白さを上手に伝えること

    などの粘り強い活動が、
    インシデントへの耐性強化につながり、
    インシデント発生しても組織内での協力関係が出やすく    なります。

    このあたりの活動は、
    結果として見えにくく、評価されにくい所ですが、
    縁の下の力持ちな人を作ることが
    組織で最も大事なことと考えます。

    まとめ

    以上、「情報セキュリティインシデントに対する組織の本音がわかる」を解説しました。

    • ① インシデントに対する組織の対応
    • ② インシデントへの組織の本音
    • ③ 痛い目に合わないと本気で組織は動かない
  • 「光速不変の原理」によって「質量とエネルギーの等価性E=mc^2」がわかった

    「光速不変の原理」によって「質量とエネルギーの等価性E=mc^2」がわかった

    本記事のテーマ

    「光速不変の原理」によって「質量とエネルギーの等価性」がわかった
    • ①粒子性と波動性を合わせたボーアの水素原子モデルが作れる
    • ②光速を精度よく計測
    • ③エーテル存在を実証する実験から光速不変の原則がわかった
    • ④「観測者によって時空が変化する奇妙な現象」がすぐわかる
    • ⑤光速不変の原理によって質量とエネルギーの等価性が成り立つ
    • ⑥高校物理「原子物理」次のお話を紹介!
    • ⑦【商品】「高校物理問題集」のご紹介
    \(E=mc^2\)
    (E:エネルギー、m:質量、c:光速)
    という公式が突然出てきて
    導出もなく、暗記して使っていませんか?

    なので、ずっと-思っていたのが

    (1)なんで\(E=\frac{1}{2}mc^2\)じゃないの?

    (2)光だけなんで速度が不変なの?

    (3)相対性理論?わけがわからない!
    と思考停止になっていませんか?

    なので、

    ①光速を計測し、
    ②光速が不変と分かった背景を理解し、
    ③光速が不変であれば何が起こるかを理解し、
    ④\(E=mc^2\)の導出を丁寧に解説します。

    その前に、

    ①粒子性と波動性を合わせたボーアの水素原子モデルが作れる

    本記事の「質量とエネルギーの等価性」を理解するには、
    前々記事の【粒子性と波動性を合わせたボーアの水素原子モデル】
    を事前に確認しておく必要があります。

    前記事を復習しておいてください。

    【QCセミナーの高校物理 6原子物理】リンク
    「粒子性と波動性を合わせたボーアの水素原子モデルが作れる」

    ②光速を精度よく計測

    問題集に該当する問題

    詳細は
    問題集 06-09 【1】
    にあります。

    (i)速度なら2点間距離の移動時間からわかるはず

    単純に考えると、こうなります。

    実際にガリレオガリレイが、遠く離れた2点でランプを使って光を往復する時間を計測しました。

    でも、この事実
    誰も知りませんよね。
    なぜでしょうか?
    詳細は問題集で解説します。

    (ii)光速を精度よく計測

    光速を精度よく計測したフーコーの実験があります。

    高速回転する回転鏡と、回転鏡と一定距離離れた固定鏡を用意する。光源から光を照射し、反射光の位置を計測する。その結果から、精度よく光速が計測できた。

    この実験から、
    光速c=2.88×\(10^8\) [m/s]
    (実際c=3.0×\(10^8\) [m/s]に非常に近い値)
    がわかりました。

    詳細は問題集で解説します。

    ③エーテル存在を実証する実験から光速不変の原則がわかった

    問題集に該当する問題

    詳細は
    問題集 06-09 【2】
    にあります。

    光速不変がわかった背景は、

    1. 波である「音と光」で、「音」は真空は伝わらないが、
      「光」はなぜか真空の宇宙から飛んでくる。これはなぜか?
    2. 光が真空の宇宙を移動できるのは、
      光の目に見えない媒質「エーテル」
      があるからではないか?と信じられてきた。

    から、

    「エーテル」の存在を実証したい

    という好奇心が出てくるのは当然となるわけです。

    「エーテル」の存在を実証する実験

    「エーテル」の存在を調べた実験で、
    マイケルソンモーリの実験が有名です。

    光源と干渉縞、ハーフミラーと2つの鏡を用意した。
    宇宙空間に「エーテル」が存在するならば、
    「地球の公転運動によってエーテルの風が吹いている」と考え、
    「エーテル」によって光の速度は向きによって相対的に変化し、
    東西南北に実験機器の向きを変えて、
    光の速度の差により、干渉縞に変化が発生するかどうかを調べた。

    「なるほど!」、難しいけど、よく考えましたね!

    予想外の実験結果

    しかし、実験結果は、

    実験機器の向きを変えても干渉縞に変化がなかった。

    なお、東西、南北それぞれに
    実験機器の向きを変えた場合の
    ・光の往復にかかる時間
    ・干渉縞のズレ
    などの、計算問題については、

    詳細は問題集で解説します。

    この実験結果から

    「エーテル」の存在が否定
    光速はどの向きでも常に一定(光速不変の原理)
    の真理が見えた

    わけです。

    ④「観測者によって時空が変化する奇妙な現象」がすぐわかる

    問題集に該当する問題

    詳細は
    問題集 06-09 【3】
    にあります。
    問題集では、観測者の違いによる
    同じ落下運動でもかかる時間が変化る
    奇妙な思考実験を演習します。

    本記事ではもう少し簡単な事例で説明します。

    「はじき」の公式

    当たり前な話ですが、

    「速度」=「距離」/「時間」

    ですね。

    「距離」と「時間」はどんな観測者でも同一(絶対的)であり、
    「速度」は対象者との相対的なもの

    も理解しやすいですね。

    対向車が来る場合は、相手の車が非常に速く走るように感じ
    車を追い越すときは、相手の車が非常に低速のように感じますよね。
    これは、距離、時間は不変で、速度が相手との相対的なものだからです。

    でも、光速だけは話が違う

    光だけは、話が違ってきます。

    「光速」は「絶対的」であるため、
    絶対的な「距離」と絶対的な「時間」を相対的な「速度」で調整することができなくなります。

    「距離」、「時間」、「速度」全てが絶対的になると、
    等号成立できません。

    ただし、

    「速度」=「距離」/「時間」
    の定義は変わりません。

    となると、どう考えれば、等号成立するのでしょうか?

    光速から「距離」と「時間」も相対的であるという発想に気が付く

    「光速」が絶対的なので、
    「距離」と「時間」は観測者によって相対的であると
    という発想に行き着くわけです。

    ここが「相対性理論」の入り口です。

    「距離」、「時間」の相対性という発想は
    ローレンツ変換などの式で表現します。

    このあたりの式の導出については、

    詳細は問題集で解説します。

    ⑤光速不変の原理によって質量とエネルギーの等価性が成り立つ

    問題集に該当する問題

    詳細は
    問題集 06-09 【4】
    にあります。
    静止物体から光を放出した場合を考える。
    これを一定速度で動く観測者から見た場合において、
    運動量保存の法則から関係式を導出する。
    (「光速不変の原理」も活用している)
    その結果、
    \(E=mc^2\)
    の関係式が導出できる。

     

    \(E=mc^2\)までの丁寧な導出過程は

    詳細は問題集で解説します。

    「質量とエネルギーの等価性」式の導出方法はいろいろありますが、
    一番シンプルでわかりやすい事例を問題集で解説します。

    「質量とエネルギーの等価性」式は
    高校物理の「核分裂」で必須となる重要式です。
    だから、導出はしておきましょう。

    公式も道具そうですが、
    その意味を考えなければ、
    利用の効用がわかりません。

    ⑥高校物理「原子物理」次のお話を紹介!

    高校物理の「6.原子物理」の終盤になりました。

    次に解説したい話は、

    「高校物理から大学物理へのつなぎ」
    を解説したいです。

    この話を伝えたい理由は

    高校物理「原子物理」の次は、
    大学物理の「量子力学」になるが、
    この間がかけ離れており、連続性がわからず
    「両者は全く別物」としがち

    また、大学物理の量子力学では
    「シュレディンガー方程式」を詳しく導出しますが、

    「シュレディンガー方程式」の導出は
    偏微分、微分方程式など、
    大学数学を前提に導出するため、
    高校物理とのつながりが見えません。

    歴史からみれば、
    高校物理範囲の解明から、
    「シュレディンガー方程式」へつながる
    わけですから、

    ここをおさえることが大事です。

    大学受験範囲ではありませんが、
    大学後の学びに不可欠なところなので、
    解説します!
    【QCセミナーの高校物理 6原子物理】リンク
    シュレディンガー方程式を高校物理を用いて導出する

    ⑤【商品】「高校物理問題集」のご紹介

    記事解説で紹介した各問題を詳細に学べるために、

    「高校物理問題集」

    を作成しました。

    ブログ記事で紹介しきれない、エッセンスをわかりやすく解説します。

    是非ご購入いただき、一緒に学びましょう
    【QCセミナーの高校物理】リンク
    【「6.原子物理」編】の紹介・ご購入ページ

    まとめ

    「「光速不変の原理」によって「質量とエネルギーの等価性」がわかった」を解説しました。

    • ①粒子性と波動性を合わせたボーアの水素原子モデルが作れる
    • ②光速を精度よく計測
    • ③エーテル存在を実証する実験から光速不変の原則がわかった
    • ④「観測者によって時空が変化する奇妙な現象」がすぐわかる
    • ⑤光速不変の原理によって質量とエネルギーの等価性が成り立つ
    • ⑥高校物理「原子物理」次のお話を紹介!
    • ⑦【商品】「高校物理問題集」のご紹介
  • 【必読】ISMSの年間スケジュールがわかる(結構大変)

    【必読】ISMSの年間スケジュールがわかる(結構大変)

    本記事のテーマ

    ISMSの年間スケジュールがわかる(結構大変)

    CIAのリスクアセスメントの点数付けを細かくして運用するより、
    リスクを本当に除去・回避する活動に集中しませんか?

    • ① ISMS運営に必要なアクション
    • ② QMSとISMS 年間計画を比較
    • ③ ISMSの年間スケジュールを立てると大変だとわかる
    • ④ 効率よくISMSを運営するコツ

    ① ISMS運営に必要なアクション

    ISMSを組織で運用するために、
    規程や帳票の作成に加えて
    実際にイベントを起こして行動する必要があります。

    アクションを列挙

    ISO27001 2022の要求事項と
    管理策を照らし合わせて
    運用に必要なアクションを挙げてましょう。

    運用に必要なアクション

    ISO27001 2022
    要求事項および管理策    		 ISMS年間計画
    5.1 リーダシップ
    5.3 責任と権限
    A5.1 情報セキュリティのための方針群
    A5.2 情報セキュリティの役割及び責任
    A5.3 職務の分離
    A5.4 管理層の責任    		 今年度ISMS責任者決定
    5.2 方針 今年度ISMSポリシーの改訂
    5.2 方針 今年度ISMSマニュアルの改訂
    6.2 情報セキュリティ目的及びそれを達成するための計画策定 年間セキュリティ目標 
    ・前年度の年度末評価、承認 反省点
    ・今年度の内容協議・承認  四半期フォロー
    7.2 力量
    A6.3 情報セキュリティの意識向上及び訓練     		教育年間計画 承認
    9.2 内部監査 内部監査(計画、実施、処置)
    6.1.2 情報セキュリティリスクアセスメント
    6.1.3 情報セキュリティリスク対応
    8.2 情報セキュリティリスクアセスメント
    8.3 情報セキュリティリスク対応    		 リスクアセスメント (計画 実施) 
    9.1 監視、測定、分析及び評価 外部審査(計画、実施、処置)
    7.5 文書化した情報 規程類見直し (計画 実施)
    7.1 資源 設備投資 稟議書
    A5.25 情報セキュリティ事象の評価及び決定
    A5.26 情報セキュリティインシデントへの対応
    A5.27 情報セキュリティインシデントからの学習
    A5.28 証拠の収集
    A5.29 事業の中断・阻害時の情報セキュリティ
    A5.30 事業継続のためのICTの備え    		 事業継続テスト(BCP) 10月
    A5.22 供給者のサービス提供の監視、レビュー及び変更管理
    A5.24 情報セキュリティインシデント管理の計画策定及び準備    		 ペネトレーションテスト毎Q 内容、計画 実施
    A8.13 情報のバックアップ バックアップ 復元テスト年2回
    9.3 マネジメントレビュー マネジメントレビュー
    A7.13 装置の保守 毎月点検、毎週点検事項
    10.2 不適合及び是正処置 インシデント報告 ヒヤリハット報告 是正処置
    A5.19 供給者関係における情報セキュリティ
    A5.20 供給者との合意における情報セキュリティの取扱い
    A5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
    A5.22 供給者のサービス提供の監視、レビュー及び変更管理
    A8.29 開発及び受入れにおけるセキュリティテスト
    A8.30 外部委託による開発    		 情報セキュリティー供給者レビューチェック

    いかがでしょうか? 
    要求事項および管理策を満たすべく、年間計画を立てていきます。

    アクションの作り方

    先ほど、年間計画表は
    一気に作れるものではありません。

    何度も往復しながら、精度を高めていきます。
    QCプラネッツも実際に組織に必要なISMSをすべて構築した上で
    上表の年間計画を列挙しています。

    (1) マネジメントシステムをベースに年間計画を立てる

    マネジメントシステムの経験があれば、

    1. 方針
    2. マニュアル
    3. 目標
    4. 責任と権限
    5. 力量
    6. 文書化した情報
    7. 内部監査、外部審査
    8. マネジメントレビュー
    9. 不適合と是正処置
    10. 継続的改善

    はスラスラ出てくるでしょう。
    ここが苦戦する場合は、
    QMS,EMSなど
    他のマネジメントシステムの要求事項
    を見てみましょう。

    (2) 要求事項をさらに確認して年間計画に追加する

    ISMSの場合は、
    「ISO27001 2022 93個の管理策」
    があるので、
    各管理策から年間計画に求められるものを選びます。

    先ほどの表の例では、
    ●事業継続テスト(BCP)
    ●ペネトレーションテスト毎Q 内容、計画 実施
    ●バックアップ 復元テスト年2回
    ●毎月点検、毎週点検事項
    ●情報セキュリティー供給者レビューチェック
    を追加しました。

    もちろん
    ISOの要求事項ではなく、組織内から
    必要とするアクションを計画してもよいでしょう。
    例えば
    ●避難訓練
    が1つ浮かびました。

    ②QMSとISMS 年間計画を比較

    ISMSの運営管理は結構大変です。

    QMSとISMSにおける年間計画を比較します。

    QMS 年間計画 ISMS 年間計画
    今年度品質方針の改訂 今年度ISMSポリシーの改訂
    今年度品質マニュアルの改訂 今年度ISMSマニュアルの改訂
    年間品質目標
     
    -前年度の年度末評価、承認 反省点
    -今年度の内容協議・承認  四半期フォロー    		 年間セキュリティ目標
     
    -前年度の年度末評価、承認 反省点
    -今年度の内容協議・承認  四半期フォロー
    教育年間計画 承認 教育年間計画 承認
    内部監査(計画、実施、処置) 内部監査(計画、実施、処置)
    ー(業務なし) リスクアセスメント (計画 実施) 
    外部審査(計画、実施、処置) 外部審査(計画、実施、処置)
    規程類見直し (計画 実施) 規程類見直し (計画 実施)
    ー(業務なし) 設備投資 稟議書
    ー(業務なし) 事業継続テスト(BCP) 10月
    ー(業務なし) ペネトレーションテスト毎Q 内容、計画 実施
    ー(業務なし) バックアップ 復元テスト年2回
    マネジメントレビュー マネジメントレビュー
    品質会議 毎月点検、毎週点検事項
    品質トラブル報告、是正処置 インシデント報告 ヒヤリハット報告 是正処置
    取引先監査(計画、実施、処置) 情報セキュリティー供給者レビューチェック
    取引先監査(計画、実施、処置) 情報セキュリティー供給者レビューチェック

    いかがでしょうか?

    QMSもISMSも
    似たような年間行事がある    ことがわかります。
    ただし、
    ISMSの方が業務は多いと分かりますね!

    特に、

    情報リスクアセスメント
    事業継続テスト
    などは
    多くの要素と紐づいたり
    組織の多くの人を巻き込むため、
    業務負荷が重いです。

    ISMSの運用は大変と
    QMSと比較するとよくわかります!

    ③ISMSの年間スケジュールを立てると大変だとわかる

    では、実際の年間スケジュールの立て方を考えてみましょう。

    項目が多いため、
    ある期間に集中しないよう
    上手に分散して運用する必要があります。

    また、

    インシデントなどの
    深刻な事故は急に襲ってきます。
    余裕のある年間計画を立てることが大事です。

    年間計画表のたたき台で考えよう

    ISMSの年間計画表を作ってみました。

    実際に作っていくと、次の問題点がわかります。

    1. 黄色枠の行事は、どの月に実施するかは決まっている。
      青色枠の行事は、いつ発生するかわからないし、発生しないかもしれない。
      赤色枠の行事がいつ実施するかを決める必要がある。
    2. 4月はすべての行事の計画で一番忙しい。
      その次に忙しいのはまとめの3月。
      それ以外の月は閑散期
      閑散期に赤色枠の各行事を上手にいれたい。

    とわかります。

    なお、

    黄色枠の行事

    1. 今年度ISMS責任者決定(4月)
    2. 今年度ISMSポリシーの改訂(4月)
    3. 今年度ISMSマニュアルの改訂(4月)
    4. リスクアセスメント (計画 実施)(4月、まとめ3月)
    5. マネジメントレビュー(2月準備、3月)
    6. 毎月点検、毎週点検事項(毎月)

    赤色枠の行事

    1. 教育年間計画 承認
    2. 内部監査(計画、実施、処置)
    3. 外部審査(計画、実施、処置)
    4. 規程類見直し (計画 実施)
    5. 設備投資 稟議書
    6. 事業継続テスト(BCP)
    7. ペネトレーションテスト毎Q 内容、計画 実施
    8. バックアップ 復元テスト年2回
    9. 情報セキュリティー供給者レビューチェック

    青色枠の行事

    1. インシデント報告 ヒヤリハット報告 是正処置

    年間計画表を完成させよう

    上の制約条件をもとに、
    年間計画表を完成させました。

    閑散期に毎月3タスクとして、業務量をうまく分散することができました。

    実際は、
    顧客、ビジネスパートナー、社内関係者
    との調整や、
    天変地異やインシデント
    の影響もうけながらの
    運営となります。

    なので、

    ISMSの運営は大変な業務とわかります。

    ④ 効率よくISMSを運営するコツ

    QMSより、ボリュームの多いISMSをどう効率よく運営すればよいかを解説します。

    1. 組織がISMSに慣れるまではむしろ手間をかける
    2. 完璧は目指さない
    3. 手段の目的化だけは回避する

    1つずつ解説します。

    組織がISMSに慣れるまではむしろ手間をかける

    ISMSは売上増加する要素がなく、コスト面しかありません。
    なので、リソースをかけたくないのが本音です。

    しかし、ISMS運営に慣れる数年間は
    しんどくても手間をおしまず、1つ1つマスターしていくことが求められます。

    組織内のナレッジ、力量向上を初期の段階で高めておくと、
    後が楽になるでしょう。

    完璧は目指さない

    たとえ、運用、規程、文書が完璧でも、

    いつインシデントが来るかわかりません。

    合格点を設けて、その中で組織に必要なことをしっかり構築していくことが大事です。

    手段の目的化だけは回避する

    煩雑な仕組みは、必ず、

    手段が目的化します。

    特に、

    リスクアセスメント
    ISO27001 管理策
    を細かく手を出すと
    目的を見失います。

    情報セキュリティははっきり言って。

    ●PCセキュリティパッチの最新化
    ●ウィルススキャンの最新化
    ●変なメール、サイトにアクセスしない。
    ●外部にうっかり漏洩しない

    という、基本のキをやれば、
    大丈夫です。

    ランサムウェアなどの
    国際ハッカー集団の犯行とか
    怖いこというけど、
    まず、やることをちゃんとやろう!

    身の回りでできることをやればよいのです。

    何となく、難しそうと
    踊らされがちな情報セキュリティですが、
    冷静に目的を達成するための組織運営を目指しましょう。

    ISMSはツールであり、手段です。

    あなたの組織で、何を目指すのか?が最も大事な問です。

    まとめ

    以上、「ISMSの年間スケジュールがわかる(結構大変)」を解説しました。

    • ① ISMS運営に必要なアクション
    • ② QMSとISMS 年間計画を比較
    • ③ ISMSの年間スケジュールを立てると大変だとわかる
    • ④ 効率よくISMSを運営するコツ
    • error: Content is protected !!