投稿者: QCプラネッツ

  • 【シンプルがベスト!】 ISMS,ISO27001リスクアセスメントがわかる

    【シンプルがベスト!】 ISMS,ISO27001リスクアセスメントがわかる

    本記事のテーマ

    ISMS,ISO27001リスクアセスメントがわかる
    リスクアセスメント表を
    「MECE(もれなくかぶれなく)」 かつ「シンプル」
    作らないと目的達成ができません
    リスクアセスメントで疲弊しないためのコツを解説します!

    実際に「リスクアセスメント表」を作成して、わかった重要なポイントを解説します。

    • ① 自分の首をしめがちなリスクアセスメント表
    • ② 【重要】リスクアセスメント表の作り方を解説!
    • ③ リスクアセスメントの目的はシンプルに「リスクを除去」すること

    ① 自分の首をしめがちなリスクアセスメント表

    「リスクアセスメントは疲れる!」となっていませんか?

    ISMSに限らず、マネジメントシステムでは、リスクを特定することが重要で、よくアセスメント表を作ります。

    でも、重要と分かっていても「いいイメージ」ないですよね!

    よくあるISMSリスクアセスメント表

    よくあるISMSリスクアセスメント表を図にしてみます。
    あなたの組織やあなたが担当するリスクアセスメント表も似たものではないでしょうか?

    リスクアセスメント表の問題点

    上図のリスクアセスメント表は

    問題だらけで、
    作り直した方がよいでしょう。

    なぜか?
    理由は簡単です!

    このリスクアセスメント表を活用したいですか?
    「No!」と思いますよね!
    それが理由です!

    ではどこが、いやと思うところかを解説します!

    リスクアセスメント表の課題

    図でまとめましたが、

    1. 脅威やリスクを挙げるとき、
      MECEかつ粒度をそろえないから、
      読み手が「なぜ?」と思いながらの活用
      することになる
    2. 項目がMECEかつ粒度がバラバラなため、
      100個近くの項目と拡大しがち

      100個もリスク対応はやってられない。
    3. 課題と施策が単に裏返しで終わると、
      根本的な解決にならない。
    4. 点数付けに手間をかけるが、
      その値に意味はそもそもない。
    5. リスク対応として「受容」、「回避」、「低減」など、
      あいまいなレベルを入れがち。
      本来「除去」以外必要か?

    なので、

    「あるべき」リスクアセスメント表とはどういうものかを考える必要があります。

    ② 【重要】リスクアセスメント表の作り方を解説!

    QCプラネッツがおススメな「リスクアセスメント表」の作り方を解説します。

    リスクアセスメントは最もsimpleであれ!

    簡単です!

    ありがちなリスクアセスメント表の課題を解決すればよいのです。
    1. 脅威やリスクの項目化はMECEかつ粒度をそろえる
    2. 項目がMECEかつ粒度を維持しつつ最小限に抑える
    3. 課題を解決する施策を考える
    4. リスクレベルを最小限にする。

    何と言っても

    リスクアセスメントは最もsimpleであれ!

    です。

    よく、リスクレベルは「高」、「中」、「低」と三段階にしますが、
    QCプラネッツからおススメしたいのは

    リスクレベルは「高」、「低」の2段階にしてはいかがでしょうか?

    そもそも、

    リスクは「有無」の2つしかないし、
    リスクが有れば、無くすことが重要だし、それ以外の活動は要らない。

    くらいの割り切りが重要です。

    リスクをMECEかつシンプルに分ける

    情報セキュリティにおけるリスクをMECEかつシンプルに分けてみます。ここは、クリティカルシンキングが得意な人が担当するとベターです。

    チームで決めたとか、上司の顔色伺うと、
    自分の首を絞めるリスクアセスメント表になるので要注意です。

    先ほどの、「よくあるしんどいリスクアセスメント表」では、リスク項目が次の16になっていました。

    1. 自然災害
    2. 火災
    3. 停電
    4. 断水
    5. ハードウェアの故障
    6. ネットワーク構成要素の技術的障害
    7. 操作ミス
    8. 保守的エラー
    9. 資源の誤用
    10. 盗難
    11. 記憶媒体の不正使用
    12. 不正な方法でのソフトウェア使用
    13. 悪意のあるソフトウェア
    14. 不正なユーザによるネットワークへのアクセス
    15. 不正な方法でのネットワーク設備の使用
    16. 違法行為

    いかがでしょうか

    リスクを項目に分けるにしては、
    違和感があります。
    MECE(漏れかぶれ)でないし、粒度もあっていないから

    QCプラネッツも見た瞬間、思考停止になりました。

    この表では表を管理するだけで精一杯で、
    組織の情報セキュリティ対策まで
    効果が出せるとは思えません。

    16個の項目の問題点

    1. 「自然災害」、「火災」、「停電」、「断水」とあるが、
      「火災、停電、断水」は自然災害?人災?どちらとも読める。
    2. 「操作ミス」と「保守的エラー」は
      何が違う?同じ?
      同じ場合もあるのでは?
    3. 「記憶媒体の不正使用」、
      「不正な方法でのソフトウェア使用」、
      「悪意のあるソフトウェア」、
      「不正なユーザによるネットワークへのアクセス」
      「不正な方法でのネットワーク設備の使用」は
      その下にある
      「違法行為」と何が違う?同じ?

    4. などなど…

    といろいろツッコミ所があると、リスクアセスメント表は使いたくないとなるはず。

    リスクの分け方をQCプラネッツが提唱

    リスクを層別していくと、次の項目分けを提唱します。

    いかがでしょうか?

    1. MECEかつシンプルに層別した
    2. 層別すると8種類で済む
    3. 情報セキュリティのリスクは最終的には
      「情報破壊」と「情報漏洩」の2つである
    4. この層別で、「各リスク項目を列挙」しても、
      少ない項目で網羅的にリスク対策ができる
      (100項目にはならないはず)

    リスクアセスメント表を提唱

    先程、提唱したリスクアセスメント表をさらに書くと下表になります。

    さらに、リスク前後は
    3段階ではなく、2段階の
    「高」と「低」だけとしてはいかがでしょうか?

    どうでしょうか?

    シンプルなわりに、網羅性の高いリスクアセスメント表と考えています。

    是非、活用してみてください。

    ③ リスクアセスメントの目的はシンプルに「リスクを除去」すること

    リスク評価・レベルは最小限でいい

    リスク評価は、

    1. リスク受容
    2. リスク回避
    3. リスク低減
    4. リスク除去

    など、いろいろありますが、

    「リスク除去」
    の1本立てでよいと考えますし、
    リスクレベルは「高」と「低」
    の2つでよいでしょう。

    リスクアセスメントの目的を見失うな!

    いろいろな声を聴いて
    たくさんあるリスク評価
    3以上あるリスクレベル
    になる気持ちは十分わかりますが、

    煩雑になるとISMS,ISO27001を有効に運用できなくなります。

    他のマネジメントシステムより要求が多く、
    煩雑になりがちな情報セキュリティだからこそ
    1つ1つの対応はシンプルを追求しましょう。

    リスクアセスメントですが、

    リスクを除去すること。
    煩雑なリスクアセスメント表に飲まれてはいけない!
    リスク除去できればシンプルなアセスメントで十分!

    手段が目的化するという履き違いがよく発生するところです。

    まとめ

    以上、「ISMS,ISO27001リスクアセスメントがわかる」を解説しました。

    • ① 自分の首をしめがちなリスクアセスメント表
    • ② 【重要】リスクアセスメント表の作り方を解説!
    • ③ リスクアセスメントの目的はシンプルに「リスクを除去」すること
  • ヨーロッパの環境意識が高い理由がわかる

    ヨーロッパの環境意識が高い理由がわかる

    本記事のテーマ

    ヨーロッパの環境意識が高い理由がわかる
    • ①「ヨーロッパの環境意識が高い」よくある理由
    • ②ヨーロッパの環境意識の背景を再考する
    • ③ヨーロッパは環境意識が強いホントウの理由
    • ④我々日本が取るべき環境活動

    ①「ヨーロッパの環境意識が高い」よくある理由

    ヨーロッパ諸国は環境意識が高く、日本の見習うべきものがあります。

    1. 歴史的背景:産業革命以降の公害経験
    2. 市民の強い問題意識:生活や健康に直接影響
    3. 強力な政策と国際的リーダーシップ

    どれも素晴らしい理由ばかりです。

    ②ヨーロッパの環境意識の背景を再考する

    確かにヨーロッパ諸国の環境への取り組みは素晴らしいですが、

    1. 高い税金かけても環境を守りたいか?
    2. 細かいルールや法令などを律儀に守り切れるのか?
    3. 環境意識の低い超大国に経済力、政治的にビハインドにならないのか?

    となると、疑問に思うのが

    ・ここまで手間がかかる生活が継続できるのか?
    ・日本にいる我々はここまでやる必要があるのか?

    気になりませんか?

    ヨーロッパ諸国が環境意識を高めなければならない、独自の理由があるはず
    そこを理解した上で日本にいる我々は日本独自の環境意識を磨けばいい

    と考えた方がよいでしょう。

    環境はすべて肯定となる分、
    冷静に見極める必要があります。

    ③ヨーロッパは環境意識が強いホントウの理由

    「ヨーロッパ諸国が環境意識を高めなければならない、独自の理由」
    とは何か?
    を考えてみましょう。

    ホントウの理由を列挙

    ヨーロッパ諸国の地理条件を考えると、

    • 1.ヨーロッパは1つの大陸にたくさんの国々がある。
    • 2.戦争の歴史で領土、国境は神経質。
    • 3.一方、他大陸(特に、アメリカ、中国、日本)との国際力の競争が激しい。

    という、
    ヨーロッパ内部の課題

    ヨーロッパ外部の課題

    があります。

    ヨーロッパ内部の課題

    • 1.ヨーロッパは1つの大陸にたくさんの国々がある。
    • 2.戦争の歴史で領土、国境は神経質。

    1つの大陸に10以上の国があり、戦争の歴史でもあります。

    EU統合とはいえ、基本は利害関係がある国々です。

    そのため、以下の環境課題に敏感にならざるを得ません。

    • 越境大気汚染⇒国家間の問題
    • 国際河川での水質汚濁⇒国家間の問題
    • 廃棄物による埋立⇒領地、国境問題でもめる

    となります。

    興味深いのがが、

    越境大気汚染も
    国際河川での水質汚濁も
    廃棄物による埋立も
    他大陸(特に、日本、アメリカ)にはあまり利害が発生しないもの

    もちろん、環境法規を遵守しなければなりませんが、

    ヨーロッパ諸国は
    公害被害による健康安全のリスク
    に加えて、
    周辺各国との関係
    も神経質
    にならざるを得ないことを
    我々は理解しましょう。

    ヨーロッパ外部の課題

    • 3.一方、他大陸(特に、アメリカ、中国、日本)との国際力の競争が激しい。

    よく、電気自動車の環境への良いイメージとガソリン車の環境の悪いイメージがありますが、
    前者は、ヨーロッパ諸国、後者は日本・アメリカ
    と比較されることがあります。

    ヨーロッパ諸国にとって、

    環境負荷がかかるもの方が経済的な理由で
    世界市場(シェア)を奪われることがリスク

    と考えます。

    ヨーロッパ諸国以外は彼らほど環境意識が必要なく、便利で経済的であればヨーロッパ製品以外を選ぶ可能性が高く、ヨーロッパ諸国の輸出力等へのリスクがかかってきます。

    ヨーロッパ諸国の環境事情は結構大変であることがわかりましたね。

    ヨーロッパの課題を逆に強みにするには?

    あなたがヨーロッパ諸国のリーダとします。

    ヨーロッパ諸国の環境の内外課題をクリアにし、
    世界の中で優位な位置に立つにはどうしたらよいでしょうか?

    を考えるはずです。

    その答えが

    国連などの国際機関を活用し、
    ヨーロッパ諸国の環境意識・活動のすばらしさをアピールし、
    環境負荷がかからないヨーロッパ諸国の優位性を確立すること

    となるわけですね。これが、見習うべきヨーロッパ諸国の環境活動や意識となると考えることができます。

    安くて便利でも環境負荷がかかる製品を世界に展開する国を悪者とする戦略がヨーロッパ諸国の内外課題を一気に解決する答えです。

    ④我々日本が取るべき環境活動

    冷静に判断しよう!

    我々日本は輸出型ではありますが、GDPの大半は国内です。

    確かに、四大公害病などの苦しみの歴史があるため、環境対策は世界レベルであるべきは当然ですが、

    何でもかんでも肯定して環境基準を厳しくし
    自分たちが苦しむことがない点だけ注意が必要です。

    国際機関からの提案があったとしても、

    日本にとって本当に必要か?
    私たちにとって本当に必要か?
    特に
    誰も否定できない概念や仕組
    は要注意!

    そして、

    「ほわっとする」皆がいいとするような漠然としたアイデア・概念は
    相手の【見えない下心も】がある可能性があります。

    日本独自で環境を考えるべき1つの例は、

    電気自動車が環境によく、
    ガソリン車は環境に悪いから禁止!
    は本当に正しいのか?

    確かにガソリン車は環境負荷が多いとする地域があるかもしれませんが、
    そうでない地域もあります。

    日本の自動車メーカー潰しが見え隠れする環境活動かもしれません。

    冷静な判断が必要です。

    冷静に判断するにはどうすればよいか?

    環境系を研究すると、常に悩むのが、

    すべて正しそうに見えることは
    本当に正しいのか?
    見えない嫌なもの(既得権益、癒着、一部の利益搾取)
    がないか?
    を一度疑うこと

    でも、こういう人はおそらく環境系の仕事していない可能性も高く、
    こういうことを口に出すと村八分にされる気がします。

    だからこそ、

    すべて正しそうに見えることは
    本当に正しいのか?
    を一度疑うこと

    クリティカルシンキングなどを活用して物事を俯瞰して客観的に見ていく必要があります。

    まとめ

    以上、「ヨーロッパの環境意識が高い理由がわかる」を解説しました。

    • ①「ヨーロッパの環境意識が高い」よくある理由
    • ②ヨーロッパの環境意識の背景を再考する
    • ③ヨーロッパは環境意識が強いホントウの理由
    • ④我々日本が取るべき環境活動
  • 「公害問題で今も考えておくこと」を解説!

    「公害問題で今も考えておくこと」を解説!

    本記事のテーマ

    「公害問題で今も考えておくこと」がわかる
    • ①環境で一番大事なこと
    • ②公害の歴史
    • ③水俣病の苦難から学ぶべきこと
    • ④公害と認められるまでの道のりは長い
    • ⑤公害に近い事例を紹介
    • ⑥公害とどう向き合うか?

    公害問題で今も考えておくべきことがあります!
    「過去の辛い事故」と片付けてはいけない。
    公害問題を自分事として考えてみましょう。

    ①環境で一番大事なこと

    環境のテーマは幅広く、

    SDGs、GX、脱炭素、ISO14001(EMS)、環境教育

    などの明るいテーマも多いですが、
    QCプラネッツは一番環境で取り上げていきたいのは、

    公害対策、健康・安全確保

    です。

    土台を固めていけて初めて、キラキラしたテーマにいけると信じているからです。

    1. 失ってはいけないものを守る
    2. 良い状態に保ち続ける
    3. 自然がいいとは、努力の賜物である

    今回は、「公害問題」を取り上げていきます。

    ②公害の歴史

    「日本は、戦後の四大公害病からスタート」と思いがちですが、江戸時代や明治時代からも公害問題は頻発していました。

    公害被害は泣き寝入りするしかなかった

    • 炭田、銅山、銀山で鉱毒・鉱害・煙害発生
    • 大気汚染、水質汚濁、土壌汚染が多発
    • 農民の激しい抗議も当時は、被害者が裁判で勝訴・損害賠償請求は至難の業

    1967年の公害対策基本法、1971年環境庁ができる前の時代ですから、被害者の救済は2の次でした。

    過去の泣き寝入りは今も変わらない!

    戦前の公害は、法律や官庁が無かったから、市民が泣き寝入りするしかなかった!

    と、過去の災難として片づけてはいけません!

    公害は過去の災難ではなく、
    今も公害になりつつ火種はあります。
    そうなった場合、簡単に被害を訴求し守ってくれるでしょうか?

    答えは

    No!

    なので、

    過去の苦難・教訓を再認識し、
    現在・未来のあなたにふりかかりうる
    公害対策を心がえておく必要があります。

    そのために、過去の事例「水俣病」を振り返りましょう。

    ③水俣病の苦難から学ぶべきこと

    水俣病とは

    化学工場から海に排出された有機水銀が魚介類に蓄積し、それを日常的に食べた住民が深刻な水銀中毒を起こした。

    小学社会の問題で頻出問題であり、四大公害病、場所、原因、対策を暗記する人が多いです。

    でも、

    でも、学ぶべきところはそこじゃない!

    要は

    知識ではなく、知恵を学ぼう!

    過去の苦難から何を学ぶべきかを解説します。

    水俣病の苦難から本当に学ぶべきこと

    1. 当時、誰もが水俣病の原因は工場排水とわかっていた。
    2. 住民の要請を聞き入れ工場排水を止めていれば、被害拡大防止はできた。
    3. しかし、国は原因物質の確定が先と主張し対策を先延ばし、被害が拡大。
    4. また、国は水俣湾における魚介類の捕獲禁止を認めなかった。
    5. 当時、高度経済成長とともに、便利なビニール製品の生産が急増した。その原料を作る過程に必要な技術をもつ唯一の企業であったため、国は企業側をかばい続けた。
    ・当時は慣れない、,
    ・環境立国じゃなかった
    ・高度経済で環境より経済を優先
    ・無過失責任という概念がなかった
    ・・・
    と言い訳できます。

    しかし、

    今、同じことが起きたら、
    過去とそれほど変わらない災難になるかもしれません。

    なぜでしょうか?

    公害と認められるまでの道のりは長いからです。

    ④公害と認められるまでの道のりは長い

    いろいろ障壁があります。

    1. 企業側の責任回避
    2. 行政の判断の遅れ
    3. 科学的証明のハードルの高さ
    4. 被害者側の声が届きにくい構造
    5. 「確定的な証拠」を求めすぎる社会的傾向

    5つもあれば、

    いくら法整備やメディアがある現代でも公害と戦うのは難しい!と分かりますね。

    (i)企業側の責任回避

    企業は営利目的であるため、賠償責任や操業停止を避けたくなります。

    不誠実な企業も多々あるでしょうから
    「因果関係は不明」「他の原因も考えられる」と主張したり、
    社内データを公開しない、調査を妨げることも考えられます。

    (ii)行政の判断の遅れ

    中立な立場をとるべき行政ですが、
    地域経済が企業に依存していると、行政は強く出にくい事情もあります。

    中立な立場を貫くあまり、
    「科学的に完全に証明されるまで待つ」という姿勢が被害拡大を招くリスクもあります。

    (iii)科学的証明のハードルの高さ

    科学が発達した現代ですが、
    公害は複雑で、原因物質の特定や経路の解明に時間がかかります。

    企業や行政が積極的にデータを出さないと、研究が進まないこともあります。

    水俣病では、早い段階でメチル水銀説が有力だったにもかかわらず、政治的理由で否定された経緯があります。

    (iv)被害者側の声が届きにくい構造

    まず、自分で被害者として立ち上がる覚悟がとれるのか?
    被害者どうしで結束して強いパワーを作れるかどうか?
    相手が企業、地域、国となるわけですから、相当なエネルギーが必要です。

    そうなる前に、さっさと引っ越してしまうのも手かもしれません。

    地域社会で企業に逆らいにくく、
    医師や研究者が被害を訴えても「風評被害」と批判されることもあります。

    (v)「確定的な証拠」を求めすぎる社会的傾向

    公害は統計的・疫学的な証明が中心であり、100%の因果関係を求めると、認定は永遠に遅れてしまいます。

    加害者を特定するのが難しく、「無過失責任」(被害者が 加害者の過失(落ち度)を証明しなくても損害賠償を請求できる仕組み)で被害を認めてもらう以外難しい。

    たくさん困難を列挙しました。
    公害による被害が今、あなたやあなたの大事な人が受けていたら
    困難を乗り越えてでも戦いますか?

    これは、過去など関係なく、今も十分に起こりうる話です。

    ⑤公害に近い事例を紹介

    PFOA(ペルフルオロオクタン酸)汚染について紹介します。

    PFOA(ペルフルオロオクタン酸)汚染とは

    PFOA(ペルフルオロオクタン酸)は、
    人工化学合成物で、
    環境中で分解されにくく、
    人体や生態系に蓄積する「永続性化学物質(PFAS)」
    の一種による深刻な問題
    です。

    日本では水道水や河川から基準値を大幅に超える濃度が検出され、健康リスクや規制強化が進められています。

    フロン系を扱う工場や、空港などで消火剤を扱う場所周辺に高濃度で検知され、ニュースとなっています。

    https://news.web.nhk/newsweb/na/na-k10014471451000 より引用

    どう思いましたか?

    ニュースで出ても

    血液検査から高濃度の汚染物質が出ても
    「ふーん」とピンと来ない対岸の火事として
    新聞やニュースでみてもピン事ない

    ではないでしょうか。

    でも、公害になる事象はこういうところが
    発端となっているのです。

    頭の中が

    「公害」=「過去、昭和」

    ではないでしょうか。

    企業、行政の対応

    PFOA汚染の問題を取り上げても、

    やはり、
    企業や行政の消極的な姿勢があり、四大公害病のときと変わっていません。
    住民がそこまで被害がないからかもしれませんが、
    その前に手を打つのが本来のあるべき行動

    ではどうしたらようのでしょうか?

    ⑥公害とどう向き合うか?

    市民として、しんどい選択となりますが、

    1. 環境に過信しないこと
    2. 目の前の醜いものや臭い者に蓋をしないこと
    3. おかしいことはおかしいと言える覚悟
    4. 孤軍奮闘でも行動する覚悟

    いろいろ覚悟が必要です。

    でも、

    勇気ある行動が、仇となるリスクもあります。
    「逃げる」ことも手です。

    水俣病の例も、
    水俣から遠く離れた場所に引っ越せば、被害はない
    と論理的には言えます。

    しかし、当時の暮らしや社会インフラの状況から、
    その場所でしか生計が立てられなかった。
    ことも被害拡大させた要因と考えることができます。

    その点、現代は移動の自由度はかなり高くなっています。

    過去の災難を情報ではなく自分事として捉えること
    勇気ある行動や覚悟は大事
    それと逃げる勇気も大事!

    綺麗な環境・社会を構築するためにも公害問題を通じて、しっかり考えることが大事です。

    まとめ

    以上、「「公害問題で今も考えておくこと」がわかる」を解説しました。

    • ①環境で一番大事なこと
    • ②公害の歴史
    • ③水俣病の苦難から学ぶべきこと
    • ④公害と認められるまでの道のりは長い
    • ⑤公害に近い事例を紹介
    • ⑥公害とどう向き合うか?
  • 共有地の悲劇  ~たくさんの環境法規が必要な理由がわかる~

    共有地の悲劇  ~たくさんの環境法規が必要な理由がわかる~

    本記事のテーマ

    共有地の悲劇  ~たくさんの環境法規が必要な理由がわかる~
    • ①環境法規って多すぎませんか?
    • ②共有地の悲劇とは
    • ③共有地の悲劇から多くの環境法規が必要とわかる

    ①環境法規って多すぎませんか?

    環境法規は多すぎ

    ISO14001、EMSを学ぶ上で、最も大事なのが、環境法規ですが、

    環境法規って多すぎませんか?

    ですよね!

    環境法規を覚えらてられないし
    都度、改正されたらついていけない。。。

    と、嘆いています。

    ISO関係の仕事するには弁護士になるしかないのか?
    それは無理。。。

    環境法規を挙げてみる

    どれくらい環境法規があるか、さっと挙げてみましょう。

    1. 地球環境・気候変動
    ・地球温暖化対策推進法(温対法)
    ・都市の低炭素化の促進に関する法律(エコまち法)
    ・気候変動適応法
    ・フロン類の使用の合理化及び管理の適正化に関する法律(フロン排出抑制法)
    ・オゾン層保護法(オゾン層保護法)
    ・フロン回収破壊法(フロン回収破壊法)

    2. 省エネルギー・エネルギー管理
    ・エネルギーの使用の合理化等に関する法律(省エネ法)
    ・建築物のエネルギー消費性能向上法(建築物省エネ法)

    3. 大気環境
    ・大気汚染防止法(大防法)
    ・自動車NOx・PM法(自動車排ガス総量規制)
    ・悪臭防止法
    ・航空機騒音に係る環境基準(告示)

    4. 水質・土壌・地盤
    ・水質汚濁防止法(水濁法)
    ・湖沼水質保全特別措置法(湖沼法)
    ・瀬戸内海環境保全特別措置法(瀬戸内法)
    ・下水道法
    ・浄化槽法
    ・土壌汚染対策法(土対法)

    5. 騒音・振動・地盤沈下
    ・騒音規制法
    ・振動規制法
    ・地盤沈下防止関連法(地下水採取規制など)

    6. 廃棄物・リサイクル(循環型社会)
    ・循環型社会形成推進基本法
    ・廃棄物処理法(廃掃法)
    ・PCB特措法
    ・放射性物質汚染対処特措法
    ・資源有効利用促進法
    ・容器包装リサイクル法
    ・家電リサイクル法
    ・小型家電リサイクル法
    ・建設リサイクル法
    ・食品リサイクル法
    ・自動車リサイクル法
    ・プラスチック資源循環法

    7. 化学物質管理
    ・化管法(PRTR法)
    ・労働安全衛生法(特化則含む)
    ・ダイオキシン類対策特措法
    ・毒物及び劇物取締法(毒劇法)
    ・農薬取締法
    ・化審法(化学物質審査規制法)

    8. 自然環境・生態系保全
    ・自然環境保全法
    ・自然公園法
    ・鳥獣保護管理法
    ・外来生物法
    ・文化財保護法(自然文化財)
    ・森林法(森林保全関連)
    ・漁業法(漁業権による資源管理)

    9. 環境影響評価・環境情報
    ・環境影響評価法(アセス法)
    ・環境配慮促進法(環境情報提供促進法)

    10. 環境基本法・政策関連
    ・環境基本法
    ・グリーン購入法
    ・グリーン契約法
    ・環境教育推進法(環境教育・環境保全活動推進法)

    11. 災害・放射性物質・特殊環境
    ・放射性物質汚染対処特措法
    ・原子力災害対策特別措置法
    ・東日本大震災関連の環境汚染対処法(特措法)

    ざっと、あげて66個ありました。まだあります。

    環境法規は全部必要か?と言いたくなる

    生活・身体に直接悪影響となる法規は必要とわかる!

    確かに、

    自分の生活や身体に直接悪影響を及ぼすものは、法規でしっかり守らなければいけません!

    なので、

    ●大気汚染防止法
    ●水質汚濁防止法
    ●土壌汚染対策法
    ●廃棄物処理法
    ●化管法(PRTR法)
    ●毒物及び劇物取締法

    などの、

    ●四大公害の再発防止、
    化学物質の見える化

    は、絶対必要であるとわかりますよね!

    でも、この法規まで必要か?と思うもの

    いくつか挙げてみると、

    ・自然環境保全法
    ・自然公園法
    ・鳥獣保護管理法
    ・外来生物法
    ・文化財保護法(自然文化財)
    ・森林法(森林保全関連)
    ・漁業法(漁業権による資源管理)
    環境法規は否定できないものであるため、
    「不要」と言いにくいし、
    「もう少しコンパクトな法規体制にならないか」
    と思いますよね。

    なので、一見必要でなさそうな法規も必要な理由を説明します。

    ②共有地の悲劇とは

    【共有地の悲劇】
    すべてのヒトが使用できる共有地(放牧地)がある。牧夫はだれでも自由に牛を放牧できる。しばらくの間、牧夫や牛の数が共有地の生産能力を超えない間はうまくいく。しかし、賢い牧夫であれば、自分の利益を最大化するために一頭で牛を放牧しようとする。その牧夫は増やした牛を売れば利益が増やせるが、牛が一頭増えたことにより共有地に生じた損害は皆に少しずつ負うことになる。

    という話ですが、

    それがどうかしたの?
    とすぐ思うはずです。

    ③共有地の悲劇から多くの環境法規が必要とわかる

    共有地の悲劇から、なぜ多くの環境法規が必要かを説明します。

    例:鳥獣保護管理法で考える

    都心部に住んでいれば、鳥獣保護管理法は影響ないので不要と思うでしょう。<//p>

    そこで、

    鳥獣保護管理によって、
    間接的に、遠方から
    自分や家族の生活や身体への悪影響が何か?
    を考えてみましょう。

    例えば、
    「森林とそこに住む動植物とのバランス維持ができなくなると
    台風や大雨などの大きな災害があったときに、
    弱った森林によって、都心でも思わぬ被害を被るリスクがある。

    例えば、
    鳥獣が都心部にうろつく(最近、町に熊がうろつくニュースがよくありますよね)

    など、想定されうるものはたくさんあります。

    自分の場所にとって
    間接的に、遠方から
    普段はほとんど影響がないものであっても、
    起こりうるリスクはある。

    そのリスクは、

    突然、顕在化するのではなく
    日々のバランス崩れからおこる潜在的なリスクから
    引き起こすものです。

    知らぬ間に、私たちに見えないリスク(悲劇)が襲ってくるので、そうなる前にルールで管理しましょう。という考えが大事なのです。

    とはいっても、すべての環境法規を習得するのはキツイ

    ですよね。

    なので、

    (1) 自分の生活・仕事に直接かかわるもの
    家族の生活・身体に直接悪影響を与える環境法規は最優先とする
    (2) 自分の生活・仕事に直接かかわらないもの
    「この環境法規必要?」と疑問になるものは、
    今後、自分にどんなリスクが降りかかるかを想定する(リスクアセスメント)

    の2つの考え方で分けておくといいでしょう。

    あなたにとっての軸となる環境法規を先におさえて
    枝となる個別の法規をみていくことが環境法規を学ぶ上で大事と言えます。

    また、100以上の環境法規をすべて暗記し続けるのは不可能です。

    なので、

    「環境法規を見て、活動する」
    よりは、むしろ、
    「どういう行動をすべきか」を考えた上で、環境法規を見る
    の考え方が重要です。

    目的は
    法令遵守もありますが、
    むしろ、
    自分で考えて、環境にとって良い行動がとれること
    とQCプラネッツは強く思います。

    まとめ

    以上、「 共有地の悲劇  ~たくさんの環境法規が必要な理由がわかる~」を解説しました。

    • ①環境法規って多すぎませんか?
    • ②共有地の悲劇とは
    • ③共有地の悲劇から多くの環境法規が必要とわかる
  • 【重要】ISO27001 2022要求事項がわかる

    【重要】ISO27001 2022要求事項がわかる

    本記事のテーマ

    ISO27001 2022要求事項がわかる!
    ISO9001 2015と比較しながら
    ISO27001 2022の要求事項を学びましょう。
    • ① ISO9001 2015と比較してISO27001 2022を学ぶ
    • ② ISO9001 2015要求事項を復習
    • ③ ISO27001要求事項を学ぶポイント

    ① ISO9001 2015と比較してISO27001 2022を学ぶ

    マネジメントシステムは共通要素が多い

    (JQA引用 https://www.jqa.jp/service_list/management/iso_info/iso_network/vol26/article01/)

    実は、

    どちらもマネジメントシステムなので
    ほとんど内容が同じ

    極端に言えば、ISO9001 2015をマスターしていれば、他のマネジメントシステムもそれなりにできてしまう。

    なので、

    マネジメントシステムのベースである
    ISO9001 2015を軸にISO27001 2022を
    学ぶと、わかりやすいし、
    両方の要求事項が手に入る!

    ISO9001 2015とISO27001 2022の要求事項を比較

    ISO9001 2015とISO27001 2022の要求事項を比較しましょう。下表のとおりです。

    要求事項 ISO9001 2015 ISO27001
    1 適用範囲 適用範囲
    2 引用規格 引用規格
    3 用語及び定義 用語及び定義
    4 組織の状況 組織の状況
    4.1 組織及びその状況の理解 組織及びその状況の理解
    4.2 利害関係者のニーズ及び期待の理解 利害関係者のニーズ及び期待の理解
    4.3 品質マネジメントシステムの適用範囲の決定 情報セキュリティマネジメントシステムの適用範囲の決定
    4.4 品質マネジメントシステム及びそのプロセス 情報セキュリティマネジメントシステム
    5 リーダシップ リーダシップ
    5.1 リーダシップ及びコミットメント リーダシップ及びコミットメント
    5.2 方針 方針
    5.3 組織の役割、責任及び権限 組織の役割、責任及び権限
    6 計画 計画策定
    6.1 リスク及び機会への取組み リスク及び機会に対する活動
    6.1.2 情報セキュリティリスクアセスメント
    6.1.3 情報セキュリティリスク対応
    6.2 品質目標及びそれを達成するための計画策定 情報セキュリティ目的及びそれを達成するための計画策定
    6.3 変更の計画 変更の計画策定
    7 支援 支援
    7.1 資源 資源
    7.2 力量 力量
    7.3 認識 認識
    7.4 コミュニケーション コミュニケーション
    7.5 文書化した情報 文書化した情報
    8 運用 運用
    8.1 運用の計画及び管理 運用の計画策定及び管理
    8.2 製品及びサービスに関する要求事項 情報セキュリティリスクアセスメント
    8.3 製品及びサービスの設計・開発 情報セキュリティリスク対応
    8.4 外部から提供されるプロセス、製品及びサービスの管理
    8.5 製造及びサービス提供
    8.6 製品及びサービスのリリース
    8.7 不適合なアウトプットの管理
    9 パフォーマンス評価 パフォーマンス評価
    9.1 監視、測定、分析及び評価 監視、測定、分析及び評価
    9.2 内部監査 内部監査
    9.3 マネジメントレビュー マネジメントレビュー
    10 改善 改善
    10.1 一般 継続的改善
    10.2 不適合及び是正処置 不適合及び是正処置
    10.3 継続的改善
    附属書A 管理策(93個)
    黄色枠がISO9001とISO27001の相違点です。それ以外は同じ要求事項であることがわかりますね。

    要求事項の相違点

    1. ISO9001は品質目標、ISO27001はリスクアセスメントが中心である点
    2. ISO9001の「8.運用」はプロセスごとに要求事項が異なるが、ISO27001は全プロセス統合している点
    3. ISO9001は管理策には要求事項はないが、ISO27001は93個の管理策も要求事

    3点だけ違うことがわかれば、ISO9001からISO27001へと習得するのが効率がよいと言えます。

    ISO9001とISO27001のさらなる相違点

    要求事項は大きく3点異なることを解説しました。その他、ISOを組織に運営する中で、気にかけておくべき相違点を解説します。

    相違点

    両者の要求事項を運用していくと、以下の違いがあります。

    項目 ISO9001 2015 ISO27001
    原則 リスク低減も機会向上とマイナス面もプラス面も見る リスク低減のみ(マイナス面のみ
    要求事項 運用(プロセス)によって箇条4~10で除外してよいものがある。 汎用的であり、箇条4~10のいかなる要求事項も除外できない
    中心軸 品質目標が中心 情報セキュリティ目標よりリスクアセスメントが軸
    目標項目 数値目標が立てやすい(顧客満足、教育、品質トラブル、品質コスト) 数値目標が立てにくい(事故件数、教育受講率くらいしかない)

    大事なのは、

    ISO9001 2015も
    ISO27001 2022も
    解決すべき課題・リスクをコントロールして
    あなたの組織のあるべき姿・目標に向かうことです。

    そして、

    ISO9001 2015と
    ISO27001 2022は
    共通要素を最初に理解して、
    個別の個性を知っていくことです。

    ISO9001(QMS)もISO27001(ISMS)も両方マスターしましょう。

    ② ISO9001 2015要求事項を復習

    ISO27001のベースとなるISO9001を先に習得しよう!

    QCプラネッツはソフトウェアが苦手だからかもしれませんが、

    いきなりISO27001に入るより、
    一旦ISO9001から学んだ方がよい。

    その理由は、

    1. ISO9001はISOすべてのマネジメントシステムのベースだから。
    2. ISO9001とISO27001の共通要素は多いから。
    3. ISO14001などの他のマネジメントシステムへの応用が効きやすいから。

    ISO9001ならQCプラネッツにおかませください!

    ISO9001 2015についてはQCプラネッツの人気ブログがあります。たくさんの方に見ていただいております。是非復習しましょう!

    ISO9001_2015_まとめ 【ISO9001 2015がわかる】
    ISO9001 2015の要求事項を、暗記に走らず、理解して自分の言葉で説明できるように、実務経験から重要ポイントをわかりやすく解説!

    全要求事項をわかりやすく解説しており、さらに、内部監査・外部審査のポイント、内部監査養成へのポイントもQCプラネッツのサイトでまとめています。

    マネジメントシステム全体像

    まずは、PDCAサイクルとISOマネジメントシステムとの関連をおさえましょう。

    品質マネジメントシステム

    先ほどのリンクの【ISO9001 2015がわかる】記事にあるとおり、PDCAサイクルをしっかりおさえておきましょう。

    ③ ISO27001要求事項を学ぶポイント

    ここまで、読めば、

    ISO9001から、
    リスクアセスメントを加えて、
    運用の各プロセスを統合すれば
    ISO27001になる

    とわかります。

    ソフトウェア、情報セキュリティの
    知識やノウハウがなくても、
    ISO27001は理解できてしまう。

    ともいえます。

    品質マネジメントシステム

    でも、それだけでは
    ・専門知識やノウハウがないことが相手にばれてしまう。
    ・自信もってISO27001が運用できない。
    ・リスクアセスメント・情報目録が煩雑になりそうで、運用が面倒くさい。
    ・特に煩雑な「管理策」への対策が不十分で困っている。

    あたりが、不安要素になるでしょう。

    ISO27001 2022の初心者が習得すべき方法

    ISO27001を始めることは特に、


    ・ソフトウェア、情報セキュリティを始めたばかり。
    ・管理策への対策。

    の2点が、大きなハードルと思います。
    (その次は「リスクアセスメント」でしょうが、これはやればいいだけと分かってきます。)

    でも、大丈夫です! 1つずつQCプラネッツと解決できます!!

    ソフトウェアが苦手でも大丈夫!

    情報セキュリティは基本、カタカナが多いソフトウェア領域で、得意な人もいれば、苦手な人もいます。

    情報セキュリティは得意不得意関係なく大事なので、苦手な人はどうやって攻略するか?悩むはずです。

    そこで、QCプラネッツがその攻略法を解説しました。関連記事を読んでください。

    情報セキュリティは重要とわかるけど、ソフトウェア領域が苦手なあなたに、是非読んでほしい攻略法です!

    管理策をどうやってものにするか?

    ISO9001にはない、「管理策」。要求事項と同様に要求されますが、数が多く、粒度もばらばらで理解や習得が難しいです。

    QCプラネッツが編み出した攻略法は、

    マネジメントシステムなのだから、メインは要求事項。だったら管理策を無理矢理でも、要求事項に組み込んで、同時に見ていけば習得しやすいはず

    詳しくは、関連記事を読んでください。

    93個もあり、まとめにくい管理策は
    要求事項に組み込めば、マスターできる必殺技を伝授します!

    手元に置いておきたい管理策の運用マニュアル

    管理策は暗記不要で、後から見るべきものとわかるはずです。とはいえ、数行しかない管理策から何を注意して要求を満たせばよいかの勘所がわかりませんよね。

    また、確認頻度も高いので、

    手元に置いて、すぐに確認ができ、勘所も書いてあるマニュアルがほしい

    と思い、関連記事を作りました。読んで下さい。

    93個あるISO27001 2022管理策を上手に活用できる方法を伝授します!

    ここまで来れば、
    ISO27001の攻略方法は、
    (1) 要求事項の全体像はISO9001をベースでよく、
    (2) ISO27001学習の初期に悩みやすい、
    ・情報セキュリティの基礎
    ・管理策への対応
    への対処方法がわかり、自信がついたと思います。

    あとは、個別の細かいところを1つずつ習得していけば、ISO9001,ISO27001両方マスターできます。

    細かいところもQCプラネッツがわかりやすく解説していきます。

    まとめ

    以上、「ISO27001 2022管理策がわかる!」を解説しました。

    • ① ISO9001 2015と比較してISO27001 2022を学ぶ
    • ② ISO9001 2015要求事項を復習
    • ③ ISO27001要求事項を学ぶポイント
  • 【重要】ISO27001 2022管理策がわかる!

    【重要】ISO27001 2022管理策がわかる!

    本記事のテーマ

    【重要】ISO27001 2022管理策がわかる!
    ISO27001 2022管理策の
    大事なポイントと
    業務、運用、監査に活かせるポイントを
    まとめた教科書を作りました!

    手元にあるとうれしい本書です。

    • ①管理策の習得が難しくて悩んでいませんか?
    • ②QCプラネッツが【わかる!管理策教科書】を作りました!
    • 【本書ご購入方法】

    ①管理策の習得が難しくて悩んでいませんか?

    管理策をどう攻略するかがISO27001ではキーとなります。

    理由をいくつか挙げると、

    1. 管理策が93個もあり、多すぎ!
    2. 個々の管理策の要求事項が簡素であり、具体的に何をしたらよいか迷う。
    3. ソフトウェアや情報セキュリティ分野が苦手である。
    4. 運用するために暗記したいが覚えられず困る。
    5. ユーザ-からの問い合わせ、監査対応で自信もって対応できない。

    など、たくさん悩みが出てきます。

    ソフトウェアが苦手な
    QCプラネッツも同意見です。

    とはいっても、

    情報セキュリティの重要性は年々増すばかりで、自分の業務にもかかわるのも時間の問題!

    なので、

    どうすればいいのか?困る!!

    となりますよね!

    ②QCプラネッツが【わかる!管理策教科書】を作りました!

    あなたと同じ悩みをもっていたQCプラネッツから本書を紹介させていただきます。

    4点解説します。

    • (1) 作った思い
    • (2) 本書のポイント・メリット
    • (3) 本書の構成
    • (4) 本書のサンプルをご紹介

    (1) 作った思い

    もともとは、自分用にまとめたものでした。

    教科書なり、自費で受講した資料なり、色々集めて、
    自分にとってわかりやすく、活用しやすく、
    手元に持ってすぐ確認できる教科書

    作成しました。

    折角作ったので、

    同じ悩みを抱える多くの方々にも活用していただければと思い、本書を提案させていただきます。

    (2) 本書のポイント・メリット

    わかりやすく、活用しやすく、
    手元に持ってすぐ確認できる教科書
    を意識して作りました。

    本書のポイント・メリット

    1. できるだけスライドの文字を減らし、ポイントを強調。
    2. 本書を活用しやすく、1管理策に1スライド。
    3. 専門用語や概念ではなく、具体的かつ分かりやすい言葉で解説。
    4. 管理策の暗記は不要で、むしろ組織のリスクとその対策を具体的に考える姿勢を重視。
    5. まず管理策全体を俯瞰し、徐々に個別の管理策の理解を深めること。
    6. すぐに読み返して、何度も読めること。

    いかがでしょうか。

    管理策への苦手意識をあまり気にせず、どなたでもマスターできる本書構成であることがわかると思います。

    そうじゃないと、QCプラネッツ自身も自信もって、ISO27001ができませんから(笑)。

    (3) 本書の構成

    全104ページあります。本書の構成をご紹介します。

    No ページ 内容
    1 1 表紙
    2 2 目次
    3 3 【はじめに】
    4 6 5.組織的管理策
    5 44 6.人的管理策
    6 53 7.物理的管理策
    7 68 8.技術的管理策
    8 103 まとめ

    (4) 本書のサンプルをご紹介

    「(2) 本書のポイント・メリット」 は本書の【はじめに】に記載しております。

    せっかくなので数ページ解説ページサンプルを紹介します。管理策は全部で93あるので、100ページ超となります。

    本当は前頁紹介したいのですが、100ページ超のため、だらだらたくさん図を張り付けても、本書の良さが活かせないので、いくつか紹介とさせていただきます。

    その1

    その2

    その3

    各ページのポイント

    1. 朱書きにて重要箇所を強調。
    2. 具体的に何が要求されているかがわかる。
    3. 求められるものやそれが無い場合の対処も解説。
    最初は「なるほど」
    2回目は「全体との関係」
    慣れてきたら「セキュリティ関連の専門用語・概念」への熟知
    ・・・
    と何度も読みながら
    情報セキュリティを究めていきましょう。

    情報セキュリティの習得方法は、

    1. 自組織でのリスク・やるべきことを考える。
    2. ISMSの全体を理解する。
    3. 慣れて自信がついてきたらソフトウェア、情報セキュリティの専門用語・概念への理解を広める。

    です。ありがちなのは、その逆の
    1.ソフトウェア、情報セキュリティの専門用語・概念を暗記
    2. ISMS,ISO27001の内容を暗記
    3.すべて覚えてから活動する

    は、

    初心者は特にくじけます。
    実用的な行動が先で専門性は後です!

    ③【本書ご購入方法】

    本ブログ、メルカリから販売しております。

    本ブログからのご購入

    ご購入いただけます。ご購入後、QCプラネッツからアクセスサイト先(アクセスのみ可)をご案内いたします。データの拡散を防ぐため、ダウンロードと印刷は不可とさせていただきます。

    メルカリからのご購入

    「QCプラネッツ」で検索ください。

    noteからのご購入(近日公開予定)

    note掲載後、ここに記載させていただきます。

    よろしくお願いいたします。

    まとめ

    以上、「ISO27001 2022管理策がわかる!」を解説しました。

    <d

    • ①管理策の習得が難しくて悩んでいませんか?
    • ②QCプラネッツが【わかる!管理策教科書】を作りました!
    • 【本書ご購入方法】
  • ソフトウェアが苦手でも情報セキュリティがよくわかる

    ソフトウェアが苦手でも情報セキュリティがよくわかる

    本記事のテーマ

    ソフトウェアが苦手でも情報セキュリティがよくわかる
    • ①情報セキュリティに苦手意識ありませんか?
    • ②ソフトウェアが苦手でも情報セキュリティはすぐ理解できる!
    • ③QCプラネッツが「わかる情報セキュリティ」の本書を作成しました!
    • 【本書ご購入方法】

    ①情報セキュリティに苦手意識ありませんか?

    情報セキュリティの重要さが増している

    近年はIT(情報技術)や情報通信が飛躍的に発展しています。QCプラネッツもブログを書いているのもこうした恩恵があるからです。

    しかし、一方でIT基盤を脅かす脅威も深刻化しています。そのため情報セキュリティが重要視されてきています。

    多くの企業がISMSやISO27001認証を取り、情報セキュリティリテラシー強化に向かっています。

    情報セキュリティをマスターしたいけど困っている

    QCプラネッツも然りで、

    情報セキュリティが大事だからマスターしたい!
    でも、難しくて困っている!!

    ではありませんか?

    その理由は、よくわかります。以下が「あるある」だと思います。

    1. ソフトウェアが苦手で、情報セキュリティがよくわからない
    2. 情報セキュリティに出てくる専門用語が理解できず、暗記してもすぐ忘れる
    3. 天才国際ハッカーに襲われる見えない恐怖にかられる

    などが理由でしょう。

    QCプラネッツはハードウェア寄りの思考であり、
    ソフトウェアが苦手で
    SEの仕事など(特に要件定義あたり)は何をやっているのか?
    何が面白いのか?がよくわかりません。

    とはいっても、

    毎日、PC、ネット、システムを活用して仕事している分、情報セキュリティは何とかマスターしたい!

    という気持ちはあります。せっかくの思いを空回りしないようにするにはどうすればよいか?ずっと困っていました。

    でも、解決しました。
    本ブログを読んでいただければ同じ悩みを抱えるあなたへ
    役立てられる!と自信があります。

    ②ソフトウェアが苦手でも情報セキュリティはすぐ理解できる!

    実は、ソフトウェアが苦手でも、情報セキュリティの専門用語が知らなくても、情報セキュリティはマスターできます。不思議に思うでしょう。その理由も解説していきます!

    情報セキュリティは家の防犯対策と同じ

    情報セキュリティが苦手なQCプラネッツでも、情報セキュリティ,ISMS,ISO27001をマスターするにはどんな演習問題があればよいかをいろいろ思考しました。その結果、

    家の防犯対策を考えることができたら
    情報セキュリティ,ISMS,ISO27001が手に入る!

    とわかりました。その理由は、

    家の防犯対策そのものを情報セキュリティ用語に変換すればクリアーできるから。

    なので、

    得意な人は、情報セキュリティ用語から入って良し!
    苦手な人は、防犯対策を思考演習史して良し!

    これはQCプラネッツも意外な結果がわかり、面白い!と実感しています。

    リスクを考え、対策を考える練習すれば大丈夫

    あとで本書を紹介しますが、その中で豪邸の防犯対策をたくさん列挙すると、ISO27001管理策のほとんどが網羅できました。

    となると、

    防犯対策を考える思考さえあれば
    ISMS,ISO27001の中身の暗記は不要。
    だから何も覚えなくても情報セキュリティ対策はできる!

    ③QCプラネッツが「わかる情報セキュリティ」の本書を作成しました!

    パワポ資料形式でわかりやすくまとめました。

    本書を作った思い

    1. 専門家が書く情報セキュリティは、専門用語・概念が難しい!
    2. 情報セキュリティの運用は煩雑でやりたくない!
    3. とはいっても、すべての人に情報セキュリティ対策は必須
    4. 簡単でわかりやすく学べる入門書がほしい!無いなら作ってしまおう!

    という思いで、本書を作りました。

    作ってわかったことは、

    1. 情報セキュリティの用語・概念よりあなたにとってのリスクは何か?を具体的に解ればそれでよい!
    2. 情報セキュリティ事故は、外部攻撃より内部不正・ミスによるものがほとんど。
    3. だから自分ができることだけやるだけでもかなりの情報セキュリティ対策ができる
    4. ISMS,ISO27001の内容(特にISO27001 管理策)は暗記不要。自分で考えた対策に該当するものを後であてはめればよいだけ
    5. 専門用語より自分の言葉で対策した方が周囲も理解でき、情報セキュリティ対策につながる

    本書の構成

    イメージ図です。

    「ソフトウェアが苦手でも情報セキュリティがよくわかる」ために以下の構成を考えて本書を作りました。

    1. 情報セキュリティは何に気を付けたらよいのか?を冷静に理解する。
    2. 情報セキュリティを学ぶ前に、「侵入・盗難」から家の防犯対策を演習する。(侵入・盗難する側と、それを守る側の両方の立場で考える)
    3. 防犯対策を情報セキュリティ対策に置き換える(意外とそのままでよいことがわかる)
    4. ISO27001要求事項・管理策と照らし合わせると割と網羅できることを実感できる
    5. 次は小規模オフィスのあるあるから情報セキュリティ対策を考える
    6. 家の防犯対策と同様に、小規模オフィスも自分で情報セキュリティ対策を考えることができるようになる
    7. ISO27001要求事項・管理策と照らし合わせると割と網羅できることを実感できる
    8. 専門用語・概念より自分でとるべき対策を考えること、考えてから用語・概念を合わせればよいだけ
    9. 自信がついたら、情報セキュリティの専門用語や概念を勉強してもよい

    ➃【本書ご購入方法】

    本ブログから販売しております。

    本ブログからのご購入

    ご購入いただけます。ご購入後、QCプラネッツからアクセスサイト先(アクセスのみ可)をご案内いたします。データの拡散を防ぐため、ダウンロードと印刷は不可とさせていただきます。

    メルカリからのご購入

    「QCプラネッツ」で検索ください。

    noteからのご購入(近日公開予定)

    note掲載後、ここに記載させていただきます。

    よろしくお願いいたします。

    まとめ

    以上、「ソフトウェアが苦手でも情報セキュリティがよくわかる」を解説しました。

    • ①情報セキュリティに苦手意識ありませんか?
    • ②ソフトウェアが苦手でも情報セキュリティはすぐ理解できる!
    • ③QCプラネッツが「わかる情報セキュリティ」の本書を作成しました!
    • 【本書ご購入方法】
  • 【まとめ】中学社会のブログ記事をまとめました。

    【まとめ】中学社会のブログ記事をまとめました。

    本記事のテーマ

    中学社会のブログ記事をまとめました。
    • ①日本の歴史を正しく知ろう!
    • ②世界の歴史を正しく知るのは難しい!
    • ③その他社会問題で気になったこと!

    ①日本の歴史を正しく知ろう!

    歴史はただの過去の事実を羅列して覚えて試験で点数稼ぎする科目ではなく、過去の出来事から学ぶべきものです。

    日本史(国史)とは何か? 日本人らしさとは何か? を考えるための記事を一気に紹介します。

    1.【古事記、日本書記(記紀)がわかる】

    【古事記、日本書記(記紀)がわかる】

    2.【天皇制(シラス統治)がわかる】

    【天皇制(シラス統治)がわかる】

    3.【皇居にある文官像「和気清麻呂」の功績がよくわかる】

    【皇居にある文官像「和気清麻呂」の功績がよくわかる】

    4.【八紘一宇(はっこういちう)を正しく理解し世界平和に貢献せよ! がわかる】

    【八紘一宇(はっこういちう)を正しく理解し世界平和に貢献せよ! がわかる】

    5.【日本の縄文時代の常識が変わる! がわかる】

    【日本の縄文時代の常識が変わる! がわかる】

    6.【縄文土偶とは? 土偶は妊婦の安全祈願と弱者への愛 がわかる】

    【縄文土偶とは? 土偶は妊婦の安全祈願と弱者への愛 がわかる】

    7.【「仁徳天皇陵古墳は水田開発の目的もあった?」がわかる】

    【「仁徳天皇陵古墳は水田開発の目的もあった?」がわかる】

    8.【百済(朝鮮)と日本の親密な関係(日本は古代から外交に神経を使っていた)】

    【百済(朝鮮)と日本の親密な関係(日本は古代から外交に神経を使っていた)】

    9.【聖徳太子のホントウの功績 がわかる】

    【聖徳太子のホントウの功績 がわかる】

    10.【日本の古代からある人質制度がわかる】

    【日本の古代からある人質制度がわかる】

    11.【白村江の戦いの真実! 古代も現代も自国の安全保障は大事! がわかる】

    【白村江の戦いの真実! 古代も現代も自国の安全保障は大事! がわかる】

    12.【東大寺の大仏と大仏殿のすごさがわかる】

    【東大寺の大仏と大仏殿のすごさがわかる】

    13.【「平家物語」(「源氏vs平氏」ではなく「源氏vs平家」な理由)がわかる】

    【「平家物語」(「源氏vs平氏」ではなく「源氏vs平家」な理由)がわかる】

    14.【平安後期に武士が誕生し、源氏と平氏が武士の棟梁となった理由がわかる】

    【平安後期に武士が誕生し、源氏と平氏が武士の棟梁となった理由がわかる】

    15.【幕府とは何かがよくわかる!】

    【幕府とは何かがよくわかる!】

    16.【鎌倉時代 執権「北条氏」が15代も続いた理由 がわかる】

    【鎌倉時代 執権「北条氏」が15代も続いた理由 がわかる】

    17.【室町幕府の将軍足利氏が15代も続いた理由がわかる】

    【室町幕府の将軍足利氏が15代も続いた理由がわかる】

    18.【戦国時代に室町幕府が崩壊した理由がわかる】

    【戦国時代に室町幕府が崩壊した理由がわかる】

    19.【織田信長の強さがわかる(一匹狼より天皇を立てた戦略)】

    【織田信長の強さがわかる(一匹狼より天皇を立てた戦略)】

    20.【豊臣秀吉が朝鮮出兵した理由がわかる】

    【豊臣秀吉が朝鮮出兵した理由がわかる】

    21.【国書改竄事件(柳川一件 1605年~)がわかる】

    【国書改竄事件(柳川一件 1605年~)がわかる】

    22.【「生類憐みの令」は「悪法」なのか?がわかる】

    【「生類憐みの令」は「悪法」なのか?がわかる】

    23.【禁中並公家諸法度を制定した理由がわかる】

    【禁中並公家諸法度を制定した理由がわかる】

    24.【幕末に列強と締結した条約がわかる(アメリカ以外にも条約を結んだ)】

    【幕末に列強と締結した条約がわかる(アメリカ以外にも条約を結んだ)】

    25.【大政奉還と明治維新が列強の圧力に屈せずに成功できた理由かる】

    【大政奉還と明治維新が列強の圧力に屈せずに成功できた理由かる】

    26.【佐幕開国vs尊王攘夷による戊辰戦争?(実は、列強から仕掛けられた内戦だった)】

    【佐幕開国vs尊王攘夷による戊辰戦争?(実は、列強から仕掛けられた内戦だった)】

    27.【明治政府 近代化に必要な財源をどうやって確保したのか?がわかる】

    【明治政府 近代化に必要な財源をどうやって確保したのか?がわかる】

    28.【日本の朝鮮・台湾の統治が西洋列強国の植民地支配と全く異なる理由がわかる】

    【日本の朝鮮・台湾の統治が西洋列強国の植民地支配と全く異なる理由がわかる】

    29.【日本が朝鮮、台湾を統治した理由(対馬事件、巨文島事件、清仏戦争)】

    【日本が朝鮮、台湾を統治した理由(対馬事件、巨文島事件、清仏戦争)】

    30.【日本は異文化の受容と再構築ができる理由】

    【日本は異文化の受容と再構築ができる理由】

    31.【戦後GHQが日本に統治したこと(建前と本音)】

    【戦後GHQが日本に統治したこと(建前と本音)】

    32.【GHQが天皇制を維持した理由がわかる】

    【GHQが天皇制を維持した理由がわかる】

    ②世界の歴史を正しく知るのは難しい!

    世界史も同様に、【なぜ?】を問うことが大事です。ただし、日本史と同様に【陰謀論】が付きまとう点もあります。何が正しいのか?よく考える必要があります。

    世界史で気になったことを記事にまとめました。

    1.★リンク【世界史のなぜがわかる(歴史的事実と少し陰謀説を兼ねる面白さ)】

    ★リンク【世界史のなぜがわかる(歴史的事実と少し陰謀説を兼ねる面白さ)】

    2.★リンク【狩猟から農耕に進化すると 支配者から搾取される悲劇】

    ★リンク【狩猟から農耕に進化すると 支配者から搾取される悲劇】

    .★リンク【なぜ四つだけ大きな文明ができた?(四大文明)がわかる】

    ★リンク【なぜ四つだけ大きな文明ができた?(四大文明)がわかる】

    4.★リンク【なぜユダヤが嫌われるのか?がわかる】

    ★リンク【なぜユダヤが嫌われるのか?がわかる】

    5.★リンク【遊牧民族が巨大国家を形成できた理由がわかる】

    ★リンク【遊牧民族が巨大国家を形成できた理由がわかる】

    6.★リンク【大航海時代に、なぜ西欧が非西欧を征服?がわかる】

    ★リンク【大航海時代に、なぜ西欧が非西欧を征服?がわかる】

    7.★リンク【和風な京都(平安京)に漂うユダヤ色 がわかる】

    ★リンク【和風な京都(平安京)に漂うユダヤ色 がわかる】

    8.★リンク【偶然にしてはよく似た日本語とヘブライ語 がわかる】

    ★リンク【偶然にしてはよく似た日本語とヘブライ語 がわかる】

    9.★リンク【第1次産業革命がイギリスだけ発生した理由がわかる】

    ★リンク【第1次産業革命がイギリスだけ発生した理由がわかる】

    10.★リンク【ソ連崩壊の真相 国家崩壊につながる改革を自ら選んだのはなぜ? がわかる】

    ★リンク【ソ連崩壊の真相 国家崩壊につながる改革を自ら選んだのはなぜ? がわかる】

    11.★リンク【太平洋戦争が勃発した理由がわかる(ヨーロッパから考えてみる)

    ★リンク【太平洋戦争が勃発した理由がわかる(ヨーロッパから考えてみる)

    12.★リンク【ソ連崩壊後の新生ロシアが経済混乱した理由】

    ★リンク【ソ連崩壊後の新生ロシアが経済混乱した理由】

    ③その他社会問題で気になったこと!

    歴史以外の分野できになったことを記事にまとめました。

    1.★リンク【「貿易赤字」、「貿易黒字」ヤバくない!】

    ★リンク【「貿易赤字」、「貿易黒字」ヤバくない!】

    2.★リンク【誰も教えてくれない「買うべき家」とは?がわかる】

    ★リンク【誰も教えてくれない「買うべき家」とは?がわかる】

    3.★リンク【隣接する県どうしに全く同じ地名がたくさんある理由(多摩川)】

    ★リンク【隣接する県どうしに全く同じ地名がたくさんある理由(多摩川)】

    4.★リンク【アフリカの問題を正しく理解し、 あるべき協力支援方法を考えよう!がわかる】

    ★リンク【アフリカの問題を正しく理解し、 あるべき協力支援方法を考えよう!がわかる】

    5.★リンク【「徳」がつく天皇・皇太子の共通点】

    ★リンク【「徳」がつく天皇・皇太子の共通点】

    6.★リンク【食料危機がなくならない理由(グローバリゼーションやランドラッシュが背景)】

    ★リンク【食料危機がなくならない理由(グローバリゼーションやランドラッシュが背景)】

    まとめ

    以上、中学社会のブログ記事をまとめました。

    • ①日本の歴史を正しく知ろう!
    • ②世界の歴史を正しく知るのは難しい!
    • ③その他社会問題で気になったこと!
  • ISO27001 2022管理策は要求事項に組み込もう!

    ISO27001 2022管理策は要求事項に組み込もう!

    本記事のテーマ

    ISO27001 2022管理策は要求事項に組み込もう!
    • ①管理策への悩み
    • ②管理策は要求事項に組み込めばいい!
    • ③【結論】要求事項と管理策の対応表を活用しよう!

    ①管理策への悩み

    管理策をどう攻略するかがISO27001ではキーとなります。

    管理策への悩みあるある

    ISMS,ISO27001を勉強したり、実務で求められたりすると、絶対悩みことがあります!

    1. 93個もある管理策は覚えられない!しかも要求事項もあるし。。。
    2. 多すぎる管理項目では組織の情報セキュリティ管理が十分できず本末転倒だ!
    3. ISMS内部監査、ISO27001外部審査で、管理策全てはチェック時間的に無理!

    と思いますよね。

    管理策の対応あるある

    実際、ISO27001の審査員の講義でこういう質問すると、

    1. 93個もある管理策は覚えなくていいし、審査員も全部は覚えていない。
    2. 審査の評価の際に、ISOハンドブックをみて管理策番号を照らし合わせている。
    3. 93個のある管理策は、個別の粒度である程度はまとめることができる。それを覚えて審査にのぞんでいる。

    と回答をもらいました。

    でも、

    一瞬わかった感じになるが、
    管理策を習得した気にならない。
    職場で管理策に関する問い合わせが来ると不安だ

    と、完全に納得する感じにはなりません。

    QCプラネッツが解決します!
    秘訣を思いつきました!

    ②管理策は要求事項に組み込めばいい!

    結論のイメージ図を描きます。本記事で最も伝えたいところです。

    発想のきっかけ

    管理策攻略はQCプラネッツも困っています。
    とはいえ、ISO27001を学ぶ上でいくつか気づいたことがあります。

    1. 監査は長くても2~3時間。この中ですべての要求事項と管理項目の10近くを質疑するには、1個2,3分しか時間がないこと
    2. ISMS,ISO27001のベースはマネジメントシステム(MS)であり、MSがしっかり管理・運営できていることが要求されること
    3. ISO27001の要求事項4~10はISO9001とほぼ同じで、完成度が高く今後変わる可能性は低い。一方、管理策はISO27001更新のたびに変わるほど完成度が低い。重視すべきは要求事項側であること
    4. 管理策のいくつかは要求事項の内容と重複するものがあるとわかったこと

    監査演習すると、質疑は管理策より要求事項がベースであり、
    日々の情報セキュリティも組織運営が肝であり、要求事項がベースとなります。

    ISO9001をマスターしていれば、
    そこに少し情報セキュリティの内容を追加しただけでも
    それなりの監査や管理ができてしまう。

    この作戦で行けば、管理策への抵抗感はほぼありません(とQCプラネッツは実感しています。

    要求事項4~10の流れはISO9001,ISO14001などのマネジメントシステムと同じなのでマスターしましょう。

    ISO9001については関連記事があります。

    ISO9001_2015_まとめ ISO9001 2015の要求事項を、暗記に走らず、理解して自分の言葉で説明できるように、実務経験から重要ポイントをわかりやすく解説!

    個々の管理策に近い要求事項を当てていく

    では、93個の管理策をそれぞれ、最も近い要求事項に当てていきましょう。

    完全に一致しないところもあります。
    考えが変わって該当する要求事項も変わるでしょう。それもOKです。

    ではやってみましょう。QCプラネッツは下表のとおりになりました。これが絶対正解ではありません。一例としてみてください。

    管理策と要求事項の対応表

    管理
    内容 要求
    事項
    内容
    4.1 組織及びその状況の理解
    5.1 情報セキュリティのための方針群 5.3 責任及び権限
    5.2 情報セキュリティの役割及び責任 5.3 責任及び権限
    5.3 職務の分離 5.3 責任及び権限
    5.4 管理層の責任 5.3 責任及び権限
    5.5 関係当局との連絡 5.3 責任及び権限
    5.6 専門組織との連絡 5.3 責任及び権限
    5.7 脅威インテリジェンス 4.1 組織及びその状況の理解
    5.8 プロジェクトマネジメントにおける情報セキュリティ 9.1 監視、測定、分析及び評価
    5.9 情報及びその他の関連資産の目録 7.1 資源
    5.10 情報及びその他の関連資産の許容される利用 7.5 文書化した情報
    5.11 資産の返却 7.1 資源
    5.12 情報の分類 7.5 文書化した情報
    5.13 情報のラベル付け 7.5 文書化した情報
    5.14 情報の転送 7.1 資源
    5.15 アクセス管理 5.3 責任及び権限
    5.16 識別情報の管理 5.3 責任及び権限
    5.17 認証情報 5.3 責任及び権限
    5.18 アクセス権 5.3 責任及び権限
    5.19 供給者関係における情報セキュリティ 4.2 利害関係者のニーズ及び期待の理解
    5.20 供給者との合意における情報セキュリティの取扱い 4.2 利害関係者のニーズ及び期待の理解
    5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 4.2 利害関係者のニーズ及び期待の理解
    5.22 供給者のサービス提供の監視、レビュー及び変更管理 4.2 利害関係者のニーズ及び期待の理解
    5.23 クラウドサービスの利用における情報セキュリティ 4.2 利害関係者のニーズ及び期待の理解
    5.24 情報セキュリティインシデント管理の計画策定及び準備 8.3 情報セキュリティリスク対応
    5.25 情報セキュリティ事象の評価及び決定 8.3 情報セキュリティリスク対応
    5.26 情報セキュリティインシデントへの対応 8.3 情報セキュリティリスク対応
    5.27 情報セキュリティインシデントからの学習 8.3 情報セキュリティリスク対応
    5.28 証拠の収集 8.3 情報セキュリティリスク対応
    5.29 事業の中断・阻害時の情報セキュリティ 8.3 情報セキュリティリスク対応
    5.30 事業継続のためのICTの備え 8.3 情報セキュリティリスク対応
    5.31 法令、規制及び契約上の要求事項 9.1 監視、測定、分析及び評価
    5.32 知的財産権 9.1 監視、測定、分析及び評価
    5.33 記録の保護 9.1 監視、測定、分析及び評価
    5.34 プライバシー及び個人識別可能情報(PII)の保護 9.1 監視、測定、分析及び評価
    5.35 情報セキュリティの独立したレビュー 9.1 監視、測定、分析及び評価
    5.36 情報セキュリティのための方針群、規則及び標準の遵守 9.1 監視、測定、分析及び評価
    5.37 操作手順書 7.5 文書化した情報
    6.1 選考 7.1 資源
    6.2 雇用条件 7.1 資源
    6.3 情報セキュリティの意識向上、教育及び訓練 7.2 力量
    6.4 懲戒手続 7.1 資源
    6.5 雇用の終了又は変更後の責任 7.1 資源
    6.6 秘密保持契約又は守秘義務契約 7.3 認識
    6.7 リモートワーク 7.1 資源
    6.8 情報セキュリティ事象の報告 8.3 情報セキュリティリスク対応
    7.1 物理的セキュリティ境界 7.1 資源
    7.2 物理的入退 7.1 資源
    7.3 オフィス、部屋及び施設のセキュリティ 7.1 資源
    7.4 物理的セキュリティの監視 7.1 資源
    7.5 物理的及び環境的脅威からの保護 7.1 資源
    7.6 セキュリティを保つべき領域での作業 7.1 資源
    7.7 クリアデスク・クリアスクリーン 7.1 資源
    7.8 装置の設置及び保護 7.1 資源
    7.9 構外にある資産のセキュリティ 7.1 資源
    7.10 記憶媒体 7.1 資源
    7.11 サポートユーティリティ 7.1 資源
    7.12 ケーブル配線のセキュリティ 7.1 資源
    7.13 装置の保守 7.1 資源
    7.14 装置のセキュリティを保った処分又は再利用 7.1 資源
    8.1 利用者エンドポイント機器 5.3 責任及び権限
    8.2 特権的アクセス権 5.3 責任及び権限
    8.3 情報へのアクセス制限 5.3 責任及び権限
    8.4 ソースコードへのアクセス 5.3 責任及び権限
    8.5 セキュリティを保った認証 5.3 責任及び権限
    8.6 容量・能力の管理 7.1 資源
    8.7 マルウェアに対する保護 7.1 資源
    8.8 技術的脆弱性の管理 7.1 資源
    8.9 構成管理 7.1 資源
    8.10 情報の削除 8.1 運用の計画策定及び管理
    8.11 データマスキング 8.1 運用の計画策定及び管理
    8.12 データ漏洩防止 8.1 運用の計画策定及び管理
    8.13 情報のバックアップ 8.1 運用の計画策定及び管理
    8.14 情報処理施設・設備の冗長性 8.1 運用の計画策定及び管理
    8.15 ログ取得 8.1 運用の計画策定及び管理
    8.16 監視活動 8.1 運用の計画策定及び管理
    8.17 クロックの同期 8.1 運用の計画策定及び管理
    8.18 特権的なユーティリティプログラムの使用 8.1 運用の計画策定及び管理
    8.19 運用システムへのソフトウェアの導入 8.1 運用の計画策定及び管理
    8.20 ネットワークセキュリティ 8.3 情報セキュリティリスク対応
    8.21 ネットワークサービスのセキュリティ 8.3 情報セキュリティリスク対応
    8.22 ネットワークの分離 8.3 情報セキュリティリスク対応
    8.23 ウェブフィルタリング 8.3 情報セキュリティリスク対応
    8.24 暗号の利用 8.3 情報セキュリティリスク対応
    8.25 セキュリティに配慮した開発のライフサイクル 9.1 監視、測定、分析及び評価
    8.26 アプリケーションセキュリティの要求事項 9.1 監視、測定、分析及び評価
    8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 9.1 監視、測定、分析及び評価
    8.28 セキュリティに配慮したコーディング 9.1 監視、測定、分析及び評価
    8.29 開発及び受入れにおけるセキュリティテスト 9.1 監視、測定、分析及び評価
    8.30 外部委託による開発 9.1 監視、測定、分析及び評価
    8.31 開発環境、テスト環境及び本番環境の分離 9.1 監視、測定、分析及び評価
    8.32 変更管理 9.1 監視、測定、分析及び評価
    8.33 テスト用情報 9.1 監視、測定、分析及び評価
    8.34 監査におけるテスト中の情報システムの保護 9.1 監視、測定、分析及び評価
    5.1 リーダーシップ&コミットメント
    5.2 方針
    6.1 計画策定
    6.1.2 リスクアセスメント
    7.4 コミュニケーション
    9.2 内部監査
    9.3 マネジメントレビュー
    10.1 不適合、是正処置
    10.2 継続的改善
    これは一例です。
    大事なのは考え方です。

    そして、

    上表を
    「管理策⇒要求事項」の対応から
    「要求事項⇒管理策」の対応に
    変えてみましょう。

    ③【結論】要求事項と管理策の対応表を活用しよう!

    要求事項と管理策の対応表

    是非活用してみてください。

    上表を
    「管理策⇒要求事項」の対応から
    「要求事項⇒管理策」の対応に
    変えてみましょう。
    要求
    事項
    内容 管理
    内容
    4.1 組織及びその状況の理解
    4.1 組織及びその状況の理解 5.7 脅威インテリジェンス
    4.2 利害関係者のニーズ及び期待の理解 5.19 供給者関係における情報セキュリティ
    4.2 利害関係者のニーズ及び期待の理解 5.20 供給者との合意における情報セキュリティの取扱い
    4.2 利害関係者のニーズ及び期待の理解 5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
    4.2 利害関係者のニーズ及び期待の理解 5.22 供給者のサービス提供の監視、レビュー及び変更管理
    4.2 利害関係者のニーズ及び期待の理解 5.23 クラウドサービスの利用における情報セキュリティ
    5.1 リーダーシップ&コミットメント
    5.2 方針
    5.3 責任及び権限 5.1 情報セキュリティのための方針群
    5.3 責任及び権限 5.2 情報セキュリティの役割及び責任
    5.3 責任及び権限 5.3 職務の分離
    5.3 責任及び権限 5.4 管理層の責任
    5.3 責任及び権限 5.5 関係当局との連絡
    5.3 責任及び権限 5.6 専門組織との連絡
    5.3 責任及び権限 5.15 アクセス管理
    5.3 責任及び権限 5.16 識別情報の管理
    5.3 責任及び権限 5.17 認証情報
    5.3 責任及び権限 5.18 アクセス権
    5.3 責任及び権限 8.1 利用者エンドポイント機器
    5.3 責任及び権限 8.2 特権的アクセス権
    5.3 責任及び権限 8.3 情報へのアクセス制限
    5.3 責任及び権限 8.4 ソースコードへのアクセス
    5.3 責任及び権限 8.5 セキュリティを保った認証
    6.1 計画策定
    6.1.2 リスクアセスメント
    7.1 資源 5.9 情報及びその他の関連資産の目録
    7.1 資源 5.11 資産の返却
    7.1 資源 5.14 情報の転送
    7.1 資源 6.1 選考
    7.1 資源 6.2 雇用条件
    7.1 資源 6.4 懲戒手続
    7.1 資源 6.5 雇用の終了又は変更後の責任
    7.1 資源 6.7 リモートワーク
    7.1 資源 7.1 物理的セキュリティ境界
    7.1 資源 7.2 物理的入退
    7.1 資源 7.3 オフィス、部屋及び施設のセキュリティ
    7.1 資源 7.4 物理的セキュリティの監視
    7.1 資源 7.5 物理的及び環境的脅威からの保護
    7.1 資源 7.6 セキュリティを保つべき領域での作業
    7.1 資源 7.7 クリアデスク・クリアスクリーン
    7.1 資源 7.8 装置の設置及び保護
    7.1 資源 7.9 構外にある資産のセキュリティ
    7.1 資源 7.10 記憶媒体
    7.1 資源 7.11 サポートユーティリティ
    7.1 資源 7.12 ケーブル配線のセキュリティ
    7.1 資源 7.13 装置の保守
    7.1 資源 7.14 装置のセキュリティを保った処分又は再利用
    7.1 資源 8.6 容量・能力の管理
    7.1 資源 8.7 マルウェアに対する保護
    7.1 資源 8.8 技術的脆弱性の管理
    7.1 資源 8.9 構成管理
    7.2 力量 6.3 情報セキュリティの意識向上、教育及び訓練
    7.3 認識 6.6 秘密保持契約又は守秘義務契約
    7.4 コミュニケーション
    7.5 文書化した情報 5.10 情報及びその他の関連資産の許容される利用
    7.5 文書化した情報 5.12 情報の分類
    7.5 文書化した情報 5.13 情報のラベル付け
    7.5 文書化した情報 5.37 操作手順書
    8.1 運用の計画策定及び管理 8.10 情報の削除
    8.1 運用の計画策定及び管理 8.11 データマスキング
    8.1 運用の計画策定及び管理 8.12 データ漏洩防止
    8.1 運用の計画策定及び管理 8.13 情報のバックアップ
    8.1 運用の計画策定及び管理 8.14 情報処理施設・設備の冗長性
    8.1 運用の計画策定及び管理 8.15 ログ取得
    8.1 運用の計画策定及び管理 8.16 監視活動
    8.1 運用の計画策定及び管理 8.17 クロックの同期
    8.1 運用の計画策定及び管理 8.18 特権的なユーティリティプログラムの使用
    8.1 運用の計画策定及び管理 8.19 運用システムへのソフトウェアの導入
    8.3 情報セキュリティリスク対応 5.24 情報セキュリティインシデント管理の計画策定及び準備
    8.3 情報セキュリティリスク対応 5.25 情報セキュリティ事象の評価及び決定
    8.3 情報セキュリティリスク対応 5.26 情報セキュリティインシデントへの対応
    8.3 情報セキュリティリスク対応 5.27 情報セキュリティインシデントからの学習
    8.3 情報セキュリティリスク対応 5.28 証拠の収集
    8.3 情報セキュリティリスク対応 5.29 事業の中断・阻害時の情報セキュリティ
    8.3 情報セキュリティリスク対応 5.30 事業継続のためのICTの備え
    8.3 情報セキュリティリスク対応 6.8 情報セキュリティ事象の報告
    8.3 情報セキュリティリスク対応 8.20 ネットワークセキュリティ
    8.3 情報セキュリティリスク対応 8.21 ネットワークサービスのセキュリティ
    8.3 情報セキュリティリスク対応 8.22 ネットワークの分離
    8.3 情報セキュリティリスク対応 8.23 ウェブフィルタリング
    8.3 情報セキュリティリスク対応 8.24 暗号の利用
    9.1 監視、測定、分析及び評価 5.8 プロジェクトマネジメントにおける情報セキュリティ
    9.1 監視、測定、分析及び評価 5.31 法令、規制及び契約上の要求事項
    9.1 監視、測定、分析及び評価 5.32 知的財産権
    9.1 監視、測定、分析及び評価 5.33 記録の保護
    9.1 監視、測定、分析及び評価 5.34 プライバシー及び個人識別可能情報(PII)の保護
    9.1 監視、測定、分析及び評価 5.35 情報セキュリティの独立したレビュー
    9.1 監視、測定、分析及び評価 5.36 情報セキュリティのための方針群、規則及び標準の遵守
    9.1 監視、測定、分析及び評価 8.25 セキュリティに配慮した開発のライフサイクル
    9.1 監視、測定、分析及び評価 8.26 アプリケーションセキュリティの要求事項
    9.1 監視、測定、分析及び評価 8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
    9.1 監視、測定、分析及び評価 8.28 セキュリティに配慮したコーディング
    9.1 監視、測定、分析及び評価 8.29 開発及び受入れにおけるセキュリティテスト
    9.1 監視、測定、分析及び評価 8.30 外部委託による開発
    9.1 監視、測定、分析及び評価 8.31 開発環境、テスト環境及び本番環境の分離
    9.1 監視、測定、分析及び評価 8.32 変更管理
    9.1 監視、測定、分析及び評価 8.33 テスト用情報
    9.1 監視、測定、分析及び評価 8.34 監査におけるテスト中の情報システムの保護
    9.2 内部監査
    9.3 マネジメントレビュー
    10.1 不適合、是正処置
    10.2 継続的改善

    PDFも用意しました。活用ください。

    ★リンク 【ISO27001要求事項と管理策の対応表】

    対応表からわかること

    上表を見ると、例えば

    要求事項「4.2 利害関係者のニーズ及び期待の理解」 において、
    該当する管理策
    ・「5.19 供給者関係における情報セキュリティ
    ・「5.20 供給者との合意における情報セキュリティの取扱い
    ・「5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
    ・「5.22 供給者のサービス提供の監視、レビュー及び変更管理
    ・「5.23 クラウドサービスの利用における情報セキュリティ
    の5つを考えて組織運営や、監査対応をすればよいことがわかります。

    基本は、

    要求事項はマネジメントシステムとして確立していることと、わかりやすいことから要求事項をベースにISMS,ISO27001に対応していけばよいです。

    そして、

    要求事項の補佐する役割として数多い管理策があるという関係でみていけば、管理策への抵抗は無くなるはず。

    いかがでしょう。対応表を活用して、管理策を活用していきましょう。

    まとめ

    以上、「ISO27001 2022管理策は要求事項に組み込もう!」を解説しました。

    • ①管理策への悩み
    • ②管理策は要求事項に組み込めばいい!
    • ③【結論】要求事項と管理策の対応表を活用しよう!
  • 世界史のなぜがわかる(歴史的事実と少し陰謀説を兼ねる面白さ)

    世界史のなぜがわかる(歴史的事実と少し陰謀説を兼ねる面白さ)

    本記事のテーマ

    世界史のなぜがわかる(歴史的事実と少し陰謀説を兼ねる面白さ)

    おさえておきたいポイント

    • ①【はじめに】「世界史のなぜ?」をまとめる難しさ
    • ➁歴史的事実だけでは「なぜそうなったのか?」を解明することは大事。でも
    • ➂納得いく説明を求めると陰謀説にはまりやすくなるので注意
    • ④歴史的事実と陰謀説を比較してみよう

    ①【はじめに】「世界史のなぜ?」をまとめる難しさ

    ●世界史のなぜ?を追いかけるのは難しい!
    ●陰謀論も注意して少し拾って世界を見ると
    面白さが数倍になる!

    もちろん

    歴史は学術的に正しくなければならない。

    ブログで発信して思い知らされましたが、

    誰でも意見が言える
    社会、歴史、政治、経済は
    専門家やプロに任せるべきで、
    インフルエンサーの偏った意見に注意しましょう。

    ですね。

    特にビジネス書や
    本屋で売っている著名人の歴史の本は
    注意して読みましょう。

    私も、陰謀説にはまってしまいました。。。注意!ですね。自己フォローです。

    社会、歴史について新たな面をブログ発信しようとした背景と、その注意点をまとめます。

    ②歴史的事実だけでは「なぜそうなったのか?」を解明することは大事。でも

    「歴史を学ぶ」とは「過去の事実を丸暗記」するのではなく、「戒めや背景・理由」を考えることですね。

    どうしても納得できない歴史的事実

    歴史を学ぶといくつか、「なぜそうなったの?」と疑問のまま消化不良になることがあります。いくつか挙げると、

    1. 絶対王政だったイギリスがなぜ名誉革命で急に議会制になれたのか?
    2. 血縁関係がある王族が治めたヨーロッパ各国が戦争歴史だったのはなぜか?
    3. ナポレオンが急に強くなりヨーロッパを支配できたのはなぜか?
    4. リンカーンはなぜ暗殺されたのか?
    5. 世界恐慌はなぜ起きたのか?
    6. 第2次世界大戦で連合国側にいた米・ソがなぜ冷戦を始めたのか?
    7. なぜ、2001年に急に同時多発テロ事件が起きたのか?
    8. ロシアはなぜウクライナを侵攻したのか?

    上記だけでなく様々な歴史的事実に対して、それが起きた理由・背景などを考えると、教科書だけの説明では不十分な部分が出てきます。だから、納得できませんよね。

    納得できないから「教科書にはない(書けない)裏話があるのではないか?」と考えてしまう。

    教科書に書いていないものがたくさんあれば、当然、書けない裏話があるのではないか?と探ってしまいます。

    ここは注意が必要で、

    新しい情報を手に入れようと必死になると、本当に正しい情報かどうかわからない状態に陥る危険がある。

    QCプラネッツもなるべく冷静に客観的視点を貫きますが、ここは落とし穴にはまってしまいました。

    たくさんの理由ではなく、1つの筋道でなるべく世界史を理解したい

    歴史に関する本が多すぎるのも昔からの不満で、

    数学のように1冊ですべて本質がわかる歴史の本が欲しいです。
    なければ作るしかない。

    という強い気持ちになります。

    でも、これも注意が必要で。</pP

    歴史は多面的に書き、視野を狭めないようたくさんの本があった方がよいと今は思います。

    ➂納得いく説明を求めると陰謀説にはまりやすくなるので注意

    ユダヤ財閥など富を持つものによる仕業としがち

    注意点は、

    1. なるべく1つの理由や筋道で世界史を理解したい
    2. 歴史的事実の裏話・黒幕をおさえたい
    3. 不足する情報で不安がらせる状態を打破したい

    これを解決するものが、

    世界を支配、強い影響力をもつ財閥。
    とりわけ、「ユダヤ」、「ユダヤ財閥」による
    歴史的事実の裏側

    という説で行くと、納得ができる歴史的事実が多いというものです。

    陰謀説ですね。

    陰謀説を全否定するのももったいない

    1つ注意したいのが、

    陰謀説はすべて「でたらめ、嘘」
    と一掃するのではなく、
    そういう面もあるかもしれない。
    ただし、学術的に正しいとは言い切れない

    という判断で見るのも大事と考えます。

    表に出せない真因が多いのが
    歴史的事実。
    教科書が正しいとする姿勢は基本とするが、
    ひょっとしたら陰謀説の内容も
    少し影響があったのかもしれない

    という視点で見ると、より多面的に世界を見ることができます。

    ④歴史的事実と陰謀説を比較してみよう

    いくつか事例を挙げてみます。

    陰謀説による世界史の根幹

    たくさんの本から陰謀説による世界史についてまとめると。

    ユダヤ教は異邦人には利息がとれる唯一の宗教で、これにより一部のユダヤ人は富を得た。
    しかし、利息により周囲から嫌われ、迫害される。
    一部のユダヤ人は王族に近づき宮廷ユダヤ人として王族の金融支援を行う。
    しかし、王族への莫大な利息を要求し、各国から追放を受けてしまう。

    追放されたユダヤ人は再入国や新大陸を目指し、裏で革命などの事件を起こす。
    その国を支配するために、中央銀行を設立し通貨発行権を独占し、王族に莫大な借金をさせるために戦争を誘ってきた。

    一国では足らなくなり、フランス革命などを陰謀し,
    広範囲での財政支配を行い、
    世界全体の富の支配をたくらむ。そのため、世界大戦や冷戦へ引き込んでいった。

    というのが、QCプラネッツがまとめた1つの世界史の根幹でした。(過去形なので、今はおかしいとして修正しています)。

    いかがでしょう。確かに下の条件を満たしており、納得感があります。

    1. なるべく1つの理由や筋道で世界史を理解したい
    2. 歴史的事実の裏話・黒幕をおさえたい
    3. 不足する情報で不安がらせる状態を打破したい

    今も世界中で不安にさせる情勢や事件が多発しています。その裏も同じように考えることができるかもしれません。

    陰謀説による世界史を紹介

    世界史の事例20くらいを例に、
    歴史的事実と陰謀論の両方を挙げてみます。

    1. 古代日本へのユダヤ人の影響
    2. 古代~中世
    3. コロンブスが新大陸を発見
    4. ルターの宗教改革
    5. 清教徒革命と名誉革命
    6. アメリカ独立戦争
    7. フランス革命
    8. ナポレオン
    9. アメリカ南北戦争
    10. 大政奉還
    11. 日露戦争で英米が日本を援助
    12. アメリカ 中央銀行制度(FRB)
    13. ロシア革命
    14. ドイツワイマール憲法
    15. 国際連盟発足
    16. 世界恐慌
    17. 日中戦争(蔣介石が日本と戦った理由)
    18. 真珠湾攻撃
    19. ヤルタ会談
    20. 冷戦
    21. 朝鮮戦争
    22. 石油危機
    23. ベトナム戦争
    24. ロッキード事件
    25. カラー革命
    26. ソ連崩壊
    27. アメリカ同時多発テロ事件
    28. ISIS(イスラム国)
    29. アメリカ大統領選挙
    30. ロシアのウクライナ侵略

    PDFにまとめましたので、確認ください。

    ★PDFリンク【歴史的事実と陰謀論まとめ】

    いかがでしょう。

    歴史的事実は何か物足りなさがありますが、
    陰謀論は1つの力によるものとして上手に説明ができます。
    陰謀説はすべてウソではないでしょうが、すべて信じないように上手に見ていく必要があります。

    歴史と政治はプロに任せるべき

    自分で世界史の裏側を勉強することは大事ですが、
    やはり。

    誰でも意見が言える
    社会、歴史、政治、経済は
    専門家やプロに任せるべきで、
    インフルエンサーの偏った意見に注意しましょう。

    ですね。

    特にビジネス書や
    本屋で売っている著名人の歴史の本は
    注意して読みましょう。

    まとめ

    「世界史のなぜがわかる(歴史的事実と少し陰謀説を兼ねる面白さ)」を解説しました。

    • ①【はじめに】「世界史のなぜ?」をまとめる難しさ
    • ➁歴史的事実だけでは「なぜそうなったのか?」を解明することは大事。でも
    • ➂納得いく説明を求めると陰謀説にはまりやすくなるので注意
    • ④歴史的事実と陰謀説を比較してみよう
error: Content is protected !!