★☆★JNSAメールマガジン 第287号 2024.5.17☆★☆
2024/05/17 (Fri) 15:30
★☆★JNSAメールマガジン 第287号 2024.5.17☆★☆
こんにちは
JNSAメールマガジン 第287号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
セコム株式会社 IS研究所 甘利 康文様にご寄稿いただきました。
【連載リレーコラム】
リスクっていったい何?
セコム株式会社 IS研究所 甘利 康文
今般、「わけのわからない」存在であるリスクの正体、「リスクとは何か」を
明らかにしようと試みた[1]。今回のメルマガでは、その概要を紹介する。
コロナ禍が落ち着き、円安も要因となって日本各地に外国人観光客が戻ってきた。
現在、世界では4人に1人がイスラム教徒(ムスリム)だ[2]。来日観光客には、
当然、多くのムスリムの方々がいる。よく知られているように、イスラム教では
豚肉やアルコールは、その成分すらも含めて口にすることが禁じられている。
これらを口にしてしまうことは、彼らにとって「あってはならないこと」、
すなわちインシデントであり、その可能性はリスクとなる。日本においても、
ムスリムが食べても問題ないハラールメニューを提供する飲食店が増えている[2]
ようではあるが、そのようなお店はまだ限られているというのが現状だ。
ムスリムの方々にとっては、日本はまだまだ食に関するリスクが大きい国なのだ。
一方、私たち、普通の日本人にとっては、豚肉は一般的な食材であり、それを
口にすることはインシデントではなく、その可能性もリスクではない。
このように、「リスク」は、人によって、そうであったりなかったりするのだ。
国際規格では、リスクは「インシデント(悪いこと)の可能性」と、それが
「起こった場合の悪さの程度」の組み合わせで考えるものとされている。
しかし、この「悪いこと」はまだ起こっていない。不幸にして、起こって
しまった場合、それは事件、事故などのインシデントと呼ばれるものになり、
リスクという存在ではなくなってしまう。
つまり、リスクは「物理的には存在しない」のだ。
例を二つ示したが、リスクは、ことほどさように「とらえどころがない」
一方で、セキュリティの分野ではリスクマネジメント(RM)という言葉を耳にする
ことが多い。RMと呼ばれるこの取り組みでは、わたしたちは正体が分からない
ものをマネジメントしようとしているのであり、これがRMを難しいものにしている。
このようなとらえどころがない対象を「それがある」という前提で考えるのは難しい。
そのため、今回の検討では、情報セキュリティ分野に限らない多種多様な「リスク」
を対象として、人が「リスクがある」というときに、「何がその人物にそれを
リスクだと感じさせているのか」を考えるという手順で、その正体を明らかに
しようとした。ちなみに、この考え方の手順は現象学と呼ばれており、
これを使うと、リスクのみならず、セキュリティ[3]や安心[4]、そして
サービス[5]などのJNSAに関係する「とらえどころがない対象」を考えることが
可能となる。(そもそもこのような対象を扱うために考え出された手法が現象学である)
さて、ここで話を元に戻し、人が「リスクがあると感じる」場合に共通する
「そう感じさせる構造」としての「リスクとは何か」に関する結論を紹介しよう。
リスクの構造は、その人物が「周りから影響を受けたくないこれからのストーリー」
を持っており、そして「インシデントによって、そのストーリーが想定通りに
うまく進まなくなるかもしれないという思い」があることに集約される。
この「ストーリー」が「リスクが存在するための前提」、次の「思い」が、
私たちが一般に「リスクと呼んでいるものの本質」だ。これらは二つとも
「その人物にもたらされた情報」によって形作られており、実はこの情報に
関わることが「リスクコミュニケーション」と呼ばれる営みの本質なのだ。
メルロ=ポンティは、著書「知覚の現象学」で「事物の命名は、認識のあとに
もたらされるのではなくて、それはまさに認識そのものである」と述べているが、
私たちは「その対象」が「リスク」と名付けられ、半ば日常用語として使われて
いることで、それがどこかに「ある」ものと勘違いしているのではないだろうか。
JNSAが発行する本メルマガには、リスクを管理したり低減したりなど、何らか
の形で「リスク」と呼ばれる存在に関わっている読者が多いことだろう。
そのため、読者の皆さんにリスクの基本的な考え方に触れていただくことは、
社会的に大いなる意義がある。そのうえで、セキュリティやRMなどのリスクに
関するサービスやインフラを開発し、世に出していただければ世の中は変わる。
本稿がそのきっかけになれば、と考えている。
(メルマガ記事という性格から、本稿では「リスクの概念」とそれを解明する
手法である「現象学」をごく簡単に紹介するに留めている。これらについて
さらにご興味がある方は文献[1]を参照頂きたい。)
[1] 甘利康文:リスク概念の構造: 現象学の視座からリスクを理解する,社会情報学, Vol.12, No.3, pp.1-18 (2024)
<https://doi.org/10.14836/ssi.12.3_1>
[2] (一社)ハラル・ジャパン協会 <https://jhba.jp/>
[3] 甘利康文:「通信のための理論」を使って「セキュリティの本質」をあぶり出す,
JNSA Press, Vol.50, pp.3-7 (2021),
<https://www.jnsa.org/jnsapress/vol50/2_kikou-1.pdf>
[4] 甘利康文:安心の本質とは何か?~現象学的科学論の理路による安心の構造モデル~,
日本セキュリティ・マネジメント学会誌, Vol.34, No.3, pp.3-21 (2021),
<https://doi.org/10.32230/jssmjournal.34.3_3>
[5] 甘利康文:セキュリティサービスを含む「サービス」の概念構造、そしてそれが生みだす価値とは?, JNSA Press, Vol.53, pp.4-8 (2024),
<https://www.jnsa.org/jnsapress/vol53/2_kikou_1.pdf>
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/4bezbxmm
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★情報セキュリティ教育事業者連絡会(ISEPA)広報ワーキンググループが
「ISEPA会員企業が提供する教育コース紹介一覧」を公開しました。
https://www.jnsa.org/isepa/activities/wg_event.html
★6/15開催!!産学情報セキュリティ人材育成検討会主催
「JNSAインターンシップ交流会」参加者募集中です。
https://www.jnsa.org/internship/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
自動診断でより手軽に・簡単に使えるSaaS版診断ツール
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性診断をより手軽に、より簡単に、より身近なものにを
クラウド型Webアプリケーション脆弱性自動検査ツール「VexCloud」
長年選ばれ続けたVexのノウハウを元に生み出されたVexCloudは、
より簡単にご利用いただけるよう開発された脆弱性診断ツールです。
簡単に利用できると言っても、検査性能は「Vex」譲り。
精度の高い脆弱性検査を行います。
■製品詳細
⇒ https://hubs.ly/Q02wTBrV0
《株式会社ユービーセキュア》
==============================================================
┏┓━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┗□ 【オンデマンドウェビナー】
過去6ヶ月のインシデント対応から考察する
日本におけるサイバー脅威傾向
━━━━━━━━━━━━━━━━━━━━━━━━━━━━…‥・
セキュアワークスのカウンター・スレット・ユニット(CTU)の
セキュリティリサーチャーが、最前線での経験と深い分析を基に、
日本におけるサイバーセキュリティの現状と脅威の動向について
解き明かします。
過去半年間にわたるインシデント対応の事例を通じて、
企業や組織が直面しているサイバー攻撃のパターン、攻撃者の手口、
そしてその背後にある動機や目的を詳細に検証します。
https://www.secureworks.jp/resources/wc-cyber-threat-trends-in-japan-based-on-ir-in-the-past-six-months
(ライブ配信日:2024年4月24日)
[セキュアワークス株式会社]
==============================================================
┏セキュアEggs OnDemand サービス開始のご案内
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRIセキュア独自のセキュリティ研修「セキュアEggs」に
新しくOnDemand版が加わりました!
いつでもどこでも何度でも、ご自身のペースで学習可能です。
集合研修と同等の豊富なハンズオンをご用意しており、
ハンズオン環境には24時間アクセスすることが可能です。
ハンズオン環境はAWSに構築されており、ブラウザと
インターネット環境さえあれば利用できます。
今後も新しいコースを順次開講しますので、ご期待ください!
▼セキュアEggs OnDemand 基礎編
https://www.nri-secure.co.jp/service/learning/eggs_basic_ondemand
【NRIセキュアテクノロジーズ株式会社】
==============================================================
★☆★☆★━━━━━━━━━━━━━━━━━━━━━━━━━
クラウドストライク 2024年版グローバル脅威レポートを
オンデマンドウェビナーで解説
━━━━━━━━━━━━━━━━━━━━━━━━━★☆★☆★
クラウドストライクのCounter Adversary Operations担当
シニアバイスプレジデントのAdam Meyersによる最新の攻撃者の
傾向と「クラウドストライク2024年版グローバル脅威レポート」の
重要な調査結果について紹介するオンデマンドウェビナーの提供を
開始いたしました。
ぜひインテリジェンス組織のトップが語る情報をお聞きください。
・英語音声のウェビナーに日本語字幕をつけてご提供
詳細はこちら
▼https://cs.link/GTR2024J
[クラウドストライク合同会社]
==============================================================
【セミナー】ランサムウェア攻撃の感染被害を最小限に抑えるには
▼オンラインセミナー開催
ランサムウェア攻撃に最も狙われる製造業、
感染被害を最小限に抑えるためにすべきこと
~不正な暗号化による業務停止時間をゼロにする。
中小企業でも今すぐ対策可能なエンドポイントの強化方法~
https://majisemi-security.doorkeeper.jp/events/173212
*こんな方におすすめです
・製造業関連の企業に所属されている方
・企業規模を問わず、身近に忍び寄るランサムウェア攻撃の
被害を最小限に抑える方法を知りたいという方
日時:2024年5月30日(木)14:00 - 15:00
▼お申し込みはこちら
https://majisemi-security.doorkeeper.jp/events/173212
《キヤノンITソリューションズ株式会社》
==============================================================
PCI DSS対応 Windowsログオンオプションリリース
アイピーキューブの多要素認証製品「AuthWay」のオプション
製品である「Windowsログオンオプション 3.0」をリリース
いたしました。
Windowsログオンオプションは、Windowsに多要素認証で
ログオンすることを可能とし、PCI DSS v4.0のMFA要件を
満たすことができるよう設計されています。
より厳格なセキュリティが求められる環境から、利便性と
セキュリティの両立を求める環境まで、様々な利用環境への
対応が可能です。
▼詳しくは株式会社アイピーキューブのニュースリリースへ▼
https://ip3.co.jp/information/news/3368/
[株式会社アイピーキューブ]
==============================================================
*************************************
JNSAメールマガジン 第287号
発信日:2024年5月17日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第287号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
セコム株式会社 IS研究所 甘利 康文様にご寄稿いただきました。
【連載リレーコラム】
リスクっていったい何?
セコム株式会社 IS研究所 甘利 康文
今般、「わけのわからない」存在であるリスクの正体、「リスクとは何か」を
明らかにしようと試みた[1]。今回のメルマガでは、その概要を紹介する。
コロナ禍が落ち着き、円安も要因となって日本各地に外国人観光客が戻ってきた。
現在、世界では4人に1人がイスラム教徒(ムスリム)だ[2]。来日観光客には、
当然、多くのムスリムの方々がいる。よく知られているように、イスラム教では
豚肉やアルコールは、その成分すらも含めて口にすることが禁じられている。
これらを口にしてしまうことは、彼らにとって「あってはならないこと」、
すなわちインシデントであり、その可能性はリスクとなる。日本においても、
ムスリムが食べても問題ないハラールメニューを提供する飲食店が増えている[2]
ようではあるが、そのようなお店はまだ限られているというのが現状だ。
ムスリムの方々にとっては、日本はまだまだ食に関するリスクが大きい国なのだ。
一方、私たち、普通の日本人にとっては、豚肉は一般的な食材であり、それを
口にすることはインシデントではなく、その可能性もリスクではない。
このように、「リスク」は、人によって、そうであったりなかったりするのだ。
国際規格では、リスクは「インシデント(悪いこと)の可能性」と、それが
「起こった場合の悪さの程度」の組み合わせで考えるものとされている。
しかし、この「悪いこと」はまだ起こっていない。不幸にして、起こって
しまった場合、それは事件、事故などのインシデントと呼ばれるものになり、
リスクという存在ではなくなってしまう。
つまり、リスクは「物理的には存在しない」のだ。
例を二つ示したが、リスクは、ことほどさように「とらえどころがない」
一方で、セキュリティの分野ではリスクマネジメント(RM)という言葉を耳にする
ことが多い。RMと呼ばれるこの取り組みでは、わたしたちは正体が分からない
ものをマネジメントしようとしているのであり、これがRMを難しいものにしている。
このようなとらえどころがない対象を「それがある」という前提で考えるのは難しい。
そのため、今回の検討では、情報セキュリティ分野に限らない多種多様な「リスク」
を対象として、人が「リスクがある」というときに、「何がその人物にそれを
リスクだと感じさせているのか」を考えるという手順で、その正体を明らかに
しようとした。ちなみに、この考え方の手順は現象学と呼ばれており、
これを使うと、リスクのみならず、セキュリティ[3]や安心[4]、そして
サービス[5]などのJNSAに関係する「とらえどころがない対象」を考えることが
可能となる。(そもそもこのような対象を扱うために考え出された手法が現象学である)
さて、ここで話を元に戻し、人が「リスクがあると感じる」場合に共通する
「そう感じさせる構造」としての「リスクとは何か」に関する結論を紹介しよう。
リスクの構造は、その人物が「周りから影響を受けたくないこれからのストーリー」
を持っており、そして「インシデントによって、そのストーリーが想定通りに
うまく進まなくなるかもしれないという思い」があることに集約される。
この「ストーリー」が「リスクが存在するための前提」、次の「思い」が、
私たちが一般に「リスクと呼んでいるものの本質」だ。これらは二つとも
「その人物にもたらされた情報」によって形作られており、実はこの情報に
関わることが「リスクコミュニケーション」と呼ばれる営みの本質なのだ。
メルロ=ポンティは、著書「知覚の現象学」で「事物の命名は、認識のあとに
もたらされるのではなくて、それはまさに認識そのものである」と述べているが、
私たちは「その対象」が「リスク」と名付けられ、半ば日常用語として使われて
いることで、それがどこかに「ある」ものと勘違いしているのではないだろうか。
JNSAが発行する本メルマガには、リスクを管理したり低減したりなど、何らか
の形で「リスク」と呼ばれる存在に関わっている読者が多いことだろう。
そのため、読者の皆さんにリスクの基本的な考え方に触れていただくことは、
社会的に大いなる意義がある。そのうえで、セキュリティやRMなどのリスクに
関するサービスやインフラを開発し、世に出していただければ世の中は変わる。
本稿がそのきっかけになれば、と考えている。
(メルマガ記事という性格から、本稿では「リスクの概念」とそれを解明する
手法である「現象学」をごく簡単に紹介するに留めている。これらについて
さらにご興味がある方は文献[1]を参照頂きたい。)
[1] 甘利康文:リスク概念の構造: 現象学の視座からリスクを理解する,社会情報学, Vol.12, No.3, pp.1-18 (2024)
<https://doi.org/10.14836/ssi.12.3_1>
[2] (一社)ハラル・ジャパン協会 <https://jhba.jp/>
[3] 甘利康文:「通信のための理論」を使って「セキュリティの本質」をあぶり出す,
JNSA Press, Vol.50, pp.3-7 (2021),
<https://www.jnsa.org/jnsapress/vol50/2_kikou-1.pdf>
[4] 甘利康文:安心の本質とは何か?~現象学的科学論の理路による安心の構造モデル~,
日本セキュリティ・マネジメント学会誌, Vol.34, No.3, pp.3-21 (2021),
<https://doi.org/10.32230/jssmjournal.34.3_3>
[5] 甘利康文:セキュリティサービスを含む「サービス」の概念構造、そしてそれが生みだす価値とは?, JNSA Press, Vol.53, pp.4-8 (2024),
<https://www.jnsa.org/jnsapress/vol53/2_kikou_1.pdf>
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/4bezbxmm
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★情報セキュリティ教育事業者連絡会(ISEPA)広報ワーキンググループが
「ISEPA会員企業が提供する教育コース紹介一覧」を公開しました。
https://www.jnsa.org/isepa/activities/wg_event.html
★6/15開催!!産学情報セキュリティ人材育成検討会主催
「JNSAインターンシップ交流会」参加者募集中です。
https://www.jnsa.org/internship/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
自動診断でより手軽に・簡単に使えるSaaS版診断ツール
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性診断をより手軽に、より簡単に、より身近なものにを
クラウド型Webアプリケーション脆弱性自動検査ツール「VexCloud」
長年選ばれ続けたVexのノウハウを元に生み出されたVexCloudは、
より簡単にご利用いただけるよう開発された脆弱性診断ツールです。
簡単に利用できると言っても、検査性能は「Vex」譲り。
精度の高い脆弱性検査を行います。
■製品詳細
⇒ https://hubs.ly/Q02wTBrV0
《株式会社ユービーセキュア》
==============================================================
┏┓━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┗□ 【オンデマンドウェビナー】
過去6ヶ月のインシデント対応から考察する
日本におけるサイバー脅威傾向
━━━━━━━━━━━━━━━━━━━━━━━━━━━━…‥・
セキュアワークスのカウンター・スレット・ユニット(CTU)の
セキュリティリサーチャーが、最前線での経験と深い分析を基に、
日本におけるサイバーセキュリティの現状と脅威の動向について
解き明かします。
過去半年間にわたるインシデント対応の事例を通じて、
企業や組織が直面しているサイバー攻撃のパターン、攻撃者の手口、
そしてその背後にある動機や目的を詳細に検証します。
https://www.secureworks.jp/resources/wc-cyber-threat-trends-in-japan-based-on-ir-in-the-past-six-months
(ライブ配信日:2024年4月24日)
[セキュアワークス株式会社]
==============================================================
┏セキュアEggs OnDemand サービス開始のご案内
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRIセキュア独自のセキュリティ研修「セキュアEggs」に
新しくOnDemand版が加わりました!
いつでもどこでも何度でも、ご自身のペースで学習可能です。
集合研修と同等の豊富なハンズオンをご用意しており、
ハンズオン環境には24時間アクセスすることが可能です。
ハンズオン環境はAWSに構築されており、ブラウザと
インターネット環境さえあれば利用できます。
今後も新しいコースを順次開講しますので、ご期待ください!
▼セキュアEggs OnDemand 基礎編
https://www.nri-secure.co.jp/service/learning/eggs_basic_ondemand
【NRIセキュアテクノロジーズ株式会社】
==============================================================
★☆★☆★━━━━━━━━━━━━━━━━━━━━━━━━━
クラウドストライク 2024年版グローバル脅威レポートを
オンデマンドウェビナーで解説
━━━━━━━━━━━━━━━━━━━━━━━━━★☆★☆★
クラウドストライクのCounter Adversary Operations担当
シニアバイスプレジデントのAdam Meyersによる最新の攻撃者の
傾向と「クラウドストライク2024年版グローバル脅威レポート」の
重要な調査結果について紹介するオンデマンドウェビナーの提供を
開始いたしました。
ぜひインテリジェンス組織のトップが語る情報をお聞きください。
・英語音声のウェビナーに日本語字幕をつけてご提供
詳細はこちら
▼https://cs.link/GTR2024J
[クラウドストライク合同会社]
==============================================================
【セミナー】ランサムウェア攻撃の感染被害を最小限に抑えるには
▼オンラインセミナー開催
ランサムウェア攻撃に最も狙われる製造業、
感染被害を最小限に抑えるためにすべきこと
~不正な暗号化による業務停止時間をゼロにする。
中小企業でも今すぐ対策可能なエンドポイントの強化方法~
https://majisemi-security.doorkeeper.jp/events/173212
*こんな方におすすめです
・製造業関連の企業に所属されている方
・企業規模を問わず、身近に忍び寄るランサムウェア攻撃の
被害を最小限に抑える方法を知りたいという方
日時:2024年5月30日(木)14:00 - 15:00
▼お申し込みはこちら
https://majisemi-security.doorkeeper.jp/events/173212
《キヤノンITソリューションズ株式会社》
==============================================================
PCI DSS対応 Windowsログオンオプションリリース
アイピーキューブの多要素認証製品「AuthWay」のオプション
製品である「Windowsログオンオプション 3.0」をリリース
いたしました。
Windowsログオンオプションは、Windowsに多要素認証で
ログオンすることを可能とし、PCI DSS v4.0のMFA要件を
満たすことができるよう設計されています。
より厳格なセキュリティが求められる環境から、利便性と
セキュリティの両立を求める環境まで、様々な利用環境への
対応が可能です。
▼詳しくは株式会社アイピーキューブのニュースリリースへ▼
https://ip3.co.jp/information/news/3368/
[株式会社アイピーキューブ]
==============================================================
*************************************
JNSAメールマガジン 第287号
発信日:2024年5月17日
発 行:JNSA事務局 sec@jnsa.org
*************************************