こんにちは、こんにちは！編集部の小泉です。

ご好評をいただいております、ほのぼのコンサルまんが『お困りでしたら』が連載50回を迎えております。

●ほのぼのコンサルまんが　お困りでしたら

毎週月曜更新を粛々と続けてまいりました。来週の第51回目をもって1年になります。

いちおう、担当編集は私こと小泉が務めさせていただいております。旬のITトピックスと作者である倉田タカシさんの独特の作風がうまく絡むように入念な打ち合わせを行っています。

で、この制作の現場で意識するようになったのがPDCAサイクルなんですね。内部統制や監査系、セキュリティ系の記事で頻出するPDCAサイクルですが私の場合、おかしなことにこのまんがの連載を担当することでPDCAを意識するようになったのです。

そう、PDCAサイクル。

このブログ読者の皆さまに対してご説明するのは釈迦に説法というものですが一応触れておきますと、

Plan（計画）→Do（実行）→Check（評価）→Action（改善）

という一連のマネジメントサイクルです。

理想の管理手法のひとつとされていますが、実情に即さずにむやみに導入する向きには批判が起きることもしばしば。

私が体感したPDCAサイクルは、まあ、大きい組織ではなく著者対編集者の2者間なのでままごとみたいなもんですが、ままごとなりに感じたのは

Check(評価)→Action(改善)のところが難しい！

ということ。

PDCAについては業界内でも諸説入り乱れており「Planがすべてを左右する」「Doから始めろ」「Doだけやってろ」「Actionができてない」などなどいろいろ言われていますが、私としては、評価んとこ、難しい！と声を大にしていいたいのです。

というのは、評価というのはある程度数値化されるものですよね。というか数値としてしっかり出すのが評価なのだと考えると、どうしても数を見ることになりますよね。数値は良くも悪くも管理の一側面ではあるのですがこれを元に改善を引き出そうとするとどうもおかしなことになってしまうようなのです。

改善のヒントというのは実は数とは関係ないところにあることが多いような気がします。

数はあくまで、結果としてでるもの。そこからさかのぼって策を練るっていうのはある程度までは有効かもしれないけれど、万能ではない、最善でもない…

そんなことを考えました。

ここで言う「数」とは、まんがの「閲覧された数」であったり、その他サイト分析の数値なのですがこれをたとえば「売り上げ」に置き換えてみたらどうかなどと今後は殊勝にも考えていきたいと思います。下手の考えなんとやらです。ひゃー。

事例がまんが連載なだけにこんな大層なことを言ってしまっていいのか不安になってきましたが制作スタッフ（総勢2名）はいつも真剣勝負なのです！

というわけで、今後とも　ほのぼのコンサルまんが　をよろしくお願いいたします。

こんにちは、編集部の小泉です。

クラウドセキュリティという言葉がちらほらと聞かれるようになりました。クラウドサービスを利用する上で、セキュリティは大丈夫なのか？と不安に思う方々も多いのではないかと思います。

しかし、今盛り上がっているのは、どちらかというとクラウドサービスを利用する側から考えるセキュリティというより、クラウドサービスを提供する側のセキュリティのようです。

それもそのはず、使う側としては当然、クラウドサービスを利用するにあたっての判断材料としてセキュリティを求めるでしょう。セキュリティ？それは織り込み済みだよね？てなもんです。もちろん提供する側だって「セキュリティは万全です」って言いたいでしょう。ですのでクラウドセキュリティといったときに、提供する側が盛り上がるのはしごく当然の話といえましょう。

それでは、サービスを利用する側からみたクラウドセキュリティってなにかあるのでしょうか？預けた情報が漏えいしたらどうしよう、などと考えることは、はたしてクラウドセキュリティでしょうか？考えてもしかたがない問題のようにも思えます。預ける先に「ねえねえセキュリティは大丈夫？」って聞くしかないです。「うん、大丈夫」って言われたら信じるしかないです。

このように考えると、クラウドユーザーにとって、セキュリティ、という言葉はあまりピンとこないものなのかもしれません。つかみどころがない。とっつきにくい。どこから手をつけていいのか、そもそも手をつけるところなどあるのか。

ならば、利用する側は、クラウドセキュリティではなく、クラウドを使うことのリスク＝クラウドリスクととらえた方が若干わかりやすくなるのではないかと考えています。

クラウドサービスを利用することのリスクは、なんといっても「大事な情報を他の企業に預けることの不安」だと思うのですが、これは、クラウドサービスが定着するにつれ、銀行にお金を預けるような、そんなユージュアルな感覚になるのではないかと思います。（ところで、情報にも利子とかついたら素敵ですよね）

そのほか、結構リアルに考えられるリスクが「便利に使ってたサービスが突然終了したらどうしよう」という不安。

最近では、音楽配信のナップスターが日本でのサービスを終了してしまいました。ライセンス元の米Napstarの方針転換が理由とのことですが、そんなご無体な、と嘆いてる日本の利用者も少なくないのではないでしょうか。

IT企業というのは、とりわけ、くっついたり離れたりつぶれたり生まれたりが激しい業界ですし、また我々日本人としては米国だのドイツだのの本社の決定という、なんだかわけのわからない鶴の一声的、神の降臨的現象の影響下に常にさらされているといっても過言ではありません。

こうして考えると、サービスの継続にせよ、セキュリティにせよ、クラウドサービスはある程度根拠のない「信頼」の下に覚悟を決めて利用するもの、という気がしてきます。大丈夫、データが漏れたって、なくなったって死ぬわけじゃない！と（一時的には死にますけど）。

今後、クラウドサービスに私たちが「慣れる」ことで、所有や喪失といった概念にどのような変化が起こるのか、こわいような楽しみなようなっていうか、もうすでになんとなく予想がついているのは私だけではありますまい！

こんにちは、編集部の小泉です。データセンター探訪の連載を始めました。執筆→小泉、撮影→渡黒の手前味噌企画ですが、どうぞよろしくお願いします。

2010年データセンターの旅
#1「そうだ、データセンターに、行こう」～NTTPCさん　WebARENA Symphony

データセンターというのは、これまで、セキュリティ上の配慮から場所や設備など、あまり公にされてこなかった歴史があります。

しかしここへきて、昨今のクラウドブームを受け、また、2009年あたりがピークかとおもわれるデータセンター新築ラッシュなどの影響もあり、最近は、見せるデータセンターが増えてきています。そんな気がしています。

とはいえ、導入の予定もない人間が、冷やかしでホイホイ入れる場所でもございません。

そこで、みなさんの代わりに編集部が冷やかし・・いや、見学してこうようではないか！という企画です。

工場、ジャンクション、廃線等々、特定のインフラには「萌え」がつきものですが、データセンターにも「萌え」の可能性を感じております。

単なるデータセンターの紹介にとどまらず、潜在的データセンター萌え読者のみなさんの発掘にも努めてまいりたいと思う所存でございます。

最近、データセンターの取材をすることが増えてきました。クラウドの裏にデータセンターあり、データセンターの中にクラウドあり、です。

最新のデータセンターは、「セキュリティ」「省電力」「災害対策」の3つに力を入れているようです。取材のたびに、フムフムなるほどなどとしたり顔でうなずき、メモを取ったりしているのですが、ちょっと知ったようになった気になると、ひっかかってくるのが「省電力」。

データセンターの消費電力を○％削減！みたいに言うわけです、みなさん。パワポのグラフでどれだけ減ったかを示すわけです。

これって、たとえば冷蔵庫だの電子レンジだのだったらですね、使うほうとしては「ああ、月々の電気代が安くなってお得だな」ってことになるわけですが、データセンター。データセンター。データセンターの消費電力が削減されるからって、データセンターの利用代金が安くなるわけではないですね。むしろ、最新のエコ設備のデータセンターの利用料は高くなるんじゃないか、とか思ったり。

もちろん、私たちは宇宙船地球号のクルーであります＆敬礼

ですので、省エネっていうのは個人の損得を超えた共通のミッションなのであります。そんな、月々の電気代がどうのなんてみみっちい話ではなく、もっと、大きな視点にたってみなければなりません。地球環境のことを考えたら、私たち個人の月々の電気代（しつこい）なんて、ビックピクチャーの隅っこの小さなシミにもならないくらいです！ビックピクチャーの使い方間違ってます！

とにかく！省エネに前向きに取り組む企業は評価されるべきであり、そんな企業の製品をみんな使うべきだし、そんな企業の株価は上がって、もっと省エネに前向きになって、Win-Winならぬエコ-エコな世の中になるべきなのであります！べきかどうかは自信がないですが、そうだったらいいのにな、くらいは思っています。

ただですね、そのことと、実際にデータセンターを利用するときのニーズってまた別ですよね。「省電力」がデータセンターを選ぶときのフックになるでしょうか？省電力えらい、えらいけど、それはそっちの問題でしょう？ってチラっと思っちゃったりなんかしてしまいませんか。なんていうか、データを便利に、安全に、安価に確実に預けたいっていうユーザー側の気持ちとの温度差を感じてしまうわけです。つまり、データセンターのセールスポイントとして「省電力」はアリなの？と。

省電力への取り組みへの評価はさておき、ユーザーへ向けたメッセージとして、「セキュリティ」や「災害対策」と並んで「省電力」が出てくることに違和感を感じるのかもしれません。

いわゆる企業の社会責任（CSR)的なスタンスと、セールスのメッセージを同時に伝えるのはなかなか難しいなあと思った次第でございます。

エクセルが苦手です。
でもパワーポイントはもっと苦手です。

IT企業の方はパワポの技巧に長けている方が多いですね。あれは研修で習ったりするのでしょうか。

ただ、あまりに技巧に長けた、長けすぎたパワポ資料を見ると少し滑稽に見えてくることもあります。

そんな風に感じているるのはおそらく私だけではないのだろうなあと思っていたら、こんなコンテンツを見つけてしまいました。

『ペリーがパワポで提案書を持ってきたら』
　

「開国シテクダサ～イ」
インターネット黎明期から何かとネタにされるペリー氏ですが、ここでも思い切りネタにされています。

くだらない！
くだらないけど面白い。ナイス。

よく読むと、優等生的なパワポのポイントがきっちり押さえられていて、意外と勉強にもなります。

せっかくパワポを作るのなら、楽しんで作りたいものですネ。

『プレゼンテーションZen』でいまいちピンとこなかった私もこれならなんとかなりそうです。

そんでもってペリーでもピンとこなかった方は、こちらをどうぞ。

ほのぼのコンサルまんが　お困りでしたら
『パワポのプレゼンでお困りでしたら！の巻』

結局は人間力です！

こんにちは！編集部の小泉です。セキュリティ機器に関する新着記事をあげました。

セキュリティ機器っていろいろあるんですよね。ファイアウォールから、IDS、IPS、そしてWAF。よく取材などもするのですが、なんといいますか、「これ1台入れておけばOK！」といったようなセールストークでですね、聞いた時は「そうなんだ・・・」などと思ったりもするのですが、そしてつい買ってしまいそうになったりするのですが、いやプレスで取材してるのでもちろん買いませんが、このところのガンブラー騒ぎをみると、どうもあまり企業のウェブサイトはセキュアではないらしい、と。

では攻撃される企業はセキュリティ機器何も入れてなかったの？ということになるわけですが、どうもそういうわけでもないらしい。どうやら、この手のセキュリティ機器は往々にして、「入れてるけどややこしい機能はOFFにしている」ことがあるらしいのですね。

すると当然、「え、なんでOFFにしてんの？」という話になってくるわけですが、続きは記事を読んでいただくとして、こうしたセキュリティ機器は、「これさえあれば大丈夫（ただし条件つきで）」といったものがほとんどで、この条件というのが結構やっかいであることだなあ（詠嘆）と思ったのでした。

というわけで、詳しくは下記の記事をご覧ください。詳しい方には物足りないかもな内容ですが、詳しくない人がほとんどですので！ええ！

『セキュリティ機器よもやま話。
そしてなぜ、ワフ（WAF）は素人に好かれ玄人に嫌われるのか？』

こんにちは、こんにちは、編集部の小泉です。

前回のメールニュースでガンブラーのことを取り上げましたところ、編集部内から「ガンブラーって何スか？」と聞かれ、
あちゃー！そんなにまだ有名じゃなかったのか！と頭を抱えてしまいました。ガンブラーはまだキャズムを越えていなかった！（越えてどうする）

あまり知られていないのならなおのこと、ウェブサイトを持つ企業には等しく重要な問題ですので、IT Compliance Summitでのセッションにガンブラー対策を追加いたしました。

技術的な側面から語られることの多いガンブラー。ベンダー各社の見解も間違っていたりメディアも間違った伝え方をしていたりと、まだまだ誤解や間違いが多いように思います。このセッションでは、ガンブラーをはじめとする、さまざまなウイルス感染がなくならない理由を技術的な解説だけでなく、業務委託先管理の問題、一方通行のセキュリティ対策などの体制面からお話いただく予定です。

今回セッションでお話をしてくださる三輪さんのtwitterでのつぶやきによれば、ガンブラーというのは、「ガンブラーに始まった一連のやり方」なんだそうです。「亜種とも既に言える状態ではないし、対策もすでにバラバラ」とのこと。IT Compliance Summitでは、そのあたりの詳細が聞けるのではないかと
思っています。

わずかですが、まだ席も余っていますので、登録がお済みでない方はぜひ、ご登録ください！書籍のプレゼントもありますですよ！（いろいろ必死）

IT Compliance Summitは来週の水曜日、2月3日の開催となります。冒頭、重度のアガリ症である私から少しだけ皆さまにごあいさつさせていただく予定です！泣きながら！皆さまとお会いできるのを楽しみにしております！

こんにちは。編集部の小泉です。まだ雑煮を食べています。

さて、少しご無沙汰しているあいだに、世間ではガンブラーが猛威をふるっておりました。いえ、現在進行形で猛威をふるっております。ふるっておりますなう！

私の周りでも、セキュリティにあまり詳しくない人から「ガンブラーってなに？」なんて声がちらほら聞かれるようになりました。

昨年末頃から、民主党、ホンダ、ハウス食品等大手企業サイトのホームページが改ざんされています。これらの改ざんされたウェブサイトを閲覧するだけで、ウイルスに感染する可能性が出てくるというので、事態はかなり深刻といえそうです。もはや「あやしいサイトは閲覧しない」というリテラシーでは通用しないんです！やつらは本気なんです！（以上、ホラー）

閲覧するだけで感染するとはこれ、いかに？と思った方はこちらで、なるべくわかりやすく解説しているのでご覧ください。↓

○いまさら聞けないあなたのためのセキュリティ講座
「ウェブサイトを見ただけでも伝染するんです」「じゃあ、どうしたら？」

ウイルスソフトもだめ、見ただけで感染、ときてしまうと、打つ手はないように思われるのですが、アップデートがかなり重要なポイントとなってくるようです。

フラッシュ、アドビなどのソフトを最新版にしておくだけで、かなり防ぐことで出来るようです。一説には、アンチウイルスソフトを入れるより大事、と言われているくらいです。ただね、「最新版にしておくだけ」っていってもね、これが結構やっかいそうですよ。。でもまあ、その話はまた、おいおい。。。（←更新を先延ばしにする人の典型的スタンス）

企業は、動作などの問題からアップデートが遅れがちな傾向にあるようですが、数少ない、こちら側でできる防衛手段ですので、「後で通知する」クリックがデフォなみなさん、もう一度ご自宅、職場のソフトウェアのアップデートを確認してみてください。

また、ガンブラーはウェブから発生する脅威です。自社のウェブサイト制作を外部に発注している企業さんは、ウェブ制作会社が感染源になっていないか、確認する必要がありそうです。ってどっかに書いてありました。

最近では、関係団体およびセキュリティーベンダなどによる注意喚起や対策、セミナーなども開かれているようなので、チェックしてみるのもよいかもしれませんね。

2月3日に開催されるIT Compliance Summitのセッションですが、まだ調整中のところがあるので、このあたりのセキュリティ事情も取り込めないかと考え中です。

さて、しんみりしちゃったので、最後に明るいセキュリティネタをひとつ。

認証時に入力を求められるぐにゃぐにゃアルファベットや数字のアレ（CAPTCHA、キャプチャ、といいます）でお困りの方、こちらをご覧になって一休みなさってください！
アレが入力できないのは私だけじゃない！あなただけじゃない！↓

○ほのぼのコンサルまんが『お困りでしたら』
読めないCAPTCHAでお困りでしたら！の巻
　

そんなことはどうでもいい！いや全然よくない！

新年あけましておめでとうございました！
今年こそはキャズムを越えたい！　編集部の小泉です。

2010年といえば、2010年問題です。去年は2009年問題っていうのがあったような気がしますが、もう忘れました。2000年くらいから毎年何らかの問題があるような気がしますが、今は2010年！さあ、今年の問題は何！ドッチ！

2010年問題でググってみますと、「2010年問題　暗号」「2010年問題　製薬」「2010年問題　時計」「2010年問題　不動産」「2010年問題　造船」「2010年問題　ntt」などがずらりと出てきまして、ああ、2010年も問題が山積しているのだなあ、と思うと軽いめまいがします。

個人的には造船あたりが気になるところですが、いえ、それほど気になりませんが、enterprisezine的には、やはり暗号問題でしょうか。

暗号の2010年問題というのはる米国国立標準技術研究所（NIST）が、弱い暗号技術の使用を2010年に停止することに端を発した問題意識のようです。米国が2010年に暗号を切り替えるということなので、2010年にいきなりこれまでの暗号がすべて破られるというわけではありません。

NISTが決定した以上、これは事実上の世界標準となるなどとも言われていますが、こういうのって言ったもんがちなのでしょうか。アメリカめ！アメリカめ！

とりあえず私個人の2010年の暗号的課題は「自宅のWEPをやめる」です。

本年もよろしくお願いいたします！

チャッラーン！編集部の小泉です。

すでにご登録いただいた方も多いかと存じますが、いよいよ、IT Compliance Summit2010 Winterの登録が始まりました！

今回の目玉は、何といっても、本イベントのレギュラーでもある、八田先生による金融庁へのインタビューです。八田先生の講演の魅力はすでに多くの方が知るところですが、実は八田先生は、大変なコーディネート上手な方でもあります。ということを、先日傍聴した内部統制報告制度ラウンドテーブルの席で知りました。

今回は、八田先生おっしゃるところの「当局」である金融庁の三井課長をゲストに日本の企業情報開示を巡る最新の課題と展望について熱い議論を交わしていただく予定です。

そのほか、2010年の内部監査課題から、セキュリティ、ログ管理の話まで、さまざまなテーマから「コンプライアンス」「リスクマネジメント」「ガバナンス」について、取り上げてまいります。

また、今回は本イベント初、来場者の皆さまに弊社書籍を無料進呈いたします！皆さまのご参加をお待ちしております！

公式サイトはこちらからどうぞ。

【追伸】好評連載、ほのぼのコンサルまんが『お困りでしたら』第6回公開です！「ツイッターって何？」でお困りでしたら！の巻　twitter上司登場だよ！