「ITストラテジスト」の偏差値

投稿日:

 おお、これまたなんだか、ちょっと偉くなったような気分になるなあ。

 「ITストラテジストの偏差値は『71』」と来た。……何を基に計算したのか、まるで謎ではあるが。

WordPressの脆弱性(4.7.0と4.7.1)

投稿日:

 ウチは先週、4.7.2がリリースされ次第アップデートしたので心配ないが、改ざんされているサイトも多いというネット噂を目にした。

サイバーセキュリティのレイヤ構造

投稿日:

 ある雑誌記事を漫然と見ていて、ふと思った。

 「外交」という雑誌の、上掲の号だ。特集が「技術革新と安全保障」で、その中に「政府はサイバー空間を守れるか」という対談記事がある。

 実のところ、なんだか最近この種記事に食傷気味というところもある。脅威を言い立てて不安感を(あお)るばかりに見える、こういう「啓蒙言説」に飽きてしまったのだ。

 その「聞き飽き」を踏まえての事なのだが。

 「サイバーセキュリティ・マネジメント」について、「レイヤ構造」に整理したようなディレクトリというか、BOK(バディ・オブ・ナレッジ)はないのだろうか。

 というのは、こういう啓蒙言説を聞き飽きる理由は、「政策」や「脅威の評価」といった抽象的な事項と、物理的な機械や人員配置と言った具象的な事項が、直ちに短絡していたり、綯い交ぜに語られたりすることが多く、それが、あまり詳しくない者には煽っているだけのように見えるからなのではないか、と思い当たったからだ。

 それで、この要素とその要素は、そこはもう少し離れていやしませんかね、今はこの辺の抽象度の部分について言ってますよ、というような、「議論の地図」がないかな、と思いついたわけである。

 私が見たいと思う整理は、次の図のような姿をしている。

図 サイバーセキュリティのレイヤと言うか、ヒエラルキと言うか……

 この中間の「モヤモヤ部分」を誰か綺麗に整理してないものかな、と思ったのだ。

 それで、少しばかりネットを検索してみると、一昨年、2015年の6月2日にIPAが「多層防御」を提唱しており、それがGoogleの検索アシストにもあらわれてくる。よっしゃしめた、コレだ!!……とばかりに飛びつくのだが、その中身を見てみると……

 これは「多層」というよりは、むしろ「多角」とか「多面」「複数野」と言った方がいいようなことで、私が見たい「層」ではなかった。

 いや、これはこれで、正鵠を射ているとは思う。例えば、軍事には、「防御は丸く、攻撃は三角に」などというような例えがある。つまり、敵を攻撃するときは、自らが得意とするものを十二分に発揮するのだ。良い戦車が沢山あるならそれを押し立てていくし、優れた戦闘機が沢山あるならそれをどんどん使っていく。だが、防御は違う。敵はどこから来るかわからない。だから、敵の情報を探って十分準備するということはもちろんだが、思わぬ弱点を突かれて奇襲攻撃されることがないよう、あらゆる方向をまんべんなく、漏れなく手当し、円満に「丸く」守る、というのが常道なのだ。そこから考えて、IPAの発表は正しい。

 だが、私は抽象と具象を矛盾なく繋ぐ整理、ネットワークのOSI参照モデル7階層のような、エンタープライズアーキテクチャの4層のような、ああいうもののサイバーセキュリティ版が見たいのだ。

 そこで、ISMSの方へ眼を向けてみる。

 すると、「JIS Q 27001(ISO/IEC 27001)」にある「管理目的及び管理策」(付属書A)というものの整理が、私が見たいものにだいぶ近い。

 しかし、近いことは近いが、これはどちらかというと要素の漏れのない列挙であって、構造的に層化はされていない。

 「JIS Q 27002」の中に散在する要素も近い。これを取り出して、KJ法的に帰納し、構造化すれば、欲しいものに近づくかもしれない。

 うーん。自分で作業しなくちゃ、ダメかあ……。いや、こういうの、誰か頭のいい人がとうの昔に既にやった後で、どこかにあるはずだと思うのだが……。

NESMAと野村総研技法

投稿日:

 ソフトウェアの外注で値段の尺度を出すのに、どうも「ダロカン」みたいなのに頼る向きが周囲に多く、定量的な尺度を持ってもらいたいものと常々思っている。

 FPでは規模は出るが、工数、ましてや金額など出ない。それで、SLOC/FPの統計を適切なところから引っ張ってきて、SLOCから人月を出し、人月単価をまた適切なところから引っ張ってきて、それで金額にする、ということをよくやる。これはCOCOMOの技法に似ている。

 ただ、ユーザがIFPUG法でFPを出すなんてことは、きちんとしたIT部署を持っていないと難しいと言わざるを得ない。

 そこで私はよく、「データモデルを迅速に作る」→「NESMA技法と野村総研技法を応用してアレンジした方式でFPを出す」ということをやる。不正確で誤差も大きいが、ダロカンで見積もって根拠がないために紛糾するよりはマシだと思っている。

 野村総研はNESMAに近い迅速方式を公表しており、ドキュメントもこのようにある。

  •  注目される新しいビジネスモデルのプロジェクト見積り手法(野村総研サイト資料)
  •  以前はオランダ・NESMAのサイトには日本語のPDFドキュメントもあったが、今は見当たらないようだ。しかし、NESMAは存外に雑な方法と言うわけではなく、今やISOにも入り、「ISO/IEC 24570:2005」として確固たる権威を持っている。

     ただ、これらの方法を用いるには、誤差が大きいということをよくわきまえ、それを関係者全員に周知徹底する必要がある。そうしないと、後になってまたぞろ紛糾することになる。

     そのことを説明するために、IPAの出している資料類を用いることもする。

  •  ソフトウェア開発データ白書(IPAの資料)
  •  この129ページ辺りの資料を示して説明すると、だいたい多くの人は納得する。

    「システム監査技術者」試験の勉強が難しい

    投稿日:

     先日、なんとか合格することができた「ITストラテジスト」試験である。日本ITストラテジスト協会にも入れてもらうことができた。なんとかこれで、仕事の幅を少しづつでもひろげていきたいと思う。

     今の高度情報処理技術者の試験には、以前と違って、こうやってどれかに合格すると「免除制度」というのが適用される。中小企業診断士の科目も免除になるし、同じ情報処理技術者試験の、午前試験の前半は2年間免除だ。

     そこで、次は「システム監査技術者」に挑戦してみることにした。

     だが、簡単ではない。

     私は、情報処理技術者試験では、いわゆる「高度区分」とされる資格を二つ持っている。「テクニカルエンジニア(システム管理)」と「ITストラテジスト」の二つだ。

     システム管理は、長年の業務経験があったし、ITストラテジストも、長年企画などの業務に携わってきたから、試験合格にはそれがプラスに作用した面がある。

     しかし、「監査」という仕事は、したことがないのだ。

     今、「午後Ⅰ」(午後の前半)の記述式の勉強をしているが、その業務経験がないということが祟ってか、私にとっては大変難しく感じられる。

     平成19年の過去問で、こんなのがある。

     この中の、問2。

    設問番号
    私の答案
    試験センターの解答
    設問1 D社の中小規模の顧客に対応した適時適量の納品を行うためのリアルタイム処理をC社側システムで確保できるか否か、最優先課題である顧客への影響の最小化を根拠に確認する。 バッチ処理が所定時間内に終了しない障害が起こっているので、D社システムの処理量が追加された場合に、C社システムの処理能力が十分かどうかの確認が必要である。
    設問2 最終的な監査報告を作業進捗ミーティングで行う事で経営トップのガバナンスが作用しなくなり、監査結果が全社的な取り組みにつながらないリスクを内包する。 監査報告が、監査依頼者である統合委員会に対して直接行われないので、統合委員会が、プロジェクト内の重要な問題を把握できず、適切に対応できない。
    設問3 該当「(4)」、移行に必要なノウハウを持つ社員の慰留及び確保の処置と、代替処置、新規採用、外注等の対策の実施。 該当「(4)」、リソースの減少によるプロジェクト進捗への影響を把握し、スケジュールの調整または見直しを行う。
    設問4 WGリーダへの直接のシステム仕様の変更指示は、本来経営トップを通じて行うべきことである。 C社システム上で実現できる範囲に機能を限定するようにシステム仕様の変更を指示していること。

     もう、なんか、全部の答案が、全部、的をはずしている感じである。

    秋の情報処理技術者試験

    投稿日:

     今日は秋の情報処理技術者試験の試験日であった。前回合格したテクニカルエンジニアの試験から、半年空けて立て続けの受験である。

     今回は最難関、「システムアナリスト」にチャレンジした。実のところ、8月を過ぎる頃までは、かなり懸命に勉強した。が、9月に入ってから難しさに音をあげ、すっかり勉強を投げ出してしまっていた。

     だから、周りの者にも、予て「俺、落ちますから」と言いふらしていたし、試験場におもむくにも、「ま、どうせ今日は落ちるんだからさ、問題が手におえなければ、さっさと帰ればいいんだよな」というくらいの気持ちである。

     試験は、東京・芝の「共立薬科大学」というところで行われた。東京タワーの眺めがよいところである。It_exam_tokyotower 今日も秋晴れ、雲が少なく、紺色の空が広がっていた。私はそこの4階の大きな講堂で試験を受けた。

     結果は、マァ、落ちたと思う。落ちたと思うのだが、それはそれとして、試験を受け始めてみると、「あれ、これは解ける。あ、これもわかる」と、ひと月近くも勉強を投げ出してしまっていたわりには、けっこう、どんどん解けて、調子が良いのだ。

     試験は午前試験、午後I試験、午後II試験と日中まる一日あるのだが、結局、そんなわけで、途中でやめずに全部受けてしまった。そうなると、投げてしまっていたわりには、その投げ出したラスト一ヶ月間が急に惜しくなってしまう情けなさである。

     この試験の午前中の問題は、だいたい75%正答すれば、合格する。「だいたい」というのは、「IRT理論」とて、受験者の回答具合によって配点の比率が動的に変わるからで、70%の正答では、正答数が同じでも、落ちる者と合格する者が出てくるのである。つまり、70%は悲喜のボーダーラインなのである。

     試験にまったく歯が立たなければ、家に帰ってもそのまま問題などうっちゃらかしてしまっているところだった。だが、こうしたわけで未練の出てしまった私は、さっそく自己採点をした。今は、試験終了次第、ウェブサイトで解答が出るのである。そうすると、その「70%」という、実にビミョーな、期待して待てばよいのか、あきらめてさっさと寝ればよいのか、どうすればよいのかわからない「ピッタリ」ボーダーラインの正答数ではないか!!

     まったく、勉強を投げ出してしまったことが、これほど更に未練を引きずることにつながってこようとは・・・。

     発表は12月17日。それまで2ヶ月、あきらめていながらひょっとして・・・?という不安定な気持ちで過ごす。これも私らしいか。

    テクニカルエンジニアの試験に

    投稿日:

     ・・・落っこちてしまった。残念。

     今日発表日。

    悪夢

    投稿日:

     私は、先だって受けた情報処理技術者試験(テクニカルエンジニア・システム管理)の合否を調べようと、自宅か職場か、どっちかわかんないが、とにかくブラウザを見ていた。IPA(情報処理推進機構)のサイトを表示させ、所要の操作をし、現れた文字を見る。

     「・・・合格」

     やった、合格だ!!・・・って、ん?「・・・合格」?

     よく読むと、ただの合格ではなく、「合宿合格」と書いてある。な、なな、なんだ合宿合格って!?

     文字の周りにあるリンクに用語の説明みたいなところがあり、それをテキトーにクリックすると「合宿合格」の意味が書いてある。

     「アナタは、要するに一言で言うと、不合格であった。だが、実に惜しい不合格である。点数がごくわずか、2点ほど足りなかった。そういう惜しい方には、所定の合宿研修に1日参加すると、合格とみなされる制度が用意されている。研修費用は8万円(!)なので、下リンクから申し込め。」

     みたいなことが書いてあるではないか。ぬぅううう、ゼンゼン知らなかったが、合宿合格とはこれか!!だがしかし、8万円もなァ。8万払ってテクニカルエンジニアになったって、周囲の者は「アイツの資格はカネで買ったんだぜ」って言うに決まってるし、だがしかし、2点の差だからなァ、もう一回受けるのはモッタイナイしなぁ、それにしてもIPAもアザとい商売してるよな、なんか悪徳商法みたいなもんだぜこれじゃあ、しっかし、資格はほしいし、どうしようかなぁ・・・・

     ・・・などと葛藤したり憤慨したりしているところで目が覚めた。悪夢だった。日が射し昇る涼しい6月の週末の朝である。ヤレヤレ。