2013年01月10日
JABやJIPDECへ通報するときの注意
認証取得企業の実態はさまざまです。誤魔化しもあります。社員が社長を偽って報告する。企業が審査機関を偽って報告する。中には悪質なもの間で含まれることがありますが、実体を知る社員は会社を思うばかりに時として認定機関に進言してくることがあります。いい加減なことをやっている会社が問題であったり、見てみぬ振りする審査機関が問題であったりします。
匿名メールが多いようですが、訴えを受けた認定機関(JAB/JIPDEC)はどうするでしょう?
認定機関は警察ではありません。認定機関は業界の一角をなす存在で、認証機関を育成する側面も有しています。そして、こういう通報が来ていると認証機関にも知らされます。審査にあたって留意しなさいと。でも認証機関も警察ではありませんから、取調べをやるようなわけには行きません。せいぜい今後の注意を促すだけです。当然、内容によっては認証機関に対する認定審査でも留意されます。
もっとも、
飲食(酒を伴う)や土産など接待のレベルの応対があって、その事実が報告されたときは、審査の内容は考え方の違いで誤魔化せますが、接待は誰でも理解できる不適切行為ですからそうは行きません。というか、そのような情報が流れてj放置したら認定機関の立場がなくなります。のでしっかり注意が行きます。
.*.
<通報するときは>
- 通報する目的を正しく認識する。
- 会社の不正行為(法令違反レベル)の通報なら別の団体機関の方がいいでしょう。
- 会社のセキュリティ違反(事故の隠蔽レベル)のケースならよくある話かもしれません。結果に期待しないで通報する。情報は必要最小限。審査機関(審査員)が無能なら結果は期待できない。特に日程ばかり気にしている審査機関*では先ず無理でしょう。
- 自分の思い込みや感情的なもの〜個人的な価値判断による通報は実際は無視されます。客観的事実の裏づけが必要です。証拠を確保しておく必要もあるかもしれませんが、そのためにルール違反をやるのも問題でしょう。
.*.
2013年01月08日
UCC上島珈琲サイト47万人会員情報改ざん事件の示唆
UCC上島珈琲
http://www.ucc.co.jp/
報道によれば、不正アクセスを受けた「UCCコーヒーノート」「UCCコーヒークーポン」両サイトの会員情報(使命、住所、メールアドレス、電話番号、ID、パスワードなどのほぼ全てが一部を書き換えるなどの改ざんを受けたとのこと。1月4日の問い合わせで自体が判明し5課にはサイトは閉鎖されたらしい。情報の外部流出は確認されていないとのこと。
クレジットカードや銀行口座の情報は含まれていない。多分、最初から会員に登録させていないのでしょう。
.*.
たったこれくらいの報道ですが、ISMSを推進する関係者にとって考えさせられることは少なくない。
例えば、
「外部流出は確認されていない」ってこれは「悪用による被害の事実は確認されていない」の間違いでしょう。UCC上島の担当者(経営者?)の認識がこの程度ということです。
外部流出したらあるいは流用されたらどのように把握できるかトリックを予め仕込んであれば格好いい言い方も可能だがそのような備えはあったのかどうか疑問。
仮に破廉恥なメルマガが届くようになってもそれがUCC上島から流出したかどうか会員が把握できるわけではない。
そもそも今回の事件の発覚もUCC上島のサイト会員が騒がないと何も分からない監視体制では褒められない。1月4日の仕事始めに気づくのは年末年始は完全に休んでしまったということ。正月は緊急連絡網まで止まってしまう。
有効な事業継続管理もできていない可能性も懸念される。問題に気づいた会員の第一報を受け止める仕組みが平日の9時-5時(17時)なんてことはネットを始めたか企業ではありえない。メールはサーバーで受信するが内容のチェックは平日だけなのかな?
.*.
JIPDECの検索では当社の認証登録は確認できない。IT関連は関連企業または外部企業へ業務委託しているんだろうか。責任まで委託は無理ではないだろうか。これだけの問題を起こしてしまえば、ISMSに取り組まざるを得ないだろう。ちょうど27001:2013改定だから新しい規格での取り組みになるだろう。
間違っても急ぐからといって旧規格(現行規格)で済まそうとしないことだ。Pマークでお茶を濁すのも良くない。
もっとも注意すべきは変なコンサル・変な審査機関を使ってさっさと済まそうとすること。スピード重視・コスト重視で体質改善が置き忘れられていると只の無駄骨になります。
.*.
2013年01月07日
名刺管理サービスの情報セキュリティ問題
先日、名刺管理サービスの秀逸な提供企業としてSansan株式会社が紹介されていた。この手の企業は少なくないし色々創意工夫をしているだろうと思うが、立ちはだかる問題は個人情報保護法です。
もっともこの法令自身が過渡な適用で存在意義を疑われ見直しも行われているようだ。(まだ検討中?)
しかし、いずれにしても、企業単位で名刺情報をデータベース化すれば簡単に5千件を超える個人情報の管理者として個人情報保護法の適用対象になる。
誰の目にも分かる最初の懸念事項は「目的外使用」に該当するかどうか。
名刺を渡すとき、あるいは名刺を受け取るとき、その名刺情報の取り扱いに関する理解が社会的に共有できているかどうか。
名刺情報は、一方ではきわめて流動的な側面も持つ。会社名、部門名、役職名(肩書き)、住所、電話番号などはどんどん変わってしまいます。
名刺管理サービスでは情報の更新も請け負うらしいが、更新情報は意図しない相手にも伝わる可能性がある訳で目的外利用は否めない。余計なお世話が入り込むリスクですね。
.*.
個人の持つ名刺だけを個人の範囲で管理する場合は、基本的に従来の枠組みに収まるので問題ないだろう。仮に5千件を超えていても。
ところが、部内、特定他部門、不特定他部門(社内)で共有するとなると、一気に問題が顔を出す。グループ企業化しているところでは社外共有までありえる。
.*.
さて、名刺交換においてどのような暗黙の了解があるだろうか?
本日、今、私はあなたと会いました。(後で日付と場所をメモする人もいる)
この情報を使ってあなたは私にコンタクトできます。
あなたが私にコンタクトしたいときはこの情報を使ってください。
あなたの上司または同僚または部下があなたに代わってこの名刺情報に基づいて私にコンタクトしてくる可能性は認めます。
その他の目的で私の名刺は利用しないでください。(間違っても私に成りすましたりしてはいけません。私に迷惑を掛けるような使い方も駄目です。広告宣伝DMなども想定外ですよ。)
ぐらいでしょうね。 中にはもっと広く利用されても構わない立場の人もいます。売り出しキャンペーン中のタレントの卵とか、一般客を相手にするお店の宣伝になるような場合です。こういう業界の人はしかしかなり限られていますから一般論に展開するのは無理でしょう。
.*.
名刺管理サービスはクラウドを利用したマルチクライアント型サービスの事例として分かりやすいが、法人による情報共有を前提とした取り組みは赤信号かもしれない。
普通はサービスを利用する企業のコンプライアンス問題になるが、情報共有の枠の広げ方によっては、サービス提供業者もコンプライアンス問題を抱え込むことになるかも知れない。パンフレットとかプレゼンの資料とかで提案内容を確認すればコンプライアンス違反を助長しているかどうかも判断できる。
いずれにしても法務的な専門家の判断を貰うことを推奨します。
.*.
2012年12月28日
本末転倒を地で行くクレージーな審査機関の目標管理経営?
其の審査機関は今でもクレージーなのか、今はまともな考え方が出来るようになったのか。経営者を変えて変わることが出来る会社もあれば、何も変わらない会社もある。
目標管理型の経営に関する能書きは知っていても、実務を知らない人が寄り添う審査機関ではなかなか本物にはなれない。外資系の企業の間で転職を繰り返す人が経営に入ってきても上滑りの経営管理に終わるのは目に見えている。
.*.
其の審査機関では「認証書のデリバリータイムのミニマム化」がテーマになっている。クライアントは認証を一日も早く受けたいと思っているから、其の期待に応えたいという訳だ。改善活動のテーマなのだろう。第三者認証制度の審査機関はマネジメントシステムの家元みたいなものですが、こういう目標で仕事をしていると聞いて唖然とする。クレージーとしか言えない。
クライアントは早く認証書を手にしたい。そのことで次のアクションが初めて取れるものも少なくない。ビジネス要件なら尚のこと急いでいる。顧客要求に素直に応えようとする取り組みだ。
何がクレージーか?。審査機関の本質がすっ飛んでしまっていること。事務処理屋の発想しかない。
人間ドックへ行ってあるいは検診を受けて異常無しをもらえば仕事にありつける人もいる。診断時間は短くしてほしい、診断結果は早くほしい。
結果が1週間後の検診や人間ドックは敬遠される。当日結果が得られる1日審査でも長い。実態は半日検診が主流になる。最近の人間ドックの状況です。
しかし、多くは何のためにドックに行きますか。健康を適切に理解するため。結果が別に郵送されるケースが敬遠されるのは適切な説明を聞けないからです。
.*.
スタッフがTQCの経験もない寄り合い所帯だと的外れになることがある。粗製乱造を生む要因です。
.*.
2012年12月27日
矛盾する審査スキーム
面白い審査員がいた。問題をせっかく見つけてくれても、観察事項の所見で済ます。観察事項は是正義務は無いからと言ってフォローもしない。継続的改善とか、PDCAとか、能書きでは大事といっておいて実際はまわそうとしない。学校の教室みたいだ。実社会と離れた小理屈で済ます。リアリティのない審査員だ。
その審査員の言い分がまた面白い。
観察事項への取り組み状況を確認すること自体が実質的に是正を強要することに繋がるからだというのだ。
言うだけ勝手の観察事項は無視するのも自由だというわけだ。
ところが;
特定の審査員の勝手判断でもなさそうだ。全くフォローしてない人もいる。審査の中で確認するという人も入る。少し救われるが、審査はサンプリングでやっている以上は審査の中での確認には限界がある。何よりも非効率だ。
.*.
<観察事項の本質とは何か>
このまま看過は出来ない。セキュリティの確実性に心証がもてない。要観察。審査員はそのように判断した訳だ。誰が観察するの?。当然審査員ですよ。観察事項のフォローをやらない審査員は業務放棄に等しい。ヒントは与えたのだから後は勝手にやってくださいで済ましてしまう。
一種の手抜き審査。
ビジネス性最優先の審査機関は平気で手抜きをします。審査を受ける側は手抜きをされれば楽だから何も言わない。審査員にクレームしてもしようがない。審査機関を変えればいいのだが、別の力学も働くから結局放置されることになる。
.*.
ダウン・ビー・エス・アイ
こういう言葉がISMSの世界にあるかどうか分かりません。聞いたことがありませんから一部の人の間で使われる造語・隠語に違いありませんが、多分、ダウンはDOWN、 ビー・エス・アイはBSIジャパンのことでしょう。
.*.
TQCを進めてきた日本は国際規格化と規格ビジネスでは欧州(EU)に後れを取ってしまったが、品質管理そのもので後れを取った分けではない。第三者認証制度の実務でも標準化推進団体が自らの改善を通して適切に展開されている。
ただし、ISMSの分野だけは2004年ごろからいびつな状況を呈してきた。海外の審査機関の日本法人一社で全体の半数を審査するといった特別な状況をきたした。ISMS規格を特別なものとして慎重な姿勢をとった日本の審査機関に対してBSIジャパンは全く逆のアプローチを取った結果である。
BSIジャパンはビジネス的に成功を収めたように見えたがそれが真の成功ではなかった。結果、内外に大きな問題を残すことになった。もっとも深刻な状況はBSIジャパン自身がその呪縛から抜け出せなくなってしまったことだ。
.*.
なぜダウン・ビー・エス・アイなのか?。
(A) 歪んだ制度運用からの脱却です。多分、当事者がもっとも深刻に理解して取り組んでいることでしょう。
.*.
BSIの本家は英国にありますが、英国本家と単なるオペレーションカンパニーに過ぎない日本法人は全く別物です。
.*.
事業継続管理を片手間で済ます経営者?
経営者は自分がどのように関与すべきかすら理解していないだろう。経営者が判断できるようにデータを揃えて問題が上がってこない。スタッフにしても殆どが素人。自衛隊のOBでも協力してくれれば適切な経営判断を得る手順になるだろうがそういう人材はなかなか得られないものだ。
基本的な手順
<1>管理基準点を決める。
<2>基準点にいたるまでは日常管理の範囲で対応。
<3>基準を超えたら非常管理の体制で対応。
.*.
<1>経営者は基準点(管理限界点)をあげることを考える。方法論、コスト、ビジネスインパクト。
<2>基準点を超えたときに備えて日ごろから回復のためのデータ保存などの負担が掛かる。<3>に連携する備えの管理である。経営者は供えのコストを把握すること。
<3>適切な切り替え。経営者は切り替えに要した時間とコストおよびビジネスインパクトを把握する。訓練のときも実績のときもですよ。
.*.
BCPに於ける最重要課題
どの組織が作ったBCPでも同じ。国家レベルも同じ。国防も。最重要課題はたった一つです。
『何を限界点とするか。限界点オーバーの判断をどのようにするか。BCP発動をどのようにするか/誰がするか。』
ここをクリアにしておかなければどんなBCPもどんな訓練もどんな予防的投資もまったく役に立ちません。
勿論、結果を予測しないで発動のボタンを押す経営者もいないでしょう。経営者は自分が命を失っていることまで考える必要があります。
阪神淡路大震災のときも東日本大震災のときも尖閣諸島のときも三菱自動車のリコール問題のときも何でもです。思い出せるものを思い出してください。何人の経営者、リーダー、責任者が適切な判断を下せたでしょうか。
愚かな経営者の多くは誰かが何かをやってくれると信じている。結果責任は自分が撮るのだからそれで良いんだと思っている。社員や取引先あるいは顧客の人生の責任なんか一つも取れないのに。
経営者の司会から消えたBCPに社員の誰が取り組めますか。予算も何も無くて。
.*.
普通のBCPの訓練には発動判断がなかなか入ってきません。発動後の動作確認だけです。
しかし
経営者は毎日BCP発動か否かの判断を問われている。筈。毎日訓練以上のことをしている。無意識のうちに。記録も残さず。せめて記録を残せば如何に自分が偏った判断能力しか持ち合わせていないか分かるのに。
.*.
2012年12月26日
クラウドの定義
The NIST Definition of Cloud Computing
http://www.nist.gov/itl/cloud.cfm
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
対訳
http://agilecatcloud.com/2010/02/22/%E3%81%A8%E3%81%A6%E3%82%82%E9%87%8D%E8%A6%81%E3%81%AA-nist-%E3%81%AE%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E5%AE%9A%E7%BE%A9%EF%BC%9A%E5%AF%BE%E8%A8%B3-cloud-cloudcomputing-scloud-openmeti/
.*.
クラウドの定義は変遷を続けている。定義が引用されることが多いNIST自体がその変遷を認めている。NISTは全容を包括できる定義を試みているようだが本質を見極めないとその内、ネットワークとネットワークサービスは全てクラウドで表現されるかもしれない。
乱暴だけどネットの先の直接見えない世界は全部クラウドでも良いんじゃないか。糸電話みたいに物理的に直通の世界はさておいてインターネットがそもそも不確定のネットワークで得体が知れない。 だからクラウド。クラウド=不確定=仮想?。柔構造のネットワークとサーバーとサービス。
ネットワークリソースとして存在するものは全てクラウド。?
.*.
クラウド・コンピューティング:
クラウド空間が提供するコンピューティング能力、コンピューティングサービス、 コンピューティング技術、ということになる。
不確定時空のコンピューティングデマンドへの対応だから革新も求められる。
仮想領域をコントロールする 管理技術も求められる。
想像を超えるセキュリティ課題が出てくるだろう。
.*.
2012年12月25日
管理の有効性評価
管理が適切な状況にあるかどうかの評価。管理とは目的を達成するための手段の体系です。目的vs.手段の相関。TQC(TQM)世代では違和感が無いはずです。ISMSでも同じです。
<目的と手段を数式で表す>
[目的]=[関数(手段)]
これがなかなか難しい。経営者なら基本はお金をベースに、売り上げ、利益、費用で見るだろうが単純には行かない。
ISMSはセキュリティリスクを下げること基本形だからリスク値を下げると素直に考えてよい。
セキュリティリスクと経営目標との相関についても検討されなければいけない。 セキュリティリスクは年間期待損失。
リスクを下げるために新たな管理策を打つとコストが掛かります。会社オールで見れば行って来いで同じだったら残念ですね。投資(管理策)100に対してリターン(リスク)100なら有効性は1.00なのかな。
ISMSでは有効性はリスク低減への効果の程度でしかありません。
1つの施策で1つの結果なら単純で良いですが、多くは複数の施策が複数の結果(複数資産のリスク低下)につながるので難しくなります。
しかも、出費はリアル、結果はリアルに補足するのが困難。期待損失額と実際の損失額を把握できるようになっていないとISMSをやっても意味が無いですね。ISMSに目標管理を持ち込むことが欠かせません。
以前からの課題であった適切な情報(システム)投資水準がどこにあるか、この問題と共通する問題ですね。
<従来のISMSでは不十分だったコスト評価>
何処の組織もリスクの現状を評価する作業が繰り返されるが、その中にコストが入ってくることは少ない。日常管理のコスト。問題発生時のコスト。是正処置・予防処置のコスト。これら実コストの把握は欠かせない。算定したリスク値(期待損失)とのギャップ評価も必要だ。
現状の定性的な理解だけで進めていても具体的な経営へのメッセージにはつながらない。
<セキュリティコスト評価>
T投資の部:T1既に実施した投資額+T2需要水準リスクを確保するために必要な追加投資額。
K効果の部:K1既に実施した投資による効果(算定額)+K2投資を実施していないことの効果(期待損失額、K3実現した損失を含む))
T<K
T1<K1
T2<K2<K3
累積的にみるのが本来。年度ごとに見る場合は償却コストなども入れる。
.*.
2012年12月23日
ISMSユーザーグループセミナー簡単メモ
参加した人の話を聞いた。今年2012/12/21の参加者は少なかったようだ。三連休の前だからか。以下は資料と雑談からのメモ。世界の認証取得事業者の半分が日本。それに相応しい活動が展開されている。世界の模範となる活動といっても過言ではあるまい。
.*.
冒頭のサイバーテロに関するセッションは好評だったようだ。問題の全容がコンパクトにまとめられていてスピーチも素晴らしかったとのこと。
ただ、方法論への踏み込みが不十分の印象を受けた。サイバーテロというより現実に繰り広げられているサイバー戦争という認識に立てばもっと深刻だろう。基調講演でも取り上げるべきテーマだったのではないかな。
そんな中でも、囮(おとり)を置く考え方は興味深い。囮監視と追跡システムが実現しているのかアイデアベースかは分からないが。また単一企業による対応の限界も感じる。業界的な取り組みに発展させるアイデアが提案されてもいい。
国会議員の話も出た一般的な事件事例紹介にとどめず、特に落選した場合の、セキュリティ義務への言及も欲しい。
いずれにしてもこのテーマは最重要であり、今後も広く深くスピーディに取り組んで欲しい。
.*.
基調講演は、セキュリティ管理をバランスシートとか会計とか目新しい発想で補足しなおしているのは面白いが、印象としては荒削り。何より、この方法論から導かれる新しいメッセージがどのようなものであるか想起できない。
詳細リスクアセスメントに対する洞察がもっと深まれば、新しい世界へブレークスルーできるかもしれない。あるいは引き返すことになるかもしれない。
対象性/非対象性の話もただの解釈論の話に留まれば詰まらない。初めてISMSに接する人向けの表層的なセッションなら合格。基調講演というなら本質的な時代認識を踏まえた今後の方向性を探る展開を期待したい。
とのことだ。
.*.
クラウド。こいつにはますます混乱させられる。どういう意味合いでクラウド(という用語)を使っているのか分かりにくい。多くのスピーカーが果たして同じ理解に基づいてクラウドと読んでいるのか。
もっとも、クラウドが規格の対象になるのだから、既に何らかの定義はされているのだろう。しかし所謂プライベートクラウドなどのカテゴリーが出てくると、混乱しないわけでもないだろうから、全容の整理が改めて必要になりそうだ。
.*.
改訂版ISO27001の最近の状況が紹介された。分かりやすい説明は今年も好評だった。改定に伴うISMS関係者へのインパクトは小さいと昨年から言われているが、実務者の苦労を知らない上の人の意見だろう。論理的なインパクトは小さいかもしれない。実務者から見たインパクトはBS規格からISO規格に格上げになった時以上に大きいのではないか。
とは言え、規格自体の標準化が進むので複数規格に取り組む組織では、頑張り甲斐が出るかもしれない。
システム規格(27001)と管理策規格/セクター規格の二階建て構造とするものは運用によっては大変な混乱を生むだろうと今から懸念される。「27001+27002」が従来(現状)の基本形だが、来年以降は、「27001+27002+270xx+270xx+〜」による管理策展開になるからだ。
建前を言えば、現状でも「27001+27002+その他必要な管理策」ではあるがその他が付いてくることは先ず無いのが実態だろう。
改訂版27001では、予め詳細検討された技術領域(セクター)が提示されているので27002管理策だけで十分ですとは言い切れなくなった。大きな事業をやっている組織の場合は殆ど複数の技術セクターと関連してくるに違いない。
.*.
言葉の定義、新しい概念の導入など、規格改定に伴う変更がいくつも出ているようだ。日本的価値(TQC?)の扱いの変化の意味するところは特に注意が必要かもしれない。文書になれば独り歩きを始めるのが常だから理解の共有の徹底化が必要だろう。その意味で、当グループの果たしている役割は賞賛に値する。
.*.
BCPに関する検討会は苦労しているようだ。多くを語ろうとして焦点がボケてしまったというと失礼だが、これが正にBCPの本質かもしれない。異なる企業文化の間で一つのBCPを形にするのは至難ということです。
しかし、多くの留意すべき観点、アイテムが提示されたことには感謝しなければいけない。BCMS規格の用語なども参考に整理していけば大いに有用なはずです。
.*.
マインドマップ(MM)の応用。最近は中高生でも利用する人がいるくらいアイデア整理のツールとして使われているものだ。個人でも複数人でも超次元的に使えて便利といえば便利なものだが、似たようなことは誰でもやっているので初めて接する人にも抵抗は無い。
フィンランドでは小学生?の作文や地理の時間でも利用している。思考の地図(マインドマップ)は世界の共通語になる日が来るね。試行錯誤を楽しむ道具みたいだ。アングリーバードの会社(ロビオ?)でも商品企画検討に利用しているとか。新たな可能性も其処にはあるから。
しかし、ISMSの方法論にマインドマップ(MM)を使おうとする試みはやはり理解を超えている。何がMM利用のゴールなんだろう?。リスクアセスメントを事例に利用例の紹介があったようだが、何か網羅的に一般解を求めているわけでもないだろうに。業界が変われば、業務が変われば、人が変われば、時間が変われば、MM展開する内容はどんどん変化するのではないだろうか。
同じMMを使い続けると発想か固定化する?。
再度、原点に戻ってテーマを見直してみるのも良いかもしれない。(余計なお世話ですね?)
.*.
有効性評価。定義からして難しそうだ。色々な考察が紹介されていたらしい。目的・目標と手段の相関を理解することが有効性評価。
実施度という視点を取り込んでいるのは面白いが、実施度が低いから有効性(達成度)が低い、実施度を上げれば達成度は上がるとする発想は要注意。
議論は方法論、施策によりすぎた印象。目的の定量的な理解に視点が行くともっと分かりやすかったかもしれない。
.*.
兎に角。J-ISMS-UGの活動は素晴らしい取り組みの一言です。
.*.
2012年12月13日
NEXCO中日本(中日本高速道路)の保守管理は犯罪的?他人事にあらず?
笹子トンネルは9月に5年に1度の重点検を実施した後に、9人死亡の事故。下り線の点検では670箇所の不具合箇所。
天井が高いから望遠鏡で眺めただけ。それで点検終了だったの?。人が死ぬまで放置していただけじゃないですか。言い方を帰れば、誰か犠牲者を出してから(要するに誰かを殺してから)、修理が必要なら修理をしてやろうという論外の経営だったということですね。言い訳無用。
記者会見で、いま捜査を受けているからといって何の説明もしようとしない中日本の管理者。今から二枚舌を使う予定なのか。真実を言うなら操作であろうがメディア(国民への説明)であろうが、いうことに変わりはないだろう。早くも裁判を有利にと言う視点じゃないか。
双眼鏡で覗くだけで不具合が発見できたのはどれくらいかと記者から質問されて即答できない。恐らくこのメディアの前に姿を出した男は実態把握ゼロなんだろう。外部委託で済ませてきただけ。自分は運が悪いくらいにしか思っていないのだろう。
.*.
記録管理
表層的なISMSでお茶を濁す企業は、実態を知らないコンサルも審査員も、記録管理は記録の保管と思い込んでいる。
言われるまでも無く、統計・分析・評価も記録の管理ですよ。
大事な部屋への入室の記録はログを採っています。ログは保管しているし、バックアップもあります。となって何処の経営者が満足できますか。
記録が何処かに有るだけではまったく管理としては不十分。記録から経営(マネジメント)へのメッセージを引き出して初めて記録管理は始まる。
方法論・手順は狭義の文書管理で明らかにすれば良い。もっとも、次のバージョンでは文書vs.記録の不毛の議論に終止符を打つべく文書管理で一本化されるようだ。
.*.
2012年12月08日
マネールックのコンプライアンスは大丈夫か?
マネールックは元はヤフー!とかSBIとかが運営していたが、今は関連会社?のイー・アドバイザーが運営している。
サービスの利用規定を少しずつ見直しているが、少し怪しい内容が出ている。利用規約の7条の3項に追加された内容
「3.当社は、第10条または第11条により、会員登録が抹消され、または会員が本サービスから退会した場合には、当該会員が本サービスの利用にあたり入力または取得し、当社のサーバに保存されているすべてのデータを当社の判断により削除または保存することができるものとし、会員はこれに異議を述べないものとします。」
がそれだ。利用者が自分のデータを削除できないことに合意を求める内容だが、コンプライアンスは大丈夫だろうか。法律違反しているのではないだろうか?。個人情報保護法は利用者が自分のデータを削除するよう求める権利は明示しているのに、この規約は権利放棄を要請するものであり、しかもいきなり勝手にそのことを要請し(表示して)、容認しなければサービスの継続利用を拒否する内容のもので、完全なコンプライアンス違反かどうかは法律家の出番であるにしても、社会的には決して容認できないものだ。
イー・アドバイザーのコンプライアンスはいつもこの程度なんだろうか。運営委託したときにいくつか懸念したことが少しずつ顕在化してきた印象を持つ。
.*.
マネールック
個人向けの資産管理サービス。個人顧客開拓の一環としてSBI証券とヤフー!が協力して提供してきたサービス。マイクロソフトマネーなどが撤退する中でもっとも価値の高いサービスを提供していたが、1年位前に別会社にサービス事業が移管された。
イーアドバイザー
SBI系のITサービス会社?
.*.
情報資産台帳の要件
(1)当該情報にアクセスするための情報が網羅されていること。台帳から現物が辿れること。
(2)当該情報の管理レベルが明確なこと。機密性要件、可用性(アクセス時間)要件、完全性要件。
これまで完全性要件の議論はあまりやっていなかった。完全性維持の一環としてのバックアップのレベル。「正」情報と同一であることを維持する施策のレベル。「正」情報を利用していることの確証を示す施策レベル。
.*.
2012年12月03日
中央道・笹子トンネル崩落事故の教訓
中央高速道路・道笹子トンネルで発生した天井崩落事故は9人の死者を出す痛ましいものと成ったが、ここでISMS関係者はどういう示唆を受けるだろうか。学ぶべきことは少なくない。
<順不同>
交通路の遮断:
情報ネットワークの遮断については十分に検討する癖が付いているが、こういった物理的な交通路が遮断されたときにどのようなリスクが発生するか、リスクアセスメントで十分検討されているか。
物理的媒体による情報のデリバリーまたは調達に対するリスク評価
情報システム関連機材のデリバリーまたは調達に対するリスク評価
緊急時の代替手段の確保
検査の有効性:
今回の教訓でこれは最大重要なものです。崩落事故の2ヶ月前に5年に1回しかやらないもっとも念入りな検査を終えたところですが、危険性について把握できなかったという事実があります。
ISMSでも多くのチェックプロセスを入れていますが、その有効性を正しく把握できているかという問題が突きつけられます。
ISMSの有効性評価:
無能な経営者はこのテーマに対してしっかりした意義認識も無ければ方法論の理解も有りません。適当なものでお茶を濁している経営者よりは、答えが見つけられずに悩んでいる経営者の方が健全です。
有効性とは目的に対する方法論(=管理)の有効性ですが、一般に「管理の目的」とは何かと問われれば簡単に答えを見つけ出せるのに、「ISMSの目的」とは何かと聞かれると急に難しくなる。それは当然のことなんです。
親会社から言われたから(仕方なく)始めただけのISMSでは最初のボタンの掛け違えを起こすことは珍しくありません。
答えが簡単すぎて申し訳ありませんが、目的はリスクの最小化ですね。この場合も達成したリスクの値で見る場合と、軽減できたリスクの値で見る場合と、2つの視点は欠かせません。
《ちなみに崩落事故ではリスクアセスメントはまったく実施していなかったと思われます》
マネジメントレビュー:
経営者レビューですから大所高所的な判断でかまいませんが本質は把握すべきです。世の中の重大な事件・事象を投影させることです。3.11大地震がどのように反映されたか、サイバーテロがどのように反映されたか、など。要は生きた仕組みかどうか。発生した事件事故に対する対処の本質性。データ類の統計的理解。あまりにきれいなデータの嘘を見抜く。無能な経営者は素通りします。もっとも彼らは本当は有能だけど時間が無いから目が届かないと無能経営者の典型的な説明をします。
内部監査:
社内の遠慮、毎年担当が変わる(いつも素人)、十分時間を取らない(余計な仕事になっている)、自己申告で済ませる、など内部監査の有効性を阻害する要因はいくらもあります。形式的な内部監査でも表層的な問題を見つけることは可能ですが有効性には問題が出ます。部門のマネジメントの問題を指摘できなければ無意味です。「罪を憎んで人を憎まず」は考え物。人(力量)が決定的です。仕組みの問題、人の問題をしてできない内部監査はやり直し。
日常的な監視・点検:
データを統計的に見る目が必要。昨日と今日の違いが見える監視点検をやることです。実際に生じた事象から日常的な監視点検活動の有効性がレビューされなければいけません。インシデントと監視が連携していなければ無意味です。
.*.
今回の崩落事故でも、吊り棒が落ちた原因として、地震の影響、鉄筋の劣化、地下水などによる腐食などいくつか可能性が素人の評論家によって述べられています。誰でも気づく懸念事項。
では、定期的な点検で、それらはどのように点検されたでしょうか?。彼らは何もやっていません。昔からの10年1日のやり方で吊り棒をたたくだけです。懸念事項と点検活動が何もリンクしていない。只の形式的な責任逃れのための仕事ですね。
これを何年も放置しているのは経営者の犯罪といっても過言ではないでしょう。
.*.
2012年11月30日
情報システム部門のマネジメントポリシー
情報管理部門、情報統括部門、システム統括部門、情報セキュリティ統括部門、どれもこれも似たようなものです。厳密に言えば、そのコンセプトの本旨とするところは違いますが、実態は同じようなものです。
とりわけ、情報インフラの管理は必須要件ですから、経営陣の思いがどうあれ、企業内で最大のストレスを受け止めるしかありません。
情報システム部門に対する要求は矛盾の塊です。
超安定と超革新。
.*.
システム部門は保守的?
企業を知らない人の意見だろう。若しくは愚かな経営者に委ねた企業の姿だろう。絶えざるチャレンジに追い込まれるのが実態。予算不足、人材不足で、最高のシステムサービスを要求されて、パニック寸前。
勿論、運用サービスの現場は保守的スタンスを取る。当然のことだ。
新しいチャレンジは小規模な部門、子会社、関係会社で実験をしてからというのもある。
.*.
適正予算規模。これが問題です。金くい虫。システムは直ぐに陳腐化する。競争優位を維持するには貪欲に金を要求する。下手に計算式をつくってみても、投資回収前に次の投資を求められる。割が合いません。決して保守的なのでない。金が無いのだ。
.*.
時代は変わった。静的なインフラとして情報システム・情報ネットワークを捉える経営者はもういない。
いまや、情報インフラは事業の骨格そのものだ。
.*.
クラウドvs.オンプレミスの混乱
言葉が勝手に踊るものだから初歩的なところで取り違えてわけが分からなくなる。
一般にクラウドとはインターネット環境、少し協議にすればWEB環境。ですが、クラウドコンピューティングといった瞬間に混乱が発生します。IT担当者でも。インターネットを利用したコンピューティング、WEBコンピューティングをクラウドコンピューティングと捕らえる場合です。これ自身が間違っているわけでは有りません。
しかし、クラウドコンピューティングとは仮想化技術と定義する場合も有ります。サービスを提供しているサーバーを特定しなくて良い技術?。そのサービスがWEBサービスである必然性はありません。サーバー利用(運用?)における仮想化技術。設備の増設縮小も容易とか。
物理的なサーバーハードウエアを特定しないサーバーパフォーマンスの提供技術?
社内専用システムをクラウド(仮想化技術)で実現しても構いません。もちろん、WEBサービスをクラウドで実現しても。
.*.
オンプレミスは別の概念。設備の自前化。そのサーバーが従来型の専用サーバーでも構いませんし、クラウド型でも構いません。もっともクラウド利用には一定の規模がないとメリットは出ないかもしれません。
自社設備か他社設備利用か。これがオンプレミスか否か。
設備に使われる技術がクラウドかどうかは別次元。
.*.
クラウドという言葉が独り歩きをしたがために余計な混乱をしてしまった向きはあちこちに結構いらっしゃるようです。
もっとも、時間の経過で意味が再定義されることもありますから、油断禁物という奴です。
.*.
2012年11月29日
全日空ANAの2013/02予約情報消失事故はISMS担当者の恥さらし?
全日空ANAはISMSの認証を取っていないのだろうか?
全日本空輸のサイトを見てもISMSに関する記述は見当たらない。変わりにプライバシーポリシーを覗いてみた。個人情報の開示請求は有料設定だ。500円。ちょっと確認したいときでも500円は高い。誰もが全日空並みの給料をもらっているわけではない。人の情報を都合でしかも無料で収集しておいてその確認の時には500円も払えというのはお役所的だ。
ANAがISMSの認証も取得できないでいるなら、なおさら情報セキュリティの担当役員(CISOまたはCIO)は恥ずかしいだろう。予約システムの停止事件も記憶に残るが、ANAのシステム担当者は駄目だな。CIOは誰なんだ?。
システム関係は子会社に一切任せているから本体は知らないで通しているのかな。そうなると役割責任と権限の関係もゆがんでいる事になる。経営体の問題だ。
さて、
情報消失はきわめて初歩的に管理システムの欠陥だ。バックアップを取るのが常識。予約などという不連続に発生する情報の場合はリアルタイム性も要求される。ミラーリングとか。プラス、夜間バッチでの確保も。
2月分全部がずっこけるというのはありえない事故だ。
担当者が意図的に削除したとしか考えられない。
大いなる勘違い?
ログからの掘り起こしでも復旧できそうなものだが、ログ管理も中途半端だったわけかな。ログまで消していたら犯罪だからね。
.*.
CEO vs. CIO vs. CISO :ISMSは誰のもの?
他にもCで始まる略語の役員はたくさんありますから、情報系の役員だけ切り出すことにはあまり意味が無い。
ですが、
情報システム〜情報管理は最大の金くい虫。企業体質を作る主戦場。ここは技術の変化が激しく、ベンダー視点、ユーザー視点、ともに高い専門性が要求される。
CIOは、だから、CEOから尊敬されるくらいの力量が必要だ。IT経験の無い「名ばかりCIO」では会社は混乱する。置かない方が良い。CIOはCEOより難しい。人材も少ない。依然は一線で使い物にならない人材が情報部門にまわされることが多かった。
CISOは情報セキュリティ担当役員。独立性あるいは牽制の観点からCISOを設置する企業がいるのには驚かされる。しかも、CIOと同格の役職として設定しているのだから、ままごとみたいな役員ごっこだ。
機能設計と役割体制は別。
CEO>CIO>CISO
人をアサインしたら当然こうなります。うん?
機能別に主管する役員を設定しても構いませんが、ISMSを導入するときは要注意。CIOが放置してきた領域が、ISMSのCISOでは明確な業務領域として入り込んできますから、それをもってCISOだけ責任領域を広げ、CIO責任領域を修正しないで置くといびつな管理体制になります。
.*.
2012年11月26日
業務委託時にソフトウエアを貸与できるか?
業務委託では、委託先にいろいろなものを貸与または支給することがある。要求スペックの詳細、開発または製造に際して注意すべきこと。
特定のパーツ支給や、特注となるツール類。
ソフトウエアやソフトウエアをインストールした環境まで支給することがある。
著作権を有するソフトウエアの場合は、自社開発ソフトウエア、あるいは著作権を有するソフトウエアの取り扱い規定に基づくことが求められる。この時は主に自社の著作権が侵害されないことが主眼となる。
他社の著作物であるソフトウエアを貸与する場合は他社の著作権を侵害しないことに注意することが必要。貸与の前にライセンス契約を確認しよう。事後にコンプライアンス違反が発覚したときに生じる損害の大きさを考えて必ず事前に確認すること。
会社の業務委託に関する規定の中でライセンス違反の有無を事前にチェックさせることを明記すべきだろう。
割と多いのは、大きな企業が内で買った方が安いからこちらから支給するケース。委託先利用がディスカウント対象になるかどうかは要チェック。
.*.
2012年11月21日
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2012」
今年のISMSユーザー会セミナーの案内です。取り敢えず申し込んでおきました。場所は昨年と同じ新宿でクリスマス前の21日(金曜日)です。ボランティアの方々のご尽力に感謝したいです。
.*.
http://j-isms.jp/
日本ISMSユーザグループ
「情報セキュリティマネジメント・セミナー2012」のご案内
セミナー概要
日本ISMS ユーザグループ「情報セキュリティマネジメント・セミナー2012」を以下のとおり開催しますので、ご案内させていただきます。
本セミナーでは、日本ISMSユーザグループで検討を進めている、「情報セキュリティマネジメントシステム(ISMS)の実施・運用に関わるベストプラク ティス」を、利用者の視点から整理・検討した結果を報告します。具体的には、以下のプログラム(予定)のとおり、現在のISO/IEC JTC1/SC27のISMS関連規格の動向把握に加え、日本ISMSユーザグループメンバの実施経験をベースに、ISMS実施・運用に関わる課題を導出 し、主に運用管理、内部監査、及び有効性評価などの課題に焦点を絞った具体的な解決方法に関する検討内容を共有します。
開催概要
日 時
2012年12月21日(金)13:00-17:35(12:30受付開始)
会 場
工学院大学新宿キャンパス
[高層棟3階]URBAN TECH HALL(アーバンテックホール)
住所:〒163-8677 東京都新宿区西新宿1丁目24番2号
主 催
日本ISMSユーザグループ
定 員
250名
費 用
無料
ご注意
・定員となり次第お申し込みを締め切らせていただきます。
・記載の内容は予告無く変更する場合がございます。あらかじめご了承ください。
・会場での資料配布はありません。あらかじめホームページからダウンロードの上、ご持参ください。
*本年度のセミナーは、13:00開始です。お間違えのないようにお越しください。
プログラム
資料は現在準備中です。(アップロード予定:セミナー開催5日前)
講演内容(予定)
スピーカー(予定)
1
セミナー開催のご挨拶
(13:00-13:10)
日本ISMSユーザグループ
代表 中尾 康二
(KDDI(株))
2
APTによる攻撃の最新動向
(13:10-13:30)
日本ISMSユーザグループ
代表 中尾 康二
(KDDI(株))
3
基調講演:クラウドセキュリティ監査と情報セキュリティ会計
(13:30-14:00)
工学院大学
大木 榮二郎
4
ISO/IEC27000シリーズの改訂とWG1におけるクラウドセキュリティ規格化の動向
(14:00-15:00)
SC27/WG1
主査 山崎 哲
休憩(15:00-15:10)
5
ISMS実践手法 BCPのモデル化の検討
(15:10-15:50)
インプリメンテーション研究会
副主査 魚脇 雅晴
(NTTコムテクノロジー(株))
6
可視化手法を用いたリスク対策モデルとその実践的応用
(15:50-16:30)
インプリメンテーション研究会
主査 羽田 卓郎
(リコージャパン(株))
7
管理策の有効性測定
(16:30-17:10)
メジャメント研究会
主査 岸田 明
(綜合警備保障(株))
全体の質疑応答(17:10-17:25)
8
本日のまとめと入会のご案内
(17:25-17:35)
日本ISMSユーザグループ
事務局長 工藤 悦郎
(NTTデータ先端技術(株))
送信完了
ご登録ありがとうございました。
後ほど受付完了のご連絡と受講票をメールにてお送りいたします。
受付完了のご連絡のメールが届かない場合は、お手数ですが下記セミナー事務局までお問い合わせください。
なお参加者多数の場合はご参加いただけない場合もございますので予めご了承ください。
ご参加いただけない場合は、その旨事務局よりご連絡させていただきます。
日本ISMSユーザグループ セミナー事務局 seminar2012@j-isms.jp
.*.
2012年11月16日
(組織課題)
Google
Open Computer Network
NTT Communications Corporation
U's Communications Corp.
KDDI CORPORATION
InfoWeb(Fujitsu Ltd.)
Microsoft Corp
Softbank BB Corp
IIJ Internet
NTT Plala Inc.
NTT PC Communications,Inc.
OCN Provided By NTT-Communications which is ISP
Microsoft Hosting
BIT-DRIVE
NEC BIGLOBE Ltd.
Marubeni Access Solutions Inc.
K-Opticom Corporation
DION (KDDI CORPORATION)
HITACHI
Nec Corporation
Fujitsu
SOFTBANK TELECOM Corp.
Asahi Net
InfoSphere (NTTPC Communications, Inc.)
@Home Network Japan
Equinix Asia Pacific
UQ Communications Inc.
NS Solutions Corporation
So-net Service
Sony Business Solutions Corporation
Ntt Docomo
Chubu Telecommunications Co.,Inc.
Internet Initiative Japan
eAccess Ltd.
Open Data Network(JAPAN TELECOM CO.,LTD.)
Otsuka Corporaion
Panasonic Corporation
Kyushu Telecommunication Network Co., Inc.
Dream Train Internet Inc.
YAMATO SYSTEM DEVELOPMENT CO., LTD.
Osaka Gas Information System Research InstituteCo.
FreeBit Co.,Ltd.
So-net Entertainment Corporation
Mitsubishi Electric Corporation
NTT NEOMEIT CORPORATION
XePhion(NTT-ME Corporation)
Sony Corporation
TOKAI Communications Corporation
Fujitsu Limited
VECTANT Ltd.
Ntt-me Corporation
Chubu Telecommunications Co., Inc.
INTERLINK Co.,LTD
Oki Electric Industry Co., Ltd.
TOKAI Corporation
UEDA CABLE VISION CO.,LTD.
Hare no Kuni Net
Kyushu Telecommunication Network Co.,Inc.
NTT Software Corporation
GLORY LTD.
Broadgate
eMobile
NTT DATA CORPORATION
Excite Japan Co., Ltd.
Y2S Corporation
SECOM Trust Systems Co.,Ltd.
Rakuten, Inc
IWATSU ELECTRIC CO.,LTD.
Japan Radio Co., Ltd.
Nomura Research Institute,Ltd.
TOKYU STAY Service Co., Ltd.
SAGAWA EXPRESS Co.,Ltd.
Dream Wave Shizuoka Co., Ltd.
Wingtechnology Communications, Inc.
NTT Communications
TOSHIBA I.S. CORPORATION
Nihon Unisys, Ltd.
Its Communications
Sekisui Chemical Co., Ltd.
Kagoshima University
PAL CO.,LTD.
KDDI R&D Laboratories Inc.
Yamaguchi University
CITIZEN
Aichi University
INFORMATION SERVICES INTERNATIONAL - DENTSU, LTD.
hi-ho Inc.
Canon Marketing Japan Inc.
EHIME CATV CO.,LTD.
SOUTH TOKYO CABLETELEVISION
EDION Corporation
audio-technica Corporation
Kanden Information Systems Company,Incorporated
J:COM WEST Co., Ltd.
SAKURA Internet Inc.
JEOL
SOFTBANKBB Corp.
Ministry of Agriculture,Forestry and Fisheries
Sanyo Medicom Software Co.,Ltd.
Japan Atomic Energy Research Institute
National Hospital Organization
ELNA., CO.LTD
Yokohama Cablevision inc.
Tata Communications
HORIBA,Ltd
Mitsubishi Research Institute DCS Co.,Ltd.
Tohmatsu & Co.
Niigata Communication Service
DIGITAL TECNOLOGIES CORPORATION
TOYOTA DIGITAL CRUISE INCORPORATED
FUJITSU SOFTWARE TECHNOLOGIES LIMITED
BENIC SOLUTION CORP.
D.C.N. Corporation
Yokohama National University
Toyo Networks & System Integration Co.,Ltd.
KANAZAWA CABLE TELEVISION NET CO.,LTD.
RICOH Company, Ltd.
FirstServer, Inc.
FLAG Telecom Ltd
Cable Network Chiba Co. ltd
AP Communications Corp.
MEIDENSHA CORPORATION
Japan total system incorporated.
National University Corporation Okayama University
SUMITOMO BAKELITE COMPANY LIMITED
Mini Mini Corporation
Tyco Healthcare Japan Inc.
Mitsubishi Electric Information Technology Corp.
NAMCO
KATCH Network Inc.
Nihon Fukushi University Educational Group
eSOL Co.,Ltd.
Nippon Office Systems, Ltd.
Panasonic Electric Works Information Systems Co.
Birds Systems Research Institute,Inc.
JAPANESE STANDARDS ASSOCIATION
SANNET INTERNET SERVICE
TAISEI CORPORATION.
Kansai Paint Co., Ltd
DAIKIN INDUSTRIES, LTD.
Hokuden Information Technology,Inc.
COMMUNITY NETWORK CENTER INC.
ZTV CO.,LTD
ASATSU-DK INC.
Kashiwazaki Internet Service
WASEDA University
TERUMO CORPORATION
GMO Internet,Inc.
Mitsubishi UFJ Securities Co., Ltd.
ITOCHU Techno-Solutions Corporation
KYOCERA Corporation
Ogilvy & Mather Japan K.K.
Sammy Corporation
IPSTAR Company Limited
Toshiba Solutions Corporation
Mitsubishi-logistics Corporation
ITEC HANSHIN CO., LTD
Pikara(STNet, Incorporated)
Cable Media WAIWAI Co.,Ltd.
The Sumishin Information Service Co., Ltd.
NTT COMWARE CORPORATION
KONICA MINOLTA HOLDINGS, Inc.
Matsushita Electric Works Infomation Systems Co.,L
LCV Corporation
Suntory Business Expert Limited
ITEC HANSHIN CO.,LTD.
Suzuka Cable Co.,Ltd
NS Computer Service Corporation
Dai Nippon Printing Co., Ltd.
U-net Internet Service SURF
Ministry of Land, Infrastructure and Transport
Naganoken Kyodou Densan Co.Ltd.
maruha co.,ltd
SIOS Technology,Inc.
Densan Co., Ltd.
TOKAIコミュニケーションズのISMS
ここもインフラの会社ですね。
.*.
KDDIのISMS
通信インフラサービス会社かな。
最大は可用性。完全性。機密性。難儀な会社ですな。
顧客情報も多い。どのように管理しているか気になります。
KDDIのセキュリティポリシー
"KDDI社内"のセキュリティ事故
"KDDI社内"のセキュリティ事件
.*.
日立のISMS
組織が大き過ぎる。セキュリティマネジメントは困難である。深刻な課題である。グループ企業、協力企業などを視野に入れれば一般的な対応では到底追いつかない。
専門組織による統治機能が末端までいきわたる仕組みが必須。セキュリティ憲法が日立内に必要。
日立グループに連なる誰か一人を捉まえて話を聞けば憲法の本質が見えてくるはずである。
日立のセキュリティポリシー
どうだろう?有言実行か今夜の白袴か。ベンダーとしてコンサルタントとしてアクティブに関わっているが日立自身はどのような状況にあるんだろう。
"日立社内"のセキュリティ事故
"日立社内"のセキュリティ事件
ネガティブメッセージを外に出さない仕組みもあるのでネット上では本当のことは分からない。顧客やパートナーを巻き込んだケースになれば表に出てくるものもあるだろうが、事例は少ない。
.*.
各事業部門、各グループ企業、各部門はそれぞれの業界それぞれの部門のセキュリティ要求を受ける。
.*.
2012年11月11日
ISMSにおける中国リスク
中国リスクをあげたらキリが無い。存在そのものがリスクだし、昨今の敵対的な出方を視野に置けば、一切合切がリスクに見えてくる。人も情報も早々に引き上げるべしだね。中国で儲けようなんて考えること自体がリスクだ。
中国人、中国資本、関連企業が近づいてきたら先ず身構えなければいけない。美味い話は危険な話。
中国という国のやり方は十分学習したでしょう。材料であれ、設備機器であれ、サービスであれ、資金・融資であれ、依存してはいけない。どういう事態でどういうとばっちりを受けるか分かったものではない。
各企業・各組織は自らが抱える中国リスクを早急に評価すべきだ。関連会社の中国リスクも押えておくことだ。
.*.
2012年11月10日
日本ISMSユーザーグループ(J-ISMS UG)
ユーザーグループって感覚はどうかと思うがISMSの規格を利用活用しているという意味では立派なユーザーになります。そういう意味ではコンサルも審査機関もユーザーかな。
http://j-isms.jp/index.html
有意義な活動が広く公開されて賞賛に値します。今年も高齢の「情報セキュリティマネジメント・セミナー」が開催されます。201/12/21(金曜日)
まだ参加者募集案内は出ていませんが、事情が許せば参加してみたいものです。
遠隔操作ウイルス・ネットバンキングウイルスの話はスキップできないでしょうね。
隣国からのサイバー攻撃も無視できません。大手企業がメンバーに入っている当グループにとっては中国・韓国筋からの情報盗用は深刻ですから多いに啓蒙すべきです。特に中国は法的にも勝手が違いますから徹底した防戦に向けた施策を啓発すべきです。
また中国の執拗な日本攻撃もISMS領域も含めたリスクとして検討を加える必要があります。中国企業との取引の有無、中国に組織の一部、即ち企業情報を置いていることによるリスク評価、事業継続関連のリスクなどについても考察が求められます。
クラウドについては依然問題が残ったままです。信頼性問題もあればコンプライアンス問題も状況は変わっていません。
規格の次期バージョンの進捗と有効性についての議論も欠かせません。規格自体の問題と規格運用の問題をクリアにした議論が待たれます。
.*.
2012年11月03日
国家的損失を招いた新日鉄の情報セキュリティ水準
新日鉄がポスコを提訴した。新日鉄の元社員を使って企業の極秘情報を盗み出したからだ。この極秘情報はポスコから中国に盗み出されたようだ。新日鉄の極秘技術「方向性電磁鋼板」は40根二条かけて開発してきた超極秘情報。それを研究職社員が盗み出して売り払ったものと思われる。日本国家への大損失を招いたサラリーマン史上最低の社員だろう。いずれ実名なども公表され社会的制裁も加えられることになるだろう。
それにして、
新日鉄の情報セキュリティはどのようであったのか。超機密情報が易々と盗み出されたのではないだろうが、ポスコから盗んだ技術で作った商品が表に出てくるまで何も分からなかったなんて。セキュリティ管理体制が、そもそも拘置されていたのかどうかさえ怪しいものだ。ISMS認証などはどうでもいいが、実際にやることをやれなければ極秘情報も何もないだろう。ずさんな管理実態がもしあれば、裁判に勝つことさえできなくなる。
問題は本当に大きいのだ。裁判に買ったところで、流出した技術は戻らない。特許もとってなければひっくり返る。注意しろ!。中国のいんちき木牛は特許だけ世界のあちこちに申請しているだろう。新幹線技術さえ、自分たちのものだと言い張って特許取得に動き出す国なんだ。
.*.
ISMS?これは絶対に必要。認証取得はどうでもいいです。コンサルとか審査員に機密情報をさらす必要はない。彼は認証取得のノウハウには長けていても本当のセキュリティ技術に長けているわけでないし、そもそも何の責任能力も持っていない。
社内にISMSの専門家がいなければ、しかし、外部の力を借りるのは止むを得ない。商売っ気の多い、コンサルファームや審査機関は捨てて、純粋なセキュリティアドバイザー(経験のあるボランティア)の意見を聞いてみることだ。
セキュリティが甘いと国家の損失ということをしっかり理解すべきだ。その企業・団体だけの問題では済まないのだ。
懲罰的活動(提訴)もしっかりやらなければいけない。問題を(ソフトバンクのように)闇から闇に葬るようではいけないのです。
.*.
2012年10月30日
BYOD(バイド?ボイド?)の普及と課題
テレビを見ていたらBYODとテレワークを混同して解説する人がいたが、確かに同じような側面を見せるので混同しやすいが、問題の本質を遠ざけてしまう懸念がある。注意してください。
古い話。労働時間の管理。労務管理。これらはサテライトオフィス、在宅勤務などの経験や議論で各企業で消化してきた。その話とBYODの話を混在させている人がいる。
会社の中に個人所有デバイス(私物)を持ち込むとき=BYODのメリットとデメリットをしっかり把握すべきだ。
とは言え、
今の最新のIT環境の中で、改めてサテライトオフィス、モバイルワーク、在宅勤務を検証すること自体は十分に価値あることだ。
.*.
従来のテレワークに関するリスク健勝に加えて、BYODでは会社の管理下にない電子デバイスがオフィスとかに入ってきて正々堂々と広げて使われることのリスクを評価する必要がある。
万能スマホ、超高性能ノートブック。
自宅でウイルスにさらされたこれらがオフィス内に入ってくる。オフィスの映像も音声もセンスされる。会社のネットに接続される。
オフィスに入ったデバイスの中でそのマルウエアアプリには何ができるか?
盗聴機、盗撮機が仕掛けられ、ログは収集されるが、会社からは送り出さない。ネットは監視されているからだ。
.*.
BYODを安全に利用する手順
監視ツールを入れる。
全てのアプリ、ユーティリティを停止させる。
許可されたものだけが監視下で再起動。
開始時ステータスと終了時ステータスをチェック。
.*.
2012年10月21日
なぜ?ランサムウエア(ransom ware)は成立するのですか?
人質ウイルスといわれる手口。どうでしょう。2,3年前から出ているでしょうか。 パソコンに取り付いて、やることは恐喝。ソフトアプローチは、感染しているから除去ソフトを購入しなさいとやるもの。最初はこのパターン。実際には感染も何もしていない。勘違いを助長して売り込む。
次は実際に感染させてしまう。既存のウイルス対策まで停止させてしまう手順を入れる。
犯人が指示する対策ソフトを入れてもPCが元に戻る保証は無い。
要求を無視したときの悪事はファイルの破壊、ファイルの流出、サーバー攻撃。ウイルスを他のPCに感染させるのはどの場合も行う。彼らの飯の種だから。
被害者は僅かな金でこの危機を回避出来るなら払ってしまおうとなる。だからターゲットは個人ユーザー。しかし、企業が狙われない保証はない。
<防御>
防御は月並みです。犯人はロングテールビジネスの積もり?。たまたまのうっかりを狙っているので、セキュリティに明るい人でも油断なりません。
最新のOS、ユーティリティ、アプリケーション。
最新のウイルス対策ソフト
有名でないサイトや知らないサイトにアクセスしない。
検索を踏まえてアクセスするがヒットする他の記事にも目を通す。問題のサイトの場合は関連記事もヒットすることが多いし、信頼度も確認できる。
メールやブログの記事の中のリンクから直接アクセスしない。ブログやメールの信頼度を確認してから。
知らないメールは開かない。知らないメールの添付(画像、音楽、なんでも)は開かない。記載されたリンクにアクセスしない。
.*.
ISMSでは?
従業員と従業員のパソコンに対しては教育・周知・監視が基本。
情報システム部門に対してはサーバーレベルでのWEBアクセスとメールの監視とシャットアウト。
サーバーが受けている攻撃の解析。そろそろビッグデータ解析手法を使って真面目に対策しなさい。
.*.
.jpg)
