機密情報の管理で基本的なこと

機密情報の管理で基本的なこと

機密情報には機密情報と記載することです。もしくは機密情報であることを明確にすることです。機密情報であることを明らかにすることにより周囲の人にも機密として扱ってもらうことが出来る。

馬鹿な理屈こきは第三者にも分らないように識別しないと主張する。ゴミと同じ扱いにしてしまう。周りの人もゴミと同じ扱いをする。機密情報はやすやすと流出してしまう。

「識別しない」管理策に似ている。識別しないのは管理しないことですからこれは只の詭弁です。

主な資源管理ツール

主な資源管理ツール

1. QND
2. QAW : Quality Asset Watcher
3. EasyAssetManager
4. Management Core
5. Pallet Control
6. Asset Base
7. Lan Scope
8. LANDesk

スマートフォン用ウイルス対策ソフト

スマートフォン用ウイルス対策ソフト

色々有るようだ。殆どがアンドロイド向けです。アイフォン向けは知らない。

機能

1. ウイルス検索
2. 演歌クロック
3. 遠隔削除
4. 端末検索
5. 不正サイトブロック
6. ＳＩＭカード保護
7. 迷惑電話
8. ＳＭＳ対策
9. 圧縮ファイル検索
10. ペアレンタルコントロール

シマンテック：ノートン、トレンドマイクロ：ウイルスバスター、などメジャーなベンダーからは既にリリースしている。無料のソフトもあるようです。

PhishChecker, Perfect AppLock, tSpyCheckerなど。

パソコンのフリーソフトで有名なアバスト(Avast!)は如何だろう。既にリリースしていました。グーグル本体で提供しなければこの無料版で充分でしょう。

avast! Mobile Security

http://www.avast.co.jp/free-mobile-security

スマートフォンのセキュリティ

スマートフォンのセキュリティ

連絡先、電話番号、メールアドレスの流出

ウイルス感染（端末の乗っ取り）

フィッシング詐欺

.*.

スマホ・ウイルス

1. Gemini　：　遠隔操作リスク
2. DroidDream　：　トロイの木馬

多くの場合「アプリ」の中に問題が潜む。アプリの作成者が悪意を持つケース、他人のアプリを改ざんして（ウイルスを入れて）いるケース、

.*.

1. 身元不明（提供元不明）のアプリはインストールしない。
2. 身元不明のアプリインストールを許可するのチェックは必ず外しておくこと。デフォルトがどうなっているか確認しておくこと。
3. 野良アプリサイト（公式マーケット以外をこう呼ぶらしい）からのダウンロードは行わない。

仮に公式マーケットサイトであっても、アプリに対するチェック体制は無いに等しい。アプリの機能紹介を見て以下の内容が含まれる場合は怪しいらしい。

1. 電話番号発進
2. ＳＭＳメッセージの送信
3. 連絡先データの読み取り
4. 機密ログデータの読み取り
5. 端末のステータスとＩＤの読み取り
6. 既知のアカウントの取得

私物の持込を禁止する理由

私物の持込を禁止する理由

1. 会社の情報が持ち出されるリスクを抑制する
2. 会社に不適切な情報が入り込むリスクを抑制する

＜画像・映像・音声＞

デジカメ、携帯電話、タブレット端末、ノートパソコン、ＩＣレコーダーなど。書類や液晶モニター画面を撮影して持ち出せる。会議内容を録音して持ち出せる。

データをメモリやストレージに落として持ち出せるから、メモリーやストレージそのものあるいは内蔵できる機器類。ハードコピーに印刷しても持ち出せる。

＜内部データ＞

ＵＳＢ、ＣＤ/ＤＶＤ、可搬ＨＤＤなど媒体へ抜き出して持ち出せる。

持ち込みＰＣ/タブレット/スマホをネット接続して直接持ち出す。

.*.

社員がその気になったら持ち込み、持ち出しを止めるのは容易でない。

.*.

私物の持込を禁止しても、ネットを利用した持ち出し。メールやＷＥＢを利用した持ち出しは簡単に出来てしまう。メアド、サイトまで監視する環境が必要だ。

奇妙な資産価値

奇妙な資産価値

集まる連中が同じことを繰り返し話題にするので記事も同じ内容が繰り返されてしまうのは止むなしか。

資産価値はＣＩＡに分けて既に評価されているのに、どういうわけかご丁寧にこの３つを掛けて改めて資産価値とやっている。

資産価値＝Ｃ×Ｉ×Ａ？　奇妙キテレツ。

掛け算を使うなんて全く何も理解していない証拠。資産価値の単位～次元（ディメンション）は基本的には金額。セキュリティ側面（ＣＩＡ）の欠落によって生ずる損害額のことです。どうせ間違うにしても足し算ならまだ普通の頭ということになるが、掛け算とか中には更にご丁寧に機密性だけ二乗したり例があるようです。こういう文科系の頭が事務局をやったら悲劇だね。

ついでに言えば、

脅威は損害の発生率に相当します。脆弱性は防御率の逆数＝防御できない率ですから、概念的には脅威の実現率ですね。ここは次元（ディメンション）はありません。資産価値に脅威・脆弱性を掛けて出てくるリスク値も金額です。

「ある情報資産」の「ある脅威」に対するリスク値とは期待損失額に相当します。予想被害額。この予想被害額を軽減するためにリスク低減の施策が打たれます。

リスク低減の施策は、恒常的に続けるものと、体質・仕組みを変える為に機関を区切って実施されるものとがあります。経営者はこの両者の活動のためにリソースを提供することが求められます。

リスク軽減のために投資する費用の限界点がリスク値です。

.*.

しかし、これを定量化するのはとても無理。止む無く、レベル区分で便宜的な評価にとどめています。

.*.

それにしてもＣＩＡを掛けたりしたら適切にリスクが拾い出せない分けですから、リスクアセスメント自体をやり直さなければどうしようもないでしょう。

意味の無いことを多くの人が何年もやっていたという事実は厳しいね。

コンサルの同胞もアホなら審査もアホ。もしくはズルイ根性の持ち主だ。一方の管理責任者も内部監査責任者も推進者も自分の問題としてＩＳＭＳに向き合っていなかった証拠でしょう。勿論、一番の被害者で一番の問題児は経営者その人です。

.*.

全国の医療情報サイトの有効化に向けて

全国の医療情報サイトの有効化に向けて

医療情報サイトは厚生労働省の指導を受けて？、各都道府県で構築運営されているらしい。ところが、あまり利用されていないらしい。１都道府県あたり１日９００アクセス平均らしい。

医療機関の所在地、電話番号、診療科目。対応可能な治療、実績などが公表されているらしい。

用語の難しさと情報のありかが分かり難いことが利用されない要因とされている。厚生労働省が対策に乗り出した。

ＩＳＭＳ的には「ＣＩＡ」の中の「Ａ」の問題です。

「Ａ」（可用性）(Availability)の管理策とはどのようなものか？

都道府県がめいめい勝手に作ればそうなります。厚労省のリーダーシップが中途半端なために全国で無駄をやったのでしょう。お客（住民）のことも忘れている。隣県へ通勤、通学もある。単身赴任もある。地域ごとに勝手な情報サービスは独りよがり。

例えば:

1. 統一化された構造。
2. 相互のリンク
3. 用語の統一
4. 用語の解説など行き届いたヘルプ機能
5. 問い合わせ対応窓口の用意

.*.

管理策の有効性を訪問アクセス数で見ているのは、今の段階では妥当だろうが、次は更にハイレベルの利用状況を把握して欲しいね。何でしょう？

不正アクセス禁止法の改正

不正アクセス禁止法の改正

今、改正作業が進んでいるようだ。２１日の閣議決定。基本的には厳しくなる。フィッシング詐欺の拠点となる偽サイトを開設するだけでも処罰の対象になる。従来は詐欺による損害があることが基本。ＩＤパスワードの不正利用が前提でしたが、ＩＤパスワードを不正に取得することも罪に問う方向となり、更には際と解説自体もＮＧとなります。

偽サイトの定義では少し揉めるかも知れない。勘違いを意図したサイトだが、どの程度似ていたら処罰対象になるか。まあ、それでも短期的にアップして直ぐに消すなど手口はあるだろうからなかなか一朝一夕には撲滅できないでしょう。

フィッシングサイト開設：懲役１年以下または罰金５０万円以下。
不正アクセス：懲役３年以下または罰金１００万円以下。

.*.

ＩＳＭＳ的にはどうするのか？

1. 紛らわしいサイト構築を避ける。
2. 紛らわしいサイトを見つけたら報告する。
3. ＩＤやパスワードを入手する場合に適切な手順を踏むこと。本人の明示的な了解のステップを入れる。（ＩＤではないが、楽天のサイトみたいにプリセットでチェックを入れて勝手にメルマガが送られてくるような手口は好ましくない）

.*.

セキュリティ・ハイレベル・エリアでのメモ用紙

セキュリティ・ハイレベル・エリアでのメモ用紙

メモは禁止。当然ポストイットも禁止。携帯電話持ち込み禁止。スマートフォン持込禁止。形態オンガクプレイヤー持込禁止。ＵＳＢメモリー持ち込み禁止。筆記具の持ち込み禁止。かばん類の持ち込み禁止。コート、上着類の着用・持ち込み禁止。

ＩＣチップ（ミューチップ等）を埋め込んだ特別なノートと特別な筆記具。

監視カメラの管理策？

監視カメラの管理策？

何を監視するのか。何のために監視するのか。をはっきりさせたい。その為には何をリスクとして認識しているのかが理解できていないと駄目だね。

ドアにカメラを向けて監視するのは外部からの不正な侵入者あるいは不正な時間帯の入室者。人感センサーと組み合わせれば積極的な対応が取れる。

共有ＰＣを監視するのは不適切利用をけん制する。

居室あるいは作業状況を監視するのは作業効率の改善の手掛かりを得る目的を建前として、不適切な動作をチェックする。内部監視は機微情報を扱うエリアでは欠かせない。入退室の双方管理、バイオ認証も必須。

ソフトウエアライセンスの管理は発想が逆？

ソフトウエアライセンスの管理は発想が逆？

ライセンス管理というから保有ライセンスを軸に発想してしまう。

１０本のライセンスを買った。それらはどの部署に配布されどのパソコンに利用されているか。そういう管理チャートを作ってライセンス管理をやっていますとやっている。

法令順守（コンプライアンス）の観点からはこのチャートは殆ど役に立ちません。

不法にインストールされていないかどうかは何も分りません。

.*.

先ず、全体のソフトウエア利用実態が洗い出されなければいけません。これは台数が増えると手間が掛かります。不正確になります。でもこの手順は外せません。資源管理ツールを利用して洗い出しを行う企業もあります。

次に、保有するライセンスを洗い出します。

利用ソフトウエアと保有ライセンスの突合せを行います。

洗い出されたソフトウエアに対するライセンスの裏づけを示すには、個別にライセンス番号が割り当てられるケース、総数管理のケース、同時実行ライセンス管理のケース、ハードウエアバンドルのケースなどあって単純にはできませんが、それぞれのライセンス形態を踏まえて突合せを行います。フリーソフトウエアの場合はその旨を明記します。。

最近はネットワークを利用したセルフ管理型も多いのでライセンス違反しようにも出来ないことが多くなっています。

.*.

バックアップメディアの保管場所

バックアップメディアの保管場所

サーバーとかのデータバックアップをメディアに取るのは普通のことだが、その保管場所についての検討が結構いい加減。

上書き可能なメディア、例えば磁気テープ類を装置に入れたまま取り出すことも無くエンドレスで上書きしながら使い続ける。これでもバックアップと思っているお方も居る。希少価値のＩＴ担当者です。天然記念物。こういう輩はメディアも１本しか用意していない。装置に入れられたままのその１本です。

装置に障害が起きたらテープも閉じ込められたままになりかねない。テープの記録もエラーを起こしているかもしれない。

何のためにバックアップを取っているのか分らない。仕事の目的を理解していない。こういう連中に限って、リストアなどは考えもしない。バックアップを必要とする事態を想定していないのだ。「バックアップーリストア」はセットで考える概念なのに。

重要な書類もコピーを取るだけで安心している連中と同じ。コピーから必要な情報を取り出すために何をすべきかは考えない。ただ積みあがったコピーの山を見て満足しているのと同じだ。

バックアップメディアは複数セットを複数ロケーションで。これが基本。情報資産の重要度に応じて分散の程度を図る。

.*.

バックアップの目的

完全性の確保。誤操作、システム障害、外部からの攻撃、などの脅威を受けてシステム又は及びデータの完全性が喪失することに備え、システム/データの復旧を確実にするために予め必要な情報～データを退避し確保すること。ぐらいでしょうか。

システム/データの重要度、想定する脅威、保有するコンピテンスによって手段が選択できる。

能天気なサーバー担当者が今日も訳も無くうろついている？

.*.

観察事項は是正義務なし？

観察事項は是正義務なし？

審査に同席すると審査員がこんなことを言っている。店に来る審査員も同じだ。クライアント（受審組織）はああ良かったなんて。でも実際はどういうことだろう？

本当に何もしなくていいなら余計なことは言わないで欲しい。実際はどうなんだ？。審査機関によって少々？対応は違うようだが。是正義務無しなどと言われると返って難しくなる。

観察事項を貰った立場で考えてください。

予算があれば、工数が取れれば取り組む。余裕が無ければ放置する。そういう対応で済まされるのかどうか。納期は設定されないまでもいつか必ず取り組むことは求められるのか。何回、説明を聞かされてもいつもあやふやだ。

兎に角、チャレンジしてくれと言われた方が余程分かりやすい。

.*.

試しに「ISO17021」を読んでみるかな？。何かこの辺のことが書いてあるかもしれない。

.*.

審査員＝イベント・パフォーマー？

審査員＝イベント・パフォーマー？

審査員は審査というイベントを準備し、企画演出し、実行し、無事に終了させる。その結果、関係者（クライアント、コンサル、審査機関）に満足度を与え、自らも達成感を味わう。これが審査というサービスの本質。こういう風に思い込んでいる審査員がいる。

特に、実務経験・管理業務経験を殆ど積まないで、若くして審査員になってしまった場合は、イベントパフォーマーの傾向が強い。審査の手際が最重要で、次は形式的な体裁が重要。ISMSの本質には関心は少ない。門前の小僧が経を読むがごとく一通りの受け答えは出来る。

イベント・パフォーマーは一見良さそうに見えて何が問題なんでしょう？

.*.

イベント・パフォーマー

• 事なかれ主義
• 八方美人
• 目先対応
• 形式主義（合理性・本質への探究心ゼロ）
• タイムキーパー

これが、しかし、「でもしか」事務局には受けが良いから世間は面白い。

審査時間の構成

審査時間の構成

聞いたことだからそれだけの話ですが、審査時間は半分がインタビューで半分が現場らしい。

「インタビュー」というのは事情聴取みたいなもの。取調室にきてもらって色々聞くわけだ。その部門の主要な記録類は持参してもらう。

「現場」というのは文字通り作業現場・仕事の現場、保管の現場。実際に情報を見て、環境を見て、作業の内容を見て、色々聞くことになる。

インタビューと現場が終わると、簡単にまとめが行われる。所要時間は５分程度。不適合の有無、内容について相互の理解を確認する。確認できた事実を再確認する。これは不適合の場合は慎重に行われるが、観察事項も基本的には同じスタンスになる。

部門審査は一般部門の場合は２時間程度が丁度いいらしい。間に１０分程度の休憩を入れる。長いとだれるし、短いと現場の時間が少なくなって「目の審査」でなく「耳の審査」になってしまいます。

情報システム部門など情報管理の主管部門は２時間程度では不足する。実際にシステム開発運用を担当する場合は１日かけても多くはない。半日（３．５時間）未満の場合は何処かに無理があると思ってよい。

工数を必要以上に過小評価しているため時間が取れないか、あるいは、情報システムの経験の無い審査員のためシステム領域の審査が出来ないからであろう。

.*.

部門で出た不適合は適切のエスカレーションさせる必要があります。１日の審査の終了時にも再確認します。より上位者を含めて相互理解を深めておくためです。観察事項についても深刻に考える組織の場合はやはり適切にエスカレーションさせる手順を取ります。最後は終了会議で最終確認です。途中でボタンの掛け違えが出ると最後は言った言わないレベルのやり取りが発生します。

審査に遅刻したら？

審査に遅刻したら？

審査プログラムでは初日の開始ミーティングが朝９時から約３０分取られる。厳密には審査時間ではないが一般的には１日の審査時間に含める。

９時開始に審査員が遅れたら審査は始まらないが、開始ミーティングの説明自身は審査チームの誰でもいいから誰か一人が着ていれば開始ミーティングは始められる。受審側のメンバーも誰か一人来ていれば構わない。内容は事務連絡だから責任者に必ず伝わるのであれば出席者は誰でも構わない。

コンサルが遅刻することは審査自体には何の影響もない。クライアントからはクレームになるが、その点は気持ちが楽です。

朝９時は都内では電車の遅延が日常茶飯事だから遅刻するなといっても無理がある。

審査機関によっては最寄のホテルに前泊するのを基本としているところもある。懸命な取り組みだが、経費は嵩む。審査機関としての責任、あるいはサービス品質の考え方の現われだ。代表的な審査機関は○○○。

一方では、審査員にリスクを転嫁して済ませる審査機関もある。そういうところは予定の１時間も前に着く様に家を出る審査員が居たり、自費で前泊する審査員が居たりする。サービスという商品に対する品質ポリシーが不明確な証拠でしょう。代表的な審査機関は×××。

.*.

雪・台風の影響を受けやすい沖縄・北海道に代表される遠地は前泊が基本だが午後の審査だから午前中を移動に当てるところもある。これもNG。遠地は午後でも前泊。

この辺も経費が嵩む要因になるので、クライアントはミニマムを希望するが、品質ポリシーが明確でない審査機関では（コンサルファームもある意味では同じことになるが）、営業の折衝余地に入る。結果はミニマムの線で決定される。

.*.

遅刻要因のもう一つ：

機密性を配慮するあまり、または担当者の配慮不足の結果、開けるべきドアが分からないケース。敷地内の案内表示が殆どない。少なくとも分かりやすくはしていない。アクセスマップ自体が機密文書になるケース。逆のケースも。同一敷地あるいは近辺で似たような名前の関連会社が多くノックすべきドア（受付）が特定しにくいケース。勤務している人は殆ど気にならないことだが初めての場合は面食らう事態ですね。

.*.

勘違い：

よく聞く話。爺（じじい）共に限らない。酷使される審査員は思考停止。電車に乗った瞬間、電車を降りた瞬間、記憶がぶっ飛ぶのでなく過去の記憶が頭を占有して、全く別会社（以前に行った先）を目指すらしい。思い込みが強いと受付まで行って、以前の担当者から今日は何でしょうかと言われて初めて勘違いに気づくことが在るらしい。本当の話か作り話か分からない。

もう一つの勘違いは、開始時間。午前と午後。朝９時か

営業秘密って情報区分として意味有りますか？

営業秘密って情報区分として意味有りますか？

営業秘密
トレードシークレット
Trade Secret

営業秘密とは？

秘密として管理されていること。（⇔不正競争防止法）
事業に有用であること。事業上のノウハウ。
一般に知られていないこと又は容易に知ることが出来ないこと。

営業秘密をわざわざ分けて管理する会社は少ない。組織が組織の目標を達成するために必要とする内部情報は全て営業秘密になりうるから所謂「社外秘」以上のものは全て営業秘密になるでしょう。

.*.

＜社外秘情報と公開情報の"間"＞

前にも出た話題です。何処かのコンサルが作る書式にはこの"間"がありません。

公開情報とはオフィシャル情報のスタンスがあり情報内容に対する責任が伴います。
社外秘は社外への無管理な流出は禁止されます。

その間に来るのは？

1. 外部から入手した一般情報。
2. 公開されている情報を編集だけしたもの。
3. 公開されている情報のドラフト。
4. 社内向けの一般資料（外部公開を意図していない一般資料）

.*.

トップインタビューでトップ不在！さてどうする？

• トップインタビューでトップ不在！さてどうする？

トップ不在はよくあることです。トップに緊急の予定が入った。

トップインタビューを受けることが出来ない。

マネジメントレビューの日にトップが居ない。レビューを先送りするか代行がやるか。

内部監査の報告を受けることも出来ない。先送りするか代行が受けるか。

緊急の重要な出張、緊急の重要な商談、怪我・病気で入院、家族に不幸など何でもありえる。その為に、経営者の役割が果たせない時、どうしますか？

これも立派な事業継続管理です。普通は代行を決めます。全件を副社長という手も有れば、機能別に委任する手もある。これを明確にしていない組織は殆ど存在しない。

ISMSについても予め決めておけばいいことだ。もしくは代行筆頭が決めれば済むことだ。

自分の代行を明確にすることも経営者の重要な役割責任ですね。事務局スタッフは百も承知。

.*.

トップインタビューは、審査機関、審査員によってはトップと直接に拘る向きが無いわけではない。いつも代役で済ませるトップが居たら、何かが変だ。権限委譲が適切に行われていないか、役割責任が正しく発揮されていないか。その意味では拘ることに妥当性はある。トップの意志を形にする仕組みがマネジメントシステムであるという基本を抑えていれば当然のことです。

残念ながらトップ自身がそのことを自覚できていないこともあるようだ。その背景としては、ビジネスパートナー、関係所轄庁、コンサル、審査機関、更には社内のスタッフも、トップへの基本的なアプローチは脅迫をベースにしていることがある。トップ自身が否応なくやらされているという自覚になっている場合は悲劇だ。

.*.

トップの直接関与する割合は重要な指標の一つと思われます。

※

筈（はず）の管理が問題を大きくする？

筈（はず）の管理が問題を大きくする？

東京証券取引所のシステムが頻繁に停止する。今回は約１割の銘柄の取引が出来なくなった。銘柄別に受け持つ８セットのサーバーの１つがダウンしたことによる。１セットは３台のサーバーで構成される。メインサーバーが落ちたら待機系に自動的に切り替わることになっている。メインサーバーが深夜１時過ぎにダウンして、待機系に切り替わっていなかったことが明らかになったのが朝の８時。その間の７時間は何をやっていたのだろう？

７時間の作業記録は？

「筈（はず）の管理」がここでもまかり通っているのが不思議だ。これだけトラブルを続けている会社が、基本動作（切り替え確認）を怠っているのだから。自動的に切り替わる筈（はず）では有ったが、実際に切り替わったかどうかの確認は誰もやっていないのだから。もしくは担当者は気付いていてあくせくしていてもエスカレーションは後回しになったのだろうか。

事故慣れしている富士通は頼もしいけど、事故に慣れすぎていて感覚が麻痺しているのか？　あくまで東証側の問題なんだろうか？（ちょっと考えにくいね）

.*.

しかし、夜の夜中に勝手にシステムダウンなんて無いでしょう？　一体何をやっていたんでしょう？

.*.