リタイア組に啓蒙したいフェイスブックのセキュリティ

リタイア組に啓蒙したいフェイスブックのセキュリティ

最近はフェイスブックを利用する人が急に増えた。団塊世代がリタイアしても組織関係を懐かしんであるいは人生を振り返るついでに、フェイスブックへやって来るからだ。プレ現役（学生新人組）とアフター現役（リタイア定年組）。プレ現役は失うものが限られているからいいが、アフター現役は結構重要な情報を持っているから要注意。しかも彼らは組織の中でセキュリティが守られていたことをあまり理解していない。

要するにセキュリティに無防備な老人世代が重要な情報をフェイスブック上にさらけ出す状況が生まれているということ。これか企業にとっても問題。退職者だからでは済まされない。大概の企業は定年退職した企業ＯＢとも連絡は取っているものだが、社内報を黙って送るだけでなく、情報セキュリティに関する啓蒙を継続することは是非やって欲しい。フィッシングは退職金が狙われるから啓蒙の対象にしていいが、ソーシャルネットワークも利用上の注意は喚起しておきたい。

.*.

基本的な理解：

フェイスブックのデフォルト（標準設定）は基本的に情報は筒抜けであること。フェイスブックの基本的な考え方（コンセプト）はオープンを是とすること。日本人の感覚・価値観に合わない場合も有りうるので、注意しておきたい。フェイスブックのセキュリティの設定がかなり分かり難いのも問題だ。グーグル＋のサークルのような概念が無いので、フェイスブックのセキュリティ設定が分かったところで実は途方に暮れる筈だ。もしくはエイッヤッとやってしまうことになる。

フェイスブックは発展途上。これで完成形なら直ぐに誰も居なくなる。グーグル＋へ行ってしまうだろう。グーグル＋で提案された新しい機能は早晩フェイスブックにも反映されると考えていいでしょう。

それまでの間。安全にフェイスブックを利用するにはどうすればいいか？

急激に普及するSNSフェイスブックのセキュリティ対策

急激に普及するSNSフェイスブックのセキュリティ対策

猛烈な勢いでフェイスブックが普及・浸透し始めた。一時は期待されたGoogle+の不出来を見限ったからだろうか。ガラパゴスのミクシーmixiに限界を感じたからだろうか。団塊世代がいよいよリタイア、組織を離れて新たなコミュニケーション環境を求めていたからだろうか。

学生組みと定年組み。フェイスブックビジネスの前輪と後輪みたいなものだ。ボディの現役世代はサイバーオフ会、あるいはオフ会補完環境として、非公式に利用されているし、空きあればビジネスそのものに利用しようとしている。まあ、何だかんだとフェイスブックは従前の電話みたいな存在になりつつある。

「フェイスブック」には個人情報が溢れかえっている。その内には組織の重要な情報まで取り込まれていくのは間違いない。（グーグルの検索ＤＢは既にそのような状況にあるのは先刻ご承知の通り）

ここで「セキュリティ」です。

フェイスブック内の個人情報等を利用する前提のゲーム類、ツール類のアプリが出回っている。スマホのアプリと同じような状況です。フェイスブックの中は安全と思い込んでいるユーザーもいる。フェイスブック自身は危険だとは宣伝しない。アンドロイドもアイフォンも危険を積極的にはアナウンスしない。でも、広い意味の個人情報をせっせと収集し、何処かのデータベースに取り込まれ、何らかのサービスが提供されるが、本来目的以上のデータ収集・分析をやれば別の世界が見えてくる。これに悪意や誤解や手違いが入り込めばセキュリティ問題が発生する。

.*.

エフセキュア社からフェイスブックアプリ用のセキュリティソフトがリリースされた。まだベータ版だが、企業のセキュリティ担当は直ぐに評価を開始するべきでしょう。リクルート活動中の学生でも、リタイヤした社員でも、当然現役の社員でも、フェイスブックを利用している可能性があるなら、セキュアな振る舞いを期待すべきだろう。

http://www.f-secure.com

Facebook向けセキュリティ・アプリ「ShareSafe」

.*.

コンサルと審査の癒着で本当に困るのは誰ですか？

コンサルと審査の癒着で本当に困るのは誰ですか？

ある企業のコンサルを担当したＡさん。審査も内でやります。同じコンサル会社のＢさんが契約審査員になっているので大丈夫です。コンサル会社でＡさんとＢさんは逆の立場になったりする同僚。

コンサルは審査してもらう審査機関を決める時に、上の例で言えば審査員Ｂ（コンサルＢ）を暗に指名します。使命がＮＧなら他の審査機関を選ぶことを暗に伝えます。

自分がコンサルしたところの審査は出来ない。自分の同僚なら構わないのか？。

これは只の想定例ですが、良い訳有りません。独立性とか客観性とか公平性とかの審査の基本要件に触ってきます。審査機関がコンサルティングファームを兼業できないのと同じです。兼業させているところも残っているところもあるかも知れませんが健全な会社と思う人はいないでしょう。

クライアントもコンサルも審査員も「出来レース？」に乗っているので何の心配もなくことが進む。クライアントもコンサルも高い満足度を得られる。

経営者は裸の王様？。

.*.

クライアント（事務局）やコンサルから高い満足度を得ている審査機関があれば何かを疑ってみる必要があるかも知れません。ＣＳ（顧客満足度）を経営の目標指標に設定することは、審査機関の場合は要注意かもしれません。

.*.

特許権侵害に関連した管理策

特許権侵害に関連した管理策

フェイスブック(Facebook)が米ヤフー(Yahoo!)から特許１０件を侵害したとして提訴された。これ自身は只の隣国のニュースだが、ＩＳＭＳではどのように見るべきだろう。

特許（知的財産）については、①自分が他人の知的財産を侵害しても困るし、②他人が自分の知的財産を侵害しても困る。その為の監視の仕組みをどのように構築しているか。

コンプライアンスに対する管理策(A.15.1.2)は自社の不法行為を回避するだけに留まることが多い。①に対する管理。

②の他社の不法行為に対する監視のしくみの構築は、情報の漏洩を防止する管理策とは別に必要だ。ＩＳＭＳ管理策の枠組みに上手く収まるかどうかはあるが、特許を申請し承認された場合、特許は公開されるが、無断利用はＮＧ。その気は無くても結果的無断使用となったら駄目です。不法行為となりますが、それを監視する仕組みは、企業としては持っていないといけません。

③自社が結果的に他社の特許を侵害していた場合は、業務停止などに追い込まれる懸念もあります。商品、技術、ビジネスモデルなどの領域では特許侵害のリスクを考慮した事業継続管理が求められます。

.*.

マネジメントの独立性：ISMS vs. QMS/EMS/etc

マネジメントの独立性：ISMS vs. QMS/EMS/etc

ＩＳＭＳはＱＭＳ（あるいはＥＭＳ）に対して独立した次元から管理するポジションを持つことになる。ＱＭＳ等の活動が情報セキュリティの観点から妥当かどうかはＩＳＭＳ側から見る必要がある。これは当然のことだが勘違いしているケースもある。

即ち、ＱＭＳ関連の情報（文書記録類）はＱＭＳ側で策定されたルールに従って管理しているから、ＩＳＭＳの資産台帳に洗い出されていないことがある。これは完全な間違い。

品質管理規定や品質記録はＱＭＳ側の管理対象であるとともに、ＩＳＭＳ側の管理対象でもある。従って、二重管理にしない工夫が必要だ。というより管理レベルの違いを正しく認識して著不管理としないことが重要である。

.*.

各ＩＳＯ規格は相互に独立した管理視点を持つ。しかし、運用まで独立して、ＩＳＯ-ＭＳ（ＩＳＯマネジメントシステム）をそれぞれ運用するのは荷が重く、統合管理に走るのは止むを得ないが、統合の名の下にそれぞれのミッションがスポイルされてはいけない。

.*.

社員のソーシャルメディア利用リスクに対応するガイドライン

社員のソーシャルメディア利用リスクに対応するガイドライン

ソーシャルメディア

ソーシャルメディアとはツイッターとかフェイスブック等のＳＮＳとかブログとか電子掲示板とかホームページとか、要は世間（社会）に情報を晒す媒介となるもの。これらは全て検索ロボット等の検知システムによって、変化点（新たな書き込み）があれば数分以内に捕捉されてしまいます。一旦捕捉されればネット上のキャッシュに保存され伝達されますから際限なく情報は流れ広まります。

このようなソーシャルメディアは殆どの場合、無料で提供され非常に多くの人が私的理由で利用しているものです。

企業に勤めるサラリーマンも会社では社員でも家ではソーシャルメディアのユーザー。公私混同がうっかり行われれば会社情報の漏洩に繋がります。アルバイトであれ季節労働者であれパートであれ契約社員であれ同じです。

ソーシャルメディアは企業にとっては安全を脅かす存在であるが利用禁止は不可能。ソーシャルメディアを活用したマーケティングが行われる時代、禁止することは自己矛盾を持つ。その前に言論自由など基本的人権に触る懸念もある。

.*.

ソーシャルメディア利用ガイドライン

企業が取れる対策はガイドラインの策定と教育・周知。会社内の規定類で埋められない領域に対するスタンスの明確化。やり過ぎるとそのこと自体が問題になるので注意が必要。ソーシャルメディアを利用する時のガイドライン。

• 所属企業の活動・サービス・商品などに関わる情報発信時の注意事項。
• 自分が企業人であることを名乗っているときの注意事項。
• ソーシャルメディアを業務利用する時の注意事項。

 大事な事は、組織としてのスタンスを明確にすること。運用を踏まえて組織文化に適合させていくこと。ソーシャルメディア環境変化への対応を適切に行うこと。

.*.

炎上リスクへの対応：

社内に専門チームの設置が必要。兼務でも充分ですが、体制として明確にしておくべきです。ＩＳＰとのやり取り、記事の削除あるいは掲載中止、検索エンジンサイトへの処置など、一連のことをスムーズにやる必要がありますが、ここを個人に任せておくと問題を収束できず、会社全体の信頼を損ねる事態に発展することも懸念されます。

人的セキュリティに対する適切な管理策の策定が必要になります。

.*.

日立が開発した検索可能暗号って何？

日立が開発した検索可能暗号って何？

クラウド利用時のセキュリティ確保に有用な技術として紹介されていた。今後のクラウド利用の普及を視野にした興味深い取り組みですが、この検索可能暗号ってものはなかなか理解できません。

検索可能暗号

http://www.hitachi.co.jp/New/cnews/month/2012/03/0312.html

あるファイルをある鍵で暗号化した時に、その暗号化に使った鍵（キーＡ）を検索することができる鍵（キーＢ）を生成する技術。なのかな？。であれば、きっとＡとＢとをペアで生成するんだろう。

キーＢで暗号化ファイル（キーＡ）を検索できる。キーＢで暗号化ファイル（キーＡ）を複合できるわけではない。複合するにはあくまでもキーＡを使わないといけない。

公開鍵・秘密鍵の関係はココでは忘れておきましょう。思い出すのに時間が掛かるもので。

この日立の技術のポイントはクラウド上のデータベースには 暗号化したまま保管できること。他の人が検索しても情報は守られる。アップロード･ダウンロード時も安全。

社内のＬＡＮ環境とクラウドとの間で自動的に暗号化・複合化の処理が出来れば、あるいはクライアント側のツールとして作っておけば不便さもある程度回避できそうだ。

.*.

実用化の時期は分らないが、クラウド利用時の不安（リスク）を解消する有効な手段であり、早々に実証に入ることが期待される。

.*.

グーグルにサービスが集中することのリスク：事業継続課題の考察

グーグルにサービスが集中することのリスク：事業継続課題の考察

グーグルが提供するサービスに対するアカウント管理ポリシーが今月から変更になった。ログインすると表示されるブルーの[OK]ボタンをクリックすることでポリシー変更を受け入れたたとなるのだろう。この承認の[OK]をしなければ以前のように使える。

グーグルの外的あるいは内的な脅威により情報セキュリティのＣＩＡを喪失させるリスクは存在する。このことは常識です。

（原則１）グーグルにしか情報が無いという状態を作ってはいけない。グーグルが提供するスペースにも情報ｈ保管されなければいけない。３箇所保管が基本。

（原則２）機密レベルの高い情報をグーグルサイトにおいてはいけない。クラウド管理はいざというときに取り戻せなくなるリスクもある。ポリシーも変わる。法令も変わる。機密ハイはローカル管理が基本。

（原則３）定期的なメンテナンスにより情報の有用性（利用可能性・利用有意性）を維持しなければいけない。自動更新・自動バックアップは信頼できない。

*

グーグルは個人ユーザーが主体ですが、徐々に法人での利用も増えてきています。グーグル利用不可時の事業継続性の検討が欠かせません。

①同様のクラウド事業者（同業他社）の確保、

②社内にグーグルサービス擬似または代替環境を用意する（通常社内を使う場合は社外に用意する発想も有る）

.*.

嗚呼、勘違いの情報資産台帳

嗚呼、勘違いの情報資産台帳

情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。

ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の１つである「資産台帳」自身が作成されていないことが多いからです。

情報資産に特定しないで、組織の管理対象となる資産は何か洗う作業が必要になります。組織の資産の一部が情報資産です。組織の人・物・金を束ねるのが情報と見ておいてもいいでしょう。組織として既にＱＭＳとかＥＭＳとかで体系的な資産の洗い出しが済んでいれば、ＩＳＭＳの作業は単純になります。

ところがマネジメントシステムに始めて取り組む場合は、組織の管理対象全体をしっかり把握してやることが大事です。ＩＳＭＳ以前の問題（やること）が転がっています。日ごろの管理の穴を埋めるところから作業は始まります。日常管理をしっかりやっているところと手抜きのところが同じレベルでＩＳＭＳを始められるわけが有りません。

.*.

もっとも、手間を惜しむコンサルはそういうことを要求しません。今ある奴だけをリストすればいいと言うでしょう。彼らは、体裁だけクリアすれば認証が得られることを知っているからです。体裁だけの、箱ポンの管理では有効性は期待できませんが、経験を積んだコンサルは手を広げた時の泥沼も知っています。ですから、クライアントの取り組みレベルを見て妥当と思われるところで線引きをせざるを得ない事情もありますので、一部であってもコンサルを頭から非難することは適切では有りません。

.*.

（追記）

資産台帳とは関係ない話。安きに流れると馬鹿コンサルを掴み、馬鹿審査機関の餌食になる。本当に必要な改善はスルーされて時代から取り残される。セキュリティ事故が起きるまで放置される。その間散々貪られる。事故が起きても他のパートナーと組み勇気が示されなければ馬鹿の地獄と付き合い続けることになる。

馬鹿コンサルを思い出した。ヤクザ同然のコンサル。自分のコンサル内容の化けの皮を剥がされそうになったら急に審査に割り込んでくる。会場からたたき出すべきだった。当時はドリームとか佐藤とかの名前だったか。

馬鹿コンサルを許すのは馬鹿審査機関。

背に腹は代えられないとうそぶ居直る審査機関には馬鹿コンサルも仕事を持ってくる協力者。癒着構造が極端な審査機関の認証には何の価値もない。それどころか社会に勘違いさせる悪徳審査機関。

その代表的なところは外資（英国）系の審査機関。英国本国の審査機関は健全な発想でやっているので大丈夫だが、問題は日本法人。完全に歪んでいる。

*

東芝の話題は収まったかな。ここは審査機関を変えた。厳しい審査に耐えられないからイージーな対応で済ませられるところに乗り換え。日常管理をいい加減にして事故が起きたら必死に対応する腹だったのだろうか。しかし、そんな精神構造の集合体では今回の事件は対応不可の状態。

経営者をヨイショするだけの英国系日本法人の審査と経営者に真の改善を迫る正しい審査の違いが導いた結果の違いが目の前にニュースになっているようだ。

*

病院ホームページ記載事項規制

病院ホームページ記載事項規制

「日本一」「最高」「著名人も受診している」「絶対安全」などの非科学的表現や「キャンペーン中」などの受診を煽る表現は禁止。厚生労働省が２０１２年度中に指針をまとめる。

広告に対する規制は従来からあったが、今回はホームページについても規制を入れる。

加えて、治療のメリットだけでなくリスクや副作用についての記載も義務付ける。

治療内容や費用についての開示も求める。

自主的な取り組みを期待する部分と規制対象との境界線が分り難い。

.*.

病院ホームページ以外はどうするのか。考え方は同様でしょう。

医療関連は規制が厳しいが、その他の業界の場合、規制が無ければコンプライアンス問題にはならないと考えていいのか？

ISMS的にはどのように処理するのだろうか？

ホームページの運用手順の策定されているか。法令順守、企業としてのポリシーからの要件を充足くしているかどうか。

（１）法令順守のための手順がいい加減かもしれない。
（２）セキュリティポリシーあるいはマニュアルには意味のある記載が無いかもしれない。

広告宣伝に関する規制類を取り込んで管理策に反映させてしかるべきなんだろう。

村社会における住所録の公開

村社会における住所録の公開

今でも住所録とか連絡先名簿を作って配布する人がいる。困ったものだ。

氏名、住所、電話番号（自宅、オフィス、携帯）、メールアドレス（自宅、オフィス、携帯）、家族構成（配偶者の有無、子供の有無、親と同居）、一戸建てか集合住宅か、持ち家か借家・社宅・官舎か、最寄り駅、最寄り駅までの徒歩時間、生年月日、年齢、勤務先、勤務年数、役職、年収、運転免許証保有の有無、事故暦、自家用車の保有、車種、保有年数、病歴・入院歴、血液型、などなど。キリが有りません。

クラス（学級）名簿。同好会が出来れば名簿を作る。気軽な気持ちで作る名簿はドンドン肥大化する。結束の証なんでしょう。

.*.

ところで、

昨今は個人情報に対して神経質になる人も多い。名簿には情報を入れないことを要求する。自分の個人情報の記載を拒否する。そういうことです。それは一種の権利だから構わないのかもしれない。

ところが、

出来上がった名簿をその人は他の人と一緒に貰うのですね。自分尾ぷラバシーは大事だけど、他人のプライバシーはお構いなしという訳だ。村社会なら情報を出した人には情報が戻るが、情報を出していない人には情報は戻さないのが原則。

この辺も理解しないで名簿を作っている輩は処置なしだね。幹事・事務局・世話人の資格はないね。

.*.

これはISMSの問題ではなく、もっと基本的なフェアネスの問題です。

テレワークと情報セキュリティ

テレワークと情報セキュリティ

クローズアップ現代で流れていたトピック。在宅勤務、モバイルワーク、サテライトオフィスなどの総称としてテレワークとしている。ＩＳＭＳでは、テレワークは通常の勤務先とは異なるものの場所を特定できる拠点での仕事。サテライト、在宅、社内の別事業所などはテレワーク。拠点が特定できない移動しながらのものをモバイルワークとしている。業務環境の違いが管理策の違いを生むからです。

ＮＨＫの取材はリコージャパン営業についてのもの。現在１００人規模。漸次拡大のほうこうとか。無いよう事態は目新しいものは無い。赤いパソコン（パナソニックのシンクライアント対応ＰＣ？）が目に付いたくらいだ。

日本テレワーク協会
http://www.japan-telework.or.jp/

ところで、このような働き方の提案・実践は、もう随分と以前からあちこちの企業で行われてきました。直行・直帰の営業スタイル。フリーデスク。パーソナルロッカー。ＰＣベースの遠隔会議。

さてと。ブロードバンドぼ発達・普及は、テレワーク環境を著しく変えてきたようです。以前は公衆回線の環境ではシンクライアントによる業務は成立しなかったが、今の３Ｇ/４Ｇ時代になるとあまり気にする必要が無くなった。シンクライアントＰＣでなくてもブラウザベースのＷＥＢソリューションも普通のことになっている。加えてWi-Fi環境も整備されつつあるから、シンクライアントＰＣの利用は社内･社外とも常識化してくるでしょう。

テレワークのリスクはシンクライアントで解消するのか？

シンクラの取り得はパソコン上にデータが保存されないというだけです。利用している間は当然ながら画面にデータは表示されます。メディアに情報を抜くことは制限できていますか。印刷は許可していますか？。誰かがあなたに成りすます可能性は？誰かがあなたを拘束する可能性は？。接続時間の管理策を採用していますか。一般的なＩＤとパスワードだけで大丈夫ですか。バイオ認証の必要性はいかがですか。許可されていない業務アプリケーションへのログイン、必要性の低いストレージへの課となアクセスなどについて監視できていますか。

外に出た社員がどのような状況にあるか、いろいろ心配してみましょう。

.*.

スマートフォン・ネットバンキングのセキュリティ

スマートフォン・ネットバンキングのセキュリティ

スマホ時代のネットバンキング

簡単に出来るのは良いですが、セキュリティ面は逆に心配になる。

老人がスマホを使い始めたら？

.*.

ワンタイムパスワード。前は1個1万円近くしたと思ったら今は無料配布の時代。セキュリティコストを評価すると妥当ということなんだろう。あちこちの銀行からワンタイムパスワード発生装置（トークン）がくると返って分かり難い。

と言いつつもそのコスト面の負担も馬鹿にならない。

野村證券などはワンタイムパスワードから普通のパスワード認証に戻す動きもある。大丈夫なんだろうか。金融系では2種類のパスワードを使うのは常識化しているようだ。

やはり本人認証の標準化手段が欲しいね。十分信頼できるもの。いたちごっこで何処まで言ってもキリが無いのか？。

生体認証か量子認証か？。

まだまだ先ですね。

.*.