サイバー攻撃の恐怖
クローズアップ現代「サイバー攻撃の恐怖 狙われる日本のインフラ」 6月28日
途中から見た。後でビデオで最初から見てみよう。
工作機械のプログラムにもウイルスが入り込む。そのくだりでブラックリスト・ホワイトリストの話が出てくる。世間はまだまだ遅れていると、まだまだ手助けが必要なことが実感させられる。例に挙がった企業はアマダ。CPUの負荷率がブラックリストとホワイトリストで変わるのは意外だった。
あるコードを見つけた時に、これがブラックリストに登録されているかどうか調べるのはブラックの件数が増えると大変。ホワイトは既知情報の範囲だから不可は小さいのかもしれない。まあ、負荷率の問題以前にブラックリストは亜種が入ってくると対応できない欠陥があるのでオンラインサービスでは最初から無理でしょう。
USBメモリーで隔離された工場にウイルス蔓延
インフラの制御システムへの感染リスク
アメリカは国家安全保障としての国を挙げての取り組みが特徴。日本は民間ベース。サイバー戦争の現代ではのんびりした構えで企業自身が防衛的活動を強化せざるを得ない。
.*.
タイトル変更
ISMS四方山話 ⇒ ISMS Day After Day
ブログ開始からほぼ1年でアクセス数1万回を達成。
例の問題の審査機関の記事を暫くの間、非公開に変更。
検索インデックスを全削除。これでグーグル検索からヒットすることは無くなる。アクセス数は大幅に減るはずだ。暫くは静かになるだろう。
.*.
ほぼ4ヵ月後の10月にタイトルを戻す。検索不可からノーマルに戻す。
.*.
著作権法の改正(違法ダウンロードに罰則)インパクト
著作権法の改正(違法ダウンロードに罰則)インパクト
著作権法の改正:違法ダウンロードに罰則規定が付いた。罰則は2年以下の懲役または200万円以下の罰金。ダウンロードは子供でも誰でも出来てしまう実態を踏まえるとこの罰則は行き過ぎていると思われるほどに相当重い。例によって音楽業界の政治的圧力が功を奏した結果だ。米国に比べて日本の音楽関係者への保護は手厚すぎる印象だが、それを更に過剰なものに下のではないか。
サイトにアップした音楽データが違法かどうかは際と運営者では判断が付かないから、その責任はアップする人にありますよとやります。しかし、それで何処まで免罪されるかは分りません。単にチェックを入れるだけでOKとするのか更にエビデンスを求めるのか。何回か裁判でもやれば形は出来てくるでしょう。
しかし、
今回改定された内容:ダウンロードについてはもっと面倒かも知れません。アップされているコンテンツに著作権問題があるかどうかは利用者には判断が付かないからです。多分、違法も合法も全てのアップされているコンテンツは合法と判断するしかないからです。これは違法コンテンツと書いてあれば/表示されていれば判断できます。
サイト運営者が判断付かないものがユーザーに判断できるわけ無いでしょう。
入り口の違法コンテンツをアップロードした人に罰則があり、今度は出口のダウンロードした人に罰則があるなら、場所を貸していただけのサイト運営者にも責任を問われることは予見される。少なくとも説明責任を果たすなど争議に巻き込まれるのは必至でしょう。
.*.
ISMS的には企業はどうすべきか?
1) 自社のサイト、関連サイトへのコンテンツ提供:まあ従来どおり事前にチェックする。変更なし。
2) 社内が外部サイトを利用する。普通にインターネットを使うときに、違法ダウンロードに該当しないことを確認させなければいけない。しかし、その方法が多分、分らない。サイト信頼度を提供するサービスを利用するのかな?。フィルタリングサービスを強化して運用するか。
社員が自宅で利用するときはどうだろう。一定のことは守ってもらう必要がある。コンプライアンス違反は自宅でもNGです。
3) サイト運用者の場合は、最初の誓約書~契約書のほかに、実際の運用のなかでもコンテンツ毎にチェックするなどの手順を求めることになるでしょう。
違法報告(不適切コンテンツの報告)を受けられる仕組みが必要。メジャーなネットサービスに今は殆どそういうページが用意されている。
一般のメールなどでの警告や、口コミサイトの噂を監視するなどの仕組みも求められる時代になっている。
.*.
日本のYouTubeは魅力的な違法コンテンツが消去され続け今は全く魅力的でない。洋物は数百万ダウンロードを誇るものが幾つも存在するので、再生リストは洋物中心になってしまった。日本の音楽業界の著作権意識が異常な結果ではないか。どの作品だって意識しているか否かに関わらず先人の影響を受けているに違いないのだからもっと寛容でいいのではないか。というより、多くの人に聞いてもらう歌ってもらうことが原点にあったのではないか。
.*.
著作権法の改正:違法ダウンロードに罰則規定が付いた。罰則は2年以下の懲役または200万円以下の罰金。ダウンロードは子供でも誰でも出来てしまう実態を踏まえるとこの罰則は行き過ぎていると思われるほどに相当重い。例によって音楽業界の政治的圧力が功を奏した結果だ。米国に比べて日本の音楽関係者への保護は手厚すぎる印象だが、それを更に過剰なものに下のではないか。
サイトにアップした音楽データが違法かどうかは際と運営者では判断が付かないから、その責任はアップする人にありますよとやります。しかし、それで何処まで免罪されるかは分りません。単にチェックを入れるだけでOKとするのか更にエビデンスを求めるのか。何回か裁判でもやれば形は出来てくるでしょう。
しかし、
今回改定された内容:ダウンロードについてはもっと面倒かも知れません。アップされているコンテンツに著作権問題があるかどうかは利用者には判断が付かないからです。多分、違法も合法も全てのアップされているコンテンツは合法と判断するしかないからです。これは違法コンテンツと書いてあれば/表示されていれば判断できます。
サイト運営者が判断付かないものがユーザーに判断できるわけ無いでしょう。
入り口の違法コンテンツをアップロードした人に罰則があり、今度は出口のダウンロードした人に罰則があるなら、場所を貸していただけのサイト運営者にも責任を問われることは予見される。少なくとも説明責任を果たすなど争議に巻き込まれるのは必至でしょう。
.*.
ISMS的には企業はどうすべきか?
1) 自社のサイト、関連サイトへのコンテンツ提供:まあ従来どおり事前にチェックする。変更なし。
2) 社内が外部サイトを利用する。普通にインターネットを使うときに、違法ダウンロードに該当しないことを確認させなければいけない。しかし、その方法が多分、分らない。サイト信頼度を提供するサービスを利用するのかな?。フィルタリングサービスを強化して運用するか。
社員が自宅で利用するときはどうだろう。一定のことは守ってもらう必要がある。コンプライアンス違反は自宅でもNGです。
3) サイト運用者の場合は、最初の誓約書~契約書のほかに、実際の運用のなかでもコンテンツ毎にチェックするなどの手順を求めることになるでしょう。
違法報告(不適切コンテンツの報告)を受けられる仕組みが必要。メジャーなネットサービスに今は殆どそういうページが用意されている。
一般のメールなどでの警告や、口コミサイトの噂を監視するなどの仕組みも求められる時代になっている。
.*.
日本のYouTubeは魅力的な違法コンテンツが消去され続け今は全く魅力的でない。洋物は数百万ダウンロードを誇るものが幾つも存在するので、再生リストは洋物中心になってしまった。日本の音楽業界の著作権意識が異常な結果ではないか。どの作品だって意識しているか否かに関わらず先人の影響を受けているに違いないのだからもっと寛容でいいのではないか。というより、多くの人に聞いてもらう歌ってもらうことが原点にあったのではないか。
.*.
東電の福島原発事故調査報告の問題点
東電の福島原発事故調査報告の問題点
昨日の東電福島原発事故調査報告(東電による内部調査)のニュースで面白いやり取りがあった。東電の現場放棄?全員退避?の下り。マニュアル(手順書)には全員退避だが「災害対策要員は除く」と記載があるから全員退避ではないと東電が主張している。
ISMSの関係者なら失笑ものでしょう。
1)この但し書きが記載されたのはいつか。それはどのように周知されたか。周知の確認~教育の状況はどうであったかを記録から確認されていなければいけない。
2)事故当時の対策要員は誰か?それは本人へはどのように指示されていたか?
3)1)に重複するが一般理解とは別に役割を担当する前提で、対策要員は自分の役割責任を理解していたか?
4)災害対策要員としての活動の記録は手順書に沿って確認されなければいけない。記録が無い場合は記憶に基づいてでもその空間を埋めていかなければいけない。矛盾があればそれも記載しておくべきだ。
A:行動のレビュー:手順どおりに出来たか。
B:手順のレビュー:想定した手順の妥当性
こんなことは初歩的なこと。東電に人材が居ない訳では無いでしょうが、極度に政治的対応が迫られる中では、責任を外に転嫁したり、問題の所在を見せない報告書に纏め上げる方に力が注がれている印象だ。
真実を見ようとしなければ、本質課題を抽出しようとしなければ、改善することを狙いとしなければ、全く無意味な調査報告に終わってしまう。
例えば、この規模の津波は想定外として原因究明に取り込んでいないが、津波のリスクを指摘する外部(内部も?)の声に対して、真摯に取り組む体制もなかった、体制がなくても一人でもその子を聞いてテーブル(会議の席)に上げれば(一声発生すれば)、何らかの判断はされるはずだが、その判断の方法論にも問題は有った可能性が指摘できる。
.*.
分厚い調査報告書は問題を隠すときの常套手段。古典的な手法をとる東電経営陣とスタッフは保身主義に毒されている印象だ。
.*.
昨日の東電福島原発事故調査報告(東電による内部調査)のニュースで面白いやり取りがあった。東電の現場放棄?全員退避?の下り。マニュアル(手順書)には全員退避だが「災害対策要員は除く」と記載があるから全員退避ではないと東電が主張している。
ISMSの関係者なら失笑ものでしょう。
1)この但し書きが記載されたのはいつか。それはどのように周知されたか。周知の確認~教育の状況はどうであったかを記録から確認されていなければいけない。
2)事故当時の対策要員は誰か?それは本人へはどのように指示されていたか?
3)1)に重複するが一般理解とは別に役割を担当する前提で、対策要員は自分の役割責任を理解していたか?
4)災害対策要員としての活動の記録は手順書に沿って確認されなければいけない。記録が無い場合は記憶に基づいてでもその空間を埋めていかなければいけない。矛盾があればそれも記載しておくべきだ。
A:行動のレビュー:手順どおりに出来たか。
B:手順のレビュー:想定した手順の妥当性
こんなことは初歩的なこと。東電に人材が居ない訳では無いでしょうが、極度に政治的対応が迫られる中では、責任を外に転嫁したり、問題の所在を見せない報告書に纏め上げる方に力が注がれている印象だ。
真実を見ようとしなければ、本質課題を抽出しようとしなければ、改善することを狙いとしなければ、全く無意味な調査報告に終わってしまう。
例えば、この規模の津波は想定外として原因究明に取り込んでいないが、津波のリスクを指摘する外部(内部も?)の声に対して、真摯に取り組む体制もなかった、体制がなくても一人でもその子を聞いてテーブル(会議の席)に上げれば(一声発生すれば)、何らかの判断はされるはずだが、その判断の方法論にも問題は有った可能性が指摘できる。
.*.
分厚い調査報告書は問題を隠すときの常套手段。古典的な手法をとる東電経営陣とスタッフは保身主義に毒されている印象だ。
.*.
登録:
投稿 (Atom)
人気の投稿:月間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評... -
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混... -
bsi. Pointglobalログイン画面 『ビーエスアイ(BSI)英国本社は立派だけど日本法人は残念?』 https://pga.bsigroup.com/ ※ 情報セキュリティの審査はもはや最低レベル? 日本IBMの人が徐々に一線... -
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、... -
JICQAの審査で困ったら?[ISMS] JICQA 日本検査キューエイ http://www.jicqa.co.jp/ .*. .*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*. Pre Audit Check Point... -
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務... -
閑話休題ISMS https://shinshu.fm/MHz/88.86/ ラベル:閑話休題ISMS 日本のISMSはB審査機関が駄目にした。粗製乱造の結果は歪みとなり組織の成長を阻害している。経営者は傍観するだけだ。 Trend カテゴリー ...
-
案外理解されていない「フリーソフト」の管理策 フリーソフトに関する所見を記載するときに、規格項目のどれを適用するかで若干のやり取りがあった。いきなりそれは「A.12.5.4」と言い切った人が居た。「トロイの木馬」というキーワードが解説本(ISO17799)に記載されてい... -
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
人気の投稿:年間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
-
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
-
遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設... -
審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある... -
自分はそんな大事な仕事をしていないから関係ないと思えばそれまで。だれがいつどのような意図を持つか分からないと思えば注意深くなれる。 > https://internet.watch.impress.co.jp/docs/news/1508514.html 個人のメールアドレス... -
適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
人気の投稿
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規... -
クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため... -
ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件... -
名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50... -
嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が...