クローズアップ現代「国家の"サイバー戦争"~情報流出の真相~」を見て懸念するISMSの現状
クローズアップ現代で「国家の"サイバー戦争"~情報流出の真相~」と言うのをやっていた。中国が国家的規模で仕掛けるサイバー戦争の脅威は一地方(四国)の事務方をも狙っていた。ソーシャルエンジニアリングを使ってまんまとウイルスを潜入させ、中央官庁に関連するメアドなどを窃盗していた。足がかりに中央官庁も攻撃される。
重要な基幹産業も関連会社、協力会社などを踏み台に次々と重要な国家資産が奪われていくのは、苦々しい限りだろう。
ISMSへの取り組みが更に積極的に行われなければいけない。立派な社会貢献活動だ。
ここで気になるのはやはりBSIジャパン。甘い審査、緩い審査を続けることは極めて罪深い。クライアントは審査機関のお墨付きがあるので自分のところはレベル以上の取り組みになっていると勘違いしている可能性がある。実際は問題だらけでも不適合は出ない。観察も嫌だといえば取り下げてくれる。
それを続けていると油断が生まれる。長年BSIで審査を受けて入る企業ほど危険な相手は無い。
経営者に本当の危機感が無いから、自動継続みたいな審査で満足してしまうのだろう。
中には、前の審査では、あるいは前の審査員はOKだったことがなぜ今回はNGなんですかと食って掛かるクライアントもいるようだ。手続きとか面子に頭が行って、本当に安全な形は何かを考えなくなった証拠だ。当然、脅威は変動することも考慮しなければいけない。「よく気付いていただけた」と言えれば立派な経営者だけど、無能な事務局は板ばさみを恐れて硬直した判断でとめてしまう。
会社の危機、国家の危機が置くに控えていることなど思いもつかないだろう。
.*.
件のBSIジャパンは認証のデリバリー効率を経営目標にしているようだから、ISMSのプレイヤーとしては大いに問題がある。国を守る仕組み制度の一環ともいえるISMSのなかでBSIがやっていることは制度の無意味化でしょう。
多分、統計データはあまりに少ない不適合件数とぎりぎり最小の審査工数を明るみに出すはずだが、それ自身が違反行為ではない。でも経営の意図を理解するのはたやすい。ルールに触れなければ何をやっても良いとするなら、エクセレントの文字は使うべきでない。
.*.
<反復>
いい加減なISMS審査はクライアントに油断を与え、企業の重要資産=国家の情報資産を流出させることに繋がるもので、決して看過できない犯罪行為にも等しいということ。
不適合は出さず殆どを観察事項で済ます。しかしその観察事項のフォローも全くいい加減であれば、審査というよりメクラ点検。NEXCO中日本の笹子トンネル崩落事故と全く同じ。無責任なサービスを続け、事故が起きるまで放置するに等しい。
組織の経営者は。3年間も不適合0件だったら、自分の会社がウルトラスーパーエクセレントカンパニーか、その審査機関がウルトラスーパー出鱈目審査機関と心得るべきだ。そんな迎合的な審査は受けるだけ無駄だ。芸者審査・太鼓持ち審査を受けて済ましている企業の担当は説明責任を果たせる訳も無い。
.*.
