韓国旅客船セウォル号沈没事件からの示唆

https://www.google.co.jp/search?q=%E3%82%BB%E3%82%A6%E3%82%A9%E3%83%AB%E5%8F%B7&client=firefox-a&hs=AJn&rls=org.mozilla:ja:official&hl=ja&source=lnms&tbm=isch&sa=X&ei=KNtVU8rCKILz8QXX34KQBw&ved=0CAkQ_AUoAg&biw=998&bih=658#imgdii=_

韓国旅客船セウォル号沈没事件からの示唆

事故ですが敢えて事件としました。船が沈没に行ったことも多分に人災であり、事故の避難・救済の不手際も殆どが役割責任放棄、ある意味では不正を原因とすると見られるからです。

過積載は日常的、重量検査をやらない、全く出鱈目な管理下で船舶運行が続けられていたことには驚くばかりです。それでも船は今までは役割を果たしていた。ぼろぼろの管理システムでも仕事は出来た訳だ。

ISMSへの示唆

ISMSの観点で見ると、いくつも示唆となるポイントがありますが、最も重要なものは正に「弱点の報告」に関するものです。

管理の仕組みは完璧なものはありません。どれだけ用意周到に準備していても、内部的・外部的変化を免れることはできません。

最後は現場の力。水際の対応力。ここがしっかりしていれば、多くの問題は小事で収まるはずです。

「ビジネスシーンでいつもと違う景色が見えたら要注意」。弱点の報告に関するルールを思い出すべきだ。今回の沈没事件では、弱点の報告は十分可能だった。

(1)朝の8時台の時点で、他所の船からセウォル号を見ていた人が既に変な形に傾いていることを知っていた。船同士のすれ違いで適当な交信があれば気付き情報を入手できたかもしれない。
(2) 同様に、朝の8時台の時点で、乗組員が傾いて歩き難い状況を検知している。恐らく全ての人が傾きを感じていただろうが、客は初めてだからいつもと同じなんだろうと思えば異常には気付かない。しかし乗組員はその違いを分かっていた。沈没して休出されてから漸く報告しているが襲いどころの話ではない。

最初の気付きで点検確認などしていれば、もう少しまともな避難ができただろう。ただ、この無責任な船長とクルーでは結果は同じだったかもしれない。どんな仕組みも行動も、結局はトップの能力が最後は成否をきめてしまう。

弱点の報告を受けても処理する頭がなければ、報告はされなくなる。結局、船長(社長)次第なのだ。

.*.

(認証書発行が仕事と勘違いしている馬鹿な審査機関を利用するとわが身を滅ぼすよ)

.*.

見えない攻撃ハートブリードの衝撃?緊急対策は社会的責任です!

https://www.google.co.jp/search?q=%E3%83%8F%E3%83%BC%E3%83%88%E3%83%96%E3%83%AA%E3%83%BC%E3%83%89&client=firefox-a&hs=GWJ&rls=org.mozilla:ja:official&hl=ja&source=lnms&tbm=isch&sa=X&ei=LVJVU-oCiJSSBbSKgMgM&ved=0CAgQ_AUoAQ&biw=998&bih=658#imgdii=_

被害額の見えないハートブリード

ハートブリード
Heartbreed
心臓出血

ブラウザ利用時のOpenSSLは安全なやり取りを保障する通信方式だったが、SSLサーバーの初期プロセスのハートビート処理(チャレンジレスポンス習性?)を利用したバッファ情報の抜き取りを行なうのがハートブリードの手口。個人情報や鍵情報まで抜き取られる。

ハートビート処理中にデータの送り込みをサーバーが受けると、サーバーは送り返すデータがないためにバッファー上のデータを送り返す欠陥がある。多くの企業は既に脆弱性対策を実施済みだと思われる。

問題は、果たして自分の企業あるいは顧客は被害を受けたかどうかがまるで分からないことだ。

悪意の人が十分時間を置いてから本に成りすましたりすれば、犯罪が行なわれても原因を特定しにくくなる。

今、簡単に出来る対策は、犯人がIDパスワードを使う前に、パスワードを別のもっと安全なものに変更してしまうことだ。

(1)全くニューのパスワードにすること。(過去のパスワードは使わない)
(2)サイト毎に返ること。 (同じパスワードを使わない)
(3)覚えのないID利用がないか、メール通知、SNS記事、ポイント残高、クレカ利用などをチェックする。

.*.

ISMS施策

<運用者として直ぐやること>
  1. 運用しているオープンSSL利用サーバーを至急更新する。
  2. ログデータの確保。ログの保管期間が短く設定している企業ではログ廃棄を一旦停止する。ミニマム2年間、できれば10年保管。
  3. 利用者への注意喚起。特に、不正利用の有無についての注意、及び気付いたことの報告。問い合わせメニューに追加する。
  4. 外部の被害状況に対する情報収集体制の見直し。
 <運用者として1週間~1ヶ月以内にやること>
  • オープンSSLの脆弱性の報告が最初にされてから、実際に管理しているサーバーに対策が実施されるまでに掛かった時間の妥当性レビュー。脆弱性検知と対応力を定量的定性的に評価する。
<利用者としてすぐやること>=殆ど全ての企業組織が対象
  • 真っ先にやるのはパスワード変更。⇒業務上アクセスしている先は必須。ISMS事務局はパスワード変更済みの確認フォローまで実施すること。
  • ID変更も可能なら、IDも変更する。
  • 不正アクセスの疑い事例についてのチェックと報告。
  • 不正アクセスの疑い事例についての監視要請。
<社員・従業員とビジネスパートナーへの手当て>
  • 社員のプライバシーが晒されると企業までも悪影響を受けるのはよくあることだ。あんな馬鹿な社員が勤める企業の商品は買いたくないとなる。プライベートであれ、注意喚起は当然。
  • ビジネスパートナーが脆弱では事業継続性に問題を残す。注意喚起と可能なら結果のフォローまで実施すること。
.*.

この問題は既にニュースその他で広く知られていることだ。その意味することは、出遅れたハッカーグループもハッキング技術検証のためにハートブリード攻撃を始めるということです。今まで以上に飛躍的に多くの攻撃が開始されます。

対策が遅れているサイトはひとたまりもありません。

対策が遅れていたら社会的責任は免れません。サーバーに対策が一晩で出来ないならサーバーを止めることです。対策しないで運用を続けたら、目隠しして街中を全速力で運転しているのと同じことです。 事故が起きて当然。サーバーを運用する企業側が犯罪者になります。

.*.
登録: 投稿 (Atom)

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • 同じ居室内に違う会社?
    同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
  • 準備工数とか移動工数とか
    審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
  • 適用範囲の変更に伴う特別審査
    適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
  • 遠隔診断用及び環境設定用ポートの保護とは?
    遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
  • JICQAの審査で困ったら?[ISMS]
    JICQAの審査で困ったら?[ISMS] JICQA 日本検査キューエイ http://www.jicqa.co.jp/ .*. .*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*. Pre Audit Check Point...

人気の投稿:年間

  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • 同じ居室内に違う会社?
    同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
  • 適用範囲の変更に伴う特別審査
    適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • 観察事項のグッドポイントって何ですか?
    審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
  • 遠隔診断用及び環境設定用ポートの保護とは?
    遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設...
  • ISMS適用範囲の書き方
    ISMS適用範囲の書き方 ISMSの認証をとって継続的に管理するなら、いっそ、規格を下敷きにする発想がある。既存の文書管理体系の整合上、メリットが無ければ電子的読み替え表をイントラネット内に実現した方が良いでしょう。 .*. 適用範囲定義書を作るときもある。別紙...

人気の投稿

  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • クリアデスクは時間の無駄?
    クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
  • ISO 27002 :2013関連情報
    ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700...
  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • ASR :エイエスアール株式会社
    ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件...
  • 名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない?
    名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50...
  • 嗚呼、勘違いの情報資産台帳
    嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...