2012年03月12日
社員のソーシャルメディア利用リスクに対応するガイドライン
ソーシャルメディア
ソーシャルメディアとはツイッターとかフェイスブック等のSNSとかブログとか電子掲示板とかホームページとか、要は世間(社会)に情報を晒す媒介となるもの。これらは全て検索ロボット等の検知システムによって、変化点(新たな書き込み)があれば数分以内に捕捉されてしまいます。一旦捕捉されればネット上のキャッシュに保存され伝達されますから際限なく情報は流れ広まります。
このようなソーシャルメディアは殆どの場合、無料で提供され非常に多くの人が私的理由で利用しているものです。
企業に勤めるサラリーマンも会社では社員でも家ではソーシャルメディアのユーザー。公私混同がうっかり行われれば会社情報の漏洩に繋がります。アルバイトであれ季節労働者であれパートであれ契約社員であれ同じです。
ソーシャルメディアは企業にとっては安全を脅かす存在であるが利用禁止は不可能。ソーシャルメディアを活用したマーケティングが行われる時代、禁止することは自己矛盾を持つ。その前に言論自由など基本的人権に触る懸念もある。
.*.
ソーシャルメディア利用ガイドライン
企業が取れる対策はガイドラインの策定と教育・周知。会社内の規定類で埋められない領域に対するスタンスの明確化。やり過ぎるとそのこと自体が問題になるので注意が必要。ソーシャルメディアを利用する時のガイドライン。
所属企業の活動・サービス・商品などに関わる情報発信時の注意事項。
自分が企業人であることを名乗っているときの注意事項。
ソーシャルメディアを業務利用する時の注意事項。
大事な事は、組織としてのスタンスを明確にすること。運用を踏まえて組織文化に適合させていくこと。ソーシャルメディア環境変化への対応を適切に行うこと。
.*.
炎上リスクへの対応:
社内に専門チームの設置が必要。兼務でも充分ですが、体制として明確にしておくべきです。ISPとのやり取り、記事の削除あるいは掲載中止、検索エンジンサイトへの処置など、一連のことをスムーズにやる必要がありますが、ここを個人に任せておくと問題を収束できず、会社全体の信頼を損ねる事態に発展することも懸念されます。
人的セキュリティに対する適切な管理策の策定が必要になります。
.*.
ソーシャルメディア
ソーシャルメディアとはツイッターとかフェイスブック等のSNSとかブログとか電子掲示板とかホームページとか、要は世間(社会)に情報を晒す媒介となるもの。これらは全て検索ロボット等の検知システムによって、変化点(新たな書き込み)があれば数分以内に捕捉されてしまいます。一旦捕捉されればネット上のキャッシュに保存され伝達されますから際限なく情報は流れ広まります。
このようなソーシャルメディアは殆どの場合、無料で提供され非常に多くの人が私的理由で利用しているものです。
企業に勤めるサラリーマンも会社では社員でも家ではソーシャルメディアのユーザー。公私混同がうっかり行われれば会社情報の漏洩に繋がります。アルバイトであれ季節労働者であれパートであれ契約社員であれ同じです。
ソーシャルメディアは企業にとっては安全を脅かす存在であるが利用禁止は不可能。ソーシャルメディアを活用したマーケティングが行われる時代、禁止することは自己矛盾を持つ。その前に言論自由など基本的人権に触る懸念もある。
.*.
ソーシャルメディア利用ガイドライン
企業が取れる対策はガイドラインの策定と教育・周知。会社内の規定類で埋められない領域に対するスタンスの明確化。やり過ぎるとそのこと自体が問題になるので注意が必要。ソーシャルメディアを利用する時のガイドライン。
所属企業の活動・サービス・商品などに関わる情報発信時の注意事項。
自分が企業人であることを名乗っているときの注意事項。
ソーシャルメディアを業務利用する時の注意事項。
大事な事は、組織としてのスタンスを明確にすること。運用を踏まえて組織文化に適合させていくこと。ソーシャルメディア環境変化への対応を適切に行うこと。
.*.
炎上リスクへの対応:
社内に専門チームの設置が必要。兼務でも充分ですが、体制として明確にしておくべきです。ISPとのやり取り、記事の削除あるいは掲載中止、検索エンジンサイトへの処置など、一連のことをスムーズにやる必要がありますが、ここを個人に任せておくと問題を収束できず、会社全体の信頼を損ねる事態に発展することも懸念されます。
人的セキュリティに対する適切な管理策の策定が必要になります。
.*.
日立が開発した検索可能暗号って何?
クラウド利用時のセキュリティ確保に有用な技術として紹介されていた。今後のクラウド利用の普及を視野にした興味深い取り組みですが、この検索可能暗号ってものはなかなか理解できません。
検索可能暗号
http://www.hitachi.co.jp/New/cnews/month/2012/03/0312.html
あるファイルをある鍵で暗号化した時に、その暗号化に使った鍵(キーA)を検索することができる鍵(キーB)を生成する技術。なのかな?。であれば、きっとAとBとをペアで生成するんだろう。
キーBで暗号化ファイル(キーA)を検索できる。キーBで暗号化ファイル(キーA)を複合できるわけではない。複合するにはあくまでもキーAを使わないといけない。
公開鍵・秘密鍵の関係はココでは忘れておきましょう。思い出すのに時間が掛かるもので。
この日立の技術のポイントはクラウド上のデータベースには 暗号化したまま保管できること。他の人が検索しても情報は守られる。アップロード・ダウンロード時も安全。
社内のLAN環境とクラウドとの間で自動的に暗号化・複合化の処理が出来れば、あるいはクライアント側のツールとして作っておけば不便さもある程度回避できそうだ。
.*.
実用化の時期は分らないが、クラウド利用時の不安(リスク)を解消する有効な手段であり、早々に実証に入ることが期待される。
.*.
クラウド利用時のセキュリティ確保に有用な技術として紹介されていた。今後のクラウド利用の普及を視野にした興味深い取り組みですが、この検索可能暗号ってものはなかなか理解できません。
検索可能暗号
http://www.hitachi.co.jp/New/cnews/month/2012/03/0312.html
あるファイルをある鍵で暗号化した時に、その暗号化に使った鍵(キーA)を検索することができる鍵(キーB)を生成する技術。なのかな?。であれば、きっとAとBとをペアで生成するんだろう。
キーBで暗号化ファイル(キーA)を検索できる。キーBで暗号化ファイル(キーA)を複合できるわけではない。複合するにはあくまでもキーAを使わないといけない。
公開鍵・秘密鍵の関係はココでは忘れておきましょう。思い出すのに時間が掛かるもので。
この日立の技術のポイントはクラウド上のデータベースには 暗号化したまま保管できること。他の人が検索しても情報は守られる。アップロード・ダウンロード時も安全。
社内のLAN環境とクラウドとの間で自動的に暗号化・複合化の処理が出来れば、あるいはクライアント側のツールとして作っておけば不便さもある程度回避できそうだ。
.*.
実用化の時期は分らないが、クラウド利用時の不安(リスク)を解消する有効な手段であり、早々に実証に入ることが期待される。
.*.
グーグルにサービスが集中することのリスク:事業継続課題の考察
グーグルが提供するサービスに対するアカウント管理ポリシーが今月から変更になった。ログインすると表示されるブルーの[OK]ボタンをクリックすることでポリシー変更を受け入れたたとなるのだろう。この承認の[OK]をしなければ以前のように使える。
グーグルの外的あるいは内的な脅威により情報セキュリティのCIAを喪失させるリスクは存在する。このことは常識です。
(原則1)グーグルにしか情報が無いという状態を作ってはいけない。グーグルが提供するスペースにも情報h保管されなければいけない。3箇所保管が基本。
(原則2)機密レベルの高い情報をグーグルサイトにおいてはいけない。クラウド管理はいざというときに取り戻せなくなるリスクもある。ポリシーも変わる。法令も変わる。機密ハイはローカル管理が基本。
(原則3)定期的なメンテナンスにより情報の有用性(利用可能性・利用有意性)を維持しなければいけない。自動更新・自動バックアップは信頼できない。
*
グーグルは個人ユーザーが主体ですが、徐々に法人での利用も増えてきています。グーグル利用不可時の事業継続性の検討が欠かせません。
①同様のクラウド事業者(同業他社)の確保、
②社内にグーグルサービス擬似または代替環境を用意する(通常社内を使う場合は社外に用意する発想も有る)
.*.
グーグルが提供するサービスに対するアカウント管理ポリシーが今月から変更になった。ログインすると表示されるブルーの[OK]ボタンをクリックすることでポリシー変更を受け入れたたとなるのだろう。この承認の[OK]をしなければ以前のように使える。
グーグルの外的あるいは内的な脅威により情報セキュリティのCIAを喪失させるリスクは存在する。このことは常識です。
(原則1)グーグルにしか情報が無いという状態を作ってはいけない。グーグルが提供するスペースにも情報h保管されなければいけない。3箇所保管が基本。
(原則2)機密レベルの高い情報をグーグルサイトにおいてはいけない。クラウド管理はいざというときに取り戻せなくなるリスクもある。ポリシーも変わる。法令も変わる。機密ハイはローカル管理が基本。
(原則3)定期的なメンテナンスにより情報の有用性(利用可能性・利用有意性)を維持しなければいけない。自動更新・自動バックアップは信頼できない。
*
グーグルは個人ユーザーが主体ですが、徐々に法人での利用も増えてきています。グーグル利用不可時の事業継続性の検討が欠かせません。
①同様のクラウド事業者(同業他社)の確保、
②社内にグーグルサービス擬似または代替環境を用意する(通常社内を使う場合は社外に用意する発想も有る)
.*.
嗚呼、勘違いの情報資産台帳
情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。
ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が作成されていないことが多いからです。
情報資産に特定しないで、組織の管理対象となる資産は何か洗う作業が必要になります。組織の資産の一部が情報資産です。組織の人・物・金を束ねるのが情報と見ておいてもいいでしょう。組織として既にQMSとかEMSとかで体系的な資産の洗い出しが済んでいれば、ISMSの作業は単純になります。
ところがマネジメントシステムに始めて取り組む場合は、組織の管理対象全体をしっかり把握してやることが大事です。ISMS以前の問題(やること)が転がっています。日ごろの管理の穴を埋めるところから作業は始まります。日常管理をしっかりやっているところと手抜きのところが同じレベルでISMSを始められるわけが有りません。
.*.
もっとも、手間を惜しむコンサルはそういうことを要求しません。今ある奴だけをリストすればいいと言うでしょう。彼らは、体裁だけクリアすれば認証が得られることを知っているからです。体裁だけの、箱ポンの管理では有効性は期待できませんが、経験を積んだコンサルは手を広げた時の泥沼も知っています。ですから、クライアントの取り組みレベルを見て妥当と思われるところで線引きをせざるを得ない事情もありますので、一部であってもコンサルを頭から非難することは適切では有りません。
.*.
情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。
ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が作成されていないことが多いからです。
情報資産に特定しないで、組織の管理対象となる資産は何か洗う作業が必要になります。組織の資産の一部が情報資産です。組織の人・物・金を束ねるのが情報と見ておいてもいいでしょう。組織として既にQMSとかEMSとかで体系的な資産の洗い出しが済んでいれば、ISMSの作業は単純になります。
ところがマネジメントシステムに始めて取り組む場合は、組織の管理対象全体をしっかり把握してやることが大事です。ISMS以前の問題(やること)が転がっています。日ごろの管理の穴を埋めるところから作業は始まります。日常管理をしっかりやっているところと手抜きのところが同じレベルでISMSを始められるわけが有りません。
.*.
もっとも、手間を惜しむコンサルはそういうことを要求しません。今ある奴だけをリストすればいいと言うでしょう。彼らは、体裁だけクリアすれば認証が得られることを知っているからです。体裁だけの、箱ポンの管理では有効性は期待できませんが、経験を積んだコンサルは手を広げた時の泥沼も知っています。ですから、クライアントの取り組みレベルを見て妥当と思われるところで線引きをせざるを得ない事情もありますので、一部であってもコンサルを頭から非難することは適切では有りません。
.*.
2012年03月11日
病院ホームページ記載事項規制
「日本一」「最高」「著名人も受診している」「絶対安全」などの非科学的表現や「キャンペーン中」などの受診を煽る表現は禁止。厚生労働省が2012年度中に指針をまとめる。
広告に対する規制は従来からあったが、今回はホームページについても規制を入れる。
加えて、治療のメリットだけでなくリスクや副作用についての記載も義務付ける。
治療内容や費用についての開示も求める。
自主的な取り組みを期待する部分と規制対象との境界線が分り難い。
.*.
病院ホームページ以外はどうするのか。考え方は同様でしょう。
医療関連は規制が厳しいが、その他の業界の場合、規制が無ければコンプライアンス問題にはならないと考えていいのか?
ISMS的にはどのように処理するのだろうか?
ホームページの運用手順の策定されているか。法令順守、企業としてのポリシーからの要件を充足くしているかどうか。
(1)法令順守のための手順がいい加減かもしれない。
(2)セキュリティポリシーあるいはマニュアルには意味のある記載が無いかもしれない。
広告宣伝に関する規制類を取り込んで管理策に反映させてしかるべきなんだろう。
「日本一」「最高」「著名人も受診している」「絶対安全」などの非科学的表現や「キャンペーン中」などの受診を煽る表現は禁止。厚生労働省が2012年度中に指針をまとめる。
広告に対する規制は従来からあったが、今回はホームページについても規制を入れる。
加えて、治療のメリットだけでなくリスクや副作用についての記載も義務付ける。
治療内容や費用についての開示も求める。
自主的な取り組みを期待する部分と規制対象との境界線が分り難い。
.*.
病院ホームページ以外はどうするのか。考え方は同様でしょう。
医療関連は規制が厳しいが、その他の業界の場合、規制が無ければコンプライアンス問題にはならないと考えていいのか?
ISMS的にはどのように処理するのだろうか?
ホームページの運用手順の策定されているか。法令順守、企業としてのポリシーからの要件を充足くしているかどうか。
(1)法令順守のための手順がいい加減かもしれない。
(2)セキュリティポリシーあるいはマニュアルには意味のある記載が無いかもしれない。
広告宣伝に関する規制類を取り込んで管理策に反映させてしかるべきなんだろう。
2012年03月08日
村社会における住所録の公開
今でも住所録とか連絡先名簿を作って配布する人がいる。困ったものだ。
氏名、住所、電話番号(自宅、オフィス、携帯)、メールアドレス(自宅、オフィス、携帯)、家族構成(配偶者の有無、子供の有無、親と同居)、一戸建てか集合住宅か、持ち家か借家・社宅・官舎か、最寄り駅、最寄り駅までの徒歩時間、生年月日、年齢、勤務先、勤務年数、役職、年収、運転免許証保有の有無、事故暦、自家用車の保有、車種、保有年数、病歴・入院歴、血液型、などなど。キリが有りません。
クラス(学級)名簿。同好会が出来れば名簿を作る。気軽な気持ちで作る名簿はドンドン肥大化する。結束の証なんでしょう。
.*.
ところで、
昨今は個人情報に対して神経質になる人も多い。名簿には情報を入れないことを要求する。自分の個人情報の記載を拒否する。そういうことです。それは一種の権利だから構わないのかもしれない。
ところが、
出来上がった名簿をその人は他の人と一緒に貰うのですね。自分尾ぷラバシーは大事だけど、他人のプライバシーはお構いなしという訳だ。村社会なら情報を出した人には情報が戻るが、情報を出していない人には情報は戻さないのが原則。
この辺も理解しないで名簿を作っている輩は処置なしだね。幹事・事務局・世話人の資格はないね。
.*.
これはISMSの問題ではなく、もっと基本的なフェアネスの問題です。
今でも住所録とか連絡先名簿を作って配布する人がいる。困ったものだ。
氏名、住所、電話番号(自宅、オフィス、携帯)、メールアドレス(自宅、オフィス、携帯)、家族構成(配偶者の有無、子供の有無、親と同居)、一戸建てか集合住宅か、持ち家か借家・社宅・官舎か、最寄り駅、最寄り駅までの徒歩時間、生年月日、年齢、勤務先、勤務年数、役職、年収、運転免許証保有の有無、事故暦、自家用車の保有、車種、保有年数、病歴・入院歴、血液型、などなど。キリが有りません。
クラス(学級)名簿。同好会が出来れば名簿を作る。気軽な気持ちで作る名簿はドンドン肥大化する。結束の証なんでしょう。
.*.
ところで、
昨今は個人情報に対して神経質になる人も多い。名簿には情報を入れないことを要求する。自分の個人情報の記載を拒否する。そういうことです。それは一種の権利だから構わないのかもしれない。
ところが、
出来上がった名簿をその人は他の人と一緒に貰うのですね。自分尾ぷラバシーは大事だけど、他人のプライバシーはお構いなしという訳だ。村社会なら情報を出した人には情報が戻るが、情報を出していない人には情報は戻さないのが原則。
この辺も理解しないで名簿を作っている輩は処置なしだね。幹事・事務局・世話人の資格はないね。
.*.
これはISMSの問題ではなく、もっと基本的なフェアネスの問題です。
テレワークと情報セキュリティ
クローズアップ現代で流れていたトピック。在宅勤務、モバイルワーク、サテライトオフィスなどの総称としてテレワークとしている。ISMSでは、テレワークは通常の勤務先とは異なるものの場所を特定できる拠点での仕事。サテライト、在宅、社内の別事業所などはテレワーク。拠点が特定できない移動しながらのものをモバイルワークとしている。業務環境の違いが管理策の違いを生むからです。
NHKの取材はリコージャパン営業についてのもの。現在100人規模。漸次拡大のほうこうとか。無いよう事態は目新しいものは無い。赤いパソコン(パナソニックのシンクライアント対応PC?)が目に付いたくらいだ。
日本テレワーク協会
http://www.japan-telework.or.jp/
ところで、このような働き方の提案・実践は、もう随分と以前からあちこちの企業で行われてきました。直行・直帰の営業スタイル。フリーデスク。パーソナルロッカー。PCベースの遠隔会議。
さてと。ブロードバンドぼ発達・普及は、テレワーク環境を著しく変えてきたようです。以前は公衆回線の環境ではシンクライアントによる業務は成立しなかったが、今の3G/4G時代になるとあまり気にする必要が無くなった。シンクライアントPCでなくてもブラウザベースのWEBソリューションも普通のことになっている。加えてWi-Fi環境も整備されつつあるから、シンクライアントPCの利用は社内・社外とも常識化してくるでしょう。
テレワークのリスクはシンクライアントで解消するのか?
シンクラの取り得はパソコン上にデータが保存されないというだけです。利用している間は当然ながら画面にデータは表示されます。メディアに情報を抜くことは制限できていますか。印刷は許可していますか?。誰かがあなたに成りすます可能性は?誰かがあなたを拘束する可能性は?。接続時間の管理策を採用していますか。一般的なIDとパスワードだけで大丈夫ですか。バイオ認証の必要性はいかがですか。許可されていない業務アプリケーションへのログイン、必要性の低いストレージへの課となアクセスなどについて監視できていますか。
外に出た社員がどのような状況にあるか、いろいろ心配してみましょう。
.*.
クローズアップ現代で流れていたトピック。在宅勤務、モバイルワーク、サテライトオフィスなどの総称としてテレワークとしている。ISMSでは、テレワークは通常の勤務先とは異なるものの場所を特定できる拠点での仕事。サテライト、在宅、社内の別事業所などはテレワーク。拠点が特定できない移動しながらのものをモバイルワークとしている。業務環境の違いが管理策の違いを生むからです。
NHKの取材はリコージャパン営業についてのもの。現在100人規模。漸次拡大のほうこうとか。無いよう事態は目新しいものは無い。赤いパソコン(パナソニックのシンクライアント対応PC?)が目に付いたくらいだ。
日本テレワーク協会
http://www.japan-telework.or.jp/
ところで、このような働き方の提案・実践は、もう随分と以前からあちこちの企業で行われてきました。直行・直帰の営業スタイル。フリーデスク。パーソナルロッカー。PCベースの遠隔会議。
さてと。ブロードバンドぼ発達・普及は、テレワーク環境を著しく変えてきたようです。以前は公衆回線の環境ではシンクライアントによる業務は成立しなかったが、今の3G/4G時代になるとあまり気にする必要が無くなった。シンクライアントPCでなくてもブラウザベースのWEBソリューションも普通のことになっている。加えてWi-Fi環境も整備されつつあるから、シンクライアントPCの利用は社内・社外とも常識化してくるでしょう。
テレワークのリスクはシンクライアントで解消するのか?
シンクラの取り得はパソコン上にデータが保存されないというだけです。利用している間は当然ながら画面にデータは表示されます。メディアに情報を抜くことは制限できていますか。印刷は許可していますか?。誰かがあなたに成りすます可能性は?誰かがあなたを拘束する可能性は?。接続時間の管理策を採用していますか。一般的なIDとパスワードだけで大丈夫ですか。バイオ認証の必要性はいかがですか。許可されていない業務アプリケーションへのログイン、必要性の低いストレージへの課となアクセスなどについて監視できていますか。
外に出た社員がどのような状況にあるか、いろいろ心配してみましょう。
.*.
2012年03月02日
スマートフォン・ネットバンキングのセキュリティ
スマホ時代のネットバンキング
簡単に出来るのは良いですが、セキュリティ面は逆に心配になる。
老人がスマホを使い始めたら?
.*.
ワンタイムパスワード。前は1個1万円近くしたと思ったら今は無料配布の時代。セキュリティコストを評価すると妥当ということなんだろう。あちこちの銀行からワンタイムパスワード発生装置(トークン)がくると返って分かり難い。
と言いつつもそのコスト面の負担も馬鹿にならない。
野村證券などはワンタイムパスワードから普通のパスワード認証に戻す動きもある。大丈夫なんだろうか。金融系では2種類のパスワードを使うのは常識化しているようだ。
やはり本人認証の標準化手段が欲しいね。十分信頼できるもの。いたちごっこで何処まで言ってもキリが無いのか?。
生体認証か量子認証か?。
まだまだ先ですね。
.*.
スマホ時代のネットバンキング
簡単に出来るのは良いですが、セキュリティ面は逆に心配になる。
老人がスマホを使い始めたら?
.*.
ワンタイムパスワード。前は1個1万円近くしたと思ったら今は無料配布の時代。セキュリティコストを評価すると妥当ということなんだろう。あちこちの銀行からワンタイムパスワード発生装置(トークン)がくると返って分かり難い。
と言いつつもそのコスト面の負担も馬鹿にならない。
野村證券などはワンタイムパスワードから普通のパスワード認証に戻す動きもある。大丈夫なんだろうか。金融系では2種類のパスワードを使うのは常識化しているようだ。
やはり本人認証の標準化手段が欲しいね。十分信頼できるもの。いたちごっこで何処まで言ってもキリが無いのか?。
生体認証か量子認証か?。
まだまだ先ですね。
.*.
2012年02月28日
機密情報の管理で基本的なこと
機密情報には機密情報と記載することです。もしくは機密情報であることを明確にすることです。機密情報であることを明らかにすることにより周囲の人にも機密として扱ってもらうことが出来る。
馬鹿な理屈こきは第三者にも分らないように識別しないと主張する。ゴミと同じ扱いにしてしまう。周りの人もゴミと同じ扱いをする。機密情報はやすやすと流出してしまう。
「識別しない」管理策に似ている。識別しないのは管理しないことですからこれは只の詭弁です。
機密情報には機密情報と記載することです。もしくは機密情報であることを明確にすることです。機密情報であることを明らかにすることにより周囲の人にも機密として扱ってもらうことが出来る。
馬鹿な理屈こきは第三者にも分らないように識別しないと主張する。ゴミと同じ扱いにしてしまう。周りの人もゴミと同じ扱いをする。機密情報はやすやすと流出してしまう。
「識別しない」管理策に似ている。識別しないのは管理しないことですからこれは只の詭弁です。
2012年02月26日
主な資源管理ツール
QND
QAW : Quality Asset Watcher
EasyAssetManager
Management Core
Pallet Control
Asset Base
Lan Scope
LANDesk
QND
QAW : Quality Asset Watcher
EasyAssetManager
Management Core
Pallet Control
Asset Base
Lan Scope
LANDesk
2012年02月25日
スマートフォン用ウイルス対策ソフト
色々有るようだ。殆どがアンドロイド向けです。アイフォン向けは知らない。
機能
ウイルス検索
演歌クロック
遠隔削除
端末検索
不正サイトブロック
SIMカード保護
迷惑電話
SMS対策
圧縮ファイル検索
ペアレンタルコントロール
シマンテック:ノートン、トレンドマイクロ:ウイルスバスター、などメジャーなベンダーからは既にリリースしている。無料のソフトもあるようです。
PhishChecker, Perfect AppLock, tSpyCheckerなど。
パソコンのフリーソフトで有名なアバスト(Avast!)は如何だろう。既にリリースしていました。グーグル本体で提供しなければこの無料版で充分でしょう。
avast! Mobile Security
http://www.avast.co.jp/free-mobile-security
色々有るようだ。殆どがアンドロイド向けです。アイフォン向けは知らない。
機能
ウイルス検索
演歌クロック
遠隔削除
端末検索
不正サイトブロック
SIMカード保護
迷惑電話
SMS対策
圧縮ファイル検索
ペアレンタルコントロール
シマンテック:ノートン、トレンドマイクロ:ウイルスバスター、などメジャーなベンダーからは既にリリースしている。無料のソフトもあるようです。
PhishChecker, Perfect AppLock, tSpyCheckerなど。
パソコンのフリーソフトで有名なアバスト(Avast!)は如何だろう。既にリリースしていました。グーグル本体で提供しなければこの無料版で充分でしょう。
avast! Mobile Security
http://www.avast.co.jp/free-mobile-security
スマートフォンのセキュリティ
連絡先、電話番号、メールアドレスの流出
ウイルス感染(端末の乗っ取り)
フィッシング詐欺
.*.
スマホ・ウイルス
Gemini : 遠隔操作リスク
DroidDream : トロイの木馬
多くの場合「アプリ」の中に問題が潜む。アプリの作成者が悪意を持つケース、他人のアプリを改ざんして(ウイルスを入れて)いるケース、
.*.
身元不明(提供元不明)のアプリはインストールしない。
身元不明のアプリインストールを許可するのチェックは必ず外しておくこと。デフォルトがどうなっているか確認しておくこと。
野良アプリサイト(公式マーケット以外をこう呼ぶらしい)からのダウンロードは行わない。
仮に公式マーケットサイトであっても、アプリに対するチェック体制は無いに等しい。アプリの機能紹介を見て以下の内容が含まれる場合は怪しいらしい。
電話番号発進
SMSメッセージの送信
連絡先データの読み取り
機密ログデータの読み取り
端末のステータスとIDの読み取り
既知のアカウントの取得
連絡先、電話番号、メールアドレスの流出
ウイルス感染(端末の乗っ取り)
フィッシング詐欺
.*.
スマホ・ウイルス
Gemini : 遠隔操作リスク
DroidDream : トロイの木馬
多くの場合「アプリ」の中に問題が潜む。アプリの作成者が悪意を持つケース、他人のアプリを改ざんして(ウイルスを入れて)いるケース、
.*.
身元不明(提供元不明)のアプリはインストールしない。
身元不明のアプリインストールを許可するのチェックは必ず外しておくこと。デフォルトがどうなっているか確認しておくこと。
野良アプリサイト(公式マーケット以外をこう呼ぶらしい)からのダウンロードは行わない。
仮に公式マーケットサイトであっても、アプリに対するチェック体制は無いに等しい。アプリの機能紹介を見て以下の内容が含まれる場合は怪しいらしい。
電話番号発進
SMSメッセージの送信
連絡先データの読み取り
機密ログデータの読み取り
端末のステータスとIDの読み取り
既知のアカウントの取得
私物の持込を禁止する理由
会社の情報が持ち出されるリスクを抑制する
会社に不適切な情報が入り込むリスクを抑制する
<画像・映像・音声>
デジカメ、携帯電話、タブレット端末、ノートパソコン、ICレコーダーなど。書類や液晶モニター画面を撮影して持ち出せる。会議内容を録音して持ち出せる。
データをメモリやストレージに落として持ち出せるから、メモリーやストレージそのものあるいは内蔵できる機器類。ハードコピーに印刷しても持ち出せる。
<内部データ>
USB、CD/DVD、可搬HDDなど媒体へ抜き出して持ち出せる。
持ち込みPC/タブレット/スマホをネット接続して直接持ち出す。
.*.
社員がその気になったら持ち込み、持ち出しを止めるのは容易でない。
.*.
私物の持込を禁止しても、ネットを利用した持ち出し。メールやWEBを利用した持ち出しは簡単に出来てしまう。メアド、サイトまで監視する環境が必要だ。
会社の情報が持ち出されるリスクを抑制する
会社に不適切な情報が入り込むリスクを抑制する
<画像・映像・音声>
デジカメ、携帯電話、タブレット端末、ノートパソコン、ICレコーダーなど。書類や液晶モニター画面を撮影して持ち出せる。会議内容を録音して持ち出せる。
データをメモリやストレージに落として持ち出せるから、メモリーやストレージそのものあるいは内蔵できる機器類。ハードコピーに印刷しても持ち出せる。
<内部データ>
USB、CD/DVD、可搬HDDなど媒体へ抜き出して持ち出せる。
持ち込みPC/タブレット/スマホをネット接続して直接持ち出す。
.*.
社員がその気になったら持ち込み、持ち出しを止めるのは容易でない。
.*.
私物の持込を禁止しても、ネットを利用した持ち出し。メールやWEBを利用した持ち出しは簡単に出来てしまう。メアド、サイトまで監視する環境が必要だ。
奇妙な資産価値
集まる連中が同じことを繰り返し話題にするので記事も同じ内容が繰り返されてしまうのは止むなしか。
資産価値はCIAに分けて既に評価されているのに、どういうわけかご丁寧にこの3つを掛けて改めて資産価値とやっている。
資産価値=C×I×A? 奇妙キテレツ。
掛け算を使うなんて全く何も理解していない証拠。資産価値の単位〜次元(ディメンション)は基本的には金額。セキュリティ側面(CIA)の欠落によって生ずる損害額のことです。どうせ間違うにしても足し算ならまだ普通の頭ということになるが、掛け算とか中には更にご丁寧に機密性だけ二乗したり例があるようです。こういう文科系の頭が事務局をやったら悲劇だね。
ついでに言えば、
脅威は損害の発生率に相当します。脆弱性は防御率の逆数=防御できない率ですから、概念的には脅威の実現率ですね。ここは次元(ディメンション)はありません。資産価値に脅威・脆弱性を掛けて出てくるリスク値も金額です。
「ある情報資産」の「ある脅威」に対するリスク値とは期待損失額に相当します。予想被害額。この予想被害額を軽減するためにリスク低減の施策が打たれます。
リスク低減の施策は、恒常的に続けるものと、体質・仕組みを変える為に機関を区切って実施されるものとがあります。経営者はこの両者の活動のためにリソースを提供することが求められます。
リスク軽減のために投資する費用の限界点がリスク値です。
.*.
しかし、これを定量化するのはとても無理。止む無く、レベル区分で便宜的な評価にとどめています。
.*.
それにしてもCIAを掛けたりしたら適切にリスクが拾い出せない分けですから、リスクアセスメント自体をやり直さなければどうしようもないでしょう。
意味の無いことを多くの人が何年もやっていたという事実は厳しいね。
コンサルの同胞もアホなら審査もアホ。もしくはズルイ根性の持ち主だ。一方の管理責任者も内部監査責任者も推進者も自分の問題としてISMSに向き合っていなかった証拠でしょう。勿論、一番の被害者で一番の問題児は経営者その人です。
.*.
集まる連中が同じことを繰り返し話題にするので記事も同じ内容が繰り返されてしまうのは止むなしか。
資産価値はCIAに分けて既に評価されているのに、どういうわけかご丁寧にこの3つを掛けて改めて資産価値とやっている。
資産価値=C×I×A? 奇妙キテレツ。
掛け算を使うなんて全く何も理解していない証拠。資産価値の単位〜次元(ディメンション)は基本的には金額。セキュリティ側面(CIA)の欠落によって生ずる損害額のことです。どうせ間違うにしても足し算ならまだ普通の頭ということになるが、掛け算とか中には更にご丁寧に機密性だけ二乗したり例があるようです。こういう文科系の頭が事務局をやったら悲劇だね。
ついでに言えば、
脅威は損害の発生率に相当します。脆弱性は防御率の逆数=防御できない率ですから、概念的には脅威の実現率ですね。ここは次元(ディメンション)はありません。資産価値に脅威・脆弱性を掛けて出てくるリスク値も金額です。
「ある情報資産」の「ある脅威」に対するリスク値とは期待損失額に相当します。予想被害額。この予想被害額を軽減するためにリスク低減の施策が打たれます。
リスク低減の施策は、恒常的に続けるものと、体質・仕組みを変える為に機関を区切って実施されるものとがあります。経営者はこの両者の活動のためにリソースを提供することが求められます。
リスク軽減のために投資する費用の限界点がリスク値です。
.*.
しかし、これを定量化するのはとても無理。止む無く、レベル区分で便宜的な評価にとどめています。
.*.
それにしてもCIAを掛けたりしたら適切にリスクが拾い出せない分けですから、リスクアセスメント自体をやり直さなければどうしようもないでしょう。
意味の無いことを多くの人が何年もやっていたという事実は厳しいね。
コンサルの同胞もアホなら審査もアホ。もしくはズルイ根性の持ち主だ。一方の管理責任者も内部監査責任者も推進者も自分の問題としてISMSに向き合っていなかった証拠でしょう。勿論、一番の被害者で一番の問題児は経営者その人です。
.*.
2012年02月21日
全国の医療情報サイトの有効化に向けて
医療情報サイトは厚生労働省の指導を受けて?、各都道府県で構築運営されているらしい。ところが、あまり利用されていないらしい。1都道府県あたり1日900アクセス平均らしい。
医療機関の所在地、電話番号、診療科目。対応可能な治療、実績などが公表されているらしい。
用語の難しさと情報のありかが分かり難いことが利用されない要因とされている。厚生労働省が対策に乗り出した。
ISMS的には「CIA」の中の「A」の問題です。
「A」(可用性)(Availability)の管理策とはどのようなものか?
都道府県がめいめい勝手に作ればそうなります。厚労省のリーダーシップが中途半端なために全国で無駄をやったのでしょう。お客(住民)のことも忘れている。隣県へ通勤、通学もある。単身赴任もある。地域ごとに勝手な情報サービスは独りよがり。
例えば:
統一化された構造。
相互のリンク
用語の統一
用語の解説など行き届いたヘルプ機能
問い合わせ対応窓口の用意
.*.
管理策の有効性を訪問アクセス数で見ているのは、今の段階では妥当だろうが、次は更にハイレベルの利用状況を把握して欲しいね。何でしょう?
医療情報サイトは厚生労働省の指導を受けて?、各都道府県で構築運営されているらしい。ところが、あまり利用されていないらしい。1都道府県あたり1日900アクセス平均らしい。
医療機関の所在地、電話番号、診療科目。対応可能な治療、実績などが公表されているらしい。
用語の難しさと情報のありかが分かり難いことが利用されない要因とされている。厚生労働省が対策に乗り出した。
ISMS的には「CIA」の中の「A」の問題です。
「A」(可用性)(Availability)の管理策とはどのようなものか?
都道府県がめいめい勝手に作ればそうなります。厚労省のリーダーシップが中途半端なために全国で無駄をやったのでしょう。お客(住民)のことも忘れている。隣県へ通勤、通学もある。単身赴任もある。地域ごとに勝手な情報サービスは独りよがり。
例えば:
統一化された構造。
相互のリンク
用語の統一
用語の解説など行き届いたヘルプ機能
問い合わせ対応窓口の用意
.*.
管理策の有効性を訪問アクセス数で見ているのは、今の段階では妥当だろうが、次は更にハイレベルの利用状況を把握して欲しいね。何でしょう?
不正アクセス禁止法の改正
今、改正作業が進んでいるようだ。21日の閣議決定。基本的には厳しくなる。フィッシング詐欺の拠点となる偽サイトを開設するだけでも処罰の対象になる。従来は詐欺による損害があることが基本。IDパスワードの不正利用が前提でしたが、IDパスワードを不正に取得することも罪に問う方向となり、更には際と解説自体もNGとなります。
偽サイトの定義では少し揉めるかも知れない。勘違いを意図したサイトだが、どの程度似ていたら処罰対象になるか。まあ、それでも短期的にアップして直ぐに消すなど手口はあるだろうからなかなか一朝一夕には撲滅できないでしょう。
フィッシングサイト開設:懲役1年以下または罰金50万円以下。
不正アクセス:懲役3年以下または罰金100万円以下。
.*.
ISMS的にはどうするのか?
紛らわしいサイト構築を避ける。
紛らわしいサイトを見つけたら報告する。
IDやパスワードを入手する場合に適切な手順を踏むこと。本人の明示的な了解のステップを入れる。(IDではないが、楽天のサイトみたいにプリセットでチェックを入れて勝手にメルマガが送られてくるような手口は好ましくない)
.*.
今、改正作業が進んでいるようだ。21日の閣議決定。基本的には厳しくなる。フィッシング詐欺の拠点となる偽サイトを開設するだけでも処罰の対象になる。従来は詐欺による損害があることが基本。IDパスワードの不正利用が前提でしたが、IDパスワードを不正に取得することも罪に問う方向となり、更には際と解説自体もNGとなります。
偽サイトの定義では少し揉めるかも知れない。勘違いを意図したサイトだが、どの程度似ていたら処罰対象になるか。まあ、それでも短期的にアップして直ぐに消すなど手口はあるだろうからなかなか一朝一夕には撲滅できないでしょう。
フィッシングサイト開設:懲役1年以下または罰金50万円以下。
不正アクセス:懲役3年以下または罰金100万円以下。
.*.
ISMS的にはどうするのか?
紛らわしいサイト構築を避ける。
紛らわしいサイトを見つけたら報告する。
IDやパスワードを入手する場合に適切な手順を踏むこと。本人の明示的な了解のステップを入れる。(IDではないが、楽天のサイトみたいにプリセットでチェックを入れて勝手にメルマガが送られてくるような手口は好ましくない)
.*.
2012年02月16日
セキュリティ・ハイレベル・エリアでのメモ用紙
メモは禁止。当然ポストイットも禁止。携帯電話持ち込み禁止。スマートフォン持込禁止。形態オンガクプレイヤー持込禁止。USBメモリー持ち込み禁止。筆記具の持ち込み禁止。かばん類の持ち込み禁止。コート、上着類の着用・持ち込み禁止。
ICチップ(ミューチップ等)を埋め込んだ特別なノートと特別な筆記具。
メモは禁止。当然ポストイットも禁止。携帯電話持ち込み禁止。スマートフォン持込禁止。形態オンガクプレイヤー持込禁止。USBメモリー持ち込み禁止。筆記具の持ち込み禁止。かばん類の持ち込み禁止。コート、上着類の着用・持ち込み禁止。
ICチップ(ミューチップ等)を埋め込んだ特別なノートと特別な筆記具。
監視カメラの管理策?
何を監視するのか。何のために監視するのか。をはっきりさせたい。その為には何をリスクとして認識しているのかが理解できていないと駄目だね。
ドアにカメラを向けて監視するのは外部からの不正な侵入者あるいは不正な時間帯の入室者。人感センサーと組み合わせれば積極的な対応が取れる。
共有PCを監視するのは不適切利用をけん制する。
居室あるいは作業状況を監視するのは作業効率の改善の手掛かりを得る目的を建前として、不適切な動作をチェックする。内部監視は機微情報を扱うエリアでは欠かせない。入退室の双方管理、バイオ認証も必須。
何を監視するのか。何のために監視するのか。をはっきりさせたい。その為には何をリスクとして認識しているのかが理解できていないと駄目だね。
ドアにカメラを向けて監視するのは外部からの不正な侵入者あるいは不正な時間帯の入室者。人感センサーと組み合わせれば積極的な対応が取れる。
共有PCを監視するのは不適切利用をけん制する。
居室あるいは作業状況を監視するのは作業効率の改善の手掛かりを得る目的を建前として、不適切な動作をチェックする。内部監視は機微情報を扱うエリアでは欠かせない。入退室の双方管理、バイオ認証も必須。
2012年02月14日
ソフトウエアライセンスの管理は発想が逆?
ライセンス管理というから保有ライセンスを軸に発想してしまう。
10本のライセンスを買った。それらはどの部署に配布されどのパソコンに利用されているか。そういう管理チャートを作ってライセンス管理をやっていますとやっている。
法令順守(コンプライアンス)の観点からはこのチャートは殆ど役に立ちません。
不法にインストールされていないかどうかは何も分りません。
.*.
先ず、全体のソフトウエア利用実態が洗い出されなければいけません。これは台数が増えると手間が掛かります。不正確になります。でもこの手順は外せません。資源管理ツールを利用して洗い出しを行う企業もあります。
次に、保有するライセンスを洗い出します。
利用ソフトウエアと保有ライセンスの突合せを行います。
洗い出されたソフトウエアに対するライセンスの裏づけを示すには、個別にライセンス番号が割り当てられるケース、総数管理のケース、同時実行ライセンス管理のケース、ハードウエアバンドルのケースなどあって単純にはできませんが、それぞれのライセンス形態を踏まえて突合せを行います。フリーソフトウエアの場合はその旨を明記します。。
最近はネットワークを利用したセルフ管理型も多いのでライセンス違反しようにも出来ないことが多くなっています。
.*.
ライセンス管理というから保有ライセンスを軸に発想してしまう。
10本のライセンスを買った。それらはどの部署に配布されどのパソコンに利用されているか。そういう管理チャートを作ってライセンス管理をやっていますとやっている。
法令順守(コンプライアンス)の観点からはこのチャートは殆ど役に立ちません。
不法にインストールされていないかどうかは何も分りません。
.*.
先ず、全体のソフトウエア利用実態が洗い出されなければいけません。これは台数が増えると手間が掛かります。不正確になります。でもこの手順は外せません。資源管理ツールを利用して洗い出しを行う企業もあります。
次に、保有するライセンスを洗い出します。
利用ソフトウエアと保有ライセンスの突合せを行います。
洗い出されたソフトウエアに対するライセンスの裏づけを示すには、個別にライセンス番号が割り当てられるケース、総数管理のケース、同時実行ライセンス管理のケース、ハードウエアバンドルのケースなどあって単純にはできませんが、それぞれのライセンス形態を踏まえて突合せを行います。フリーソフトウエアの場合はその旨を明記します。。
最近はネットワークを利用したセルフ管理型も多いのでライセンス違反しようにも出来ないことが多くなっています。
.*.
バックアップメディアの保管場所
サーバーとかのデータバックアップをメディアに取るのは普通のことだが、その保管場所についての検討が結構いい加減。
上書き可能なメディア、例えば磁気テープ類を装置に入れたまま取り出すことも無くエンドレスで上書きしながら使い続ける。これでもバックアップと思っているお方も居る。希少価値のIT担当者です。天然記念物。こういう輩はメディアも1本しか用意していない。装置に入れられたままのその1本です。
装置に障害が起きたらテープも閉じ込められたままになりかねない。テープの記録もエラーを起こしているかもしれない。
何のためにバックアップを取っているのか分らない。仕事の目的を理解していない。こういう連中に限って、リストアなどは考えもしない。バックアップを必要とする事態を想定していないのだ。「バックアップーリストア」はセットで考える概念なのに。
重要な書類もコピーを取るだけで安心している連中と同じ。コピーから必要な情報を取り出すために何をすべきかは考えない。ただ積みあがったコピーの山を見て満足しているのと同じだ。
バックアップメディアは複数セットを複数ロケーションで。これが基本。情報資産の重要度に応じて分散の程度を図る。
.*.
バックアップの目的
完全性の確保。誤操作、システム障害、外部からの攻撃、などの脅威を受けてシステム又は及びデータの完全性が喪失することに備え、システム/データの復旧を確実にするために予め必要な情報〜データを退避し確保すること。ぐらいでしょうか。
システム/データの重要度、想定する脅威、保有するコンピテンスによって手段が選択できる。
能天気なサーバー担当者が今日も訳も無くうろついている?
.*.
サーバーとかのデータバックアップをメディアに取るのは普通のことだが、その保管場所についての検討が結構いい加減。
上書き可能なメディア、例えば磁気テープ類を装置に入れたまま取り出すことも無くエンドレスで上書きしながら使い続ける。これでもバックアップと思っているお方も居る。希少価値のIT担当者です。天然記念物。こういう輩はメディアも1本しか用意していない。装置に入れられたままのその1本です。
装置に障害が起きたらテープも閉じ込められたままになりかねない。テープの記録もエラーを起こしているかもしれない。
何のためにバックアップを取っているのか分らない。仕事の目的を理解していない。こういう連中に限って、リストアなどは考えもしない。バックアップを必要とする事態を想定していないのだ。「バックアップーリストア」はセットで考える概念なのに。
重要な書類もコピーを取るだけで安心している連中と同じ。コピーから必要な情報を取り出すために何をすべきかは考えない。ただ積みあがったコピーの山を見て満足しているのと同じだ。
バックアップメディアは複数セットを複数ロケーションで。これが基本。情報資産の重要度に応じて分散の程度を図る。
.*.
バックアップの目的
完全性の確保。誤操作、システム障害、外部からの攻撃、などの脅威を受けてシステム又は及びデータの完全性が喪失することに備え、システム/データの復旧を確実にするために予め必要な情報〜データを退避し確保すること。ぐらいでしょうか。
システム/データの重要度、想定する脅威、保有するコンピテンスによって手段が選択できる。
能天気なサーバー担当者が今日も訳も無くうろついている?
.*.
2012年02月07日
観察事項は是正義務なし?
審査に同席すると審査員がこんなことを言っている。店に来る審査員も同じだ。クライアント(受審組織)はああ良かったなんて。でも実際はどういうことだろう?
本当に何もしなくていいなら余計なことは言わないで欲しい。実際はどうなんだ?。審査機関によって少々?対応は違うようだが。是正義務無しなどと言われると返って難しくなる。
観察事項を貰った立場で考えてください。
予算があれば、工数が取れれば取り組む。余裕が無ければ放置する。そういう対応で済まされるのかどうか。納期は設定されないまでもいつか必ず取り組むことは求められるのか。何回、説明を聞かされてもいつもあやふやだ。
兎に角、チャレンジしてくれと言われた方が余程分かりやすい。
.*.
試しに「ISO17021」を読んでみるかな?。何かこの辺のことが書いてあるかもしれない。
.*.
審査に同席すると審査員がこんなことを言っている。店に来る審査員も同じだ。クライアント(受審組織)はああ良かったなんて。でも実際はどういうことだろう?
本当に何もしなくていいなら余計なことは言わないで欲しい。実際はどうなんだ?。審査機関によって少々?対応は違うようだが。是正義務無しなどと言われると返って難しくなる。
観察事項を貰った立場で考えてください。
予算があれば、工数が取れれば取り組む。余裕が無ければ放置する。そういう対応で済まされるのかどうか。納期は設定されないまでもいつか必ず取り組むことは求められるのか。何回、説明を聞かされてもいつもあやふやだ。
兎に角、チャレンジしてくれと言われた方が余程分かりやすい。
.*.
試しに「ISO17021」を読んでみるかな?。何かこの辺のことが書いてあるかもしれない。
.*.
審査員=イベント・パフォーマー?
審査員は審査というイベントを準備し、企画演出し、実行し、無事に終了させる。その結果、関係者(クライアント、コンサル、審査機関)に満足度を与え、自らも達成感を味わう。これが審査というサービスの本質。こういう風に思い込んでいる審査員がいる。
特に、実務経験・管理業務経験を殆ど積まないで、若くして審査員になってしまった場合は、イベントパフォーマーの傾向が強い。審査の手際が最重要で、次は形式的な体裁が重要。ISMSの本質には関心は少ない。門前の小僧が経を読むがごとく一通りの受け答えは出来る。
イベント・パフォーマーは一見良さそうに見えて何が問題なんでしょう?
.*.
イベント・パフォーマー
事なかれ主義
八方美人
目先対応
形式主義(合理性・本質への探究心ゼロ)
タイムキーパー
これが、しかし、「でもしか」事務局には受けが良いから世間は面白い。
審査員は審査というイベントを準備し、企画演出し、実行し、無事に終了させる。その結果、関係者(クライアント、コンサル、審査機関)に満足度を与え、自らも達成感を味わう。これが審査というサービスの本質。こういう風に思い込んでいる審査員がいる。
特に、実務経験・管理業務経験を殆ど積まないで、若くして審査員になってしまった場合は、イベントパフォーマーの傾向が強い。審査の手際が最重要で、次は形式的な体裁が重要。ISMSの本質には関心は少ない。門前の小僧が経を読むがごとく一通りの受け答えは出来る。
イベント・パフォーマーは一見良さそうに見えて何が問題なんでしょう?
.*.
イベント・パフォーマー
事なかれ主義
八方美人
目先対応
形式主義(合理性・本質への探究心ゼロ)
タイムキーパー
これが、しかし、「でもしか」事務局には受けが良いから世間は面白い。
審査時間の構成
聞いたことだからそれだけの話ですが、審査時間は半分がインタビューで半分が現場らしい。
「インタビュー」というのは事情聴取みたいなもの。取調室にきてもらって色々聞くわけだ。その部門の主要な記録類は持参してもらう。
「現場」というのは文字通り作業現場・仕事の現場、保管の現場。実際に情報を見て、環境を見て、作業の内容を見て、色々聞くことになる。
インタビューと現場が終わると、簡単にまとめが行われる。所要時間は5分程度。不適合の有無、内容について相互の理解を確認する。確認できた事実を再確認する。これは不適合の場合は慎重に行われるが、観察事項も基本的には同じスタンスになる。
部門審査は一般部門の場合は2時間程度が丁度いいらしい。間に10分程度の休憩を入れる。長いとだれるし、短いと現場の時間が少なくなって「目の審査」でなく「耳の審査」になってしまいます。
情報システム部門など情報管理の主管部門は2時間程度では不足する。実際にシステム開発運用を担当する場合は1日かけても多くはない。半日(3.5時間)未満の場合は何処かに無理があると思ってよい。
工数を必要以上に過小評価しているため時間が取れないか、あるいは、情報システムの経験の無い審査員のためシステム領域の審査が出来ないからであろう。
.*.
部門で出た不適合は適切のエスカレーションさせる必要があります。1日の審査の終了時にも再確認します。より上位者を含めて相互理解を深めておくためです。観察事項についても深刻に考える組織の場合はやはり適切にエスカレーションさせる手順を取ります。最後は終了会議で最終確認です。途中でボタンの掛け違えが出ると最後は言った言わないレベルのやり取りが発生します。
聞いたことだからそれだけの話ですが、審査時間は半分がインタビューで半分が現場らしい。
「インタビュー」というのは事情聴取みたいなもの。取調室にきてもらって色々聞くわけだ。その部門の主要な記録類は持参してもらう。
「現場」というのは文字通り作業現場・仕事の現場、保管の現場。実際に情報を見て、環境を見て、作業の内容を見て、色々聞くことになる。
インタビューと現場が終わると、簡単にまとめが行われる。所要時間は5分程度。不適合の有無、内容について相互の理解を確認する。確認できた事実を再確認する。これは不適合の場合は慎重に行われるが、観察事項も基本的には同じスタンスになる。
部門審査は一般部門の場合は2時間程度が丁度いいらしい。間に10分程度の休憩を入れる。長いとだれるし、短いと現場の時間が少なくなって「目の審査」でなく「耳の審査」になってしまいます。
情報システム部門など情報管理の主管部門は2時間程度では不足する。実際にシステム開発運用を担当する場合は1日かけても多くはない。半日(3.5時間)未満の場合は何処かに無理があると思ってよい。
工数を必要以上に過小評価しているため時間が取れないか、あるいは、情報システムの経験の無い審査員のためシステム領域の審査が出来ないからであろう。
.*.
部門で出た不適合は適切のエスカレーションさせる必要があります。1日の審査の終了時にも再確認します。より上位者を含めて相互理解を深めておくためです。観察事項についても深刻に考える組織の場合はやはり適切にエスカレーションさせる手順を取ります。最後は終了会議で最終確認です。途中でボタンの掛け違えが出ると最後は言った言わないレベルのやり取りが発生します。
審査に遅刻したら?
審査プログラムでは初日の開始ミーティングが朝9時から約30分取られる。厳密には審査時間ではないが一般的には1日の審査時間に含める。
9時開始に審査員が遅れたら審査は始まらないが、開始ミーティングの説明自身は審査チームの誰でもいいから誰か一人が着ていれば開始ミーティングは始められる。受審側のメンバーも誰か一人来ていれば構わない。内容は事務連絡だから責任者に必ず伝わるのであれば出席者は誰でも構わない。
コンサルが遅刻することは審査自体には何の影響もない。クライアントからはクレームになるが、その点は気持ちが楽です。
朝9時は都内では電車の遅延が日常茶飯事だから遅刻するなといっても無理がある。
審査機関によっては最寄のホテルに前泊するのを基本としているところもある。懸命な取り組みだが、経費は嵩む。審査機関としての責任、あるいはサービス品質の考え方の現われだ。代表的な審査機関は○○○。
一方では、審査員にリスクを転嫁して済ませる審査機関もある。そういうところは予定の1時間も前に着く様に家を出る審査員が居たり、自費で前泊する審査員が居たりする。サービスという商品に対する品質ポリシーが不明確な証拠でしょう。代表的な審査機関は×××。
.*.
雪・台風の影響を受けやすい沖縄・北海道に代表される遠地は前泊が基本だが午後の審査だから午前中を移動に当てるところもある。これもNG。遠地は午後でも前泊。
この辺も経費が嵩む要因になるので、クライアントはミニマムを希望するが、品質ポリシーが明確でない審査機関では(コンサルファームもある意味では同じことになるが)、営業の折衝余地に入る。結果はミニマムの線で決定される。
.*.
遅刻要因のもう一つ:
機密性を配慮するあまり、または担当者の配慮不足の結果、開けるべきドアが分からないケース。敷地内の案内表示が殆どない。少なくとも分かりやすくはしていない。アクセスマップ自体が機密文書になるケース。逆のケースも。同一敷地あるいは近辺で似たような名前の関連会社が多くノックすべきドア(受付)が特定しにくいケース。勤務している人は殆ど気にならないことだが初めての場合は面食らう事態ですね。
.*.
勘違い:
よく聞く話。爺(じじい)共に限らない。酷使される審査員は思考停止。電車に乗った瞬間、電車を降りた瞬間、記憶がぶっ飛ぶのでなく過去の記憶が頭を占有して、全く別会社(以前に行った先)を目指すらしい。思い込みが強いと受付まで行って、以前の担当者から今日は何でしょうかと言われて初めて勘違いに気づくことが在るらしい。本当の話か作り話か分からない。
もう一つの勘違いは、開始時間。午前と午後。朝9時か
審査プログラムでは初日の開始ミーティングが朝9時から約30分取られる。厳密には審査時間ではないが一般的には1日の審査時間に含める。
9時開始に審査員が遅れたら審査は始まらないが、開始ミーティングの説明自身は審査チームの誰でもいいから誰か一人が着ていれば開始ミーティングは始められる。受審側のメンバーも誰か一人来ていれば構わない。内容は事務連絡だから責任者に必ず伝わるのであれば出席者は誰でも構わない。
コンサルが遅刻することは審査自体には何の影響もない。クライアントからはクレームになるが、その点は気持ちが楽です。
朝9時は都内では電車の遅延が日常茶飯事だから遅刻するなといっても無理がある。
審査機関によっては最寄のホテルに前泊するのを基本としているところもある。懸命な取り組みだが、経費は嵩む。審査機関としての責任、あるいはサービス品質の考え方の現われだ。代表的な審査機関は○○○。
一方では、審査員にリスクを転嫁して済ませる審査機関もある。そういうところは予定の1時間も前に着く様に家を出る審査員が居たり、自費で前泊する審査員が居たりする。サービスという商品に対する品質ポリシーが不明確な証拠でしょう。代表的な審査機関は×××。
.*.
雪・台風の影響を受けやすい沖縄・北海道に代表される遠地は前泊が基本だが午後の審査だから午前中を移動に当てるところもある。これもNG。遠地は午後でも前泊。
この辺も経費が嵩む要因になるので、クライアントはミニマムを希望するが、品質ポリシーが明確でない審査機関では(コンサルファームもある意味では同じことになるが)、営業の折衝余地に入る。結果はミニマムの線で決定される。
.*.
遅刻要因のもう一つ:
機密性を配慮するあまり、または担当者の配慮不足の結果、開けるべきドアが分からないケース。敷地内の案内表示が殆どない。少なくとも分かりやすくはしていない。アクセスマップ自体が機密文書になるケース。逆のケースも。同一敷地あるいは近辺で似たような名前の関連会社が多くノックすべきドア(受付)が特定しにくいケース。勤務している人は殆ど気にならないことだが初めての場合は面食らう事態ですね。
.*.
勘違い:
よく聞く話。爺(じじい)共に限らない。酷使される審査員は思考停止。電車に乗った瞬間、電車を降りた瞬間、記憶がぶっ飛ぶのでなく過去の記憶が頭を占有して、全く別会社(以前に行った先)を目指すらしい。思い込みが強いと受付まで行って、以前の担当者から今日は何でしょうかと言われて初めて勘違いに気づくことが在るらしい。本当の話か作り話か分からない。
もう一つの勘違いは、開始時間。午前と午後。朝9時か
2012年02月04日
営業秘密って情報区分として意味有りますか?
営業秘密
トレードシークレット
Trade Secret
営業秘密とは?
秘密として管理されていること。(⇔不正競争防止法)
事業に有用であること。事業上のノウハウ。
一般に知られていないこと又は容易に知ることが出来ないこと。
営業秘密をわざわざ分けて管理する会社は少ない。組織が組織の目標を達成するために必要とする内部情報は全て営業秘密になりうるから所謂「社外秘」以上のものは全て営業秘密になるでしょう。
.*.
<社外秘情報と公開情報の"間">
前にも出た話題です。何処かのコンサルが作る書式にはこの"間"がありません。
公開情報とはオフィシャル情報のスタンスがあり情報内容に対する責任が伴います。
社外秘は社外への無管理な流出は禁止されます。
その間に来るのは?
外部から入手した一般情報。
公開されている情報を編集だけしたもの。
公開されている情報のドラフト。
社内向けの一般資料(外部公開を意図していない一般資料)
.*.
営業秘密
トレードシークレット
Trade Secret
営業秘密とは?
秘密として管理されていること。(⇔不正競争防止法)
事業に有用であること。事業上のノウハウ。
一般に知られていないこと又は容易に知ることが出来ないこと。
営業秘密をわざわざ分けて管理する会社は少ない。組織が組織の目標を達成するために必要とする内部情報は全て営業秘密になりうるから所謂「社外秘」以上のものは全て営業秘密になるでしょう。
.*.
<社外秘情報と公開情報の"間">
前にも出た話題です。何処かのコンサルが作る書式にはこの"間"がありません。
公開情報とはオフィシャル情報のスタンスがあり情報内容に対する責任が伴います。
社外秘は社外への無管理な流出は禁止されます。
その間に来るのは?
外部から入手した一般情報。
公開されている情報を編集だけしたもの。
公開されている情報のドラフト。
社内向けの一般資料(外部公開を意図していない一般資料)
.*.
トップインタビューでトップ不在!さてどうする?
トップ不在はよくあることです。トップに緊急の予定が入った。トップインタビューを受けることが出来ない。マネジメントレビューの日にトップが居ない。レビューを先送りするか代行がやるか。内部監査の報告を受けることも出来ない。先送りするか代行が受けるか。
緊急の重要な出張、緊急の重要な商談、怪我・病気で入院、家族に不幸など何でもありえる。その為に、経営者の役割が果たせない時、どうしますか?
これも立派な事業継続管理です。普通は代行を決めます。全件を副社長という手も有れば、機能別に委任する手もある。これを明確にしていない組織は殆ど存在しない。
ISMSについても予め決めておけばいいことだ。もしくは代行筆頭が決めれば済むことだ。
自分の代行を明確にすることも経営者の重要な役割責任ですね。事務局スタッフは百も承知。
.*.
トップインタビューは、審査機関、審査員によってはトップと直接に拘る向きが無いわけではない。いつも代役で済ませるトップが居たら、何かが変だ。権限委譲が適切に行われていないか、役割責任が正しく発揮されていないか。その意味では拘ることに妥当性はある。トップの意志を形にする仕組みがマネジメントシステムであるという基本を抑えていれば当然のことです。
残念ながらトップ自身がそのことを自覚できていないこともあるようだ。その背景としては、ビジネスパートナー、関係所轄庁、コンサル、審査機関、更には社内のスタッフも、トップへの基本的なアプローチは脅迫をベースにしていることがある。トップ自身が否応なくやらされているという自覚になっている場合は悲劇だ。
.*.
トップの直接関与する割合は重要な指標の一つと思われます。
トップ不在はよくあることです。トップに緊急の予定が入った。トップインタビューを受けることが出来ない。マネジメントレビューの日にトップが居ない。レビューを先送りするか代行がやるか。内部監査の報告を受けることも出来ない。先送りするか代行が受けるか。
緊急の重要な出張、緊急の重要な商談、怪我・病気で入院、家族に不幸など何でもありえる。その為に、経営者の役割が果たせない時、どうしますか?
これも立派な事業継続管理です。普通は代行を決めます。全件を副社長という手も有れば、機能別に委任する手もある。これを明確にしていない組織は殆ど存在しない。
ISMSについても予め決めておけばいいことだ。もしくは代行筆頭が決めれば済むことだ。
自分の代行を明確にすることも経営者の重要な役割責任ですね。事務局スタッフは百も承知。
.*.
トップインタビューは、審査機関、審査員によってはトップと直接に拘る向きが無いわけではない。いつも代役で済ませるトップが居たら、何かが変だ。権限委譲が適切に行われていないか、役割責任が正しく発揮されていないか。その意味では拘ることに妥当性はある。トップの意志を形にする仕組みがマネジメントシステムであるという基本を抑えていれば当然のことです。
残念ながらトップ自身がそのことを自覚できていないこともあるようだ。その背景としては、ビジネスパートナー、関係所轄庁、コンサル、審査機関、更には社内のスタッフも、トップへの基本的なアプローチは脅迫をベースにしていることがある。トップ自身が否応なくやらされているという自覚になっている場合は悲劇だ。
.*.
トップの直接関与する割合は重要な指標の一つと思われます。
筈(はず)の管理が問題を大きくする?
東京証券取引所のシステムが頻繁に停止する。今回は約1割の銘柄の取引が出来なくなった。銘柄別に受け持つ8セットのサーバーの1つがダウンしたことによる。1セットは3台のサーバーで構成される。メインサーバーが落ちたら待機系に自動的に切り替わることになっている。メインサーバーが深夜1時過ぎにダウンして、待機系に切り替わっていなかったことが明らかになったのが朝の8時。その間の7時間は何をやっていたのだろう?
7時間の作業記録は?
「筈(はず)の管理」がここでもまかり通っているのが不思議だ。これだけトラブルを続けている会社が、基本動作(切り替え確認)を怠っているのだから。自動的に切り替わる筈(はず)では有ったが、実際に切り替わったかどうかの確認は誰もやっていないのだから。もしくは担当者は気付いていてあくせくしていてもエスカレーションは後回しになったのだろうか。
事故慣れしている富士通は頼もしいけど、事故に慣れすぎていて感覚が麻痺しているのか? あくまで東証側の問題なんだろうか?(ちょっと考えにくいね)
.*.
しかし、夜の夜中に勝手にシステムダウンなんて無いでしょう? 一体何をやっていたんでしょう?
.*.
東京証券取引所のシステムが頻繁に停止する。今回は約1割の銘柄の取引が出来なくなった。銘柄別に受け持つ8セットのサーバーの1つがダウンしたことによる。1セットは3台のサーバーで構成される。メインサーバーが落ちたら待機系に自動的に切り替わることになっている。メインサーバーが深夜1時過ぎにダウンして、待機系に切り替わっていなかったことが明らかになったのが朝の8時。その間の7時間は何をやっていたのだろう?
7時間の作業記録は?
「筈(はず)の管理」がここでもまかり通っているのが不思議だ。これだけトラブルを続けている会社が、基本動作(切り替え確認)を怠っているのだから。自動的に切り替わる筈(はず)では有ったが、実際に切り替わったかどうかの確認は誰もやっていないのだから。もしくは担当者は気付いていてあくせくしていてもエスカレーションは後回しになったのだろうか。
事故慣れしている富士通は頼もしいけど、事故に慣れすぎていて感覚が麻痺しているのか? あくまで東証側の問題なんだろうか?(ちょっと考えにくいね)
.*.
しかし、夜の夜中に勝手にシステムダウンなんて無いでしょう? 一体何をやっていたんでしょう?
.*.
2012年01月26日
事務局のご都合で審査プログラムを修正また修正?
クライアントを見ていてはらはらすることがあるそうです。
クライアントの都合でいろいろ変更させているケースがあるが、中にはが審査プログラムを勝手に作ってしまうケースまであります。担当者に予定が入ったからといってドンドン変更してくるケースも。間際の変更、当日の変更も。
誰が審査員だか分からない。審査の目的を達成するために審査員が審査プログラムを策定する。あくまでも審査員の都合が優先します。でないとまともな審査が実現しません。最悪のケースでは審査が成立しない羽目になります。(本当かな?)
ISMSでは特に重要な部門の審査は最大優先させます。組織の状況で重点は変わりますが、組織のご都合で時間や順序を変えていいものでは有りません。
間際になっても変更また変更を繰り返す事務局は傍から見ていても気分が悪い。事務局が組織を掌握できていないからでしょう。自分の無能を棚に上げて、審査員に無理を言い通すような事務局のISMSが上手くことが運ぶわけは無いとか。
近頃は審査員もお行儀良く言われるままに計画しているようです。彼にとっては煩い事務局なんかどうでもいいのでしょう。さっさと済ませて一件落着?
これって、立派なモラルハザードですね。誰が得して誰が損するのでしょう?
明らかに損をするのは経営者。しっかり審査してしっかり改善を進めたいのに、それが歪んでしまった。愚かな事務局を指名したのは経営者。自業自得?。よく言われるように「経営者はブレーキとアクセルと両方一緒に踏んではいけない」のですが、これは正に悪い事例です。
.*.
クライアントを見ていてはらはらすることがあるそうです。
クライアントの都合でいろいろ変更させているケースがあるが、中にはが審査プログラムを勝手に作ってしまうケースまであります。担当者に予定が入ったからといってドンドン変更してくるケースも。間際の変更、当日の変更も。
誰が審査員だか分からない。審査の目的を達成するために審査員が審査プログラムを策定する。あくまでも審査員の都合が優先します。でないとまともな審査が実現しません。最悪のケースでは審査が成立しない羽目になります。(本当かな?)
ISMSでは特に重要な部門の審査は最大優先させます。組織の状況で重点は変わりますが、組織のご都合で時間や順序を変えていいものでは有りません。
間際になっても変更また変更を繰り返す事務局は傍から見ていても気分が悪い。事務局が組織を掌握できていないからでしょう。自分の無能を棚に上げて、審査員に無理を言い通すような事務局のISMSが上手くことが運ぶわけは無いとか。
近頃は審査員もお行儀良く言われるままに計画しているようです。彼にとっては煩い事務局なんかどうでもいいのでしょう。さっさと済ませて一件落着?
これって、立派なモラルハザードですね。誰が得して誰が損するのでしょう?
明らかに損をするのは経営者。しっかり審査してしっかり改善を進めたいのに、それが歪んでしまった。愚かな事務局を指名したのは経営者。自業自得?。よく言われるように「経営者はブレーキとアクセルと両方一緒に踏んではいけない」のですが、これは正に悪い事例です。
.*.
2012年01月25日
サイバー攻撃報告義務付け!さてどうする?
政府、情報セキュリティ政策会議にて、政府の設備調達契約時、情報安全対策を要件とする決定を行った。契約では、情報漏れ(及びそのリスクを認識した場合)の報告を義務付ける。
産業界も価値の連鎖。政府の契約条件は、政府と直接契約していなくても多くの企業は同等以上の体制を整備することが求められることになるだろう。
.*.
産業界はリスクまで報告するとなるとキリが無いから基準作りを明確にするように主張するだろうとするのは、ややピンボケだ。
政府が問題とする視点は;
先ず、情報漏えい。そこで問題となるのは、情報漏えいの有無を把握できる仕組みがあるのか。一切のアクセス監視、リアルタイムのログ解析。
次は、特記的なサイバー攻撃。特定の組織・団体、新しい手口、ターゲット情報。これらは、日本国を守るために必要な重要情報あり、タイムリーに報告されることが必要。攻撃を解析する技術が必要である。エリア・時間・メディアにまたがる超分散?会席が必要。しかもリアルタイム。自己学習型のセキュリティ監視サーバーを設置するのが安直か?
.*.
政府、情報セキュリティ政策会議にて、政府の設備調達契約時、情報安全対策を要件とする決定を行った。契約では、情報漏れ(及びそのリスクを認識した場合)の報告を義務付ける。
産業界も価値の連鎖。政府の契約条件は、政府と直接契約していなくても多くの企業は同等以上の体制を整備することが求められることになるだろう。
.*.
産業界はリスクまで報告するとなるとキリが無いから基準作りを明確にするように主張するだろうとするのは、ややピンボケだ。
政府が問題とする視点は;
先ず、情報漏えい。そこで問題となるのは、情報漏えいの有無を把握できる仕組みがあるのか。一切のアクセス監視、リアルタイムのログ解析。
次は、特記的なサイバー攻撃。特定の組織・団体、新しい手口、ターゲット情報。これらは、日本国を守るために必要な重要情報あり、タイムリーに報告されることが必要。攻撃を解析する技術が必要である。エリア・時間・メディアにまたがる超分散?会席が必要。しかもリアルタイム。自己学習型のセキュリティ監視サーバーを設置するのが安直か?
.*.
