海外での情報セキュリティ
幸松です。
今日もタイで仕事しています。
前日のブログでタイに来ていると書いたところ友人からメールで
「何しに行ってるねん?」と突っ込まれてしまいました^^;
仕事です。情報セキュリティ―の仕事です。
以前にお客様の中国支社の情報セキュリティに関する現地調査と、今後の改善についての仕事をさせて頂いたのですが、その結果をお客様に評価して頂き、「では、次回はタイ工場の情報セキュイティ調査と改善案を」と言って頂き、現在タイにいてるというわけです。
商習慣も国民性も違う人々と仕事をしていても管理をしなければいけない情報というのは基本的には同じだと思います。
ただ、何でも日本式の対策では実効性が伴わない場合が多いです。
その国々、現地現地での適切な対応が必要になってくると思います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
内閣府から「個人情報保護の仕組み」
幸松です。
内閣府から過剰反応事例(学校での緊急連絡網等)やよくある質問のQ&Aを含んだ、個人情報保護法に関するパンフレットが配布開始されました。
最近は、一時期ほど聞かなくなりましたが、「過剰反応」というのはやはり良く話題にのぼります。
一部のマスコミ等では「過剰反応してる」→「個人情報保護なんて意味がない」といった論法をしている記事も見受けられますから、個人的には「過剰反応」に対しては「過剰」に反応してしまいます(苦笑)
やはり、その事業者(学校等も含む)にとって適切な対応があると思いますので、よそのところがしているからといって安易に対応方法を決めないことです。
個人情報保護も含めて、情報セキュリティは「どの情報を、どのように管理すべきか?」をしっかりと考えていかなければなりません。
Thinking Securityが大事です。
個人情報の取扱いや、保護する仕組みつくりなどのお問い合わせはお気軽にどうぞ!!
内閣府:個人情報保護のしくみ
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
中小企業でも最低限の対策は実施すべき
幸松です。
普段、よく中小企業やベンチャー企業の社長とお話する機会が多いのですが、セキュリティ関連の話になってたまに聞くのが「うちは中小だからセキュリティ対策はまだ良いよね?」といった言葉です。
確かにセキュリティ対策に対する費用をかけるのが大変なのはわかります。私も中小企業の代表ですので、その気持ちは痛いほど分かります。
ですが、ハッカーに対して「うちは中小企業だから攻撃しないでくれ」と頼む訳にもいきません。
やはり最低限の対策は実施しておかなければならないでしょう。
なかには、ウィルス対策ソフトを導入していない企業もあります。
確かにウィルス対策ソフトは毎年の更新代もかかり、全PCに適用すると費用も掛ってきますが、万が一ウィルスに感染したことを考えると最低限の対策としてウィルス対策ソフトの導入と定義ファイルの更新。OS等のセキュリティパッチの適用は実施すべき対策だと思います。
これは企業に限った話ではありません。私物のPCであってもネット接続するのであればウィルス対策等は必須だと思います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報セキュリティに費用対効果
幸松です。
リーガルリスクマネジメントは、情報セキュリティ対策支援をメイン事業としておりますが、色々な会社の方とお話させて頂くと、やはり会社の中で「セキュリティ対策」に予算を割くのが難しいと仰います。
確かに、情報セキュリティ対策や労務、法務も含めてのリーガルリスク対策もですが、費用対効果は図りに難いです。
「何も起きません」という状態が理想であり、経営者からすると「平常」であるべきだと考えます。
リスク対策を実施したからといって、目に見えて売り上げが上がる企業は少ないでしょう。
もちろん、第三者からの信用があがり結果的には売上増に繋がる会社もあると思いますが、直接的に情報セキュリティを含むリスク対策をしたからといって売上は上がらないでしょう。
リスクは、それが「起こってしまった時」に被害が出ます。
もしかしたら、損害賠償は現状回帰のために直接的に金銭的被害が出るかもわかりません。
信用や信頼がダウンして、結果的に会社に多大な被害を及ぼす場合もあります。
「もし、起こってしまったら」ということを考えて、その被害(額)とのトレードオフでリスク対策(情報セキュリティ、法務、労務等)に対して予算を割り当てれば良いと思います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
退職者のアカウント削除はすぐに実施しましょう!
幸松です。
ITmediaの記事に、退職者の古いアカウント等の実態のないアカウントが20以上あると答えた回答者が27%にのぼると記載されています。
ITmedia:http:企業のセキュリティリスクにつながる古いユーザーアカウント
アカウント管理としては、どこの会社もアカウントの作成管理はしっかりやっているところが多いです。
そもそもアカウントが作成されてないと社内システムにアクセス出来ない会社が多いので、アカウントの作成に関しては即時に対応しています。
しかし、異動や退職等によってその人が部署(グループ)からいなくなっても、スグにはアカウントを削除せずに放置しているところや、もっと酷くてアカウントの削除を行っていない会社もあります。
これは私も多くの会社の運用を見てきていますが、実感します。
アカウント削除を適切に実施している会社は少ないです。
記事にもありますが、実体のないアカウントはセキュリティホールになりえます。
もし、実体のないアカウントが存在しているかもというところは、直に確認して下さい。
事件が起こってからでは遅いですよ。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2007年度 情報セキュリティインシデントに関する調査報告書
幸松です。
JNSAから2007年度の情報セキュリティインシデントに関する報告書の速報版が公表されました。
JNSA:2007年度 情報セキュリティインシデントに関する調査報告書
全体の概要としては、以下のように述べられています。
漏えい人数は、2006年と比較して大幅に増加し、約3,053万人(+約800万人)となりました。これに伴い、想定損害賠償総額も大幅に増加し、2兆円の大台を突破しました。これは、大規模な個人情報漏えいインシデント(複合サービス事業1件、製造業1件)によって、約2307万人の個人情報が漏えいしたことが、大きく影響しています。
一方、インシデント件数は、129件減少し、864件となりました。インシデント件数は、2005年以降、減少傾向にあります。特に一件当たりの漏えい人数少ないインシデントや一件当たりの想定損害賠償額の低いインシデントといった規模の小さいインシデントの件数が、全体的に減少傾向にあります。
2007年は、漏えい原因の「管理ミス」の件数および割合が、大きく増加しました。「誤操作」の割合も増加しています。一方で、「紛失・置忘れ」「盗難」の件数が減少しています。
漏洩原因として、技術的な不正アクセスやセキュリティーホールをついたものは少数で「管理ミス」や「誤操作」が増えてきているようです。
「管理ミス」と「誤操作」が起因として起こるものでしたら、企業側の対策で少なくすることは可能です。
特効薬は少ないですが、じっくりと対策をすることでルールの徹底をあげていくことにより企業のセキュリティレベルが向上していきます。
特定の人が頑張るのではなく、一人一人が意識を持って行動していくことが非常に大事になってきますね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
突然発生する災害に備えること
幸松です。
お隣の国、中国・四川省を襲った大地震で、現地のITベンダーの被害は軽微とのリポートも上がっているが、地震動とサーバルームの関係を研究した報告がAPC Japanから5月13日に発表されたようです。
ITmedia:大地震発生、サーバルームは本当に耐えられるのか?
ISO27001/ISMSの管理策の中でも、A14に事業継続管理が求められていますが、地震や津波等の災害は突然発生します。いつ起きるかわからない突然発生する災害に対してですが、起こってから対応ではNGです。
やはり、日頃から十分に検討して、事業とコストのバランスを考えて、その企業ごとに適切な事業継続管理を実施していく必要があります。
ホスティングやハウジングサービスの選定基準にも、しっかりと事業継続の観点を含める必要があるでしょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
株式会社アイ・エス・レーティングが設立
幸松です。
5月2日に世界初の情報セキュリティ格付け会社として、「株式会社アイ・エス・レーティング」が設立されました。
情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。
情報セキュリティと言いえばISO27001/ISMSが有名ですが、あくまでもISO27001/ISMSはマネジメントシステムが構築されているかを見るものですが、格付けは「マネジメントの成熟度」も見ていくようです。
情報セキュリティに携わる者としては非常に興味がある分野です。
果たしてどのようにして格付けをするのか?
格付けをした会社が情報セキュリティ事故(個人情報漏洩事件等)を起こした場合はどうなるのか? 等々
興味を持って見ていきたいですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから