PマークとISMSの統合
幸松です。
弊社のお客様でプライバシーマーク(Pマーク)の2006年版対応が完了して晴れて1999年版のプライバシーマークから2006年版プライバシーマークへの移行が完了した会社があるのですが、その会社は東京事業所のみでISO27001(ISMS)を取得しています。
プライバシーマークとISO27001の両方の認証を取得しているのですが、社内で「プライバシーマーク用のルール」と「ISO27001(ISMS)用のルール」がある状態です。
そして、その2つのルールは共存している部分もあるのですが、基本的にはお互いが独立しています。
この状態ですと、最悪のパターンとしては「Pマークのルールではこう」だけど「ISMSのルールではこう」と言った矛盾した事が起こる可能性があります。
例えば、「Pマークのルールではパスワードの変更は3か月ごとに」と規程されている反面、ISMSのルールでは「パスワードの変更は禁止」となっている場合があります。
この例は、かなり極端な例ですが実際にあったケースです。
こういった、異なるルールがある状態。
特に、それぞれのマネジメントシステム毎にルールがある状態は現場での運用がうまくいきにくいです。
認証を維持する事は可能かも知れませんが、業務改善や業務効率の向上、会社のレベルアップにはつながりにくいです。
そうならないためにも、今回のお客様はPマークのルールとISMSのルールの統合を行っていきます。
非常に素晴らしい考え方だと思います。
もちろんLRMの全力でサポートさせて頂きます。
せっかくのマネジメントシステムを形骸化させないためにも。
実際の現場の改善にマネジメントシステムを有効に活用するためにも。
会社に即したルール。
業務に即したルールが必要です。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報の廃棄時には廃棄証明をもらいましょう
幸松です。
今日の日経産業新聞1面に「中古PCに情報消去証明」という記事が出ていました。
企業や個人が使用済PCを業者に売る場合は多いと思いますが、その時に不安になるのが「情報漏えい」だと思います。
実際に、中古PCからの情報漏えいしたケースも何回かあります。
PCをはじめ携帯電話やPDA等の情報を保持したデジタル機器の廃棄時には
必ずデータを削除することを徹底する事が大事になってきます。
業者にデータの削除を依頼する場合には、廃棄証明(マニフェスト伝票)をしっかりもらうようにしましょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
IIJがインターネットセキュリティの傾向と対策を発信する技術レポート誌を創刊
幸松です。
IIJ(株式会社インターネットイニシアティブ)より「Internet Infrastructure Review」という技術レポートが創刊されました。
このレポートはPDFでもダウンロード可能ですし、冊子として定期的に配送してもらうことも可能です。
インターネットの基盤技術に関する最新の技術動向や、セキュリティ情報を配信してようですのでセキュリティ担当の方やシステム担当、ISO27001の担当者の方は読んでおいて損はないと思います。
弊社でも購読申込みをしております。
IIJのような技術力のある会社からこういったレポートが無償で出されるのは非常に嬉しいですね。
インターネットの基盤技術もセキュリティ技術も日々進化していってますので
なかなかウォッチングするのも難しいですが、冊子で送ってきてくれると
ある意味、外部から強制的に情報を仕入れる事が出来ますので
忙しい方には、よりお勧めだと思います。
[参考サイト]
IIJ:Internet Infrastructure Review(定期発行技術レポート)
ITmedia:インターネットセキュリティの傾向と対策を発信する技術レポート誌を創刊
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
景気とセキュリティ
幸松です。
最近のアメリカ経済の状況に加えて、日本経済もあまり良い話は聞きません。
景気が悪くなるとセキュリティのお仕事はどうなるのか?という質問を受けました。
基本的にやはり低調になると思います。
本来であればお客様となるべき会社が、本業等で数字が厳しくなるとセキュリティに充てる予算を他の事に充てる場合が多々あります。
情報セキュリティは直接、スグに売上の向上につながるものではありません(あくまで私見です)。
直接の売上に結びつかない対策への予算とりはやはり後回しとなるケースが多いです。
ただ、情報セキュリティやマネジメントシステムは上手く活用すると会社の足腰を強くしてくれます。
業務改善や体質向上に結びつける活動として運用していくとすごく会社のためになります。
景気が悪くなっているタイミングでは無理に売上に走るよりかは、会社の基礎体力をつけるための活動をしてみるのも良いのではないでしょうか(軽く営業です(笑))。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
幸松です。
ITmedieの記事によると、米のVerizon Businessが、企業がデータ漏えいに関し抱える課題を検証して、業種ごとの所見を公開したようです。
そこで各業種に関する所見が以下のように出ています(ITmediaにより一部編集しているようです)。
金融サービス
分析したほかの業種では、パートナー企業が主たるリスクの根源だが、金融サービスでは内部関係者によるリスクがより大きい。また金融サービスへはさまざまな攻撃が行なわれており、最も一般的なものは「詐欺と過失」である。おおむね、攻撃は比較的長期にわたる高度なものである。金融サービス機関は一般的にほかの機関よりも侵害の発見が早いが、時には発見に数週間を要することもある。またほかの業種に比べ、金融機関には資産に対する意識の高さが見られる。正体不明の、あるいは消失したシステム、データ、接続、権限に付随する侵害が発生する頻度は、はるかに低かった。
ハイテクサービス
様相は複雑である。ほかのどの業種よりも「エラー」に起因することが多く、攻撃はなかなか高度。テクノロジーに詳しいはずの業種だが、情報資産とシステム構成の追跡に苦慮していた。また悪意ある内部関係者が大きな問題になっている。内部関係者による悪用とは、許可されたリソースまたは権限、あるいはその両方を不正目的に使用することであり、ハイテク業界ではるかに多い。従業員が多数のシステムに高位のアクセス権を持つ企業文化の中で、こうした行為を管理することは本質的に困難だ。そしてクラッキングが深刻。ハイテク企業では、基本システムやアプリケーション構成が優れていることが多いため、攻撃者は脆弱性を利用してシステムを侵害することになる。パッチ適用のための一貫性ある包括的なアプローチが欠落していることが多い。そしてWebアプリケーションへの攻撃が、最も一般的な侵入手段になっている。さらにハイテク業界では、知財が侵害を被る比率が高い。
小売業
分析したデータ漏えいの事例に対し、小売が占める比率が最も高い。多くの攻撃はリモートからのアクセス接続を悪用しているが、Webアプリケーションも高頻度で標的とされている。ワイヤレスネットワークへの攻撃が増えており、ほかの業界よりもかなり多い。また侵害の検出を第三者機関に大きく頼っている。通常、侵害の検出は食品/飲料業よりは早いが、金融とハイテク業よりも遅い。概して、小売業に対する攻撃は詐欺目的に容易に利用できる。データで素早く稼ごうとする、短絡的なものが大半である。
食品/飲料
大半の攻撃は外部ソースに起因する。ただし、決済カードのデータを保存するオンラインリポジトリへの侵入口として、パートナー企業の信頼できるリモートアクセス接続を悪用している。こうした攻撃は、アプリケーションやソフトウェアの脆弱性よりも、セキュリティ構成の貧弱さに起因しており、実行の速度や反復率も高い。多くの攻撃がPOSシステムを悪用していた。犯罪者はPOSシステムを次の攻撃の足場とし、マルウェア(不正ソフトウェア)を食品・飲料の流通経路全域にばらまく。また攻撃発見に多大な時間を要している。発見の大半は、第三者機関による。
ハイテクサービス(ITサービス等)では、内部要因による問題が多いが食品業界では外的要因が多いなど同じデータ漏洩というセキュリティの事故(インシデント)に対してでも全然要因が異なってますね。
これは「意外」とは全く思えません。
私自信、多くの企業様の情報セキュリティに携わってきて、やはり業種業態により大きく捉えての「特徴」というものがある事を認識しておりますので、「そうだよね」と納得できる内容です。
業種や業態、または規模によってセキュリティの対策は変わってきますので、画一的なテンプレートでは対応がなかなか上手くいかないのは当たり前のことです。
ITmedia:2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから