情報を取扱うのは「人」である
幸松です。
日立システム様の情報セキュリティブログで「USBメモリの安全な取扱いについて」という記事が公開されていました。
USBメモリの安全な取扱いについて個人の対策についてと企業の対策についてと分けて記述されており基本的な事柄なんで非常に参考になると思います。
また、最終的には従業員のセキュリティ意識の向上が組織の情報セキュリティにとっては非常に重要な事が改めて強調されています。
私も先日、情報セキュリティのセミナーをさせていただく機会があったのですが、同じことを強調しました。
いくらシステム面でがんじがらめにしばっても最後は「人」です。
ルール外のことが起こった時に、適切に対応が取れるかどうかは従業員の意識にかかってきます。
システムはあくまでも「ツール」であり、会社の規則もあくまでも「ルール」です。
それらを運用するのは、当り前ですが「人」です。
情報を取扱うのは「人」であることを認識して、ISO27001/ISMSやプライバシーマーク等の仕組み作りに取りかかりましょう。
[参考ページ]日立システム情報セキュリティブログ:USBメモリの安全な取扱いについて
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
FAX機の使い方知ってますか?
幸松です。
株式会社WOWWOWが、年末に業務連絡の過程でFAXの誤送信のため、個人情報を流出させてしまったようです。
「FAXの誤送信」という言葉だけですとケアレスミスなんだな。と判断してしまいがちですが
御社の社員の方は
「FAX機の使用方法を知っていますか?」
何をいまさらと思うかも知れませんが意外と若い社員の方はFAX機の使い方を知らない人が多いです。特に日頃メールを利用して情報をやりとりしているIT業界の若い人はFAX機を使ってFAXを送信するという行動をとることが日常業務では存在しません。
私も以前、ISO27001の審査の時に、その会社の若手(入社3年以内)の方に「FAXの送り方知ってますか?」と聞いたところある意味予想通りだったのですが、5割以上の方が「わからない」とのことでした。
上司の方は本当にビックリしていましたが、そんなもんなんです(苦笑)。
「FAXの送り方は知っていて当たり前」と思われている方(特に、30歳以上の人)が多いですが、そんな事はないですよ。
私も初めてFAXを使ったのは入社2年目の時でした。印字された面を上向けるのか下向けるのかで迷ったのを覚えています^^;
新人研修の時に電話応対だけでなく、FAX機の使い方等も教えるのをお勧めします。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
1社では、内部監査は1つ
幸松です。
最近はISOを取得されている会社でも、ISO27001だけを取得している会社だけでなく
ISO27001と何か他のマネジメントシステムを取得しているという会社が多くありますね。
ISO90001、ISO14001、プライバシーマーク(個人的にはプライバシーマークはマネジメントシステムかどうかは微妙に感じますが)等の認証も併せて取得している会社があります。
それぞれのマネジメントシステムで教育や内部監査を行っているのですが
それぞらのマネジメントシステムごとに教育や内部監査を行っている会社が多いです。
現場の社員からすると、年間何回も内部監査を受けるのは負担が高いと思います。
やはり、理想としては出来る範囲からで良いのでマネジメントシステムの統合を行っていき
教育も内部監査もまとめて行うべきですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
「安全なウェブサイト運営入門」を公開
幸松です。
IPAから「安全なウェブサイト運営入門」という、7つの事例からならウェブサイト運営に関するセキュリティ事件を学習できるソフトが公開されました。
IPAのサイトでは、「安全なウェブサイト運営入門」の概要として以下のように記されています。
「安全なウェブサイト運営入門」は、ウェブサイトの脆弱性による被害を中心とした7つの具体的な事件を題材に、ロールプレイング形式で体験的に学習できるソフトウェアです。事件や事故が発生した場合の被害を理解し、事前対策の必要性を学ぶことができます。組織のウェブサイト運営者、情報システム担当者、セキュリティ担当者、また一般利用者等に広く活用され、それぞれの情報セキュリティに関する意識、知識の底上げにつながることを期待します。
ロールプレイング形式で進んでいくので新人研修などの教育に利用するのも良いんじゃないでしょうか。
今回のメインターゲットは中小企業だとのことですので中小企業のWeb担当者の方は是非ともご覧になって下さい。
2008年になってからは、SQLインジェクション攻撃が急激に増えているようです。そのSQLインジェクションは「安全なウェブサイト運営入門」では最後の7つ目の事件として扱っております。
IPA:「安全なウェブサイト運営入門」を公開
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
ソフトウェア開発者に求められ始めたセキュリティスキル
幸松です。
ITmediaの記事によると、今後のIT業界での技術者に求められる資質として「セキュリティスキルを持ったエンジニア」があるようです。
ITmedia:ソフトウェア開発者に求められ始めたセキュリティスキル
確かにWeb上でビジネスを行う事がますます多くなってきている状況では、そのシステム自体をセキュアな状態にしておくためにもシステム構築の段階からセキュリティリスクに対して、しっかりとした対策を実施しておく必要があると思います。
ただ、記事にもあるようにソフトウェア開発の中でもセキュリティの比重が増えてきたのは本当に最近のことです。
私は大学は工学部の情報工学科でしたが、アルゴリズムやプログラミング等の学習は受けてきましたがセキュリティに関する学習は受けてきませんでした(もちろん、しっかり数学とか物理とかも勉強してきましたよ^^)。
ソフトウェア開発者がセキュリティの知識を獲得すれば、今後は給与は転職において非常に有利になっていくと記事には書かれております。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報セキュリティ理解度チェック
JNSAから情報セキュリティの理解度チェックサイトがオープンしているようです。
JNSA:情報セキュリティ理解度チェック
上記のサイトは管理者機能が備わっており、企業の情報セキュリティの教育責任者等が管理者として登録して社員の方にこのサイトで理解度チェックを実施してもらう事も可能です。
情報セキュリティに関する教育を工夫されている会社も多いですが、このサイトを利用してみるのも1つの方法ですね。
「情報のセキュリティを守るには、一人ひとりのセキュリティリテラシー向上が必要です」というのは非常に重要なことですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
大手企業のアクセス制限
幸松です。
ITmediaの記事によると、大手企業の多くが2チャンネルへのアクセス制限を授けているとのことです。また、mixiやGreeなどのSNSへのアクセスも制限している会社が多いことがアンケート結果からわかります。
ITmedia:大企業の約8割、2ちゃんねるにアクセス制限
仕事に直接「関係しないだろう」と思われるサイトに対してのアクセス制限を授けている企業が多いですが、掲示板やSNS等から情報収集したりと仕事に使っている人もいると思われます。
企業側からすると全社員の意見を聞くのも難しく、どうしてもこのアンケートの回答結果に出てきたようなサイトはアクセス制限を授ける対象とするのは頷けます。
株のサイト等も同様にアクセスしている企業はありますね。ただ、株の売買やWebの閲覧も最近では携帯電話から行う人も増えています。
やはり最終的には一人一人の意識の問題になってきますね。単純ですが根気強く教育を実施してセキュリティや仕事に関する啓蒙を続けていくことが大事になってくるでしょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから