「中小企業の情報セキュリティ対策ガイドライン」を公開
幸松です。
少し前の話になりますが3月18日に、IPAより「中小企業の情報セキュリティ対策ガイドライン」が公開されました。
今までは大企業向けの対策が中心になっているものが多かったと思いますが、こちらは中小企業の情報セキュリティのガイドラインとなっています。
確かに、最近はISO27001/ISMSの新規取得に取り組まれる企業も中小企業の割合が多くなってきていますので、そのような企業にとっては参考になるサイトだと思います。
これから情報セキュリティに取り組んでいこうと考えている中小企業には、最初に「5分でできる自社診断シート」と「中小企業における組織的な情報セキュリティ対策ガイドライン」の2冊から読んでいくのが良いと思います。
[参考ページ]
IPA:「中小企業の情報セキュリティ対策ガイドライン」を公開
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報を取扱うのは「人」である
幸松です。
日立システム様の情報セキュリティブログで「USBメモリの安全な取扱いについて」という記事が公開されていました。
USBメモリの安全な取扱いについて個人の対策についてと企業の対策についてと分けて記述されており基本的な事柄なんで非常に参考になると思います。
また、最終的には従業員のセキュリティ意識の向上が組織の情報セキュリティにとっては非常に重要な事が改めて強調されています。
私も先日、情報セキュリティのセミナーをさせていただく機会があったのですが、同じことを強調しました。
いくらシステム面でがんじがらめにしばっても最後は「人」です。
ルール外のことが起こった時に、適切に対応が取れるかどうかは従業員の意識にかかってきます。
システムはあくまでも「ツール」であり、会社の規則もあくまでも「ルール」です。
それらを運用するのは、当り前ですが「人」です。
情報を取扱うのは「人」であることを認識して、ISO27001/ISMSやプライバシーマーク等の仕組み作りに取りかかりましょう。
[参考ページ]日立システム情報セキュリティブログ:USBメモリの安全な取扱いについて
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
プライバシーマーク取得事業者が1万社を超えました
幸松です。
JIPDECのホームページを見てみると、2009年2月10日現在でプライバシーマークの取得事業者数は10,022社となっています。
とうとう1万社を超えました。
最近は、大手企業より中小企業の取得が多くなっている気がします。
色々と問題点もあると思いますが(プライバシーマークの更新をしない企業も今後は増えてくると個人的には思います)、安心して個人情報を扱えるように、より良い制度として運用していってほしいです。
弊社も、その一助として精進していきます。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
1社では、内部監査は1つ
幸松です。
最近はISOを取得されている会社でも、ISO27001だけを取得している会社だけでなく
ISO27001と何か他のマネジメントシステムを取得しているという会社が多くありますね。
ISO90001、ISO14001、プライバシーマーク(個人的にはプライバシーマークはマネジメントシステムかどうかは微妙に感じますが)等の認証も併せて取得している会社があります。
それぞれのマネジメントシステムで教育や内部監査を行っているのですが
それぞらのマネジメントシステムごとに教育や内部監査を行っている会社が多いです。
現場の社員からすると、年間何回も内部監査を受けるのは負担が高いと思います。
やはり、理想としては出来る範囲からで良いのでマネジメントシステムの統合を行っていき
教育も内部監査もまとめて行うべきですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
PマークとISMSの統合
幸松です。
弊社のお客様でプライバシーマーク(Pマーク)の2006年版対応が完了して晴れて1999年版のプライバシーマークから2006年版プライバシーマークへの移行が完了した会社があるのですが、その会社は東京事業所のみでISO27001(ISMS)を取得しています。
プライバシーマークとISO27001の両方の認証を取得しているのですが、社内で「プライバシーマーク用のルール」と「ISO27001(ISMS)用のルール」がある状態です。
そして、その2つのルールは共存している部分もあるのですが、基本的にはお互いが独立しています。
この状態ですと、最悪のパターンとしては「Pマークのルールではこう」だけど「ISMSのルールではこう」と言った矛盾した事が起こる可能性があります。
例えば、「Pマークのルールではパスワードの変更は3か月ごとに」と規程されている反面、ISMSのルールでは「パスワードの変更は禁止」となっている場合があります。
この例は、かなり極端な例ですが実際にあったケースです。
こういった、異なるルールがある状態。
特に、それぞれのマネジメントシステム毎にルールがある状態は現場での運用がうまくいきにくいです。
認証を維持する事は可能かも知れませんが、業務改善や業務効率の向上、会社のレベルアップにはつながりにくいです。
そうならないためにも、今回のお客様はPマークのルールとISMSのルールの統合を行っていきます。
非常に素晴らしい考え方だと思います。
もちろんLRMの全力でサポートさせて頂きます。
せっかくのマネジメントシステムを形骸化させないためにも。
実際の現場の改善にマネジメントシステムを有効に活用するためにも。
会社に即したルール。
業務に即したルールが必要です。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報の廃棄時には廃棄証明をもらいましょう
幸松です。
今日の日経産業新聞1面に「中古PCに情報消去証明」という記事が出ていました。
企業や個人が使用済PCを業者に売る場合は多いと思いますが、その時に不安になるのが「情報漏えい」だと思います。
実際に、中古PCからの情報漏えいしたケースも何回かあります。
PCをはじめ携帯電話やPDA等の情報を保持したデジタル機器の廃棄時には
必ずデータを削除することを徹底する事が大事になってきます。
業者にデータの削除を依頼する場合には、廃棄証明(マニフェスト伝票)をしっかりもらうようにしましょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
景気とセキュリティ
幸松です。
最近のアメリカ経済の状況に加えて、日本経済もあまり良い話は聞きません。
景気が悪くなるとセキュリティのお仕事はどうなるのか?という質問を受けました。
基本的にやはり低調になると思います。
本来であればお客様となるべき会社が、本業等で数字が厳しくなるとセキュリティに充てる予算を他の事に充てる場合が多々あります。
情報セキュリティは直接、スグに売上の向上につながるものではありません(あくまで私見です)。
直接の売上に結びつかない対策への予算とりはやはり後回しとなるケースが多いです。
ただ、情報セキュリティやマネジメントシステムは上手く活用すると会社の足腰を強くしてくれます。
業務改善や体質向上に結びつける活動として運用していくとすごく会社のためになります。
景気が悪くなっているタイミングでは無理に売上に走るよりかは、会社の基礎体力をつけるための活動をしてみるのも良いのではないでしょうか(軽く営業です(笑))。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
幸松です。
ITmedieの記事によると、米のVerizon Businessが、企業がデータ漏えいに関し抱える課題を検証して、業種ごとの所見を公開したようです。
そこで各業種に関する所見が以下のように出ています(ITmediaにより一部編集しているようです)。
金融サービス
分析したほかの業種では、パートナー企業が主たるリスクの根源だが、金融サービスでは内部関係者によるリスクがより大きい。また金融サービスへはさまざまな攻撃が行なわれており、最も一般的なものは「詐欺と過失」である。おおむね、攻撃は比較的長期にわたる高度なものである。金融サービス機関は一般的にほかの機関よりも侵害の発見が早いが、時には発見に数週間を要することもある。またほかの業種に比べ、金融機関には資産に対する意識の高さが見られる。正体不明の、あるいは消失したシステム、データ、接続、権限に付随する侵害が発生する頻度は、はるかに低かった。
ハイテクサービス
様相は複雑である。ほかのどの業種よりも「エラー」に起因することが多く、攻撃はなかなか高度。テクノロジーに詳しいはずの業種だが、情報資産とシステム構成の追跡に苦慮していた。また悪意ある内部関係者が大きな問題になっている。内部関係者による悪用とは、許可されたリソースまたは権限、あるいはその両方を不正目的に使用することであり、ハイテク業界ではるかに多い。従業員が多数のシステムに高位のアクセス権を持つ企業文化の中で、こうした行為を管理することは本質的に困難だ。そしてクラッキングが深刻。ハイテク企業では、基本システムやアプリケーション構成が優れていることが多いため、攻撃者は脆弱性を利用してシステムを侵害することになる。パッチ適用のための一貫性ある包括的なアプローチが欠落していることが多い。そしてWebアプリケーションへの攻撃が、最も一般的な侵入手段になっている。さらにハイテク業界では、知財が侵害を被る比率が高い。
小売業
分析したデータ漏えいの事例に対し、小売が占める比率が最も高い。多くの攻撃はリモートからのアクセス接続を悪用しているが、Webアプリケーションも高頻度で標的とされている。ワイヤレスネットワークへの攻撃が増えており、ほかの業界よりもかなり多い。また侵害の検出を第三者機関に大きく頼っている。通常、侵害の検出は食品/飲料業よりは早いが、金融とハイテク業よりも遅い。概して、小売業に対する攻撃は詐欺目的に容易に利用できる。データで素早く稼ごうとする、短絡的なものが大半である。
食品/飲料
大半の攻撃は外部ソースに起因する。ただし、決済カードのデータを保存するオンラインリポジトリへの侵入口として、パートナー企業の信頼できるリモートアクセス接続を悪用している。こうした攻撃は、アプリケーションやソフトウェアの脆弱性よりも、セキュリティ構成の貧弱さに起因しており、実行の速度や反復率も高い。多くの攻撃がPOSシステムを悪用していた。犯罪者はPOSシステムを次の攻撃の足場とし、マルウェア(不正ソフトウェア)を食品・飲料の流通経路全域にばらまく。また攻撃発見に多大な時間を要している。発見の大半は、第三者機関による。
ハイテクサービス(ITサービス等)では、内部要因による問題が多いが食品業界では外的要因が多いなど同じデータ漏洩というセキュリティの事故(インシデント)に対してでも全然要因が異なってますね。
これは「意外」とは全く思えません。
私自信、多くの企業様の情報セキュリティに携わってきて、やはり業種業態により大きく捉えての「特徴」というものがある事を認識しておりますので、「そうだよね」と納得できる内容です。
業種や業態、または規模によってセキュリティの対策は変わってきますので、画一的なテンプレートでは対応がなかなか上手くいかないのは当たり前のことです。
ITmedia:2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
プライバシーマークでも携帯電話の規定は必須なのか?
幸松です。
先日、プライバシーマークの2006年版への更新対応を支援させて頂いているお客様との打ち合わせで携帯電話に関する社内規程を検討してきました。
そのお客様は、プライバシーマークの現地審査で「社内での携帯電話の扱いに関する規定がない」と指摘を受けてしまいました。
確かに、最近では携帯電話の紛失事故や、携帯電話の紛失事故から情報の漏えい事件に繋がることもよく聞きます。
対応はしないよりかはした方が良いでしょう。
しかしです。携帯電話はまだまだ会社支給ではなく私物を使っている人の割合が高いです。
その際に会社側が社内規定として求められる内容は非常に限られていています。
そこの部分でお客様とは結構深い議論を重ねました。
経営者は「出来るだけルール化したい」、従業員は「私物なので、ルール化されたくない」という思いがありますので、その両者の思いと、セキュリティ、業務効率等を考えて、そこの会社の今のベストな案を「現状の規定」として制定していきます。
あくまでも「現状のベストな案」としての規定です。
出来もしない「理想案」を規定して、絵に描いた餅になってもダメですし、現状のままで「セキュリティのリスクを抱えたまま」の規定でもNGです。
少しでもお客様のセキュリティレベルや業務品質が向上できるような規定になるように提案していきます。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
明日解雇されるなら機密情報を持ち出す
幸松です。
ITProの記事で、アメリカのCyber-Ark Softwareが行った企業のIT管理者300人を対象とした意識調査の結果を発表しました。
その結果によると、回答者の88%は「明日解雇されるとしたら、会社の機密情報を持ち出す」のようです。
88%と言うのは、正直ビックリしました。「ほとんどのIT管理者が機密情報を持ち出す」という結果ですよね!!
もちろん、アメリカと日本で異なる点も多々あると思いますが、経営者の方は、日本でも同様のリスクを考慮しておかなければならないでしょう。
記事によると、IT管理者の持ち出そうと考えている情報は以下のようです。
IT管理者が持ち出そうと考えている情報は,最高経営責任者(CEO)のパスワード,顧客データベース,研究開発計画,財務報告,M&A(企業の買収・合併)計画のほか,さまざまな権限を行使できるパスワードのリストなどが含まれる。「会社の情報を持ち出す」と答えた88%のうち約3分の1は,このパスワード・リストを持っていくとしている。
管理者権限のある人のこういった行動に対してはなかなか防ぐのが難しいですね。
ただ一人の管理者に全ての権限を集中するのではなく、複数人でお互いが牽制できるようにする等の対策を行っていくことが必要となってくると思います。
また、セキュリティ面からだけでなく、日頃から円満な労使関係を築いておくことも重要になってきます。
[参考ページ]
ITPro:大半のIT管理者は「明日解雇されるなら機密情報を持ち出す」–米調査
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから