「中小企業の情報セキュリティ対策ガイドライン」を公開
幸松です。
少し前の話になりますが3月18日に、IPAより「中小企業の情報セキュリティ対策ガイドライン」が公開されました。
今までは大企業向けの対策が中心になっているものが多かったと思いますが、こちらは中小企業の情報セキュリティのガイドラインとなっています。
確かに、最近はISO27001/ISMSの新規取得に取り組まれる企業も中小企業の割合が多くなってきていますので、そのような企業にとっては参考になるサイトだと思います。
これから情報セキュリティに取り組んでいこうと考えている中小企業には、最初に「5分でできる自社診断シート」と「中小企業における組織的な情報セキュリティ対策ガイドライン」の2冊から読んでいくのが良いと思います。
[参考ページ]
IPA:「中小企業の情報セキュリティ対策ガイドライン」を公開
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報を取扱うのは「人」である
幸松です。
日立システム様の情報セキュリティブログで「USBメモリの安全な取扱いについて」という記事が公開されていました。
USBメモリの安全な取扱いについて個人の対策についてと企業の対策についてと分けて記述されており基本的な事柄なんで非常に参考になると思います。
また、最終的には従業員のセキュリティ意識の向上が組織の情報セキュリティにとっては非常に重要な事が改めて強調されています。
私も先日、情報セキュリティのセミナーをさせていただく機会があったのですが、同じことを強調しました。
いくらシステム面でがんじがらめにしばっても最後は「人」です。
ルール外のことが起こった時に、適切に対応が取れるかどうかは従業員の意識にかかってきます。
システムはあくまでも「ツール」であり、会社の規則もあくまでも「ルール」です。
それらを運用するのは、当り前ですが「人」です。
情報を取扱うのは「人」であることを認識して、ISO27001/ISMSやプライバシーマーク等の仕組み作りに取りかかりましょう。
[参考ページ]日立システム情報セキュリティブログ:USBメモリの安全な取扱いについて
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
クレジットカードのセキュリティ対策推進団体を設立
幸松です。
BSIマネジメントシステムジャパンやNTTデータ・セキュリティなどの4社が準備事務局として活動してクレジットカード情報のセキュリティ推進団体「日本カード情報セキュリティ協議会」を4月に設立するようです。
ISO27001/ISMSは、情報管理のマネジメントシステムであり、明確なセキュリティの基準等は存在しませんが、クレジットカード情報の保護基準であるPCI DSSには遵守しなければならない基準が明確に存在しています。
どちらが優れているとかではなく、性質が異なるものですが両方とも「セキュリティ」としてまとめらていますね。
不正アクセスなどを伴う顧客カード情報の盗難、漏えいといったセキュリティ事故がある背景のもと、そういった事故の防止に役立てていける1つの基準だと思います。
[参考サイト]ITmedia:クレジットカードのセキュリティ対策推進団体を設立へ、サービス各社
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報セキュリティ格付け第1号として富士通SSLが「A」を取得
幸松です。
情報セキュリティの格付け会社のアイ・エス・レーティングによる格付けの第1号として、富士通SSLが「A is(シングルAフラット)」を取得しました。
情報セキュリティに携わる一人として、アイ・エス・レーティングの情報セキュリティ格付けは非常に興味を持っておりましたので、このニュースには直ぐに反応してしまいました。
今回の「A is(シングルAフラット)」は、悪意のある外部者の脅威から情報を守る対策を織り込んでおり、リスク耐性が高いことを意味しています。
情報セキュリティの格付けは、AAAからCまでの17段階にランク付けされており、企業や組織が取り扱う情報技術、営業機密、個人情報などの情報について、インシデントが起きないように管理を適切に行っているかを第三者であるアイ・エス・レーティングが評価をする仕組みです。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
IPAが情報流出した職員を停職3か月
幸松です。
先日、職員の私物PCからWinnyやShare経由のP2Pファイルで情報を流出させてしまったIPAから、当該職員を停職3ヶ月とし、再発防止に向けた「情報流出対策本部」を設置した旨が発表されています。
停職の3ヶ月という期間が長いか短いかは私には判断出来ませんが、今回の流出事件はIPAという、ある意味セキュリティの総本山のようなところで起こったという事もありますが、情報流出だけでなく、該当職員がかな漢字変換ソフト(ATOK?)や児童ポルノ画像をダウンロードしていたことも非常に問題だと思います。
また、対策防止策として職員の私物PCのおけるファイル交換ソフトの利用禁止とした処置についても個人的には「う~~ん」と思ってしまいます。
そもそもIPAの職員でありながらファイル交換ソフトを入れているPCに職務データを入れている事に対する認識が不十分だったことが一番の原因だと思います。
IPAの職員という事を鑑みたら、一人一人でファイル交換ソフトのインストールについては自己判断をすれば良いと思いますが、組織として私物PCへのインストール禁止というのはどうかと思います。
多くの企業で、Winny等で事件が起これば「私物でも禁止」としているところが多いですが、そもそも私物PCで仕事をしているという状況を何とかすべきではないでしょうか。
Winny系の事件があるたびに、まるでWinny自体が違法のように語られていますが問題の本質はそこではないと思います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2008年の脅威傾向[新規感染Webサイトは1日20,000件発生]
幸松です。
法人向けセキュリティ・アンド・コントロールソリューション会社のソフォス株式会社より、2008年(1月~11月)までの脅威傾向を取りまとめた「ソフォス セキュリティ脅威レポート 2009」が発表されたようです。
2008年の主な脅威傾向として以下の点が記載されています。
新規感染Webサイトが4.5秒毎に1件の割合で発生しているというのが、正直驚きました。
前年に比べて3倍に増えているようです。
Webが発達していって便利な世の中になっていってるのですが比例して悪意のあるWebサイトも増えていってますね。
ただ、特別に新しい対策が必要ということはないと思います。
それぞれのPCにウィルス対策ソフトやパーソナルファイアウォール等の設定、各ソフトのセキュリティパッチの適用などを確実に行うことが一番だと思います。
当り前のことを当たり前に実行する。
それだけで多くの脅威に対応することが可能です。
ちなみにソフォスレポートは、現在は英語版でのダウンロードは可能となっていますが、日本語版は2009年1月よりダウンロード可能のようです。
(私は、来月に日本語版をダウンロード予定!! 英語は・・・・)
[参考サイト]
ソフォス、2008年の脅威傾向をまとめたセキュリティ脅威レポートを発表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
IIJがインターネットセキュリティの傾向と対策を発信する技術レポート誌を創刊
幸松です。
IIJ(株式会社インターネットイニシアティブ)より「Internet Infrastructure Review」という技術レポートが創刊されました。
このレポートはPDFでもダウンロード可能ですし、冊子として定期的に配送してもらうことも可能です。
インターネットの基盤技術に関する最新の技術動向や、セキュリティ情報を配信してようですのでセキュリティ担当の方やシステム担当、ISO27001の担当者の方は読んでおいて損はないと思います。
弊社でも購読申込みをしております。
IIJのような技術力のある会社からこういったレポートが無償で出されるのは非常に嬉しいですね。
インターネットの基盤技術もセキュリティ技術も日々進化していってますので
なかなかウォッチングするのも難しいですが、冊子で送ってきてくれると
ある意味、外部から強制的に情報を仕入れる事が出来ますので
忙しい方には、よりお勧めだと思います。
[参考サイト]
IIJ:Internet Infrastructure Review(定期発行技術レポート)
ITmedia:インターネットセキュリティの傾向と対策を発信する技術レポート誌を創刊
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
景気とセキュリティ
幸松です。
最近のアメリカ経済の状況に加えて、日本経済もあまり良い話は聞きません。
景気が悪くなるとセキュリティのお仕事はどうなるのか?という質問を受けました。
基本的にやはり低調になると思います。
本来であればお客様となるべき会社が、本業等で数字が厳しくなるとセキュリティに充てる予算を他の事に充てる場合が多々あります。
情報セキュリティは直接、スグに売上の向上につながるものではありません(あくまで私見です)。
直接の売上に結びつかない対策への予算とりはやはり後回しとなるケースが多いです。
ただ、情報セキュリティやマネジメントシステムは上手く活用すると会社の足腰を強くしてくれます。
業務改善や体質向上に結びつける活動として運用していくとすごく会社のためになります。
景気が悪くなっているタイミングでは無理に売上に走るよりかは、会社の基礎体力をつけるための活動をしてみるのも良いのではないでしょうか(軽く営業です(笑))。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
幸松です。
ITmedieの記事によると、米のVerizon Businessが、企業がデータ漏えいに関し抱える課題を検証して、業種ごとの所見を公開したようです。
そこで各業種に関する所見が以下のように出ています(ITmediaにより一部編集しているようです)。
金融サービス
分析したほかの業種では、パートナー企業が主たるリスクの根源だが、金融サービスでは内部関係者によるリスクがより大きい。また金融サービスへはさまざまな攻撃が行なわれており、最も一般的なものは「詐欺と過失」である。おおむね、攻撃は比較的長期にわたる高度なものである。金融サービス機関は一般的にほかの機関よりも侵害の発見が早いが、時には発見に数週間を要することもある。またほかの業種に比べ、金融機関には資産に対する意識の高さが見られる。正体不明の、あるいは消失したシステム、データ、接続、権限に付随する侵害が発生する頻度は、はるかに低かった。
ハイテクサービス
様相は複雑である。ほかのどの業種よりも「エラー」に起因することが多く、攻撃はなかなか高度。テクノロジーに詳しいはずの業種だが、情報資産とシステム構成の追跡に苦慮していた。また悪意ある内部関係者が大きな問題になっている。内部関係者による悪用とは、許可されたリソースまたは権限、あるいはその両方を不正目的に使用することであり、ハイテク業界ではるかに多い。従業員が多数のシステムに高位のアクセス権を持つ企業文化の中で、こうした行為を管理することは本質的に困難だ。そしてクラッキングが深刻。ハイテク企業では、基本システムやアプリケーション構成が優れていることが多いため、攻撃者は脆弱性を利用してシステムを侵害することになる。パッチ適用のための一貫性ある包括的なアプローチが欠落していることが多い。そしてWebアプリケーションへの攻撃が、最も一般的な侵入手段になっている。さらにハイテク業界では、知財が侵害を被る比率が高い。
小売業
分析したデータ漏えいの事例に対し、小売が占める比率が最も高い。多くの攻撃はリモートからのアクセス接続を悪用しているが、Webアプリケーションも高頻度で標的とされている。ワイヤレスネットワークへの攻撃が増えており、ほかの業界よりもかなり多い。また侵害の検出を第三者機関に大きく頼っている。通常、侵害の検出は食品/飲料業よりは早いが、金融とハイテク業よりも遅い。概して、小売業に対する攻撃は詐欺目的に容易に利用できる。データで素早く稼ごうとする、短絡的なものが大半である。
食品/飲料
大半の攻撃は外部ソースに起因する。ただし、決済カードのデータを保存するオンラインリポジトリへの侵入口として、パートナー企業の信頼できるリモートアクセス接続を悪用している。こうした攻撃は、アプリケーションやソフトウェアの脆弱性よりも、セキュリティ構成の貧弱さに起因しており、実行の速度や反復率も高い。多くの攻撃がPOSシステムを悪用していた。犯罪者はPOSシステムを次の攻撃の足場とし、マルウェア(不正ソフトウェア)を食品・飲料の流通経路全域にばらまく。また攻撃発見に多大な時間を要している。発見の大半は、第三者機関による。
ハイテクサービス(ITサービス等)では、内部要因による問題が多いが食品業界では外的要因が多いなど同じデータ漏洩というセキュリティの事故(インシデント)に対してでも全然要因が異なってますね。
これは「意外」とは全く思えません。
私自信、多くの企業様の情報セキュリティに携わってきて、やはり業種業態により大きく捉えての「特徴」というものがある事を認識しておりますので、「そうだよね」と納得できる内容です。
業種や業態、または規模によってセキュリティの対策は変わってきますので、画一的なテンプレートでは対応がなかなか上手くいかないのは当たり前のことです。
ITmedia:2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから