「中小企業の情報セキュリティ対策ガイドライン」を公開
幸松です。
少し前の話になりますが3月18日に、IPAより「中小企業の情報セキュリティ対策ガイドライン」が公開されました。
今までは大企業向けの対策が中心になっているものが多かったと思いますが、こちらは中小企業の情報セキュリティのガイドラインとなっています。
確かに、最近はISO27001/ISMSの新規取得に取り組まれる企業も中小企業の割合が多くなってきていますので、そのような企業にとっては参考になるサイトだと思います。
これから情報セキュリティに取り組んでいこうと考えている中小企業には、最初に「5分でできる自社診断シート」と「中小企業における組織的な情報セキュリティ対策ガイドライン」の2冊から読んでいくのが良いと思います。
[参考ページ]
IPA:「中小企業の情報セキュリティ対策ガイドライン」を公開
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報を取扱うのは「人」である
幸松です。
日立システム様の情報セキュリティブログで「USBメモリの安全な取扱いについて」という記事が公開されていました。
USBメモリの安全な取扱いについて個人の対策についてと企業の対策についてと分けて記述されており基本的な事柄なんで非常に参考になると思います。
また、最終的には従業員のセキュリティ意識の向上が組織の情報セキュリティにとっては非常に重要な事が改めて強調されています。
私も先日、情報セキュリティのセミナーをさせていただく機会があったのですが、同じことを強調しました。
いくらシステム面でがんじがらめにしばっても最後は「人」です。
ルール外のことが起こった時に、適切に対応が取れるかどうかは従業員の意識にかかってきます。
システムはあくまでも「ツール」であり、会社の規則もあくまでも「ルール」です。
それらを運用するのは、当り前ですが「人」です。
情報を取扱うのは「人」であることを認識して、ISO27001/ISMSやプライバシーマーク等の仕組み作りに取りかかりましょう。
[参考ページ]日立システム情報セキュリティブログ:USBメモリの安全な取扱いについて
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
クレジットカードのセキュリティ対策推進団体を設立
幸松です。
BSIマネジメントシステムジャパンやNTTデータ・セキュリティなどの4社が準備事務局として活動してクレジットカード情報のセキュリティ推進団体「日本カード情報セキュリティ協議会」を4月に設立するようです。
ISO27001/ISMSは、情報管理のマネジメントシステムであり、明確なセキュリティの基準等は存在しませんが、クレジットカード情報の保護基準であるPCI DSSには遵守しなければならない基準が明確に存在しています。
どちらが優れているとかではなく、性質が異なるものですが両方とも「セキュリティ」としてまとめらていますね。
不正アクセスなどを伴う顧客カード情報の盗難、漏えいといったセキュリティ事故がある背景のもと、そういった事故の防止に役立てていける1つの基準だと思います。
[参考サイト]ITmedia:クレジットカードのセキュリティ対策推進団体を設立へ、サービス各社
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
1社では、内部監査は1つ
幸松です。
最近はISOを取得されている会社でも、ISO27001だけを取得している会社だけでなく
ISO27001と何か他のマネジメントシステムを取得しているという会社が多くありますね。
ISO90001、ISO14001、プライバシーマーク(個人的にはプライバシーマークはマネジメントシステムかどうかは微妙に感じますが)等の認証も併せて取得している会社があります。
それぞれのマネジメントシステムで教育や内部監査を行っているのですが
それぞらのマネジメントシステムごとに教育や内部監査を行っている会社が多いです。
現場の社員からすると、年間何回も内部監査を受けるのは負担が高いと思います。
やはり、理想としては出来る範囲からで良いのでマネジメントシステムの統合を行っていき
教育も内部監査もまとめて行うべきですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
PマークとISMSの統合
幸松です。
弊社のお客様でプライバシーマーク(Pマーク)の2006年版対応が完了して晴れて1999年版のプライバシーマークから2006年版プライバシーマークへの移行が完了した会社があるのですが、その会社は東京事業所のみでISO27001(ISMS)を取得しています。
プライバシーマークとISO27001の両方の認証を取得しているのですが、社内で「プライバシーマーク用のルール」と「ISO27001(ISMS)用のルール」がある状態です。
そして、その2つのルールは共存している部分もあるのですが、基本的にはお互いが独立しています。
この状態ですと、最悪のパターンとしては「Pマークのルールではこう」だけど「ISMSのルールではこう」と言った矛盾した事が起こる可能性があります。
例えば、「Pマークのルールではパスワードの変更は3か月ごとに」と規程されている反面、ISMSのルールでは「パスワードの変更は禁止」となっている場合があります。
この例は、かなり極端な例ですが実際にあったケースです。
こういった、異なるルールがある状態。
特に、それぞれのマネジメントシステム毎にルールがある状態は現場での運用がうまくいきにくいです。
認証を維持する事は可能かも知れませんが、業務改善や業務効率の向上、会社のレベルアップにはつながりにくいです。
そうならないためにも、今回のお客様はPマークのルールとISMSのルールの統合を行っていきます。
非常に素晴らしい考え方だと思います。
もちろんLRMの全力でサポートさせて頂きます。
せっかくのマネジメントシステムを形骸化させないためにも。
実際の現場の改善にマネジメントシステムを有効に活用するためにも。
会社に即したルール。
業務に即したルールが必要です。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報の廃棄時には廃棄証明をもらいましょう
幸松です。
今日の日経産業新聞1面に「中古PCに情報消去証明」という記事が出ていました。
企業や個人が使用済PCを業者に売る場合は多いと思いますが、その時に不安になるのが「情報漏えい」だと思います。
実際に、中古PCからの情報漏えいしたケースも何回かあります。
PCをはじめ携帯電話やPDA等の情報を保持したデジタル機器の廃棄時には
必ずデータを削除することを徹底する事が大事になってきます。
業者にデータの削除を依頼する場合には、廃棄証明(マニフェスト伝票)をしっかりもらうようにしましょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
景気とセキュリティ
幸松です。
最近のアメリカ経済の状況に加えて、日本経済もあまり良い話は聞きません。
景気が悪くなるとセキュリティのお仕事はどうなるのか?という質問を受けました。
基本的にやはり低調になると思います。
本来であればお客様となるべき会社が、本業等で数字が厳しくなるとセキュリティに充てる予算を他の事に充てる場合が多々あります。
情報セキュリティは直接、スグに売上の向上につながるものではありません(あくまで私見です)。
直接の売上に結びつかない対策への予算とりはやはり後回しとなるケースが多いです。
ただ、情報セキュリティやマネジメントシステムは上手く活用すると会社の足腰を強くしてくれます。
業務改善や体質向上に結びつける活動として運用していくとすごく会社のためになります。
景気が悪くなっているタイミングでは無理に売上に走るよりかは、会社の基礎体力をつけるための活動をしてみるのも良いのではないでしょうか(軽く営業です(笑))。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
幸松です。
ITmedieの記事によると、米のVerizon Businessが、企業がデータ漏えいに関し抱える課題を検証して、業種ごとの所見を公開したようです。
そこで各業種に関する所見が以下のように出ています(ITmediaにより一部編集しているようです)。
金融サービス
分析したほかの業種では、パートナー企業が主たるリスクの根源だが、金融サービスでは内部関係者によるリスクがより大きい。また金融サービスへはさまざまな攻撃が行なわれており、最も一般的なものは「詐欺と過失」である。おおむね、攻撃は比較的長期にわたる高度なものである。金融サービス機関は一般的にほかの機関よりも侵害の発見が早いが、時には発見に数週間を要することもある。またほかの業種に比べ、金融機関には資産に対する意識の高さが見られる。正体不明の、あるいは消失したシステム、データ、接続、権限に付随する侵害が発生する頻度は、はるかに低かった。
ハイテクサービス
様相は複雑である。ほかのどの業種よりも「エラー」に起因することが多く、攻撃はなかなか高度。テクノロジーに詳しいはずの業種だが、情報資産とシステム構成の追跡に苦慮していた。また悪意ある内部関係者が大きな問題になっている。内部関係者による悪用とは、許可されたリソースまたは権限、あるいはその両方を不正目的に使用することであり、ハイテク業界ではるかに多い。従業員が多数のシステムに高位のアクセス権を持つ企業文化の中で、こうした行為を管理することは本質的に困難だ。そしてクラッキングが深刻。ハイテク企業では、基本システムやアプリケーション構成が優れていることが多いため、攻撃者は脆弱性を利用してシステムを侵害することになる。パッチ適用のための一貫性ある包括的なアプローチが欠落していることが多い。そしてWebアプリケーションへの攻撃が、最も一般的な侵入手段になっている。さらにハイテク業界では、知財が侵害を被る比率が高い。
小売業
分析したデータ漏えいの事例に対し、小売が占める比率が最も高い。多くの攻撃はリモートからのアクセス接続を悪用しているが、Webアプリケーションも高頻度で標的とされている。ワイヤレスネットワークへの攻撃が増えており、ほかの業界よりもかなり多い。また侵害の検出を第三者機関に大きく頼っている。通常、侵害の検出は食品/飲料業よりは早いが、金融とハイテク業よりも遅い。概して、小売業に対する攻撃は詐欺目的に容易に利用できる。データで素早く稼ごうとする、短絡的なものが大半である。
食品/飲料
大半の攻撃は外部ソースに起因する。ただし、決済カードのデータを保存するオンラインリポジトリへの侵入口として、パートナー企業の信頼できるリモートアクセス接続を悪用している。こうした攻撃は、アプリケーションやソフトウェアの脆弱性よりも、セキュリティ構成の貧弱さに起因しており、実行の速度や反復率も高い。多くの攻撃がPOSシステムを悪用していた。犯罪者はPOSシステムを次の攻撃の足場とし、マルウェア(不正ソフトウェア)を食品・飲料の流通経路全域にばらまく。また攻撃発見に多大な時間を要している。発見の大半は、第三者機関による。
ハイテクサービス(ITサービス等)では、内部要因による問題が多いが食品業界では外的要因が多いなど同じデータ漏洩というセキュリティの事故(インシデント)に対してでも全然要因が異なってますね。
これは「意外」とは全く思えません。
私自信、多くの企業様の情報セキュリティに携わってきて、やはり業種業態により大きく捉えての「特徴」というものがある事を認識しておりますので、「そうだよね」と納得できる内容です。
業種や業態、または規模によってセキュリティの対策は変わってきますので、画一的なテンプレートでは対応がなかなか上手くいかないのは当たり前のことです。
ITmedia:2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
明日解雇されるなら機密情報を持ち出す
幸松です。
ITProの記事で、アメリカのCyber-Ark Softwareが行った企業のIT管理者300人を対象とした意識調査の結果を発表しました。
その結果によると、回答者の88%は「明日解雇されるとしたら、会社の機密情報を持ち出す」のようです。
88%と言うのは、正直ビックリしました。「ほとんどのIT管理者が機密情報を持ち出す」という結果ですよね!!
もちろん、アメリカと日本で異なる点も多々あると思いますが、経営者の方は、日本でも同様のリスクを考慮しておかなければならないでしょう。
記事によると、IT管理者の持ち出そうと考えている情報は以下のようです。
IT管理者が持ち出そうと考えている情報は,最高経営責任者(CEO)のパスワード,顧客データベース,研究開発計画,財務報告,M&A(企業の買収・合併)計画のほか,さまざまな権限を行使できるパスワードのリストなどが含まれる。「会社の情報を持ち出す」と答えた88%のうち約3分の1は,このパスワード・リストを持っていくとしている。
管理者権限のある人のこういった行動に対してはなかなか防ぐのが難しいですね。
ただ一人の管理者に全ての権限を集中するのではなく、複数人でお互いが牽制できるようにする等の対策を行っていくことが必要となってくると思います。
また、セキュリティ面からだけでなく、日頃から円満な労使関係を築いておくことも重要になってきます。
[参考ページ]
ITPro:大半のIT管理者は「明日解雇されるなら機密情報を持ち出す」–米調査
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
記録を確認するための記録
幸松です。
弊社は情報セキュリティをサービスとして展開している企業です。
中でもISMS(ISO27001/ISMS)認証取得支援とプライバシーマーク認証取得支援をメインの業務としております。
ISOをプライバシーマークもマネジメントシステムと言われるモノは全て経営改善ツールであると私は考えています。
なので、セキュリティ的にも業務的にも全く意味のない対策等は弊社から提案することは絶対にありません。
ですが、最近私が困っているのがプライバシーマーク認証取得を支援させて頂くお客様に対して、プライバシーマークの審査を実施した後に、審査員の方から「記録をとった事を確認する記録」を取得する事が求められる事が何件か連続でありました。
中でも分かり易い例として、サーバールームへの入退室を確認するために、入室簿を作っています。そして、月に1度、システム管理者が入室簿の運用がしっかりなされているかを確認します。
そういった運用をしている会社に対して、「月に1回、システム管理者が確認したことを確認する記録」を作りなさいと!!
「いやいや、確認した際にサインをして確認済としているんですが」と主張されたのですが、「別途に確認簿作らないとだめです。」と指摘されました。
「確認をしたことの確認」・・・・・・こんな事を言い出すとどこまでやればいいのか分からなくなります。業務効率は下がるし、本当にマークを取得するためだけの活動になってしまいます。
認証取得なので、マークを取得するためだけの活動も中には実施しなければならない事もあるかも分かりませんが、やはり、そういった事は出来るだけしないようにしていきたいです。
マークを取得するためだけの活動は、社内での仕組みを形骸化させてしまいます。また、実施している企業にとってみても「こんな認証は、意味がない」と判断してしまいかねません。
経営改善ツールなので、取得する企業にとって、意味のある行動にならないといけません。
マネジメントシステムを導入する事により会社のレベルが少しでも向上するようにしていきましょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから