掲示板お問い合わせランダムジャンプ



この広告は30日以上更新がないブログに表示されております。 新しい記事を書くことで広告を消すことができます。

Google広告

2012年01月26日
事務局のご都合で審査プログラムを修正また修正?
事務局のご都合で審査プログラムを修正また修正?

クライアントを見ていてはらはらすることがあるそうです。

クライアントの都合でいろいろ変更させているケースがあるが、中にはが審査プログラムを勝手に作ってしまうケースまであります。担当者に予定が入ったからといってドンドン変更してくるケースも。間際の変更、当日の変更も。

誰が審査員だか分からない。審査の目的を達成するために審査員が審査プログラムを策定する。あくまでも審査員の都合が優先します。でないとまともな審査が実現しません。最悪のケースでは審査が成立しない羽目になります。(本当かな?)

ISMSでは特に重要な部門の審査は最大優先させます。組織の状況で重点は変わりますが、組織のご都合で時間や順序を変えていいものでは有りません。

間際になっても変更また変更を繰り返す事務局は傍から見ていても気分が悪い。事務局が組織を掌握できていないからでしょう。自分の無能を棚に上げて、審査員に無理を言い通すような事務局のISMSが上手くことが運ぶわけは無いとか。

近頃は審査員もお行儀良く言われるままに計画しているようです。彼にとっては煩い事務局なんかどうでもいいのでしょう。さっさと済ませて一件落着?

これって、立派なモラルハザードですね。誰が得して誰が損するのでしょう?

明らかに損をするのは経営者。しっかり審査してしっかり改善を進めたいのに、それが歪んでしまった。愚かな事務局を指名したのは経営者。自業自得?。よく言われるように「経営者はブレーキとアクセルと両方一緒に踏んではいけない」のですが、これは正に悪い事例です。

.*.
[ 投稿者:ISMSNEWS at 12:18 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年01月25日
サイバー攻撃報告義務付け!さてどうする?
サイバー攻撃報告義務付け!さてどうする?

政府、情報セキュリティ政策会議にて、政府の設備調達契約時、情報安全対策を要件とする決定を行った。契約では、情報漏れ(及びそのリスクを認識した場合)の報告を義務付ける。

産業界も価値の連鎖。政府の契約条件は、政府と直接契約していなくても多くの企業は同等以上の体制を整備することが求められることになるだろう。

.*.

産業界はリスクまで報告するとなるとキリが無いから基準作りを明確にするように主張するだろうとするのは、ややピンボケだ。

政府が問題とする視点は;

先ず、情報漏えい。そこで問題となるのは、情報漏えいの有無を把握できる仕組みがあるのか。一切のアクセス監視、リアルタイムのログ解析。

次は、特記的なサイバー攻撃。特定の組織・団体、新しい手口、ターゲット情報。これらは、日本国を守るために必要な重要情報あり、タイムリーに報告されることが必要。攻撃を解析する技術が必要である。エリア・時間・メディアにまたがる超分散?会席が必要。しかもリアルタイム。自己学習型のセキュリティ監視サーバーを設置するのが安直か?

.*.
[ 投稿者:ISMSNEWS at 12:16 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

クラウド事業者のインド進出加速が示唆すること
クラウド事業者のインド進出加速が示唆すること

普通のデータセンターを利用しているつもりだったが、知らない間に会社のデータはインドに出ていたなんてことに。

平時は国内にあるが、クラウド事業者のトラブル時にはインドへ出ていたとか。

.*.


クラウド上のデータの安全性はどのように保障されるのか?


海外に出た情報の安全性はどのように確保されるのか?


法律も国の成り立ちも違う。インドは中国・ロシアほどのギャップは無いにしても、何処が守るべき線か明確にしておかないといけない。

.*.
[ 投稿者:ISMSNEWS at 12:15 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

ドコモの不通話トラブルが都内で発生!ISMSではどう見るか?
ドコモの不通話トラブルが都内で発生!ISMSではどう見るか?

本日(2012/1/25)都内で4時間ほど、どこも携帯が利用できなくなった。メールなども繋がりにくい状態が続いた。


携帯電話を事業上・業務上のキーファクターとしているものを調べる。本日発生したトラブルでどのような事態が起きたかどうか見る。事業継続計画が策定されていたら、適切に作動したかを調べる。
業務上には、緊急時の対応も考慮する。緊急時の連絡を携帯を前提としていないか。そのときのリスクの見極め。
安否連絡システムを導入しているところでは、その実効性を改めて検証すること。

スマホが普及すれば、人が特定の場所で集中的にケータイを使い始めれば、急速に通信機器に負荷が掛かって、いつでも何処でも起こりうる事態です。通信機器の不具合もありえます。

.*.
[ 投稿者:ISMSNEWS at 12:15 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

不正アクセス禁止法改正案
不正アクセス禁止法改正案

フィッシング手口=IDやパスワードなどの情報を収集するだけ、または保持するだけで犯罪になる。

現行法では実害が発生しない限り訴えることが出来ないらしい。

これはISMSとしてはどうなるか?

不用意な情報収集はリスクが伴うということ。

会員登録時、問い合わせ時などに、必要ないだろうと思われる情報まで集めているが、何らかの線引きが求められるかもしれない。

.*.
[ 投稿者:ISMSNEWS at 12:13 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年01月19日
ウイルス定義ファイルの更新日を確認する
ウイルス定義ファイルの更新日を確認する

ウイルス守対策ソフトのウイルス定義ファイル〜ウイルスパターンファイルの更新日付の確認はとても重要なことです。パターンコードだけが表示されるのでは新しいのか古いのか分かりません。状況にもよりますが、1日に何度も更新されて当たり前の昨今では、時間(時刻)も必要でしょう。

多くの人は情報システム部門で設定しているので、ユーザーは特に何もしなくて良いと思い込んでいます。正しく更新されている「筈」で済ませています。「然うは問屋が卸さない」のがセキュリティの世界です。

シマンテック(ノートン)は分かりやすい。
マイクロソフトのエッセンシャルも分かりやすい。
アヴァスト!も分かりやすい。

例外的にトレンドマイクロのウイルスバスターは分かり難い。どうなっているの?

「ウイルスバスター ウイルス定義ファイル 更新日付」

色々探しても良く分からない。何が最新かはトレンドマイクロの何処のページを見ればよいかの案内が有るが、問題は自分のパソコンに最新が来ているかどうかを知ること。不親切なサイトあるいは不親切なウイルスバスターのコンソールを見ていて気分が悪くなった。正しくタイムリーにリリースさせることが出来ないから分かり難くしている訳でもないだろうが、探して見つからないのは嫌なものだ。

ウイルスバスターを利用しない理由の一端はこの辺にあるのだろう。マカフィーもそう言えば利用しないね。
[ 投稿者:ISMSNEWS at 12:09 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年01月17日
手抜かりの多い「記録の管理」
手抜かりの多い「記録の管理」

記録の管理がまるで分かっていないことに気がつかされる。書式の枠を埋めてバインダーに閉じてキャビネットに収容して施錠。期限がきたら廃棄する。これが記録の管理ですか。ただのISMSごっこではあ〜りませんか。

コンピューターの各種ログも同じ。監視カメラのビデオ情報も同じ。℡応答時の音声データの記録も同じ。入室時の電子錠のデータも同じ。

保管も管理には違いないが、そこで得られる効用はトレーサビリティだけ。何か問題が起きた場合、原因究明に利用できるというもの。基本的には後の祭り。社会に対して説明責任を果たすことも出来ない。

.*.

ISMSの規格を見ても、記録管理におけるダイナミズムの観点がなかなか読み取れない。当たり前すぎる問題だから? 嫌、記録に対する概念が実は確立されていないからですね。狭義の記録は活動結果を示すデータ的なもの。活動のための計画は記録か文書かはっきりしない。年度方針は記録ですか、文書ですか。両者を分ける定義は実は存在しません。無理に分けても意味を成さないと言った方が正しいでしょうか。

ISO27001:2013では文書と記録をもっと統一的に扱うようにチャレンジします。

.*.

さて、ここでは、「記録の目的」を明確にせよ、あるいは正しく理解せよと申し上げたい。また実際に記録を取り始めた時には、果たして、目的を達成できる記録内容かどうかも常々チェックすることが必要であることも申し上げたい。

好き嫌いの問題はありますが、「超監視社会」の実現です。SF映画でよく表現される不愉快な社会の実現ですから、その内、人に優しいセキュリティが議論される時代が来るかもしれませんね。

.*.

但し、当初の目的とは違ったことに記録を利用しようとする時は注意が必要です。データの特性・素性、目的外利用の可否など。

.*.
[ 投稿者:ISMSNEWS at 12:06 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

International Register of ISMS Certificates
International Register of ISMS Certificates

http://www.iso27001certificates.com/

.*.

ちんけ(チンケ?)なサイトです。素人が作ったような。殆どメンテナンスされていない。事務的に作っただけで、サイト運営に関する情熱がまるで伝わってこない。使いやすさも何も考えていない。というか、そもそもここに登録しても何の意味もなさそうだ。

認証機関の名称も古いままだ。

どの程度ここは正しいのか?いい加減なサイトに見える。

誰がどのように使うサイトなんだろう。認証を取得していることを照明する訳じゃないでしょうし、意味無いね。

こんなところに登録していると、逆に、品位が低く見られる。

海外のISMSが日本とはまるで違ったレベルのものだということも理解できる。

.*.

登録を取り消しておいたほうが良さそうに見える。

ここのサイト運営の責任者は不真面目で失礼な感じだ。嫌だね。

.*.

こんなサイトへの登録を進める人が居たらその人を疑うね。

.*.
[ 投稿者:ISMSNEWS at 12:06 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年01月16日
ASRエーエスアールの話が良く出てくる
ASRエーエスアールの話が良く出てくる

でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。

既存の審査機関は敷居が高い。こういう新手の審査機関が敷居が低いのかもしれない。結果、ISMSの普及に貢献することになるかもしれない。

ただ、優秀な審査員が待遇の悪い審査機関に行くとも思えない。玉石の石も結構混じるのではないか懸念される。石が審査した結果は、認証そのものを混乱させてクライアントまで迷惑を受ける羽目になるかもしれない。昔から「安物買いの銭失い」というから慎重な態度が望まれますね。審査員を慎重に吟味することです。そういう権利はありますから。

いずれにしても客観的なデータあるいは事実を確認したいものです。

.*.

結局は高く付く結果になるかも知れないASRに飛びついてしまう理由は簡単です。

ISMS取得は入札条件、取引条件にISMS認証取得が入り始めたからです。大企業ばかりならそのような条件が入っても既に取得済みなら何も変わりませんが、下請けの下請けを繰り返せば如何しても中小企業にお鉢は回ってきます。

小さいところがISOをやるのは想像以上に負担です。実務的にも心理的にも。そう言う時に、安い、従って手順もシンプルな審査は重宝することになります。

簡便な審査は、手抜きではなければ有効なわけですから、先を見ない限りは取り敢えずOKですね。

.*.

審査機関を見張る認定機関JIPDECの出方が問題になります。

.*.

エーエスアール株式会社
http://www.armsr.co.jp/

中途採用もやっている。どれくらいの給与水準でしょうか?

.*.

(追記)

本当にしつこいくらいASRの検索が多い。どちらかといえばネガティブな用語と一緒に検索されている。何があったのだろう。何が起きているのだろう。不健全なことが無いことを願うものです。
[ 投稿者:ISMSNEWS at 12:04 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年01月15日
NPO日本ネットワークセキュリティ協会
NPO日本ネットワークセキュリティ協会

http://www.jnsa.org/

社会に貢献するようなことをいろいろやっている。セキュリティ教育(eラーニング)なども無料で提供しているようだ。

.*.


情報セキュリティインシデントに関する調査報告書〜発生確率編〜
NPO 日本ネットワークセキュリティ協会
セキュリティ被害調査ワーキンググループ
2011年3月31日
http://www.jnsa.org/result/incident/data/2010incident_survey_probability.pdf

.*.
[ 投稿者:ISMSNEWS at 12:03 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

遠隔診断用及び環境設定用ポートの保護とは?
遠隔診断用及び環境設定用ポートの保護とは?

コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。

遠隔診断、環境設定用のポートは漬け込まれたときのリスクが大きい(コンピューターを乗っ取られてしまう)ので、ポートに対する保護策は重要である。

ところが、時々、この管理策を採用しないと表明する組織があるのには驚かされる。適用宣言書の除外項目に平気で入ってくる。何もしないで放置するのは有り得ない話ですよ。当組織ではこのポートは使っていない。だけで済ましてしまう。使えなくしてあれば立派な管理策です。使わないから放置してある?

どうぞこのコンピューターを乗っ取ってくださいとやる組織は有りませんから、ほぼ全組織が採用する管理策になります。

.*.

取引先の適用宣言書を見て、仮に管理策(A.11.4.4)が適用除外になっていたら、その組織は何か怪しいと思っていいでしょう。兎に角、何らかの事情を抱えた会社と言うことになります。

.*.
[ 投稿者:ISMSNEWS at 12:02 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年01月14日
独立したレビューとは?
独立したレビューとは?

独立とは何が何に対して独立か。ISMSを推進している人(組織)に対して客観性を維持できる人・組織あるいは場の意味で独立していること。

普通に考えればマネジメントレビューが一番近い。この時に重要なのは内部監査責任者の立ち位置である。

マネジメントレビューでは情報セキュリティ管理責任者が経営者に報告し指示を受ける訳だが、情報セキュリティ管理責任者の一方的な言い分・報告をベースにしていたのでは客観性は維持されないくい。内部監査責任者が情報セキュリティ管理責任者と対等なスタンスでカウンター報告が同時にされなければいけない。

内部監査責任者が情報セキュリティ管理責任者の配下のものであってはならない。

繰り返すことになるが、マネジメントレビューの場で、内部監査結果報告が情報セキュリティ管理責任者からなされてはいけない。

マネジメントレビューの前に、内部監査責任者は監査計画および監査結果についての承認を経営者から得ることが望ましい。内部監査責任者は経営者に成り代わってISMSを点検しなければいけない。

.*.

初期段階、規模の小さな組織では、ISMSの事務局の人間が内部監査まで担当している。開発製造担当が品質保証も兼務しているようなもの。

工程能力の関係で止むを得ない状況だが、こういう場合もどのようにして客観性を確保するかが工夫のしどころです。

.*.
[ 投稿者:ISMSNEWS at 12:01 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

審査所見に記載された部門名の意味?
審査所見に記載された部門名の意味?

色々な審査会社の色々な審査報告を見るときっと想像以上に違いの大きさに驚くのではないだろうか。

審査所見に部門名が書いてある。

この部門名は何を意味するのか?ある部門へ行って審査をして出てきた問題を所見にする場合に、その部門名を記載しますが、その時の部門名の持つ意味は、単に問題を時間・場所・プログラムのコマを示していることになる。問題の所有者、問題解決の責任者としての部門名ではない。

その問題は他の時間・場所・プログラムのコマでも検出される可能性がある。審査は基本的にサンプリングで行われるため、現実に検出されるのが1箇所にとどまる場合もある。勿論、その部門の固有の問題であればその部門でしか検出されない。

検出される問題が1箇所か複数個所かはあまり重要でない。決定的ではない。複数箇所は重大だが、1箇所なら重大でないと決めて掛かって安心は出来ないと言うことです。

ところで、

時々、部門名のほかに事務局を併記している所見を見かける。これが如何しても分かりません。この審査員は部門名(発見場所)の他に、事務局と記載することで何を説明しようとしているのでしょう?

まさか、部門固有の問題か共通の問題かを説明しているのではないでしょうね。

そうなると部門名の意味が全く変わってくる。誰が対策すべきかを指示していることになりかねない。立派な越権行為?

複数個所で同様の指摘がある場合に事務局と記載しているものもある。事務局への注意喚起をしているつもりだろうが冗談ではない。サンプリングでしかやってない審査では件数の多少によらず事務局は全てを精査せざるを得ない。

要は審査員が余計なノイズを入れてはいけないということ。

複数部門で同様の問題が検出された場合は、最初の部門名を書くか、幾つかを併記し、それを超える場合はその他で括れば充分だろう。
[ 投稿者:ISMSNEWS at 11:59 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

パソコンの適切な管理:アップデート(更新)
パソコンの適切な管理:アップデート(更新)

マイクロソフトWindowsのアップデート
マイクロソフトOfficeのアップデート
ウイルス対策ソフトの更新(プログラムの更新とウイルス低後ファイルの更新)
アドビの各種アプリケーション
BIOSアップデート


要は使っている全てのソフトウエア、ファームウエア、データ類の更新が確実に行える方法論gひつようになる。明確な手順が求められる。パソコンに限らない。サーバーも周辺機器も同様の考え方が求められる。脆弱性の管理。
[ 投稿者:ISMSNEWS at 11:57 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年01月09日
クラウド利用時のコンプライアンス
クラウド利用時のコンプライアンス

クラウド環境利用に関連して生じる法的問題・課題について日経に記事が出ている。(詳しい生地は日経電子版にあるのかな?)

要点は3つ。


コンテンツをクラウドに保存して利用する場合。そのサービスを提供する業者はコンテンツ(著作物)の複製権、公衆送信権を侵害していると見做される恐れがあるというもの。
クラウド環境のグローバル利用の場合は、国家機密など国際的な平和や安全に関わるもの・技術の国際間取引では担当大臣の許可が必要とする外為法への抵触の懸念がある。大臣の許認可基準が明確でない。
個人情報をクラウド上で扱う場合(クラウド上でなくても同じですが)、EUのデータ保護指令のように個人情報保護水準をEU同等することを求められるなど、個人情報を海外に保管することへの制約がある。(個人情報保護については日本はEUより低水準とされている)
.*.

「ISMS」ではどうなるんでしょう?

① 直ぐに思い浮かぶのが、準拠法令の洗い出し。コンテンツサービス事業、クラウドの国際利用(海外クラウドの利用、海外からの国内クラウド利用)、個人情報管理でのクラウド利用などが事業・業務に収まる場合は適切に洗い出されていることですね。

② コンプライアンス違反とならないようにする規定・手順が明確にされていること。これは難しい。特にコンテンツサービスに絡むところは、著作権を持っているコンテンツかどうかはサービス業者からは分からないから。利用規約で健全な利用義務を入れてその内容として著作権法あるいは公衆送信法?に抵触しないことを求めておく必要がある。しかし、やりすぎると利用者が現れなくなるだろうから容易ではない。

.*.
[ 投稿者:ISMSNEWS at 11:56 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年01月07日
グッドポイントを多発させる審査員
グッドポイントを多発させる審査員

グッドポイントを多発させる審査員を希に見かける。困ったものです。

規格違反は比較的明確ですが、何がグッドか何がエクセレントかは相対的要素が大きくて明確でないことが多いからです。また言えばAさんにとって良いやり方がBさんにとっても良いやり方かどうかは全く分かりません。

その辺は落合博満のベストセラー「采配」にも要領よく記載されている。面白いものだ。

何も課題が見つけられずに書くことが無くて、しようがないから適当にグッドポイントでも書いたり、スタッフのやる気を引き出すためのご褒美的なグッドポイントを書いたり。もっとも指摘が無ければ無いで済ます普通の(健全な)審査員も居るようです。

.*.
[ 投稿者:ISMSNEWS at 11:55 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

バックアップメディアの管理要件
バックアップメディアの管理要件

システムサイズが大きくなる一方ですからメディアにバックアップを取ることは少なくなった。それでもシステム直結のストレージでは電気的ショックで消失する懸念がゼロにならない。だからミニマムのところでメディアにもバックアップを取る。

復元できることが基本要件

復元できるには、再読み込みできること。読み込んだデータを受け止めるシステムが存在すること。

メディアの素性が明確であること。何が入っているのか。記録データが特定できること。抜け漏れが生じていないことが確認できること。

同じメディアを何度も書き換えて使用する場合は基本レベルの日常管理も重要。物理的破損も含めて。

そのメディアはいつまで利用するか、今の内容はいつ記録されたものか、今必要なバックアップメディアに合致するか(抜け漏れは無いか)、復元テストはいつ実施されたか(期日のほかにシステムバージョンも)、などキリが無い。
[ 投稿者:ISMSNEWS at 11:52 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

電子メールの管理策
電子メールの管理策

電子メールにファイルを添付するときに、重要度に応じて保護策(暗号化?)を要求する話を聞く。愚かしい。重要度の判断くらいいい加減なものは無い。

添付文書は自動的に暗号化されるべき。そういうシステムも世間にはあるらしい。パスワードは自動的に発信者に届けられる。もっとも、費用が掛かるのが玉に瑕だろう。
[ 投稿者:ISMSNEWS at 11:48 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

どれくらい重要?媒体(記録メディア)の管理
どれくらい重要?媒体(記録メディア)の管理

媒体、最近はもっぱらUSBメモリ。昔はフロッピーディスク。MO、CDR、DVD。最近は大容量の外付けHDDあるいはSSD。主にデータの受け渡しで利用します。

通常は内容は削除して保管します。しかも、施錠管理です。中が空っぽのメディア管理ってそんなに重要ですか?

員数管理も良くやりますが、勝手に行方不明になっていたら問題でしょうか。確かに、目的外の利用の可能性があるから勝手になくなるのは拙いでしょう。

メモリー系ストレージ系のものは携帯電話、デジカメ、音楽プレイヤーにもありますし、個人のUSBメモリーもあるわけで、悪意が働けば殆ど無力?
[ 投稿者:ISMSNEWS at 11:46 | ISMS四方山話 | コメント(0) | トラックバック(0) ]