掲示板お問い合わせランダムジャンプ



この広告は30日以上更新がないブログに表示されております。 新しい記事を書くことで広告を消すことができます。

Google広告

2012年03月28日
リタイア組に啓蒙したいフェイスブックのセキュリティ
リタイア組に啓蒙したいフェイスブックのセキュリティ

最近はフェイスブックを利用する人が急に増えた。団塊世代がリタイアしても組織関係を懐かしんであるいは人生を振り返るついでに、フェイスブックへやって来るからだ。プレ現役(学生新人組)とアフター現役(リタイア定年組)。プレ現役は失うものが限られているからいいが、アフター現役は結構重要な情報を持っているから要注意。しかも彼らは組織の中でセキュリティが守られていたことをあまり理解していない。

要するにセキュリティに無防備な老人世代が重要な情報をフェイスブック上にさらけ出す状況が生まれているということ。これか企業にとっても問題。退職者だからでは済まされない。大概の企業は定年退職した企業OBとも連絡は取っているものだが、社内報を黙って送るだけでなく、情報セキュリティに関する啓蒙を継続することは是非やって欲しい。フィッシングは退職金が狙われるから啓蒙の対象にしていいが、ソーシャルネットワークも利用上の注意は喚起しておきたい。

.*.

基本的な理解:

フェイスブックのデフォルト(標準設定)は基本的に情報は筒抜けであること。フェイスブックの基本的な考え方(コンセプト)はオープンを是とすること。日本人の感覚・価値観に合わない場合も有りうるので、注意しておきたい。フェイスブックのセキュリティの設定がかなり分かり難いのも問題だ。グーグル+のサークルのような概念が無いので、フェイスブックのセキュリティ設定が分かったところで実は途方に暮れる筈だ。もしくはエイッヤッとやってしまうことになる。

フェイスブックは発展途上。これで完成形なら直ぐに誰も居なくなる。グーグル+へ行ってしまうだろう。グーグル+で提案された新しい機能は早晩フェイスブックにも反映されると考えていいでしょう。

それまでの間。安全にフェイスブックを利用するにはどうすればいいか?
[ 投稿者:ISMSNEWS at 15:49 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年03月25日
急激に普及するフェイスブックのセキュリティ対策
急激に普及するフェイスブックのセキュリティ対策

猛烈な勢いでフェイスブックが普及・浸透し始めた。一時は期待されたGoogle+の不出来を見限ったからだろうか。ガラパゴスのミクシーmixiに限界を感じたからだろうか。団塊世代がいよいよリタイア、組織を離れて新たなコミュニケーション環境を求めていたからだろうか。

学生組みと定年組み。フェイスブックビジネスの前輪と後輪みたいなものだ。ボディの現役世代はサイバーオフ会、あるいはオフ会補完環境として、非公式に利用されているし、空きあればビジネスそのものに利用しようとしている。まあ、何だかんだとフェイスブックは従前の電話みたいな存在になりつつある。

「フェイスブック」には個人情報が溢れかえっている。その内には組織の重要な情報まで取り込まれていくのは間違いない。(グーグルの検索DBは既にそのような状況にあるのは先刻ご承知の通り)

ここで「セキュリティ」です。

フェイスブック内の個人情報等を利用する前提のゲーム類、ツール類のアプリが出回っている。スマホのアプリと同じような状況です。フェイスブックの中は安全と思い込んでいるユーザーもいる。フェイスブック自身は危険だとは宣伝しない。アンドロイドもアイフォンも危険を積極的にはアナウンスしない。でも、広い意味の個人情報をせっせと収集し、何処かのデータベースに取り込まれ、何らかのサービスが提供されるが、本来目的以上のデータ収集・分析をやれば別の世界が見えてくる。これに悪意や誤解や手違いが入り込めばセキュリティ問題が発生する。

.*.

エフセキュア社からフェイスブックアプリ用のセキュリティソフトがリリースされた。まだベータ版だが、企業のセキュリティ担当は直ぐに評価を開始するべきでしょう。リクルート活動中の学生でも、リタイヤした社員でも、当然現役の社員でも、フェイスブックを利用している可能性があるなら、セキュアな振る舞いを期待すべきだろう。

http://www.f-secure.com

Facebook向けセキュリティ・アプリ「ShareSafe」

.*.
[ 投稿者:ISMSNEWS at 15:48 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年03月19日
コンサルと審査の癒着で本当に困るのは誰ですか?
コンサルと審査の癒着で本当に困るのは誰ですか?

ある企業のコンサルを担当したAさん。審査も内でやります。同じコンサル会社のBさんが契約審査員になっているので大丈夫です。コンサル会社でAさんとBさんは逆の立場になったりする同僚。

コンサルは審査してもらう審査機関を決める時に、上の例で言えば審査員B(コンサルB)を暗に指名します。使命がNGなら他の審査機関を選ぶことを暗に伝えます。

自分がコンサルしたところの審査は出来ない。自分の同僚なら構わないのか?。

これは只の想定例ですが、良い訳有りません。独立性とか客観性とか公平性とかの審査の基本要件に触ってきます。審査機関がコンサルティングファームを兼業できないのと同じです。兼業させているところも残っているところもあるかも知れませんが健全な会社と思う人はいないでしょう。

クライアントもコンサルも審査員も「出来レース?」に乗っているので何の心配もなくことが進む。クライアントもコンサルも高い満足度を得られる。

経営者は裸の王様?。

.*.

クライアント(事務局)やコンサルから高い満足度を得ている審査機関があれば何かを疑ってみる必要があるかも知れません。CS(顧客満足度)を経営の目標指標に設定することは、審査機関の場合は要注意かもしれません。

.*.
[ 投稿者:ISMSNEWS at 15:48 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年03月13日
特許権侵害に関連した管理策
特許権侵害に関連した管理策

フェイスブック(Facebook)が米ヤフー(Yahoo!)から特許10件を侵害したとして提訴された。これ自身は只の隣国のニュースだが、ISMSではどのように見るべきだろう。

特許(知的財産)については、①自分が他人の知的財産を侵害しても困るし、②他人が自分の知的財産を侵害しても困る。その為の監視の仕組みをどのように構築しているか。

コンプライアンスに対する管理策(A.15.1.2)は自社の不法行為を回避するだけに留まることが多い。①に対する管理。

②の他社の不法行為に対する監視のしくみの構築は、情報の漏洩を防止する管理策とは別に必要だ。ISMS管理策の枠組みに上手く収まるかどうかはあるが、特許を申請し承認された場合、特許は公開されるが、無断利用はNG。その気は無くても結果的無断使用となったら駄目です。不法行為となりますが、それを監視する仕組みは、企業としては持っていないといけません。

③自社が結果的に他社の特許を侵害していた場合は、業務停止などに追い込まれる懸念もあります。商品、技術、ビジネスモデルなどの領域では特許侵害のリスクを考慮した事業継続管理が求められます。

.*.
[ 投稿者:ISMSNEWS at 15:45 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

マネジメントの独立性:ISMS vs. QMS/EMS/etc
マネジメントの独立性:ISMS vs. QMS/EMS/etc

ISMSはQMS(あるいはEMS)に対して独立した次元から管理するポジションを持つことになる。QMS等の活動が情報セキュリティの観点から妥当かどうかはISMS側から見る必要がある。これは当然のことだが勘違いしているケースもある。

即ち、QMS関連の情報(文書記録類)はQMS側で策定されたルールに従って管理しているから、ISMSの資産台帳に洗い出されていないことがある。これは完全な間違い。

品質管理規定や品質記録はQMS側の管理対象であるとともに、ISMS側の管理対象でもある。従って、二重管理にしない工夫が必要だ。というより管理レベルの違いを正しく認識して著不管理としないことが重要である。

.*.

各ISO規格は相互に独立した管理視点を持つ。しかし、運用まで独立して、ISO-MS(ISOマネジメントシステム)をそれぞれ運用するのは荷が重く、統合管理に走るのは止むを得ないが、統合の名の下にそれぞれのミッションがスポイルされてはいけない。

.*.
[ 投稿者:ISMSNEWS at 15:44 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年03月12日
社員のソーシャルメディア利用リスクに対応するガイドライン
社員のソーシャルメディア利用リスクに対応するガイドライン

ソーシャルメディア

ソーシャルメディアとはツイッターとかフェイスブック等のSNSとかブログとか電子掲示板とかホームページとか、要は世間(社会)に情報を晒す媒介となるもの。これらは全て検索ロボット等の検知システムによって、変化点(新たな書き込み)があれば数分以内に捕捉されてしまいます。一旦捕捉されればネット上のキャッシュに保存され伝達されますから際限なく情報は流れ広まります。

このようなソーシャルメディアは殆どの場合、無料で提供され非常に多くの人が私的理由で利用しているものです。

企業に勤めるサラリーマンも会社では社員でも家ではソーシャルメディアのユーザー。公私混同がうっかり行われれば会社情報の漏洩に繋がります。アルバイトであれ季節労働者であれパートであれ契約社員であれ同じです。

ソーシャルメディアは企業にとっては安全を脅かす存在であるが利用禁止は不可能。ソーシャルメディアを活用したマーケティングが行われる時代、禁止することは自己矛盾を持つ。その前に言論自由など基本的人権に触る懸念もある。

.*.

ソーシャルメディア利用ガイドライン

企業が取れる対策はガイドラインの策定と教育・周知。会社内の規定類で埋められない領域に対するスタンスの明確化。やり過ぎるとそのこと自体が問題になるので注意が必要。ソーシャルメディアを利用する時のガイドライン。

所属企業の活動・サービス・商品などに関わる情報発信時の注意事項。
自分が企業人であることを名乗っているときの注意事項。
ソーシャルメディアを業務利用する時の注意事項。
大事な事は、組織としてのスタンスを明確にすること。運用を踏まえて組織文化に適合させていくこと。ソーシャルメディア環境変化への対応を適切に行うこと。

.*.

炎上リスクへの対応:

社内に専門チームの設置が必要。兼務でも充分ですが、体制として明確にしておくべきです。ISPとのやり取り、記事の削除あるいは掲載中止、検索エンジンサイトへの処置など、一連のことをスムーズにやる必要がありますが、ここを個人に任せておくと問題を収束できず、会社全体の信頼を損ねる事態に発展することも懸念されます。

人的セキュリティに対する適切な管理策の策定が必要になります。

.*.
[ 投稿者:ISMSNEWS at 15:42 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

日立が開発した検索可能暗号って何?
日立が開発した検索可能暗号って何?

クラウド利用時のセキュリティ確保に有用な技術として紹介されていた。今後のクラウド利用の普及を視野にした興味深い取り組みですが、この検索可能暗号ってものはなかなか理解できません。

検索可能暗号

http://www.hitachi.co.jp/New/cnews/month/2012/03/0312.html

あるファイルをある鍵で暗号化した時に、その暗号化に使った鍵(キーA)を検索することができる鍵(キーB)を生成する技術。なのかな?。であれば、きっとAとBとをペアで生成するんだろう。

キーBで暗号化ファイル(キーA)を検索できる。キーBで暗号化ファイル(キーA)を複合できるわけではない。複合するにはあくまでもキーAを使わないといけない。

公開鍵・秘密鍵の関係はココでは忘れておきましょう。思い出すのに時間が掛かるもので。

この日立の技術のポイントはクラウド上のデータベースには 暗号化したまま保管できること。他の人が検索しても情報は守られる。アップロード・ダウンロード時も安全。

社内のLAN環境とクラウドとの間で自動的に暗号化・複合化の処理が出来れば、あるいはクライアント側のツールとして作っておけば不便さもある程度回避できそうだ。

.*.

実用化の時期は分らないが、クラウド利用時の不安(リスク)を解消する有効な手段であり、早々に実証に入ることが期待される。

.*.
[ 投稿者:ISMSNEWS at 15:41 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

グーグルにサービスが集中することのリスク:事業継続課題の考察
グーグルにサービスが集中することのリスク:事業継続課題の考察

グーグルが提供するサービスに対するアカウント管理ポリシーが今月から変更になった。ログインすると表示されるブルーの[OK]ボタンをクリックすることでポリシー変更を受け入れたたとなるのだろう。この承認の[OK]をしなければ以前のように使える。

グーグルの外的あるいは内的な脅威により情報セキュリティのCIAを喪失させるリスクは存在する。このことは常識です。

(原則1)グーグルにしか情報が無いという状態を作ってはいけない。グーグルが提供するスペースにも情報h保管されなければいけない。3箇所保管が基本。

(原則2)機密レベルの高い情報をグーグルサイトにおいてはいけない。クラウド管理はいざというときに取り戻せなくなるリスクもある。ポリシーも変わる。法令も変わる。機密ハイはローカル管理が基本。

(原則3)定期的なメンテナンスにより情報の有用性(利用可能性・利用有意性)を維持しなければいけない。自動更新・自動バックアップは信頼できない。

*

グーグルは個人ユーザーが主体ですが、徐々に法人での利用も増えてきています。グーグル利用不可時の事業継続性の検討が欠かせません。

①同様のクラウド事業者(同業他社)の確保、

②社内にグーグルサービス擬似または代替環境を用意する(通常社内を使う場合は社外に用意する発想も有る)

.*.
[ 投稿者:ISMSNEWS at 15:40 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

嗚呼、勘違いの情報資産台帳
嗚呼、勘違いの情報資産台帳

情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。

ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が作成されていないことが多いからです。

情報資産に特定しないで、組織の管理対象となる資産は何か洗う作業が必要になります。組織の資産の一部が情報資産です。組織の人・物・金を束ねるのが情報と見ておいてもいいでしょう。組織として既にQMSとかEMSとかで体系的な資産の洗い出しが済んでいれば、ISMSの作業は単純になります。

ところがマネジメントシステムに始めて取り組む場合は、組織の管理対象全体をしっかり把握してやることが大事です。ISMS以前の問題(やること)が転がっています。日ごろの管理の穴を埋めるところから作業は始まります。日常管理をしっかりやっているところと手抜きのところが同じレベルでISMSを始められるわけが有りません。

.*.

もっとも、手間を惜しむコンサルはそういうことを要求しません。今ある奴だけをリストすればいいと言うでしょう。彼らは、体裁だけクリアすれば認証が得られることを知っているからです。体裁だけの、箱ポンの管理では有効性は期待できませんが、経験を積んだコンサルは手を広げた時の泥沼も知っています。ですから、クライアントの取り組みレベルを見て妥当と思われるところで線引きをせざるを得ない事情もありますので、一部であってもコンサルを頭から非難することは適切では有りません。

.*.
[ 投稿者:ISMSNEWS at 15:38 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年03月11日
病院ホームページ記載事項規制
病院ホームページ記載事項規制

「日本一」「最高」「著名人も受診している」「絶対安全」などの非科学的表現や「キャンペーン中」などの受診を煽る表現は禁止。厚生労働省が2012年度中に指針をまとめる。

広告に対する規制は従来からあったが、今回はホームページについても規制を入れる。

加えて、治療のメリットだけでなくリスクや副作用についての記載も義務付ける。

治療内容や費用についての開示も求める。

自主的な取り組みを期待する部分と規制対象との境界線が分り難い。

.*.

病院ホームページ以外はどうするのか。考え方は同様でしょう。

医療関連は規制が厳しいが、その他の業界の場合、規制が無ければコンプライアンス問題にはならないと考えていいのか?

ISMS的にはどのように処理するのだろうか?

ホームページの運用手順の策定されているか。法令順守、企業としてのポリシーからの要件を充足くしているかどうか。

(1)法令順守のための手順がいい加減かもしれない。
(2)セキュリティポリシーあるいはマニュアルには意味のある記載が無いかもしれない。

広告宣伝に関する規制類を取り込んで管理策に反映させてしかるべきなんだろう。
[ 投稿者:ISMSNEWS at 15:38 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年03月08日
村社会における住所録の公開
村社会における住所録の公開

今でも住所録とか連絡先名簿を作って配布する人がいる。困ったものだ。

氏名、住所、電話番号(自宅、オフィス、携帯)、メールアドレス(自宅、オフィス、携帯)、家族構成(配偶者の有無、子供の有無、親と同居)、一戸建てか集合住宅か、持ち家か借家・社宅・官舎か、最寄り駅、最寄り駅までの徒歩時間、生年月日、年齢、勤務先、勤務年数、役職、年収、運転免許証保有の有無、事故暦、自家用車の保有、車種、保有年数、病歴・入院歴、血液型、などなど。キリが有りません。

クラス(学級)名簿。同好会が出来れば名簿を作る。気軽な気持ちで作る名簿はドンドン肥大化する。結束の証なんでしょう。

.*.

ところで、

昨今は個人情報に対して神経質になる人も多い。名簿には情報を入れないことを要求する。自分の個人情報の記載を拒否する。そういうことです。それは一種の権利だから構わないのかもしれない。

ところが、

出来上がった名簿をその人は他の人と一緒に貰うのですね。自分尾ぷラバシーは大事だけど、他人のプライバシーはお構いなしという訳だ。村社会なら情報を出した人には情報が戻るが、情報を出していない人には情報は戻さないのが原則。

この辺も理解しないで名簿を作っている輩は処置なしだね。幹事・事務局・世話人の資格はないね。

.*.

これはISMSの問題ではなく、もっと基本的なフェアネスの問題です。
[ 投稿者:ISMSNEWS at 15:36 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

テレワークと情報セキュリティ
テレワークと情報セキュリティ

クローズアップ現代で流れていたトピック。在宅勤務、モバイルワーク、サテライトオフィスなどの総称としてテレワークとしている。ISMSでは、テレワークは通常の勤務先とは異なるものの場所を特定できる拠点での仕事。サテライト、在宅、社内の別事業所などはテレワーク。拠点が特定できない移動しながらのものをモバイルワークとしている。業務環境の違いが管理策の違いを生むからです。

NHKの取材はリコージャパン営業についてのもの。現在100人規模。漸次拡大のほうこうとか。無いよう事態は目新しいものは無い。赤いパソコン(パナソニックのシンクライアント対応PC?)が目に付いたくらいだ。

日本テレワーク協会
http://www.japan-telework.or.jp/

ところで、このような働き方の提案・実践は、もう随分と以前からあちこちの企業で行われてきました。直行・直帰の営業スタイル。フリーデスク。パーソナルロッカー。PCベースの遠隔会議。

さてと。ブロードバンドぼ発達・普及は、テレワーク環境を著しく変えてきたようです。以前は公衆回線の環境ではシンクライアントによる業務は成立しなかったが、今の3G/4G時代になるとあまり気にする必要が無くなった。シンクライアントPCでなくてもブラウザベースのWEBソリューションも普通のことになっている。加えてWi-Fi環境も整備されつつあるから、シンクライアントPCの利用は社内・社外とも常識化してくるでしょう。

テレワークのリスクはシンクライアントで解消するのか?

シンクラの取り得はパソコン上にデータが保存されないというだけです。利用している間は当然ながら画面にデータは表示されます。メディアに情報を抜くことは制限できていますか。印刷は許可していますか?。誰かがあなたに成りすます可能性は?誰かがあなたを拘束する可能性は?。接続時間の管理策を採用していますか。一般的なIDとパスワードだけで大丈夫ですか。バイオ認証の必要性はいかがですか。許可されていない業務アプリケーションへのログイン、必要性の低いストレージへの課となアクセスなどについて監視できていますか。

外に出た社員がどのような状況にあるか、いろいろ心配してみましょう。

.*.
[ 投稿者:ISMSNEWS at 15:34 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年03月02日
スマートフォン・ネットバンキングのセキュリティ
スマートフォン・ネットバンキングのセキュリティ

スマホ時代のネットバンキング

簡単に出来るのは良いですが、セキュリティ面は逆に心配になる。

老人がスマホを使い始めたら?

.*.

ワンタイムパスワード。前は1個1万円近くしたと思ったら今は無料配布の時代。セキュリティコストを評価すると妥当ということなんだろう。あちこちの銀行からワンタイムパスワード発生装置(トークン)がくると返って分かり難い。

と言いつつもそのコスト面の負担も馬鹿にならない。

野村證券などはワンタイムパスワードから普通のパスワード認証に戻す動きもある。大丈夫なんだろうか。金融系では2種類のパスワードを使うのは常識化しているようだ。

やはり本人認証の標準化手段が欲しいね。十分信頼できるもの。いたちごっこで何処まで言ってもキリが無いのか?。

生体認証か量子認証か?。

まだまだ先ですね。

.*.
[ 投稿者:ISMSNEWS at 15:32 | ISMS四方山話 | コメント(0) | トラックバック(0) ]