掲示板お問い合わせランダムジャンプ

Google広告

2012年10月30日
BYOD(バイド?ボイド?)の普及と課題
BYOD(バイド?ボイド?)の普及と課題

テレビを見ていたらBYODとテレワークを混同して解説する人がいたが、確かに同じような側面を見せるので混同しやすいが、問題の本質を遠ざけてしまう懸念がある。注意してください。

古い話。労働時間の管理。労務管理。これらはサテライトオフィス、在宅勤務などの経験や議論で各企業で消化してきた。その話とBYODの話を混在させている人がいる。

会社の中に個人所有デバイス(私物)を持ち込むとき=BYODのメリットとデメリットをしっかり把握すべきだ。

とは言え、

今の最新のIT環境の中で、改めてサテライトオフィス、モバイルワーク、在宅勤務を検証すること自体は十分に価値あることだ。

.*.

従来のテレワークに関するリスク健勝に加えて、BYODでは会社の管理下にない電子デバイスがオフィスとかに入ってきて正々堂々と広げて使われることのリスクを評価する必要がある。

万能スマホ、超高性能ノートブック。

自宅でウイルスにさらされたこれらがオフィス内に入ってくる。オフィスの映像も音声もセンスされる。会社のネットに接続される。

オフィスに入ったデバイスの中でそのマルウエアアプリには何ができるか?

盗聴機、盗撮機が仕掛けられ、ログは収集されるが、会社からは送り出さない。ネットは監視されているからだ。

.*.

BYODを安全に利用する手順


監視ツールを入れる。
全てのアプリ、ユーティリティを停止させる。
許可されたものだけが監視下で再起動。
開始時ステータスと終了時ステータスをチェック。


.*.
[ 投稿者:ISMSNEWS at 19:37 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年10月21日
なぜ?ランサムウエア(ransom ware)は成立するのですか?
なぜ?ランサムウエア(ransom ware)は成立するのですか?

人質ウイルスといわれる手口。どうでしょう。2,3年前から出ているでしょうか。 パソコンに取り付いて、やることは恐喝。ソフトアプローチは、感染しているから除去ソフトを購入しなさいとやるもの。最初はこのパターン。実際には感染も何もしていない。勘違いを助長して売り込む。

次は実際に感染させてしまう。既存のウイルス対策まで停止させてしまう手順を入れる。

犯人が指示する対策ソフトを入れてもPCが元に戻る保証は無い。

要求を無視したときの悪事はファイルの破壊、ファイルの流出、サーバー攻撃。ウイルスを他のPCに感染させるのはどの場合も行う。彼らの飯の種だから。

被害者は僅かな金でこの危機を回避出来るなら払ってしまおうとなる。だからターゲットは個人ユーザー。しかし、企業が狙われない保証はない。

<防御>

防御は月並みです。犯人はロングテールビジネスの積もり?。たまたまのうっかりを狙っているので、セキュリティに明るい人でも油断なりません。

最新のOS、ユーティリティ、アプリケーション。
最新のウイルス対策ソフト
有名でないサイトや知らないサイトにアクセスしない。
検索を踏まえてアクセスするがヒットする他の記事にも目を通す。問題のサイトの場合は関連記事もヒットすることが多いし、信頼度も確認できる。
メールやブログの記事の中のリンクから直接アクセスしない。ブログやメールの信頼度を確認してから。
知らないメールは開かない。知らないメールの添付(画像、音楽、なんでも)は開かない。記載されたリンクにアクセスしない。
.*.

ISMSでは?

従業員と従業員のパソコンに対しては教育・周知・監視が基本。
情報システム部門に対してはサーバーレベルでのWEBアクセスとメールの監視とシャットアウト。
サーバーが受けている攻撃の解析。そろそろビッグデータ解析手法を使って真面目に対策しなさい。

.*.
[ 投稿者:ISMSNEWS at 19:36 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年10月16日
ソフトバンクが事業継続管理の対象?
ソフトバンクが事業継続管理の対象?

ソフトバンクの買収による規模拡大路線は、株価が大幅に下がったことでも分かるようにかなり危ない。博打のような買収劇に世間は見たということ。これまで期待?を裏切って買収をてこに規模拡大を成功させてきたソフトバンクが今度もうまくいくかどうか関心は高い。

.*.

ISMSではどう見るか。気まぐれな投資家では有りませんからギャンブルはご法度。

ソフトバンクという会社が一つのリスクを抱えたと認識する。リスクの大きさは長期安定的なインフラサービスを提供できなくなるというものだろう。経営破綻は最悪の事態?。設備投資が停滞し、満足度が下がる。人材が流出し、サービス品質が下がる。など。

シングルベンダー体制としないことです。

いつでも切り替えることが出来るようにマルチベンダーにします。

.*.

いまどき、何処の企業でも取り組んでいる「事業継続管理」の一環です。

今までイーアクセスを利用してきた企業も同じことに追い込まれます。ソフトバンクとイーアクセスを使っていたところは最悪の事態?。その他の1社を探す必要が出ます。マルチ=2社ではありませんから、3社ケースで検討するのも一つです。

.*.
[ 投稿者:ISMSNEWS at 19:33 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年10月10日
ソフトバンクの情報セキュリティはいい加減の極み
ソフトバンクの情報セキュリティはいい加減の極み


これは今日のニュース。ソフトバンクモバイルの顧客情報漏えい事件で、愛知県警は、ソフトバンクの販売代理店の元店員で無職の女3人を、不正競争防止法違反(営業秘密侵害)容疑で名古屋地検に書類送検。

ソフトバンクを巡る一連の漏えい事件で、3人(香川県の22、21歳と広島市の29歳)を含む元店員計7人が2100件以上の個人情報を探偵(誰?平田一雄被告(37))に漏らしていたもの。漏洩件数は3件?で、報酬77万円?。相場に遭わない。少なくとも100件200件の情報漏えいはやったはず。

.*.

プラチナバンドで浮かれているがSBの足元は危うい。孫正義は内政がからっきし駄目なのかもしれない。こういう表に出る事件のほかに、握りつぶしている事件事故もある。その数は想像以上かもしれない。

ソフトバンクショップのいい加減なスタッフを放置して、客のクレームを握りつぶして、それでプラチナだって?。笑わせるんじゃないよ。以前は良く頑張っている会社と思っていたが、今はかなり違った感じになった。

iPhone5もソフトバンクから買う気はなくなった。テザリングサポートの有無に関係なくauです。回線速度がソフトバンクのほうが仮に速くても(実際はauの方が全然速い)、問題が起きたら不誠実なソフトバンクを選択する人はいない。

.*.

ISMSではどう考えるか?

サービススペックばかり見ていてはいけない。サポート体制の絵柄だけで判断できない。サービス利用先の選定は慎重を期すことだ。急成長させた会社は足元はいい加減なことが多い。管理コストを図れていない。ソフトバンクとかヤフーとかはその典型と判断していいのではないか。

表面的な料金の高低で判断すると間違える。

問題が起きたときのリカバリー体制、実績記録、訓練記録。この辺をチェックすることだ。

ソフトバンクは一見するとそういうポジションを用意して問題発生時の受け皿になっているが、実態は問題そのものを隠蔽するなど極めて劣悪。

サポートセンターのスタッフは勝手に電話を切る。そのやり方はコールセンターで昔はやっていた電波が不安定で聞こえませ〜ん。とやって切ってしまうもの。ソフトバンクの回線が劣悪な時ならその技も通じただろうが、今はやぶへび。それでも構わずにそういうことをやらせて平気でいる管理体制は、とてもサービス委託できる相手ではない。

孫正義が直接そのようん悪事を指示する訳はないが、そのような悪事を許容する管理体制で済ませているのだから責任は重大だ。

.*.
[ 投稿者:ISMSNEWS at 19:32 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年10月09日
遠隔操作ウイルス
遠隔操作ウイルス

遠隔操作ウイルスのニュースが流れている。何かをダウンロードして実行させると感染する。OSの上に乗っかる自動実行常駐ソフトになるのかな。何度かリブートしている内に痕跡を消しながら深層に入り込んでいくのだろうか。

大阪と三重で、PCを乗っ取られた被害=誤認逮捕の事件があった。まだ見つかっていない犯人は、乗っ取ったパソコンから公のサイトを改ざんするなどの悪事を働いた。

.*.

対策1

最新のOS,ウイルス対策ソフト常駐(定義ファイルが最新!)は常識。これをやっておけばある程度安心できる。

対策2

不明なサイトに直接アクセスして。いきなりダウンロードは非常識。ダウンロードするソフト〜アプリの評判をチェック、発行元(会社とか)の評判をチェック。違った方法(ダウンロードサイトや検索サイトを経由)でアクセスして、フィッシングサイト(引っ掛けサイト)になっていないことを確認する。

対策3

個人に判断させるのは難しい時もある。社内ならサーバーのところで全てチェックすべきだ。自宅のPCを業務に使う場合は窓だけ作って会社サーバーを経由して仕事をやらせるべき。スマホ利用時も同じ。個人の判断にゆだねるのはミニマムにすべきだ。

これからは一層脆弱なスマホがターゲットになるのは間違いない。

BYODスマホには監視ソフトとピュアな窓ソフトだけを入れること。業務用は窓ソフトから。専用の監視ソフトはスマホの状態を会社のサーバーに送る。そこで改めて安全性をチェックさせるのです。

.*.
[ 投稿者:ISMSNEWS at 19:29 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年10月07日
アンドロイド・アプリ「全国電話帳」が示すBYOD要件
アンドロイド・アプリ「全国電話帳」が示すBYOD要件

アンドロイド搭載スマホに個人情報を勝手に収集する不正アプリがまた発見された。セキュリティ会社ネットエージェントの調査によるもの。「全国電話帳」という名前でグーグルプレイ上に公開されたものだ。10月6日までに76万件の個人情報が流出とある。データは横浜にあるサーバーに送られていた。

以前にも「the Movie」というアプリで同様の事件があり容疑先の企業は家宅捜査を受けている。

ここで問題はグーグルの言い分のいい加減差だ。ユーザーが勝手にいい加減なサイトからダウンロードしたアプリに不正があってもグーグルは背k人は終えないが、グーグルプレイのアプリは事前に不正チェックを実施するので大丈夫といっていたこと。

グーグルは嘘をついた。実は不正をチェックなど鼻からやっていないのか抜け道だらけなのか、能力の低いツールしかないのか。英語バージョンしか見ていなかったりしてね。結論としては頼り無い。

アップル側ではこの手のトラブルで問題になることは今まで記憶に無いが、グーグル側は如何に駄目かを世間に知らしめた事件だ。

iPhone5で特にサプライズも無くガッカリした人も安易にアンドロイド・スマホに手を出すのはやはり考え物だ。

.*.

今、大手企業が関心を持っているBYODだが、スマホはアンドロイドで妥協しているところが殆ど。IT担当者が如何にお粗末か分る。アプリ開発の柔軟性を理由にアンドロイドを選択している。愚かなトップが無意味に急がせているのか、開発者がお粗末だから、勝手に作れるアンドロイドしか選択できないのか。

考えても見なさい。”お前たち”が作りやすいなら、ハッカーにとっても作りやすいのだ。ハッカー連中もアンドロイドの柔軟性を武器に攻めてきます。少々の不便は覚悟でiOS6で妥協することです。

もしアンドロイドを選択して、そお脆弱性の犠牲になった場合、あなたは言い訳できません。アンドロイドが危険なことは世界の常識です。オンラインでリスクを監視する仕組みと連動でも出来なければアンドロイドなど使いません。

殆どリスクの無い、だから企業の基幹ネットに接続しない使い方に限定しなければいけません。

事故が起きたら責任とって交代させるのではなく、アンドロイドを選択したいといってきた瞬間に交代させます。

出来なければISMSの責任者を降りる方がことですね。

.*.

iPhoneはダブルベンダーですがどちらでも良い訳ありません。回線品質に目がいくと思いますが、セキュリティ意識の高低にも配慮すべきです。一般ユーザー相手とは言え、ソフトバンクの劣悪なカスタマーサポート体制を理解すればソフトバンクを選択することはありえません。セキュリティ体質の問題は一般ユーザー向けも企業ユーザー向けも共通です。顧客の大事な情報を紛失させてそれを隠蔽して済ましている話を聞けばとてもソフトバンクのユーザーに留まることはできません。

.*.
[ 投稿者:ISMSNEWS at 19:24 | ISMS四方山話 | コメント(0) | トラックバック(0) ]