掲示板お問い合わせランダムジャンプ



この広告は30日以上更新がないブログに表示されております。 新しい記事を書くことで広告を消すことができます。

Google広告

2013年02月26日
あのISMS審査機関の何が問題なの?


あのISMS審査機関の何が問題なの?

注:内容は噂を繋ぎ合わせたものです。特定の審査機関を想定したものではありません。

(順不同)
構造的に出鱈目である。
魔法の審査計画?。物理的に無理な計画が平気で出てくる。移動時間ゼロ?。こいつらはタイムトンネルでも持っているのか。
審査時間は常に短い。リスクの小さいサイトと決めて掛かっている。
見積もりは営業がやっている。工数ミニマムを命題にしている。安い見積もりを出すためだ。質より量なんだろう。
見積もりの妥当性を審査部門がチェックすることにしているが殆ど無抵抗。工数の妥当性は実際に審査した後で見直すことは出来るが実際は希だ。
審査計画をチェックする人は誰もいない。セルフチェック。認定機関への説明責任が果たせるようにミニマムの審査工数は確保する形で計画は作る。クライアントへの費用請求はミニマムにする。しわ寄せは移動時間。そこでタイムトンネルが出現するのだろう。
審査工数ミニマムの中で部門のカバー数も多くなるようにするので、細切れ審査が多い。有効性の低い審査が多い。他所の審査機関なら複数の審査員が手分けしてしっかり工数を掛けるところを一人で次々対応するので通り一遍で終わり。本質課題への到達よりチェックリストのカバーに目が行っている。
理屈をつけて、兎に角、不適合を出さない。殆どの不適合は観察事項で済ます。
不適合を出さないから、どこのコンサルも喜んで推薦してくる。コンサルの顔がつぶされることは無い。
契約審査員がコンサルをやっているのでますます不適合が出ることは無い。
経営者からお目玉を食いたくない事務局スタッフも好んで指名する。
パフォーマンス調査の結果は極めて特徴的なものだったらしい。コピーも既に流れているようだ。世間話が裏付けられた格好だ。
出鱈目なコンサルをやっているところも指名してくる。推奨でなく指名です。他の審査機関では不適合が出てコンサルのいい加減なところがばれてしまいます。
あの審査機関にばかりクライアントを何社も紹介するコンサルは特に問題です。コンサルの実績も中身を見ないと迂闊には判断できません。結果論になりますが不良コンサルが事業拡大を後押ししているともいえます。
第三者認証制度の根幹を脅かす行為ですね。
お目付けのJIPDECの中には疑問に思っている人もいるでしょう。多分は認定審査の機会を捉えて是正ポイントを探そうとしているでしょうね。
グッドポイント大好き。迎合的姿勢が強いので審査と関係のないグッドポイントを多く出てきますが、それは自分が裸の王様にされているのかも知れません。要注意。
観察事項を何十件と出しておいて不適合はゼロということは珍しくありません。不適合を出すと主任審査員/リーダーに何か困ることがあるのでしょうか。
観察事項もクライアントが強くクレームすると削除します。何処から何処まで迎合的。観察事項は記録(審査報告)ではどうでもいいレベルの扱いなのでしょう。
不適合は簡単に観察時効になり、観察事項は簡単にりジェクトされてしまうので、残るのはグッドポイントばかり。噂では、1割はおろか下手すると3件に1件はグッドポイントということもあるようです。
見積の工数単価は高い他所より高いかも知れません。見積もり比較をすると金額はほどほどでも工数が極端に小さい。ガイドラインのミニマムでしか持ってこない。十分時間を掛けてくれない。もしいつもミニマムで済ませば、一種の手抜き審査の懸念があります。工数を統計的に把握すればもっと実態が把握できるでしょう。
最近は珍しくない在宅勤務の弊害も懸念されます。オフィスでの十分な価値共有や自由に討議する環境が無いため、規格運用の基準がぶれる懸念があります。(共通価値も醸成しにくい。規格理解がばらばらになる)
契約審査員への依存が大きい。社員の審査員同様にばらばらの解釈が懸念される。しかし、皮肉なことに社員審査員よりは一般企業での管理業務・実務の経験者が多いので杓子定規にされる懸念は少なく安心できる。
(続く)
[ 投稿者:ISMSNEWS at 20:57 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年02月25日
オフィスからサーバーが消える日?クラウドリスクの本質?
オフィスからサーバーが消える日?クラウドリスクの本質?

クラウドの領域がミッションクリティカル領域にまで広がるという話がある。いずれは社内サーバーがなくなる日が来るという話も。こういう極端な論争は新たな技術が紹介されるといつも起きることです。

会社に各事業領域をカバーする基幹サーバーが本格的に導入されると部門サーバーはなくなる。でも無くならないから二重投資防止を盾に禁止するしかなかった。決して自然淘汰されない。

パソコンからモバイルまでの個人端末はどうか。通信機能だけでインテリジェンス無しの馬鹿端末に置き換わることは気配すらない。

知的労働者がその生み出す情報の一切を組織に預けることを良しとする訳がない。業務上の成果だからとして組織がむしりとっていこうとするが、個人と組織の間は決して支配・被支配の関係ではない。

とは言え、実質的には既に始まっている個人クラウドは今後ますます日常的なものになる。

部門サーバーは部門に割り当てられたクラウドサービスの利用になる。

.*.

なぜクラウドだけが残るといえるのか?

個人のスモールオフィスは勿論、企業の部門でも、企業の情報統括部門でも、セキュリティの維持が出来なくなるからだ。セキュリティリスクが高まれば対策も中途半端ではすまなくなる。セキュリティの維持に掛かる費用も膨大なものになる。

セキュリティ対策の十分な専門の企業を立ち上げる。大手企業なら資本的にも人材的にも影響を及ぼすことができる専門会社が既にあるだろう。

オフィスの中は中継装置、通信装置だけが残ることになるだろう。

.*.

大規模ネット障害への対策は最後まで残る。二重三重の回線を確保するのは当然だろう。

.*.

ガソリンOILなどエネルギーも社会の基盤で資源は有限であり産油国も限られるからコストは常に不安定です。クラウドの大前提はブロードバンドの普及で実現した安い通信料金があります。しかし、ビジネスが個人の利用を圧迫し始めると法律が動き始めるでしょう。ビッグデータを無尽蔵にネットに流し始めれば歪(いびつ)な状況を生みかねない。先を争うだけでなく健全な発展を意識した業界の取り組みが必要だろう。

.*.
[ 投稿者:ISMSNEWS at 20:56 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年02月21日
相変わらずアクセスが多いASR!何があった?
相変わらずアクセスが多いASR!何があった?

審査機関エーエスアールASRの検索ヒットが相変わらず多い。極めて不自然なことだ。ここにはASRの情報は何も無いだから。以前にもメモしたが、検索ワードはネガティブな用語を伴うことが多い。何らかの問題を起こしているのではないか。

もう一度サイトチェックをしてみよう!

http://www.armsr.co.jp/

信頼できるISO審査機関と真っ先に出てくる。ここは審査機関としての「信頼」が問題あるいは課題になっているんだろう。

<セミナー>は無料セミナー(ISMSはない)と内部監査員の1日2万5千円のセミナー(ISMSはないは1日しかない)。審査員資格のセミナーは無い。内部監査員要請を1日で済ますのは安直過ぎる。

<見積もり>適正審査かどうかは費用面の話で訴求している。安くやりますといっているみたいだ。他の審査機関の費用が馬鹿高いとも言える。それで迎合的審査に終始するなら考え直してよいでしょう。ASRにチャンスを与えてみるということです。

<審査員>いつの間にか契約採用条件が緩和されているようだ。見込み違いが有ったのか?。

.*.

この1年くらいで事業として少し軌道に乗ってきたように感じる。

.*.
[ 投稿者:ISMSNEWS at 20:55 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

管理策有効性の評価は133項目全部ですか?
管理策有効性の評価は133項目全部ですか?


有効性評価は面倒です。133項目から採用した管理策が100項目としたら、この100項目について有効性評価をやります。

管理策を採用するということは、その施策を管理してしっかりやり抜きますよということですから、その一環として有効性を見るのは当然のことです。

妥協的・迎合的な審査機関や審査員は主要なもので十分といったり、出来るものからやってくださいと一見すると優しい態度を取りますが間違いです。そういう場合は嫌味ですが、有効性評価をやらなくて良い理由を聞いてください。

是正処置で考えれば良いですね。リスクアセスから先手を打つのが管理策、不適合を引き金に後手ながら手を打つのが是正処置ですが、管理策も是正処置も正しくは待っているかどうかの検証が必要なのは当然です。どこかの国の公共事業みたいにコンクリートで何か作って満足するだけでは駄目ですよ。正しい事業だったかどうかは検証しなければ。

有効性をどのように評価するかは管理策の特性に応じて変えても良いでしょう。

.*.

一つの管理目的に対して複数の管理策を当てる場合は個々の管理策の有効性の評価の仕方が難しくなります。知恵が出なければセットで管理するしかありません。

管理目的と管理策の関係を構造化・階層化(ベクトル表現)を踏まえて把握できれば個々に有効性評価が出来るかもしれません。

.*.
[ 投稿者:ISMSNEWS at 20:50 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

O2O(オンラインtoオフライン)ビジネスのセキュリティリスク




O2O(オンラインtoオフライン)ビジネスのセキュリティリスク

オンライン(ネットビジネスなど)とオフライン(実店舗ビジネスなど)の融合化させたものを言うらしい。まだ試行錯誤過程にあり、いろいろなモデルが提案され始めた。

NTTドコモの「ショッぷらっと」は店舗内の微弱サウンドをスマホに拾わせてサービス情報(クーポンなど)を送り込むサービスを始めた。

http://shoplat.net/

LINE@(ラインアット)はWiFiによる位置情報を収集・分析しマーケティングに活用するサービスが既に提供されている(?)。



見方を変えれば自分の行動が監視されている訳です。何らかのリスクを感じますね。いずれ商品側にもICチップが埋め込まれる時代が来ますから、より具体的に行動が監視されます。

何に関心があるか、何を買ったか、それが何日分も補足され分析されれば、次に何を買うかまで本人以上に知られてしまいそうですね。余計なお世話(気が利いたお世話?)のメールなり電話が来る訳です。

ネガティブな情報も入り込んで来るかもしれません。

.*.

ISMSへの示唆?


(利用)社員のスマホにO2Oアプリ導入のガイドを出すこと。仮に社員の個人の持ち物であっても。リスクの見極めの時間は必要だろう。
(提供)クラウド利用、ビッグデータ解析などは外部委託になるが、暗号技術などデータ保護策を積極的に検討すべきだ。
.*.


[ 投稿者:ISMSNEWS at 20:49 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年02月20日
ビッグデータをセキュリティ監視に利用する
ビッグデータをセキュリティ監視に利用する

ビッグデータの利用がメディアに頻繁に登場するようになった。従来は手に負えないとして捨てられていた情報を最新のハードとソフトなら一定の利用が可能としての取り組みだ。しかし、依然道半ば。利用技術はまだまだ途上だろう。

セキュリティで言えば行動監視。全てのログを取るなんて無理と最初から諦めていたことがこれからは変わってくるだろう。

社内の監視、外部からの電話、訪問、打ち合わせ、ネット、郵送など一切のやり取りも、個別事象でなく一連の連関の中で把握していくやり方が成立するようになるだろう。

もっとも、この手の取り組みは米国の国家安全保障に関連する団体が大昔からやっているだろうが、ITの進化で漸く有用性が目の前に来たのだろう。

実際にソリューションを開発できるのは大手ITベンダーに限られるだろう。ベンダーとしての提供の仕方は難しい。

.*.

概念的にはビッグデータ利用は理解できるが時間を含めてリソースは無尽蔵ではない。具体的なソリューションの開発、具体化が急がれる。

セキュリティなんていくらやってもキリがないという問題に終止符が打てるか?

.*.
[ 投稿者:ISMSNEWS at 20:48 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年02月18日
FBIの操作能力


FBIの操作能力

例の成りすまし脅迫メールで遠隔操作ウイルスが注目されたが、サーバー上のウイルスに容疑者(片山祐輔)の関係先情報が残っていたことが判明したと米国FBIが公表したようだ。誰かが依頼したのか、自発的なものなのか。サーバーはファイル共有サービスで有名なドロップボックス(Dropbox)のもの。FBIの捜査権としてサーバー内を見ることが出来るんでしょうが示唆されるものに留意すべきです。


http://ja.wikipedia.org/wiki/連邦捜査局
http://en.wikipedia.org/wiki/Federal_Bureau_of_Investigation


米国内のサーバーは何かことがあれば米国の操作当局がサーバーに立ち入る。当然のことだが、自分とか関係ないことが要因の場合でも内部を見られる可能性があるということだ。

クラウドサービスの利用をためらう要因でもあったわけだ。結果的には、国内ファシリティを構えるクラウドサービスが出てきて漸く勢いが付いてきたことになる。

しかし、個人が利用するクラウドサービスは海外のものも多いわけで、サービス利用にどのようなリスクを伴うか見ておくべきだろ。

.*.

もっとも国家公安に関わる組織の閲覧は拒否しようが無いのでリスクとすることには疑問が残る。ただ、海外の場合は法律が違いますし、内部捜査の目的も違います。また国家間の関係などは必ずしも常に友好的でもありません。間違っても中国国内や、中国外でも中国資本の影響を受けるサーバーは使用できないでしょう。

クラウドにも中国リスクは存在すると考えるべきです。

.*.
[ 投稿者:ISMSNEWS at 20:47 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年02月17日
隕石落下のリスク評価



隕石落下のリスク評価

ロシアに隕石が落ちた。100年に1度の隕石被害とされた。死者は出ていないが怪我人は出ている。施設は損も出ている。通信障害の有無などは今後の報道になるだろう。

隕石が直撃したら?

その施設は持たない。隕石の程度によっては人類自体が持たないかもしれません。恐竜は滅びました。小さな隕石はのべつ幕なしに落下している。性格的には地震のリスクに似ている。

隕石リスクをアセスした例はあまり見ないが無視してよい訳でもなさそうだ。

.*.

ISMSなら:

バックアップサイト(副本社)、バックアップセンター(データセンター)は十分距離をとること。これは地震と同じこと。隕石の特徴は直撃被害。備えるなら、地下深く。無理かな。情報の維持はギブアップするとして少なくとも流出・漏洩のリスクだけは軽減しておきたい。

リスク管理を考える人は当然、ISMSを担当する人も、隕石落下を想定外で済ますのは許されない。業態によっては深刻な事態になるだろう。

ISMS担当者は脅威の洗い出しリストの中に隕石落下の項目を直ぐにも追加して起きたい。

.*.

原子力発電施設や原子力関連の問題物質の保管はもっと深刻だ。二次被害の大きさが桁違いだからだ。原子力関連の安全管理が確立するまでは大規模運用が無理なんだと改めて考えさせられる。

.*.
[ 投稿者:ISMSNEWS at 20:45 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年02月08日
個人情報の闇売買:狙われる会社員・公務員


個人情報の闇売買:狙われる会社員・公務員

クローズアップ現代でやってました。1月23日。

<協力者>金で雇われる協力者

携帯電話の販売員=香川のソフトバンク(女子社員)

定期券販売窓口

就職活動サポート業者・団体=横浜のハローワーク(契約社員)

戸籍住民票に近い役所

運転免許証に関わる職員・警察

コールセンター=トランスコスモス(多摩センター?)

バイトといって近寄り一旦情報を受け取ると後は不正をネタにやめさせない。

<探偵=収集>

協力者を開拓して情報を集める。

<探偵=販売・利用>

個人の素行調査。所謂普通の探偵。

<情報屋>

個人情報のソフトバンクみたいなもの。仲介だけで巨額の富を得る。

四国香川のソフトバンクの店員が顧客データにアクセスして全国の契約者情報をダウンロードできる。ソフトバンクは教育もいい加減だったのだ。

SDメディア紛失の例でも容易に分かるが基本的な管理ができていないことは明白。

<対策>

教育と内部監査だけ?月並み。やらない訳には行かないが大した効果はない。

.*.

番組の中でもコメントされていたが、『個人情報保護法が個人情報の価値(取引価格)を上げて闇取引の犯罪を招いている』と見るのは本質的に間違った発想だ。

.*.
[ 投稿者:ISMSNEWS at 20:44 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年02月07日
秘密録音・盗聴の横行と情報セキュリティ問題


秘密録音・盗聴の横行と情報セキュリティ問題

盗聴は専ら他人のやりとりの音声、秘密録音は自分と他人のやりとりの録音。盗聴は興味本位の一種の愉快犯的なものやスパイ行為的なものがメインだが、秘密録音はもっと深刻なケースも含まれる。例えば、虐め被害の子供がその様子を録音するケース、会社上司の無理難題に苦しむ部下がパワハラの様子を録音するケース、押し売りや押し買いに駒って録音するケース、肩たたき退職を強引に迫られた社員がその様子を録音するケースなどである。最近は裁判での証拠資料として採用されるケースが多いらしい。


秘密録音
http://ja.wikipedia.org/wiki/秘密録音
盗聴
http://ja.wikipedia.org/wiki/盗聴


さて?

弱者が自分の身を守る手段として止む無く行う秘密録音の側面を理解した場合に、一律の規制は難しいかもしれない。しかし、一方では、会社が狙いをつけた社員を貶めるために行う秘密録音・盗聴は社会的批判を免れないだろう。

録音は専用のICレコーダーなどを使わなくても携帯電話/スマホでも簡単に出来るので、いつでも誰でも秘密録音は可能なのが現在の状況です。これを検閲することは実際問題としては出来ないでしょう。

.*.

ISMS担当者は;

(1)現在のポリシーがどのように適用されるかを検証すること。
(2)明確でなければポリシー運用ガイドの中身またはポリシー自体を見直すこと。
(3)特に持つべきでない情報の取り扱いについては慎重に検討し決定すること。

.*.
[ 投稿者:ISMSNEWS at 20:43 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年02月06日
デルが国内提供を始めた情報セキュリティサービス「SecureWorks」の魅力?


デルが国内提供を始めた情報セキュリティサービス「SecureWorks」の魅力?

デルが買収したSecureWorks社のサービスを漸く日本でも提供開始したがその魅力はどんなものだろう。

3つのサービス:

「セキュリティ&リスクコンサルティング(SRC)」
「マネージド・セキュリティ」
「セキュリティ上の脅威解析」




良くは分からないがセキュリティを総合的なソリューションとして提供するものだろう。デルブランドの果たす役割も大きい。

そして、いつものように問題はコストですね。Dell SecureWorksの料金プランの魅力はどんなもの?

[ 投稿者:ISMSNEWS at 20:41 | ISMS四方山話 | コメント(0) | トラックバック(0) ]