掲示板お問い合わせランダムジャンプ

Google広告

2013年03月20日
韓国の放送局・銀行の端末が利用不可に/サイバー攻撃の恐れ?
韓国の放送局・銀行の端末が利用不可に/サイバー攻撃の恐れ?

北朝鮮の挑発が続く中ですからこのサイバー攻撃も北朝鮮サイドの攻撃と見て良いでしょう。警視庁もFBIも操作の行くを見守っていることでしょう。韓国内部潜入者の手引きの有無。中国筋やイラン筋の協力の有無。

(攻撃された韓国企業)

韓国KBS


社会インフラ系企業は更なる点検が必要だ。


最新バージョンが適用されているか。
既出セキュリティホール対策の取りこぼしの有無。
プログラム改ざんの有無。バックアップ構成(待機系構成)とのマッチング?。構成サーバー自体が攻撃を受けているようなら論外。内部者の関与も懸念される。
トレンド外れ動作の監視。
被害状況から見てボットの可能性は小さいだろう。
韓国農協、韓国日報なども以前に攻撃を受けている。北朝鮮の検証ステップと見てよい。


.*.


ハワイで中国人女子学生に軍事機密を漏らしたビショップ元高官が逮捕された。中国によるハニートラップは頻繁に起きている。
日本で同様以上のことが起きているのは疑いようがない。無防備な日本。なぜなら日本では逮捕劇が起きていない。
.*.

中国リスク、北朝鮮リスクは、昔の話でもないし、よそ事でもない。ますます深刻化していると判断して良い。セキュリティ担当者の目前のリスク。ソーシャル系の対策も必要。中国人のガールフレンドが出来たら変だと思わなければいけない。

.*.
[ 投稿者:ISMSNEWS at 21:09 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年03月19日
クラウドサービス基盤オープンソース戦略の是非とIBM SmartCloud Orchestratorの狙い?
クラウドサービス基盤オープンソース戦略の是非とIBM SmartCloud Orchestratorの狙い?

IBM SmartCloud Orchestrator

IBMがクラウドサービスの展開に当たりオープンソース基盤を採用すると発表した。

なぜオープンソース戦略をとったのか?

出遅れたからか?ビジネスドメインが異なるからか?戦場(市場構造)を変えたいからか?

IBMはクラウドの主要なベンダー/ユーザーであるが、ビジネスドメインはソリューションベンダー。ソリューションの要はパートナー。自由な連携が欠かせない。先行企業がパートナーの囲い込みを決定的にする前に引き止める政策が必要であった。

関連業界のリソースの協調と融合を適切に行う方法論を具体化するものとしてIBM SmartCloud Orchestratorを提案しているのだろう。ハーモニーを奏でる教本みたいなものだ。

有力IT企業(旧メーカー)が多くオープンスタックOpenStack採用に走る理由は新興勢力(アマゾン?)の出過ぎをけん制することにあるかもしれない。

.*.

ある歴史的な現象の黎明期ではときどきオープンソース戦略をとるところが現れる。成否は不明。危険な戦略。自分自身も追い落とされてしまうリスクをもつ。

.*.

ISMSにとってはクラウドは厄介なテーマになっている。オープンソースになれば少しは見える化も進むかもしれない。ベンダーが複数のパートナーで構成される場合は尾^ぷんソースをベースとするならいっそう見える化が進む期待がある。ソリューションの一部は自社技術で対応するケースもあるだろう。

しかし、セキュリティ事象の把握の仕方、問題の境界線の引き方は難しくなるだろう。プレイヤーの数、アイテム数が増えればはどちらかといえば問題は複雑になる。

システム構築時、導入時は臨戦態勢で問題解決の方法論も明確になるが、運用フェーズに入ると、問題の把握、エスカレーション、切り分けなどはどのシステムであれ面倒になる。

想定外の問題への適切な対応を図るには、セキュリティ問題解決のリスクを転嫁するメインコントラクターを明確にすることが必要でしょう。見栄を張ることはありません。セキュリティはお金買うものです。

.*.
[ 投稿者:ISMSNEWS at 21:08 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

ISMSにもチャイナリスク?経営者は中国リスクを検証すること!
ISMSにもチャイナリスク?経営者は中国リスクを検証すること!

中国は国家の顔をしていても中国共産党の独裁国家ということを片時も忘れてはいけない。中国人民は共産党の支配下にあるだけです。中国との契約は気休めの証文。


メールの検閲。ハードもソフトも?。
サイバーテロ。国家/共産党が主導するのでテロというよりサイバー戦争?。
共産党が裏で日本企業と付き合った人・企業から情報を集めて攻撃してきます。
中国人を採用して国際企業と胸を張っている馬鹿管理職・馬鹿経営者もいます。中国人は彼ら個人の意思とは別に家族は国家共産党の人質ですからいざとなったら党の要請に従わざるを得ません。
特許権、意匠権、著作権、肖像権、ノウハウなどのあらゆるソフト財産は無効化?。
委託先は全て持ち出してしまいます。自社のノウハウが持ち出されるだけじゃなくて国内のパートナーのノウハウまで持ち出されます。
持ち出されるだけじゃ有りません。勝手に特許申請を中国企業がやりだします。新幹線で世界の顰蹙を買いましたがかえるの面にしょん便です。
調達品には危険な化学物質。
汚染土壌で育った農産物。汚染河川湾岸で育った水産物。
会社名も商品名もブランド名も技術名も何でも取りに来ます。地名も日本語まで取りに来ています。
買わない売らない見せない見ない聞かない言わない。
日本は中国の土地が変えないのに中国人は日本の土地が買える法的に不適切状態も解消すべきですが、民間では率先して中国リスクを抱え込んではいけません。
日本の貴重な水資源に接近する中国人は要注意。日本の水ビジネスを買収する動きに警戒が必要です。
中国資本の国内企業との付き合いはやめるほうがいい。
三洋電機を買収して中国に売り払ったパナソニックは歴史的に最低の経営判断。売国奴。海外企業(特に中国)に売り渡すのは一部の事業であっても国民の血と汗の成果を敵国に売り渡す行為。
中国に進出したら退出するのも大変だ。進出に掛かった費用の10倍100倍を払って抜け出すことになるだろう。基本は何も持ち帰れないということだ。作った組織・事業は中国に寄贈して謝礼をつけて。
尖閣が終わっても次の争点を探し出して暴動とかを操るのが中国流。中国共産党の手口。
中国は基本的には軍事国家で常に国家権力の強大化と戦争のことを考えている。北朝鮮と本質は同じ。
中国は開かれた平和国家と理解するか全く価値観を共有しない戦争国家と理解するかで景色はまるで違いますが、独りよがりで信じてはいけないということです。
南の太陽政策・中国の保護政策が辿りついた北朝鮮の現状を見れば犯した過ちは明らかです。
中国の友人を信じるのは勝手と思ってもそれが操り人形だったら日本の友人を裏切ることになります。
政治・文化にまで話が行けばキリが無いと思うでしょうが、其れが独裁国家の特徴なんですね。
.*.

ISMSでは中国リスクは如何考えますか?

方法論は通常のリスク分析と同じです。
詳細リスクアセス分析においても事業継続リスク分析においても同じです。
問題意識を設定することでより明確に光を当てることが出来ます。
対応策も従来の対応策の延長上にあるでしょう。
多くのリスクについては経営判断が求められます。
経営は特定事業、特定企業(主に自社)、特定パートナーに拘った視点を捨てなければいけません。業界あるいは監督官庁の判断を求めるケースもあるでしょう。思い込み、独りよがり(個人的な価値観)での判断は慎むべきです。
これらは、中国を韓国、北朝鮮、イラン、などに変えても同じです。

原発事故、広域大地震、温暖化、など大きなキーワード(リスクワード)についても同じことが求められるでしょう。経営者が其れを求めるべきです。想定外を想定(設定)しないことです。

.*.
[ 投稿者:ISMSNEWS at 21:07 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

「グーグルリーダー」のサービス終了が示唆するもの?
「グーグルリーダー」のサービス終了が示唆するもの?

グーグルは2013/7/1をもって「グーグル・リーダー(Google Reader)」を終了と発表。2005年から提供しているニュースサマリーページのサービスだが人気も高く、サービス終了への反対署名が広がっている。多分既に10万を超える署名が集まっているでしょう。ただグーグルのサービス全体の中での位置づけは低いようでユーザー数が減少していることを理由に事業再編の対象になったようだ。

「グーグル・リーダー(Google Reader)」

.*.

フリーサービスはいつベンダーの勝手に終了されるかもしれないというリスクとみるでしょうね。フリーに限りません。有料サービスでも現行バージョンのサポートは契約事項であっても、次期バージョン開発までは約束しません。マイクロソフトも途中でやめてしまったソフトが数多くあります。

ベンダーそのものが消失するリスクもあります。

サービス停止のリスクはいつも行く手で待ち構えているのです。

.*.

6:3:1

個人であれ企業であれ、リスク管理は重要。いくらグーグルが好きでもグーグル100%は駄目です。「6:3:1」がリスク管理の黄金率。メインベンダーは6割を最大とする。サブベンダーは3割最大。第三のベンダーの可能性を1割残す。

ユニークベンダーの場合は?

ユニークベンダーの場合はサブベンダーなど期待できません。ですから、共同開発の提案。合弁会社の提案。競合の育成などを検討します。事業規模が小さいうちはユニークベンダーに飛びついていいですが、事業育成後も見据えて、事業の柱にするなら転ばぬ先の手を打つことになります。ポーカーフェイスのパワーゲームって奴かな。駆け引きですね。成長するなら安全弁が必要だけど、成長を確実にするには安全弁は外したいという葛藤が生じます。技術、人材、市場に対する目利きが試されるのです。

ISMS屋が常にコンサバティブなポジションを要求されるものでは有りません。リスクとの見合いで判断すれば済むことです。

.*.
[ 投稿者:ISMSNEWS at 21:06 | ISMS四方山話 | コメント(1) | トラックバック(0) ]

2013年03月18日
リブセンス(求人サイト)の情報漏えい問題
リブセンス(アルバイト求人サイト)の情報漏えい問題

2013年2月28に公表。クレジットカードとは別にこちらの情報漏えいも深刻だ。求人活動中の人はセンシティブな心理状態にあるから情報の悪用などを心配する向きもあるだろう。

企業側の444社459名の情報は特に問題はないだろうが、応募する個人1673名の情報は現在の勤め先には内々の活動である場合があるからだ。これをきっかけに契約を解除されたりすれば問題だろう。

リブセンス

http://www.livesense.co.jp/

この企業ではホームページにニュースリリースとして問題が表明されている。JINに比べて誠実な印象がある。

ただ、

問題の本質、原因究明と対応策については月並みな内容で本当のところは伝わってこない。外部好評の是非はあるだろうが、実際に本質に迫る対応をしていないと再発するかもしれない。

実際に不適切な閲覧があったのかどうかも把握されていないのは問題だろう。ログを残す設定にもなっていなかったのだろうか。

サイトを見るとプライバシーポリシーはあるが具体的な方法論は持っていないようだ。

.*.
[ 投稿者:ISMSNEWS at 21:05 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

ジェーアイエヌ(JIN)のクレジットカード情報漏えい事件からの示唆
ジェーアイエヌ(JIN)のクレジットカード情報漏えい事件からの示唆

ジェーアイエヌ(JIN)

http://www.jin-co.com/

眼鏡(メガネ)屋さん。2月から2月に掛けてWEBサイトのクレカ情報入力画面から外部サーバーに送出するように改ざんされていたらしい。

朗詠件数は約1万2千件。 1ヶ月強の間にクレカ情報入力者が1万2千もあるのは驚きだ。

クレカ情報の不正使用は既に7件。

発覚した経緯も不明。

当該企業のホームページを見ると「IRニュース」として事件の経緯が掲載されているが、普通のユーザーが見る「ニュースリリース」にも情報を置くべきだろう。投資家だけの問題じゃなくて、むしろ顧客側への情報提供が必要な筈だ。

こういうところにもこの企業の姿勢が示されている。不誠実である。

2013.03.15 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び
2013.03.17 不正アクセス(JINSオンラインショップ)に関する最新状況のご報告

.*.

ISMS推進者はこの事件をどう見るか。

事件発覚は恐らくクレジットカードの不正利用を追及した消費者からのクレームによるものだろう。クレジットカードの番号はあちこちのネットサイトに登録されている場合はどこからの流出かは直ぐには分からない。初めての利用とか、最近の思い当たる節を辿って漸く漕ぎついたものかもしれない。

企業側は不正利用7件に至って漸く自らの非を認めた可能性もある。それまでは全く不誠実な応対に終始したのではないだろうか。

(1)セキュリティ問題検知能力。検知システムの脆弱性。エスカレーションプロセスも不明確。恐らくシステムは外部委託だろう。連係プレーも十分訓練されていない可能性がある。

(2)構成管理能力の不足。サーバーレベルでシステム改ざんがあるのに何日も気付かないのは構成管理に対する取り組みは運用系に対しては全く何もやっていないに等しい。

本当のことは情報が企業側から開示されるのを待つしかないが、消費者と向き合わない企業姿勢なら情報開示など期待しようが無い。

.*.
[ 投稿者:ISMSNEWS at 21:03 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年03月07日
誇大表記「絶対」「100%」・・・見つけたら要注意!
誇大表記「絶対」「100%」・・・見つけたら要注意!

広告を見ていると時々「絶対」とか「必ず」とか「100%」とかの文字がならぶことがあります。こういう時は要注意。広告の内容にも寄りますが、何らかのコンプライアンス違反の可能性もありますし、違反すれすれの可能性もあります。それよりも何よりも広告主の不見識が露出しているケースもあります。有力な企業が使えば相当の批判と検証を受けます。だからまあ安心です。そうでもない企業が誇大広告語を使えば冷ややかに見られて黙ってやり過ごすだけです。相手にされないし内心では軽蔑さえ受ける訳です。

しかし、誇大表記「絶対」「100%」「No.1」「日本初」・・・広告に限りません。社内のレポートでも調査分析に関連してついつい使いがちですが要注意。統計で嘘をつくことはニュースに出てくる数字でも多く出てきます。

.*.

ISMSでは?

(1)広告とか文書類の外部提示において不適切な記載がないかチェックする仕組みが必要。どの会社の広報担当も宣伝担当も常識として取り組んでいます。抜け漏れがあるとすれば、広報や宣伝を通さない外部への文書類の提供。

(2)情報を受け入れる側、広告される側に立つ場合は、黙って無視していいでしょう。企業としての管理能力が低いことを内外に示していることになるからです。気になって問い合わせをすれば如才ない受け答えがあるでしょうが、暫くは疑心暗鬼とお付き合いすることになるでしょう。

.*.
[ 投稿者:ISMSNEWS at 21:03 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年03月05日
ISMSにおけるビーエスアイジャパンの功罪?
ISMSにおけるビーエスアイジャパンの功罪?

ISMS認証制度が日本国内で始められて凡そ10年という節目に来ているが、ざっと振り返ってみるとやはりビーエスアイジャパンの特異なポジションが目に付く。

世界のISMS認証の約半分が日本国内ものです。これ自体が異常と言えなくもありませんが、その日本の三分の一がBSIジャパンによるものです。瞬間風速では日本の約半分はBSIジャパンの認証によるものです。

ビーエスアイジャパンはしかし企業規模で言えばただの中小企業レベルです。日本国内系の主要審査機関の規模には及ぶものではありませんが、世界の6分の1、日本の3分の1をクライアントとして確保しているのですから、特異というしかありません。

小さな組織が世界のベストパフォーマンスを達成して、制度普及に最大限の貢献を果たしたことは誰の目にも明らかです。これは卓越した経営品質の成果なのでしょうか。それともほかの理由による歪み(?)が生じたのでしょうか?。

.*.

BSI Official website
(http://www.bsigroup.com/)
http://shop.bsigroup.com/
https://bsol.bsigroup.com/

ビーエスアイジャパン
(http://www.bsigroup.jp/)

http://en.wikipedia.org/wiki/British_Standards

.*.
[ 投稿者:ISMSNEWS at 21:01 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年03月04日
「業務引継ぎ規定」の欠落もセキュリティホールの一つ
「業務引継ぎ規定」の欠落もセキュリティホールの一つ

「業務引継ぎ規定」を明確に定めていない組織が多い。引継ぎを行うこととしていてもその要件にまで立ち入る例はまれです。

理由は業務内容が様々で一律に規定できないこと、柔軟な役割編成、組織の機能設計の弾力性を損なうなどが上げられる。

無理やり、ミッションと引継ぎとを全従業員に詳細に決めて人事考課とも連携させる試みをやった企業がある。人事コンサルに踊って盲目の人事政策をやったものだが、結果は散々。閉塞感とか硬直感とかが蔓延して急速に業界での競争力を失っていった。愚かしいことだ。

それでも「業務引継ぎ規定」は必要です。

業務の中には必須事項「MUST」と任意事項「WANT」とから構成されます。会社全体の決め事はMUSTに含まれますが、担当者(管理職も含む)の発案・工夫で実施されることWANTも多くありWANTの方が多くの場合は実践的で有効なものです。

MUSTは引き継がれるがWANTは引き継がれない。

これが会社の大問題。大損失です。実際に属人的な内容は引継ぎが困難です。人を動かせない理由にもなります。創意工夫を評価する制度が無いことも手伝っています。

<まとめ>

業務引継ぎ規定を制定する。
引き継ぐ内容はMUSTとWANTの両方を網羅する。(実質的な業務継続の実現)
引継ぎ書(文書)による引継ぎを行う。
管理職限定(人事など)と一般業務とを分けて、一般業務については第3者による確認を可能とする。
前前任からの引継ぎ書も同時に確認する。1世代前にさかのぼって業務を確認できる。これはとても重要です。
引継ぎ期間は最長1年(年1回のイベントを主業務とするケースなど)、最短でも1週間ぐらいは確保したい。前任者が近くに居て随時不明事項の確認が出来る場合は1〜3ヶ月間を当てていいだろう。
引継ぎ書=業務マニュアルの理解。引継ぎ時に貰ったものが0版。後は自分で1版を起こし随時改定していくこと。0版は引継ぎ書だから次の引継ぎに添付するので捨てないこと。
業務内容によっては、顔の引継ぎ(あいさつ回り)、挨拶状、電子メール挨拶状などがタイムリーに行われないと失礼になりかねません。
.*.

さて、ISMS。

ISMSの関連でも多くの創意工夫が行われますが、人が変わると管理策まで消えてしまうことが少なくありません。自分の創意工夫は自慢ですが他人の創意工夫には胡散臭い目で見るものです。好き嫌いで済むことすまないことがあります。セキュリティはそこが重要。
笹子トンネルの点検標準は引継ぎ時に勝手に消えてしまった結果の重大な人身事故を招いています。他人事ではありません。
.*.
[ 投稿者:ISMSNEWS at 21:01 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2013年03月01日
ネット脅威はサイバーテロからサイバーウォーへ
ネット脅威はサイバーテロからサイバーウォーへ

ネットワークを経由した不正は、最初は個人的な愉快犯のレベルで実質的な被害は無いに等しいところから始まったが、わずかな期間で手口も狙いもエスカレートする一方だ。情報を盗み出すこと、システム機能を停止あるいは遠隔制御させるなどの不正行為に対する有効性を確認するエスカレーションでもあった。

最近は国家インフラに対する攻撃まで始まっている。宣戦布告なき開戦状態だ。
サイバー戦争
Cyber War
攻撃対象は、発電所、空港、電力グリッド、交通管制、証券取引所、など。

仕掛けているのは中国。恐らく中国軍部の影響下にある組織だろう。中国も北朝鮮も同じ。文明の利器を社会のためにつかうことより犯罪に使うことばかり。愛国無罪などと身勝手な理屈で悪事を重ねる。

米国は損害賠償請求を検討中とか。

.*.

対策は簡単?ネットを切る?。中国とやり取りするパケットはインもアウトもカットしてしまう?。

さて、

一つ一つの企業はどのように対処するか深刻です。自社の事業内容が国家リスクの入り口になっていないか早々に検証しておくことですね。

.*.
[ 投稿者:ISMSNEWS at 21:00 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

攻撃型メールのセキュリティリスク対応の基本
攻撃型メールのセキュリティリスク対応の基本

今までも数多くの手口が紹介されている。

悪意のサーバーへ誘導するフィッシングは10年近く前から広がって今尚続けられている犯罪行為です。

ストレートにウイルスファイルを添付して送りつけるやりかたはもっと昔からの手口。

フィッシングサイトもサーバーから悪意のファイルあるいはコードをダウンロードさせるので、基本は同じこと。ターゲットのパソコンに何らかのファイルまたはコードが植えつけられる。

見知らぬ人のメールは誰でも警戒する時代になったためか、最近の流行は、身近な人、関係者を装った人からのメールに似せて発信するもの。サンドボックスと読んでいるところもある。爆弾処理を連想させる。

<対策>

システム的対応

(1)メールに添付されたファイルの検疫を行うもの。検疫能力の有効性維持が大変だろう。ニッチマーケットだからコスト面でも大金を吹っかけられるだろう。

(2)メールヘッダーの例外検出によるアラート処理。

人的対応

(3)最終判断は人が行う。ユーザー自身の意識改革が必要(NTTソリューション?)は正しい認識ですが、新たに構築された常識を崩してソーシャル系の犯罪行為が編み出されるので、先読みした啓蒙も欠かせない。

.*.
[ 投稿者:ISMSNEWS at 20:58 | ISMS四方山話 | コメント(0) | トラックバック(0) ]