ISMS/ISO27001認証取得コンサルティング

クラウドとセキュリティ

yukimatsu — Sat, 05 Jun 2010 12:17:41 +0000

昨年から一気にブレイクした「クラウドサービス」ですが、TV等のCMでも「クラウド」と言っているおかげで認知度は非常に高くなっていると思います。

IDC Japanが発表した「国内クラウドサービス市場ユーザー動向」によれば、クラウドサービスの認知度については「知っている」との回答が6割程度あったようです。やはりかなりの人が「クラウド」を認識していますね。
私の周りでもクラウドの話はよく聞きますので納得の数字です。

ただ、認識はしていても導入に踏み切る企業はまだまだ少ないようです。
導入を踏み止まる一番の原因としては「セキュリティへの不安」があるようです。
これは私がお客様と話していてもよく言われる問題ですね。
情報を「あちら側」に置くことに対して、何かあった際の対処方法等で色々と不安になる点があります。
ただ、クラウドにはコスト面も含めて大きなメリットも十分にあるのを認識している人がほとんどです。

今回のIDCのレポートでは、実際にクラウドサービスを利用している企業の満足度を尋ねたところ「セキュリティ」に関しては概ね満足をしているとのことです。

セキュリティに対する不安を取り除いていけば、一気に利用が広がる可能性がありますね。

参考サイト：CNET Japan「企業向けクラウドのセキュリティ、導入前後で認識に大きな差–IDC Japan」

日常的なセキュリティ対策を

yukimatsu — Sat, 24 Apr 2010 02:21:33 +0000

日常的なセキュリティ対策を再確認してください。

来週からいよいよGWになりますね。今年は長い人で11連休の人がいると思いますが、長期休暇の前では恒例(?)となっているIPAからのセキュリティ対策の注意喚起が4月22日に発表されました。

資料の中で「連休中に企業や自宅でパソコンをお使いの方へ」とあり対策として記載されているのは以下の内容です。

使用しているパソコンの OS （オペレーティングシステム）を最新のバージョンに更新し、セキュリティホールを解消してください。

使用しているパソコンのアプリケーション（ブラウザ、メールソフトなど）も、修正プログラムを適用し、最新のバージョンに更新してください。

ウイルス対策ソフトを常に最新のパターンファイルに更新してください。

いざという時のために、重要なデータはバックアップを取っておいてください。

普段のセキュリティに関するルールの中でも、基本中の基本のことです。
ただ、長期休暇の場合はどうしてもPCに触らないケースも増えてきますので普段なら発生しない事故（ウィルス感染等）も発生する可能性が高くなります。

毎回、IPAがこういった注意喚起をするのは、それだけ事故ケースが多いという事です。

意識して基本的な対策を実施していきましょう。

［参考サイト］IPA：【注意喚起】ゴールデンウィーク前に対策を

デスクトップ画面も整理整頓を

yukimatsu — Sat, 17 Apr 2010 06:52:57 +0000

ISO27001:2005の管理策のA.11.3.3に「クリアデスク・クリアスクリーン方針」があります。
規格の中では管理策として「クリアスクリーンは情報をスクリーンに残したまま離籍しないこと」という一文があります。

多くの企業で、上記への対応としてパスワード付きスクリーンセーバロック等を実施していると思われます。
もちろん弊社のお客様先もパスワード付きスクリーンセーバを実施しています。

スクリーン上の情報の盗み見防止という観点からは上記対応で良いと思います。

ただ、意外と多いのがデスクトップ上にファイルやフォルダが散乱しているケースです。

デスクトップ画面1面にファイルが置いてあるPC等を見ると、いつも「いつからこのファイル置いてるんですか？」と質問するのですが「わからないけど。昔からです」という答えが案外多いです。
無理やり機密性の観点でデスクトップ上にファイルが多い事を指摘しようとすると、第3者からデスクトップのぞき見された時にファイル名等で内容がわかりますよと言えなくはないのですが、かなり強引ですね（笑）。

デスクトップ上にファイルが多く置かれているのは業務効率の点でマイナスな影響があると考えられます。
紙の情報も電子情報も整理整頓が基本となってきます。

電子情報の場合は検索機能が年々進歩してきていますので情報は1つの場所に保管するという方法も扱う情報によってはありだとは思いますが、現状は企業ではその方法はそぐわないと思います。
弊社もそうですが、お客様ごとにファイルがあるのですが、同じ案件では同一名のファイルが存在しますしね。

デスクトップ画面上で置けるファイルの数には限界がありますので、どうしてもどこかの段階で決めた場所に保管しなければなりません。それがファイルサーバなのかローカルPCなのかは色々あると思いますが。
保管している場所が決まっている場合は、後に探す場合も保管場所を探せばすぐに見つかるでしょう。

保管場所に移した後は、速やかにデスクトップ上のファイルは削除しておくことも忘れずにしなければなりません。いつまでもデスクトップ上に置いておくと、修正をする時等にもついついデスクトップのファイルを修正してしまい、結果的に「本来は原本である」保管場所に置いているファイルが「過去のファイル」になってしまい存在意味がなくなってしまいます。

デスクトップと言われているくらいです。本当に仕事机の上と同じように出来るだけ綺麗にしておきましょう。

パスワードを「記録する」こと

yukimatsu — Sun, 07 Mar 2010 16:30:57 +0000

ISMS/ISO27001を取得している企業ではシステムにログインする際やPCの起動の際などにIDとパスワードを入れている会社が多いです。

私はよくコンサルを行う前に現場の人に「お仕事で普段よく使われるパスワードは何種類ぐらいありますか？」と質問することがあります。

だいたい3～5個という答えをもらう時が多いです。
たまに10個以上というツワモノの方もいます。
「どうやってそんなに覚えているのですか？」と聞くと、それぞれに色んな工夫をされています。

私はよくその後に「同じパスワードは使ってますか？」と聞きますが意外と「使っている」と答える人は多いです。

また、「仕事では使っていませんがプライベートで使っているオンラインバンキングやカードのパスワードは同じです」と言ってくれる人もいます。

いやいやパスワードの使い回しに本当に危険です。

参考までにIPAが推奨するパスワード保護の方法では、まずパスワードを作成する際に、名前や辞書に載っているような単語を避け、英字（大文字、小文字）・数字・記号など使用できる文字種すべてを組み合わせ、8文字以上にする。複数のオンラインサービスを利用している場合は、同じパスワードを使い回しせず、異なるパスワードを使う。同じパスワードを長期間使用せず、変更することなどを挙げています。

IPAの推奨する方法を実施していくと「覚える」ことが難しくなると思います。
パスワードは忘れてしまっては元も子もありません（初期化が出来るのは別途必要ですが）。

私がよくお奨めする方法は、どこか別の場所で記録することです。
手帳でも良いですし、エクセルファイル等でも良いと思います。

ただ、記録した情報については厳重な管理が必要となってきます。
手帳等の紙で記録する場合は、他人が見ても分からない状況にしておきましょう。しっかりした人ほど手帳に丁寧に「サイトURL、ID、パスワード」とセットで分かり易く記載しています。
これだと手帳を見た人に直ぐにサイトに侵入されてしまいますので、URL,ID,パスワードをセットで記載しないことや、パスワードは右から左の逆で記載する等の工夫が必要です。

エクセルやパスワード管理ファイルで管理する場合でもURLは出来たら記載しないことや、IDが忘れる可能性が低いのであればIDを記載しないことがあると思います。
また、パスワード管理ファイルやエクセルには厳重なパスワードを掛けることは必須です。

もちろん、上記のような方法は「禁止」となっている会社もあります。
パスワードは記録してはいけないというルールの会社もありますのでその会社では上記の方法は使えません。

しかしパスワードを「覚えれる」ために安易な文字列にしたり、複数のパスワードを使い回すことよりかは、パスワードを記録させた方が堅牢性が高いパスワードが維持できると思います。

今後、外部のインターネットサービスを利用して企業活動を行っていくことも増えると思います。
その際に、毎回全てのパスワードを「覚えろ」では限界が来ると思いますので、こういった「記録する」という手段もあるということを知っておいてもらいたいです。

[参考サイト：ITmedia]パスワードを保護する方法、IPAが推奨策を紹介

官民連携による「情報セキュリティ啓発活動」

yukimatsu — Mon, 01 Mar 2010 16:20:31 +0000

2月24日に経済産業省より「官民連携による「情報セキュリティ啓発活動」の実施について」という発表がありました。

具体的には、経済産業省とシマンテック、トレンドマイクロ、マカフィー、IPAと連携して情報セキュリティ対策の強化に向けた活動を実施していくとのことです。

情報セキュリティを啓蒙していくためにポスターを掲示したり、セミナーを実施したりという活動を行っていくようですが。

上記の会社名は言わずと知れたウィルス対策ソフトのメジャー所です。
当然、PCのセキュリティ対策としてはウィルス対策ソフトの導入は必須ですので上記3社にしても啓蒙活動と同時にある程度は「営業活動」にもなるのでしょう。

今後はますますITが生活にも密着してきますので企業だけでなく市民一人一人も情報セキュリティについてはしっかりとした対策をしていく必要が求められてくるでしょう。
「知りませんでした」「昨日まで問題なかったので」という言い訳は通用しないですからね。

ちなみに確認ですが、しっかりした対策とは、過剰な対策でなく適切な対策のことです。

[経済産業省]：官民連携による「情報セキュリティ啓発活動」の実施について

情報漏えいは人生を狂わす可能性があります

yukimatsu — Wed, 10 Feb 2010 06:03:32 +0000

情報セキュリティに取り組む会社の経営者と話す機会が多いですが、なぜ情報セキュリティに取り組むのかを尋ねると「まずは情報漏えいを起こさない」と仰る経営者が多いです。

ISMSやPマークの取得企業から情報漏えいが多いという人がいますが、実際に情報を多く取り扱っている企業がISMSやPマークを取得している事が多いので、それはある意味仕方がないことだと思います。
（例としては、適切かどうかは分かりませんが交通事故を起こす人でも、車の免許を持っている人が大半です）。

経営者が情報漏えいを気にしている理由としては、やはり「漏えいが起こると、業績に直接影響してくる」ということです。

特に大手企業は、新聞等に報道されますから、より影響が大きくなります。

情報漏えいを起こす　⇒　評判が落ちて業績が下がる　⇒　業績不振により委託先との取引終了や従業員の整理

極端な例ですが、こういった事が実際に起こり得るのが情報漏えい事件の怖いところです。

「たった1人」の些細な行動により、何名かの人生を狂わせるかもしれない。

その可能性を出来るだけ小さくするため。
万が一、漏えい事件が起こっても被害を最小限にするため。
そういった為に、ISMSの構築をしていくのです。

オーバーな感じがすると思いますが、有り得る話なのです。

江戸時代の事業継続計画？

miyamoto — Tue, 10 Nov 2009 12:56:50 +0000

さて、前回は刀の話をしましたが今回は大福帳の話をしましょう。

“大福帳”とは・・

テレビの時代劇に出てくる越後屋などの番頭さんが持って、筆で書き込んでいる例の昔版ノートです。

皆さん、あれには何を書き込んでいるか知っていますか。

得意先への販売記録が全てはいっているらしいです。例えば何時誰に何をどれくらい販売したかが書いてある

そうです。いわば商売上の取引の全てが書いてあるということです。

現代の私たちは商品を買ったほう（得意先）に（今の時代は）納品書など発行し受領書をもらいますよね。

昔はそんなもんなかったようです。得意先へ集金に行くときにその大福帳をみて請求すればその通りに払って

いたそうです。まさに信用でなりったっている商売だったんでしょうね。

そうなると悪代官＝越後屋＝悪だくみも、ドラマの脚色に思えてなりません。

大福帳以外は全て“口約束”だったそうです。

一方の現代は（西洋文化？）納品書・受領書など交わすのは当たり前ですよね。

情報セキュリティの世界でもきちんとやった証拠に記録をとるという事をやりますが、

当時の日本の方がよっぽどきちんと“勘定の合う”商いをしているものなんだなと関心しました。

“大福帳”これも日本の誇れる文化です。

では問題です。

もし商人の家が火事になったらその店の番頭は一番になにをするでしょうか？

答え

“大福帳をもって逃げる！”

江戸時代の事業継続計画ってまさにこれかもしれません。

中小企業の情報セキュリティの継続的取り組みを支援します

yukimatsu — Thu, 05 Nov 2009 01:35:04 +0000

ISMS認証取得コンサルタントの幸松です。

IPAから中小企業における情報セキュリティ対策の実施状況調査についての報告が公開されています。
報告書の総括としてIPAのサイトには以下のような文面があります。

(1) 対象企業の約7割が入門レベルの合格基準に達せず
　 IPAが作成した「5分でできる自社診断シート」を用いて、調査対象企業の情報セキュリティ対策状況を確認したところ、66社中43社（65%）の点数が合格基準として設定した70点未満の点数でした。
　「5分でできる自社診断シート」は情報セキュリティ対策の入門レベルを想定し、最低限実施すべき項目をまとめたものです。IPAでは早急に中小企業の情報セキュリティ対策の底上げを行う必要があると認識しています。

(2) 概ね組織全体としての取り組みが弱い
　対策項目別の実施状況を見ると、社内でのルール化や重要情報の明確化等の、組織全体として取り組むべき項目が未実施となっている傾向があります。

(3) 専門家や情報不在の状況
　調査対象企業の多くは、情報システムの開発事業者等の外部専門家から情報セキュリティ対策に関する提案を受けておらず、自らも積極的に情報収集を行っていない事が分かりました。
　また、情報セキュリティ対策を検討する際には、IT技術に関する知識のほか、業務分析や保有情報の重要性分析を行うため、企業経営の分析能力が必要となりますが、多くの中小企業には社内に豊富な知識や能力を有する人材がなく、専門家との接点もほとんど無い事が分かりました。

(4) 低い情報セキュリティ投資意向
　最近の経済状況の変化を受け、IT投資意向が減退している中で、情報セキュリティ投資についても必要最低限に絞られる傾向があります。担当者が必要性を主張しても、経営層の理解を得られないという回答が多数ありました。
　他の合理化案件と抱き合わせでコスト削減に結びつける事により経営層の理解を得る、といった担当者の“涙ぐましい努力”が伺える事例もありました。

(5) IPAガイドライン等の有効性を確認
　 IPAガイドライン等については、対象企業から、未実施項目に気付く良い機会となった等、概ね好印象が得られました。
　ただし、「自ら手に取ろうとは思わない」という回答も多く、中小企業の情報セキュリティ対策の底上げのためには、外部専門家等の協力が重要であることがわかりました。

LRMのクライアント様は9割以上が中小企業ですので、中小企業の情報セキュリティに対する実際の取り組みも身をもって認識しています。
やはり大手企業と違い、情報セキュリティ専任の人材を確保できる中小企業は非常に少ないと思います、どう綺麗事を並べても情報セキュリティ対策が直接の売上増にはつながりませんので、なかなか人材のアサインも難しいと思います。

私自身も中小企業を経営する身としてその点は十分に理解できます。

大手企業と違い専任の人材を確保できない中小企業だからこそ弊社のような外部パートナーを有効に活用することが非常に重要になってくると思います。
LRMでは、ISMSの取得後の運用に関するサポートを準備しておりますし、今後も運用後のサービスは更に充実させていく予定です。
ISMSで大事なのは「取得すること」より「適切に運用すること」です。
LRMでは、中小企業が適切にISMSを運用するために外部専門家として最大限の支援を約束します。

ISMSの運用について考えている企業の方は是非以下のページをご覧になって下さい。

ISO27001/ISMS運用改善コース
http://www.iso27001.jp/isms_unyou/unyou/

[参考サイト]
IPA：中小企業における情報セキュリティ対策の実施状況等調査

ISMS認証の対象範囲外でもしっかりと情報は取り扱わなければなりません

yukimatsu — Sun, 11 Oct 2009 12:51:28 +0000

こんにちは。ISMS認証取得コンサルタントの幸松です。

ISMSはプライバシーマークと異なり組織や事業所単位で取得が可能となっています。
実際にISMSの審査費用は対象の部門や人数によって変わってきますので
「必要がない」と判断した部署では認証取得は不要だと思います。

ただ、中には「ウチの部門はISMSは取ってないからルールは関係ないです」
「ISMSに関係ないので、Windowsアップデートも必須じゃないです」といっているところもあります。

確かにISMSというのは、認証ですので取得する部署、取得しない部署はあると思います。
ただ、それはあくまでも経営上の判断での認証範囲であるので情報の取り扱いに関しては
会社としてのルールを授けるべきです。
もちろん、会社としてリスクが高い部署だけISMSを取得して
そこだけ特別ルールというのも問題ありませんが
取得していない部署での情報の取り扱いに関するリスクが
大きくなる場合はしっかりと対策をすべきです。
認証範囲であろうとなかろうと。

実際に、認証範囲外の部署で情報漏えい事件を起こしている事例もあります。
その際にも「認証範囲外だから知りません」というような事は決してありません。
企業として情報の取扱いは適切に行わなければいけません。

LRMでは、ISMS取得支援サービスを主に行っておりますが
もちろん、認証は取得しない場合の情報セキュリティ対策も支援させて頂きますので
お気軽にお問い合わせ下さい。

事業継続については、実際に「起こった時のこと」を想定して考えるべきです。

yukimatsu — Sat, 26 Sep 2009 10:34:20 +0000

ISMSの詳細管理策のA.14は「事業継続管理」について定義されており
最近ではBS25999の話題もあり審査時に審査員から
事業継続について聞かれる事が増えたという声を何件か聞きます。

事業継続の中でも、日本の企業で比較的取り組みが進んでいるのが
新型インフルエンザにも関係していますがパンデミックス対応です。

ただ、事業継続の対策としてインフルエンザ対応として
「手洗い推奨しています」で終わっている会社もある程度あるのですが
これだと実際に社員がインフルエンザになった時に
「どのように行動すれば良いのか？」が分かりません。

もちろん、予防として手洗いやうがいは必須だと思いますが
企業として事業を継続させるためには、インフルエンザの発症者が出た際には
具体的にどういった行動をとるのかをあらかじめ決めておくべきです。

例えばの話ですが、実際に発症者が出た際の報告経路であるとか
フロアに3名以上の発症者が出た際には自宅勤務に切り替える等です。
また、自宅勤務を行う場合は、イキナリ「明日から自宅で仕事してね」では
社員からすれば「どうやって仕事すれば良いの？」となってしまいます。

自宅のPCから緊急的に社内のシステムにアクセスを許可する仕組みを構築しておいたり
または、仕事用のノートPCを配布するなど色々と準備をしておかなければなりません。
外部からのアクセスを行う場合は、詳細管理策A.11.4.2の「外部からの接続する利用者の認証」に
関してもあらかじめて準備しておかなければなりません。

もちろん、費用の問題もあるので全ての企業が自宅からの勤務に対しての
準備をする必要はありませんが、実際に「自社で」インフルエンザの発症者が
出た時の事を想定して「可能な範囲で」対策を講じておくべきです。