2008/11/04
日常語ISO27001 with セキュリティ新事情 ~5.1コミットメント
No.190 08.11.03 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 環境版のメルマガでは「アイドリングストップを始めたら燃費が2割ほど も向上したので、石油価格が落ち着いた今もやめられない」旨お話しして いますが、世間ではあまり「アイドリングストップ」は定着していない様で す。 先日行ってきた運転免許の更新講習でも、「ふんわりアクセル」で燃費 向上を勧めるものの、決して「アイドリングストップ」とは言いませんでし た。警察としては避けている様子です。 それはともかく、最近、銀行のCDコーナーへお金をおろしに行く時にも エンジンをかけっぱなしにしている例に何回も遭遇しました。あれでは燃料 がもったいないという以前に、車の中の物や車自体を盗まれてしまいますよ。 随分と不用心な事です。そんなセキュリティ意識の低い社員の居る会社では、 情報セキュリティは達成されそうにありません。 基礎教育は大事です。では、190号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 情報セキュリティアドミニストレータ試験に出ていた用語から、今週は 「ソシアルエンジニアリング」を紹介しましょう。情報セキュリティでは、 古典的な攻撃手法で、電子機器を必要としません。 「ソシアル」=社会的な、「エンジニアリング」=工学、なんて難しい 名前を使っていますが、簡単に言うと「言葉巧みに」何かするという事です。 実際には「言葉巧みに、相手にこちらの思うとおりの行動をとらせる」と いう様に応用します。「社会工学」という元々の意味も残っていますが、 そちらの意味で使うことはあまりありません。 かつては、“住所、電話番号”を聞き出したり、“ID/パスワード”を 聞き出したりして使いました。もちろん聞き出すだけではなく、その情報は 悪用するのが前提です。これを、もうちょっと発展させたのが「フィッシン グ」ですね。 ID/パスワードを多数の人に発行している様な場合、例えば会員制Web サイトを運営している場合には、ソシアルエンジニアリングに会員が引っか って、ID/パスワードを流出させない様に注意を促しておく事が社会的に 求められています。もちろん、社員が業務で使っているID/パスワードも 社員相互にという事を含めて、流出しないように社員教育しておく必要が あります。 今では、ソシアルエンジニアリングの手法で「振り込め詐欺」などが行わ れる様になっています。悪事の準備に使うところを通り越えて、直接悪事を やってしまうわけですね。 少しくらい用心をしていても、ソシアルエンジニアリングは元々“学問” です。振り込め詐欺の実行犯が学問をしてやっているという事はないでしょ うが、タカをくくっていると相当スルドイ人でなければやられてしまいます。 重要なのは、「あらかじめそういう攻撃手法があるという事を知っていて、 そのつもりで用心している事」になります。 用心する事を促すためには、単に「言葉巧みに」と言うよりは「ソシアル エンジニアリングの手法を用いて」と言った方が、警戒感を高める事が出来 そうです。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 5.1 経営者のコミットメント 【解説】”経営者”はここでは、社長さんを意味しています。 ”コミットメント”という言葉は、明らかに日常使う言葉ではありません が、原文の”commitment”を一語で表すうまい日本語がないのです。一般 的に”commitment”を訳す時には、「決意」、「不退転の決意」、「宣誓」、 「公約」という強い意志をもった表明に使われます。仕方がないので、JIS 版同様にカタカナで”コミットメント”と表現します。 「意志決定(decision)」に近い意味と理解してだいたい差し支えありま せんが、常にもっと強い意味で使われています。 社長さんは、ISMSを作り上げて、実施して、PDCAサイクルに基づいた改善を して行くのだという『決意(コミットメント)』を示す証拠に、次の事を行って 下さい。 a)情報セキュリティポリシーを定める b)情報セキュリティ目的(管理目的)と、それを達成する為の計画を定める c)情報セキュリティのための責任体制を、整える d)社員の情報セキュリティ意識を高める (それは1.情報セキュリティポリシー、 2.管理目的達成の重要性、 3.法律を守る事の重要性、 4.ISMSをずっと改善し続けて行く事の重要性、 などを社員に理解してもらう事で達成されます) e)ISMSに必要な資源(人、資金、設備など)を用意する。 f)許す事が出来るリスクのレベルを決める g)ISMS内部監査を行う h)ISMSマネジメントレビューを行う 【解説】a)〜h)は全てISO27001の7項までの他の項に「やって下さい」 と書いてある事ばかりです。ISMSを組み上げるときには、あまり強く意識 しなくても構いませんが、他の項では「会社は...やって下さい。」と 書いてあるものもあります。「社長さんの責任として..やって下さい。」 という意味付けになります。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、Winny廃絶は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雷で電車が止まらなければ、編集人自ら全国に出張可能です。 ☆━☆『ニューズウィーク日本版』 便利でお得な年間購読!!☆━☆ 継続は力なり!! 読みたい記事を毎週逃がさずチェック!! 1.【最大30%OFF!!】 2.【限定4大特典!!!】 3.【送料無料!!!!】 詳しい情報は⇒ http://af1.mag2.com/m/af/0000237612/001/s00000006226001/021 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ カウネットはオフィス用品、OA機器、オフィス家具の通信販売です。 簡単注文、翌日お届け、送料無料(1,800円以上のご注文で)です。 法人様は無料カタログを差し上げます、ご登録ください! http://af1.mag2.com/m/af/0000237612/001/s00000007120002/006 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
