2009/01/05
日常語ISO27001 with セキュリティ新事情 ~是正・予防処置
No.198 09.01.05 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 皆様、あけましておめでとうございます。 今年も頑張ってお伝えして行きたいと思います。宜しくお付き合い下さい。 再三、「情報セキュリティ事件で最も多いのは車上荒らしだ」という事を お伝えしています。筆者が情報収集出来ているだけで、毎週2件程度ありま すから、実数は100倍ないとしても年間に1万件にも及ぶかという程になり ます。 情報セキュリティ事件ばかり情報収集していますので気付かなかったので すが、単体タイプのカーナビに至っては年間3〜4万件もの盗難被害がある のだという事です。やはり、車の中というのは危ないのですね。 では、198号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 年末年始は、いつも収集しています情報セキュリティ事件簿を整理してい ました。古くてたいしたことのない事件は、最新事件簿から消していかない と、とんでもないボリュームになってしまいます。 そこで、昨年の印象残った情報セキュリティ事件をいくつか挙げて振り返 ってみましょう。 ・「文科省」高卒程度認定試験で採点ミス発覚、2114人が不合格に: コンピュータ採点で、一部の問題が採点されずに不合格者を出してしまっ たという完全性問題でした。人生が変わってしまうほどの間違いが、これ だけ大規模に起きたというのは驚きでした。 (1月) ・「日銀松江支店」から、破綻懸念先情報を含む金融機関査察資料がWinny に流出: 自衛隊、皇宮警察、原発関連者、監査法人などどこからでも 起こるWinnyへの情報漏洩は、日銀でも起こりました。漏洩元のPCでは、 対策ソフトのウィルスパターンが01年のものだったという非常識にも呆れ させられた事件です。破綻懸念先とされた企業のひとつは、10月に現実に 破綻してしまいました。 (3月) ・「三優監査法人」では新幹線車内で鞄の置き引きに遭い、22社の財務 情報を流出させてしまった: 07年のトーマツからWinnyへ漏れた事件の 方が驚きましたが、財務情報の漏洩はその1件だけには止まらないという 事です。 (7月) ・「大分銀行」をはじめとする数行で、偽造カードによる不正引き出しが 計4億円: 流出元は健康食品会社だったらしい事件です。口座番号と 口座人名義がわかればキャッシュカードは偽造されてしまいますので、 暗証番号を誕生日・住所・電話番号などにしていると、被害に遭うと いう事が表面化しました。被害額が4億円というのは、過去に記憶に ありません。 (6月〜年末) ・グーグルマップからの個人情報漏洩: グーグルマップでは、マイマップ 機能を”非公開”設定できるものの、それはグーグルの検索で表示され ないというだけで、例えばYahoo!で検索すると表示されてしまうのです。 この為、不注意による情報漏洩が相次いで露見しました。マスコミの 伝え方の不十分さが歯がゆかった事件です。 (10月〜現在) ・神奈川県立高校全11万人の生徒名簿がWinnyに: 授業料収受システム を請け負ったIBMの下請会社からの漏洩でした。紛失以外の個人情報 漏洩件数としては、08年最大となりました。 (11月) ”事件が起きている”という事が発覚し、発表されているものについては こうなりました。例年ほどは派手ではなかった感じがします。 しかし、「情報セキュリティに無頓着な企業では、被害が少ない」と世間 では言われています。つまり情報セキュリティ事件は、起きていても気付か ない事がかなりあるのです。実際には、もっと大きな事件が起きているの かもしれませんね。 『事件簿』は、当方ダウンロードページより有料頒布中です。 (http://www.kiriishi.net/dl/isms/ismsdl.htm) 08年最終日まで版、アップしました。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 8.2 是正処置 (再発防止) 会社は、”不適合”が起こってしまったときには、その不適合の原因をつぶ して再発防止(是正)をしなければなりません。 その「行い方」は、下の事をハッキリ決めた手順書を作ってそこに書いて おいて下さい。 a)どんな”不適合”が起こったのかハッキリさせる。 b)どんな成り行きで”不適合”が起こったのかという事を含めて調査をし て、原因が何だったかハッキリさせる。 c)再発しないようにより確実に原因をつぶす手だてが必要かどうかを決め る。 d)どんな手だてを行うか決めて、決めた通りに行う。 e)再発防止のためにどんな手だてをとって、どんな結果になったのか、 結果を記録する。 e)ちゃんと手だてがとられたか、効き目はどれくらいあったか、という事 を確認する。 8.3 予防処置 (未然防止) 会社は、”不適合”が起きそうだったときには、その不適合の原因をつぶす 未然防止(予防)をどうするか決めなければなりません。 その「行い方」は、下の事をハッキリ決めた手順書を作ってそこに書いて おいて下さい。 a)どんな”不適合”が起こるかもしれないのかハッキリさせる。 b)不適合の原因をつぶす手だてが必要なのかどうか決める。 c)どんな手だてを行うか決めて、決めた通りに行う。 d)再発防止のためにどんな手だてをとって、どんな結果になったのか、 結果を記録する。 e)ちゃんと手だてがとられたか、効き目はどれくらいあったか、という事 を確認する。 とった手だてによって、リスクがどれくらい変わったかハッキリさせておい て下さい。大きく変わったリスクには注意して下さい(あるリスクを減らす事に よって、別のリスクが増える事があります)。 ”不適合”の原因をつぶすための対策は、”不適合”の大きさや発生させて しまったときの影響の大きさと釣り合いがとれていなければなりません。また、 その対策をとる優先度(緊急だとか普通だとか)もリスクの大きさに応じてハッ キリ決めて下さい。 【解説】”不適合”が大した問題でないなら、今より起こりにくく改善され ていればその程度でも良いかもしれませんが、とても大きな問題に発展し そうな場合は、絶対に起きない様な対策が必要です。 【解説】05年改訂でb)項が追加され、不適合が起こっても予防処置をとら ない選択が許される事がハッキリされました。但し、それはISO9001との 整合性の為と見られます。情報セキュリティ事件が起こる事は普通は許さ れませんから、費用対効果の問題がありますが多くは予防処置をとること がふさわしいでしょう。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所では、年末年始にWebサーバ、メールサーバの切替を 行います。年末年始にメールを送られて不達になった場合には、数時間後に 再送下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、インスタントメッセンジャ廃絶は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雷で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
