2009/01/12
日常語ISO27001 with セキュリティ新事情 ~番外 効果の測定
No.199 09.01.12 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 今更ですが、筆者はメルマガを毎週2本発行しています。 「口語訳ISO14001 with 環境豆知識」と「日常語ISO27001 with 情報 セキュリティ新事情」です。筆者側からすれば、大方の読者の皆様はご存じ だろうと勝手に思いこんでいたのですが、ご存じない読者がかなりある様で すね。 知り合いなどに、単に「メルマガ読んでるよ」とか「今週のあの話..」 という様な話題の振り方をされ、筆者側からすれば「どっち? 両方?」と なる事が続いたのです。 宜しければ、皆様両方お読み下さい。またお問い合わせの際には、どちら のメルマガの話であるのか、わかる様にお問い合わせ下さいませ。 では、199号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 一般に、「私有PCは、専用に使うのであっても業務用に用いるのは情報 セキュリティ上望ましくない。」と言われます。実際何かと問題があります し、望ましくないという感覚に違和感はないので、たいていは受け入れられ るのですが、中小企業では社員の私物PCが業務にたくさん使われている例 が珍しくありません。 数が多い場合には、社有PCに入れ替える為に数百万円の臨時出費となっ てしまうので、ISMSの導入自体の是非が再検討されることになるケース もあって、頭を悩ませます。 その様な場合は、「何故いけないのだ? そちらを別途解決すれば、私有 PCを業務利用しても良いだろう。」という展開になるのですが、なぜいけ ないのか、皆様説明出来ますか? 私用共用の場合を含めて考察しましょう。 1.セキュリティソフトの管理レベルが不安: 今時、セキュリティソフトなしでPCを使っている人は結構少ないですが、 調査によると企業の1割ほど、個人の2割強はセキュリティソフトなしす。 また、安価で不正プログラム検出力の低いソフトを使っている事もあります。 これについては、会社負担で会社指定のセキュリティソフトを導入させれば 解決可能です。会社でないとパターン更新出来ない事があるでしょうから、 最低でも週に2回は会社でパターン更新する必要もあります。 2.自宅ファイアウォールのレベルが低い: 家庭のファイアウォールは、会社よりもレベルが低いものです。これに ついては、自宅でネット接続しないなら解決しますが、業務専用であっても メールや調べ物をしたくなるでしょう。セキュリティソフトのパーソナル ファイアウォール機能に頼ることになっても大丈夫かどうか検討しなければ いけません。 3.便利なソフトウェアを偽装した不正プログラムをインストールしてしま う可能性がある。または、会社で利用しているソフトウェアと相性の問題が あるソフトウェアをインストールしてしまう可能性がある: 会社指定の ソフトウェア以外はインストールしてはいけない事にすれば解決しますが、 私有PCである以上は困難でしょう。自分のPCを半供出している社員に 不利が大きすぎます。 4.社員本人はともかく、家族が何をするかわからない: 最も問題になるのは、家族(主に子供)がWinnyを勝手にインストールして 使うケースです。そこまで行かなくても、何かアブナイ使い方をする事が あり得るでしょう。自宅に持って帰らないなら解決しますが、私有PCに そんな事を科すのは、財産権上の問題になるでしょう。 5.社員退職後、または業務利用終了後に問題になる可能性が高い: 退職後、または業務利用終了後もPC内にデータが残りやすく、また残っ ていない事を確認するのがとても困難です。データはファイルサーバ上に しか置かない事を徹底していれば、残さない事は可能ですが、徹底していた かどうかを他人が確認する方法はありません。 昨年11月に神奈川県立高校11万人の全生徒名簿がWinnyネットに流出し たケースでも、「かつて業務用として利用していた社員個人が所有するPC」 を私用に転用した後に情報漏洩したものでした。 社員に相当な無理を言わなくては危険な上に、解決できそうにない問題 (5番の問題)が残るとなれば、ちょっとやりたくないですね。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 〜効果の測定 解説〜 ISO27001では、BS7799-2:02と比較してISMSの効果の測定について随分強調 されました。 とはいえ、事が品質マネジメントシステムならばいくらか不良品が生成する のはやむを得ないので、不良率が低減すれば効果があるだろうとか言えます。 しかし、1件でも事故・事件が起きて欲しくないISMSでは、その効果の測定は どうすれば良いのかなかなか難しいものです。事故・事件の発生が0件だった としても、元々0件だったのであれば効果があったのかどうかわかりません。 IPA(情報処理推進機構)がアメリカ政府文書をもとしたかなりのボリューム の報告書を作ってくれており、当初は世の中でもこれを参考にするのが一般的 でした。しかし、ここで紹介されている方法の大部分は「管理策の有効性(効 果)の評価方法」というよりはむしろ、「管理策の徹底度の測定方法」と呼ぶ べきものです。それに伴う誤解が、世の中に蔓延してしまう結果となりました。 効果の測定の例として良いのは、「リスク評価で計算された年間被害予想額」 とか「弱点の発見から解決までの平均日数」の様に、セキュリティポリシーに 対しての効果を測定する様なものです。その様な測定を行うようにして下さい。 管理策自体を評価してしまうと、あまり「ISMS自体の効果」を測定する事 にならない傾向があります。 例えば、 「社外に情報を持って出ると、車上荒らしの危険があったり、自宅PCで作業し てしまう可能性があって危険なので、なるべく社外へ情報を持って出ないよう にしたい。原則的に社外への情報持ち出しを禁止して、業務上やむを得ない 場合にだけ課長職者以上の承認を得て持ち出しても良い事にしよう。」という 管理策を設けていたとします。 この場合に、「情報の社外への持ち出し時に、承認を得ている率」を測定して も、ほとんど意味がありません。この管理策の目的は、”出来る限り情報を 持ち出さない事”であって、”情報を社外に持ち出す場合に手続きを取る事” ではなかったからです。 「社外へ持ち出している情報の月当たり件数」などを測定しなければならない でしょう。これが減っていれば、効果があると判定出来ます。減っていなかっ た場合は、 「承認者がメクラ判を押して何でも承認してしまう為、実効が上がっていな い。」又は、「元々、業務上どうしても必要があって持ち出していたので、 この管理策では解決しない。」 のどちらかだという事になり、対応を見直す必要がある事がわかります。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所では、年末年始にWebサーバ、メールサーバの切替を 行います。年末年始にメールを送られて不達になった場合には、数時間後に 再送下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、専門職以外の派遣労働廃止は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雷で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
