2009/01/19
日常語ISO27001 with セキュリティ新事情 ~序
No.200 09.01.19 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 長いもので、今号で「日常語ISO27001 with 情報セキュリティ新事情」も 200号を迎えました。 この4年間で変わった事と言えば、インターネットが光ファイバ接続が 当たり前になった事、不正プログラムの感染経路が移り変わって来た事、 情報漏洩が即金銭被害に繋がる様になって来た事、5万円PCが出現して 普及して来た事... 逆に変わらない事と言えば、Winny利用者があまり減らない事、車上荒らし や公共交通機関内での置き引きが情報漏洩事件数のトップである事、E− メールの利用方法... 情報を狙う方ばかりが技術進化して来ていて、情報を守る方はあまり進化 出来ていないという感じですね。200号記念記事のひとつもありませんが、 進化している技術の紹介から致しましょう。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 昨年の今頃、ハードディスク(HDD)の代わりに使ってPCを壊れにくく する装置があるとお伝えしました。(148号) 「SSD(Soloid State drive:半導体ドライヴ)」がそれです。HDDの 代わりに使う装置ですが、HDDと違って回転している部分がないので、 壊れる事が極端に少なくなっています。 1年前は64GB品では17万円もしていて、ちょいと買えるものではなかっ たSSDですが、1年間で90%以上も価格が落ちました。64GBの普及価格帯 品ですと1万5千円を切っています。セール品ですと、1万円を割る事も あります。読み/書きの動作速度も、メモリの並列処理化が進められて、 HDD並になりました。ここまで来るには数年かかるかと思っていたのです が、予想外の事です。 こうなると、持ち運び時の衝撃でHDDが壊れてしまう可能性のあるノー トPCでは、SSDモデル選択がほぼ必須になりますね。メーカー製のPC ですと、パーツの供給契約が結ばれるのが半年程度前になりますので、この 価格は反映されていませんが、今後半年までの間には反映されて来るでしょ う。今後ノートPCを購入する場合はSSDモデルを標準と致しましょう。 SSDがHDDに負けているのは、もう保存容量のみですね。この間に HDDも安くなっていて、もはや1TB(テラバイト:1T=1024G)品が 8千円、1.5TB品が1万円くらいで売られる様になりました。 しかし、そんな大容量は動画データや印刷屋さんの画像データでもなけれ ば使う事はありません。オフィスソフトにしか使っていないハズなのに、 そんなに容量を必要としているなら、「Winnyでも使っているのではないか?」 と疑った方が良いくらいです。そんなには要りません。 また、そんなにデータ容量を使う場合には、「データは個々のPCに置か ないで、ファイルサーバに置かないと危険」という方で問題になりますね。 LAN経由でファイルサーバに置いてあるデータを使おうとしても、データ の読み出しに10分以上かかってしまうでしょう。実用的ではありませんし、 そんなデータ通信があると、LAN上もデータが混んでしまって全体の通信 速度に問題が出てしまいます。 そんな場合には、「HDDのROM化ユニット」が有効です。 (例:http://www.taoenter.co.jp/product/layout/hdcase.php) HDDをUSBメモリの様な感覚で、コンピュータにブスッと挿して使え る様にするユニットです。5インチベイが空いているPCならば、2千円〜 3千円くらいでユニットを購入して来てPCに設置しておけば、あとは使う ときにHDD単体を挿すだけです。外すのも、USBメモリと同じ様に 「ハードウェアの安全な取り外し」操作をして外せます。 USB外付けHDDでも同じように使うことが出来ますが、大容量データ を扱う事を前提としていますから、通信速度は重要視しなければならないで しょう。USB2.0の速度は480Mbpsしか出なくて、ギガビットLANの 半分しか出ないのです。「HDD−ROMユニット」が前提にしているSATA2 ならば3Gbpsですので、USBの約6倍の速度が出る事になります。あとは、 HDDを鍵のかかるところに保管しておけば、セキュリティ問題は何とか なるでしょう。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 序文 (重要ポイントのみ) 01.一般 ISO27001は、会社の経営者や社員が良い情報セキュリティマネジメントシス テム(ISMS)を作り上げて、使っていくための手本にするために作られました。 ISMSを取り入れる事を決めるのは、会社の一部の人達の要求によるものとして ではなくて、全社が一致団結して導入するべきです。 ISO27001は、次のために使う事が出来ます。 (1)情報セキュリティに関する自社の能力を確かめるため。 (2)外部の誰か(例えば認証機関)が、その能力を確かめるため。 【解説】ISO14001とは異なり”自己宣言”には言及されていませんが、(1)を 考えれば自己宣言についても用途に含まれていると考えるのが普通でしょう。 02.プロセスアプローチ ISO27001の仕組みの基本は、ISO9001と同様に『プロセスアプローチ』です。 『プロセス』とは、 「会社で行われているいろいろな活動」のユニット(ひとかたまり)です。 会社の仕事の行われ具合は管理されなければなりませんが、その管理を行う 時に対象になるユニットを『プロセス』と呼びます。会社の仕事は、とても たくさんの『プロセス』で出来ています。 管理のやり方次第で、小さな『プロセス』がいくつかで大きなひとかたまり となって、大きな『プロセス』として取り扱われる(管理される)こともあり ます。これらのプロセスがいくつも集まって、会社の仕事の全体になります。 それぞれの『プロセス』には、 ・インプット(原料、部品、必要な情報、エネルギー) ・アウトプット(製品、中間製品、仕事の成果) があって、あるプロセス(工程)のアウトプットが、次のプロセス(工程)のイン プットになる、という様に仕事が繋がって行きます。 『プロセスアプローチ』とは、 ・仕事を区分けして、いくつもの「プロセス」に分ける。 ・それらの「プロセス」の、お互いのつながり方を整理して、理解する。 ・それをもとに、それぞれの「プロセス」を管理する。 ・最終的に、仕事全体がうまく行く様にする。 という考え方です。 その『プロセスアプローチ』による管理の行い方は、「PDCAサイクル」とし て知られている行い方で行って下さい。 『PDCAサイクル』とは、 ・P(Plan:計画): やみくもに管理してもろくな管理にならないので、 達成しなければならない行動や行動結果のレベル。また、その達成の 方法や必要なものを決める。 ・D(Do:実行): 計画した通りに実行する。 ・C(Check:点検): 管理の行われ方や、行動、行動結果が計画通りか、 元々目指したレベル通りか、評価する。 ・A(Act、Action:見直し、処置):点検結果を見て、「では、次はどうすれ ば良いのか」を考えて、結論を出す。 ・次のP: 見直し結果を受けて、これからの管理を計画する.. という流れで、管理を行うやりかたです。 03.他のマネジメントシステムとの両立性 ISO27001は、品質マネジメントシステムや環境マネジメントシステムと統合 したマネジメントシステムを組み立て易い様に、ISO9001/14001と関連づけられ ています。 【解説】確かに矛盾は生まれそうではありませんし、4.3項以降はかなり ISO9001の丸写しですが、文書体系の構造がかなり違いますし、ISO14001と はかなり遠い構造をしています。”眉唾”で受け取って下さい。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所では、年末年始にWebサーバ、メールサーバの切替を 行います。年末年始にメールを送られて不達になった場合には、数時間後に 再送下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、専門職以外の派遣労働廃止は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雷で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
