2009/01/28
日常語ISO27001 with セキュリティ新事情 ~1章、2章
No.201 09.01.26 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ この週末は、用事がありまして東京へ出かけて参りました。宿を神田に 取りましたので、ついでにちょいと秋葉原をブラついて参りました。 そうしましたら、今まで確たる総称がなかったものに名前が付いているの が判りました。Eee−PCに代表される、5万円程度の軽量小型ノートPCは 『ネットブック』と呼ばれるように定着した様です。各店ともその様なPOP で売り出していました。 今までも、Web上ではそういう表現を複数回見かけていたのですが、店頭で も今回確認出来ました。ネットブックは、画面が小さい、キーが小さいと いう欠点がありますが、軽量ですし、ブリーフケースに書類とともに入れて 運べます。別途PCカバンを持ち歩く必要がありません。コストパフォーマ ンスも非常に高いですね。 それに対して、最近では携帯電話も5万円程度しています。「スマート フォン」という高機能携帯電話はもっと高くなっています。携帯電話とPC の価格帯や機能が重なって来るというのは、2年前では予想出来なかった事 ですね。 では、201号 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 近年、情報サービスの契約をする時などに『SLA』という用語が、一般 でも飛び交う様になって来ました。ITサービスマネジメント用語なのです が、情報セキュリティを確保する為にも必要なものですので、紹介しておき ましょう。 『SLA』は省略しないで言うと「サービスレベルアグリーメント」です。 どの様なサービスをいくらで提供/委託するかという、覚書ですね。通常は、 サービス開始前に取り交わされて、必要な場合には両者が話し合って改訂 されます。ですから、単なるSLAは単なる用語ではなくて、「モノ」を指 しています。 情報サービスは、一言で言ってもレベルが非常に幅広い事が多いので、 サービス提供者と顧客の間で、事前にハッキリと合意しておく事が大切です。 それを文書化したのが、『SLA』なのです。 例えば、ザックリと「100Mbpsのインターネット接続サービス」と言って も、かなり幅が広いです。一般には「100Mbpsの接続」と言ったら、たくさん の顧客でその100Mbpsの接続を共有する「ベストエフォート」型のサービス 提供になりますので、実測は下り10〜40Mbpsくらいになります。接続回線を 占有して実測100Mbpsを確保させてもらう事も可能ですが、その場合は高価な 料金が必要になりますね。また、下りは最大100Mbpsでしょうが、上りはとて も遅い接続かもしれません。さらに、IPアドレスがプロバイダで変換され てしまっていて、VPN接続の障害になってしまうサービスもあるでしょう。 逆に付加サービスとして、怪しい通信を遮断してくれる事も考えられます。 また、個人契約ならばメールアドレスが1個提供されるのが普通ですけれど、 会社で契約するならそんなものは不要な事が多いですね。 高レベルのサービスを望めば、どうしてもその対価は高くなります。顧客 によって、高価でも構わないから高レベルなサービスを望む場合と、低レベ ルで構わないから安価なサービスを望む場合がありますので、前もって決め ておくのが、ITサービスでは基本になります。 そうでないと、サービス提供側も顧客がどこまでを望んでいるのか判りま せんし、顧客が勝手にしている過大な期待を後から押しつけて来られても 困ります。顧客側もだいたい推定して期待していたサービスが含まれていな くて、サービス開始後からでは予算の都合が狂ったり、他の業者に乗り換え るのが困難になってしまったりします。ちゃんとした「SLA」を取り交わ しておけば、そんな事が発生する可能性はとても低くなるのです。 例では、誰もが受けているだろう「インターネット接続サービス」を取り 挙げましたが、現実的にはインターネット接続サービスではSLAが取り 交わされる事は少ないですね。インターネットサーバのレンタルサービスと か、Webサイトの運営サービスとか、もう少し複雑なサービスで取り交わ されます。 SLAがいいかげんですと、サーバOSが誰にも更新されなくて不正アク セスを受けたり、トラブルがあった時の回復が許せないほど遅れたりします。 情報セキュリティ確保の為には、『SLA』は慎重に取り交わして下さい。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 序文 (重要ポイントのみ) 1.適用範囲 1.1 一般 ISO27001は、あらゆる種類の団体[組織]を対象にします(例:会社、政府 系機関、NGO)。ISO27001は、会社の事業上のいろいろなリスクについて、文書 にしたISMS(情報セキュリティマネジメントシステム)を作り上げて、次に実際 にシステムを使って、更に必要な場合に書き改めたり・より良く直して行った りするために行わなければならない事が書かれています。 ISO27001を取り入れることで目指すISMSは、会社の情報資産を保護するため にバランスのとれた管理が行われるもの、またお客さんに信用してもらうため に充分な手だてを確実に行うものです。 1.2 適用 ISO27001は、どんな業種、どんな規模の会社にも、また会社以外の組織にも 当てはまる様に作ったつもりです。 ISO27001の4〜8項でない部分(つまり付属書A)は、会社によって当ては まらない項目があったら、そこだけを除いて[除外して]使っても構いません。 但し「会社がISO27001に適合している」と言う場合には、 (1)除外しても、リスクアセスメントの結果「保護しなければならない」 と判断されたものは充分保護される事、 (2)除外しても、法律に違反するおそれが無い事、 (3)除外する理由と、除外したために残るリスクが責任者に正式に認めら れた証拠があること の3つが全部満たされていなければなりません。 【解説】たいていの会社では、付属書Aのうち当てはまらない事がいくつか 出るものです。逆に、付属書Aに書いてなくてもそれ以上に何かの手だて も行う様になります。 この項は、4.2.1j)項と関連があります。 2.参照文書 次の標準は、ISO27001を使う為には必要です。欠かせません。 ISO27002:2005(BS7799-1) 情報セキュリティマネジメント行動規範 2005年にはISO17799として発行され、その後番号のみが変更されました。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 今回の変更点 2.「引用規格」は原文に基づいて、「参照文書」に変更しました。 「必要不可欠」 → 「必要で、欠かせない」に変更しました。 (今回の変更点欄を書いていない時でも、小変更している事があります) −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所では、年末年始にWebサーバ、メールサーバの切替を 行います。年末年始にメールを送られて不達になった場合には、数時間後に 再送下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、専門職以外の派遣労働廃止は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
