2009/02/03
日常語ISO27001 with セキュリティ新事情 ~用語 情報資産
No.202 09.02.02 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 予定より1ヶ月遅れて、当方のインターネットサーバの乗り換えが済みま した。1日午前中は、Webページが見られなくなってしまうというトラブル もあったのですが、一応解決済みです。 元のページは全部移転できていると思いますが、異常がありましたらご連 絡頂けると幸いです。 メールについても同時にサーバを移転しました。少なくとも受信は問題 ないのですが、発信はUNIコードでないとうまく行きません。受信環境によっ ては読めない形式ですので、何とかJISコードで送れるように設定をいじくり たいと思います。 では、202号 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 今週も、PCが盗まれるという事件が何件も伝えられていました。 10年以上前から事務所荒らしが狙うのは、まずPCと相場が決まって います。盗難防止のワイヤーなども売られていますが、細くてはペンチで 切られて効果がありませんし、太くては煩わしいです。すると、窓ガラスを 割って入ってくるタイプの夜盗に対しては、全面シャッターにでもしなけれ ばどうにもなりません。 そんなわけで、PC(特にノートPC)が盗まれるのを完全に防ぐのは、 とても困難です。情報セキュリティ的には、PCそのものを盗まれるリスク が少しくらい残るのは仕方がないから、情報まで一緒に盗まれるのは防ごう という策を取るのが現実的です。 その為には一般的に、一台々々のPCにはデータを一切置かないでサーバ に置いておき、LAN経由で使う事にして、サーバだけは盗まれないように ガッチリ対策しておくことにします。 そしてそのサーバは、アクセス管理やバックアップをちゃんとするのが 基本になるのですが、そのためにはサーバ用OSが要ります。Linuxが使える 人が会社に居れば無料で使えますが、そんな会社はきっと大きな規模です。 小さな規模の会社や営業所で、20万円もするWindowsのサーバOSを買う のは大きな負担で、ちゃんとしたアクセス管理も何もない代用サーバに情報 を置いてある事がたくさんありました。 しかしマイクロソフトは昨年後半に、Windows Home Serverという機能を 限定した安価なサーバOSを発売しました。単体では売っていなくて、 コンピュータ本体やパーツと同時に売る場合にだけ売ることが出来る「OE M」という売り方しかされていませんが、たったの2万5千円です。500円 くらいのパーツと抱き合わせで売っていますから、単体で売っていないと いう問題はほぼありません。 Windows Home Serverの欠点は、同時には10台のPCしか接続出来ない点 です。まぁ、元々小規模の会社や営業所で使うのが前提です。営業担当の方 などが外出がちな事を前提にすれば、十数人規模ならばこれで充分です。逆 に20人近い規模があるなら、サーバOSが買えるでしょう。 Windows Home Serverは、ユーザー認証が出来ます。IDとパスワードを設定 して、フォルダ毎/ファイル毎に見せたり見せなかったり、書き込みを許し たり拒否したりする事が出来ます。 XpやVistaで代用しますと、そのコンピュータ本体を使う人に対してはID/ パスワードでコントロールしますが、共有フォルダを利用する場合には、 非常に大雑把な設定しか出来ません。共有フォルダをいくつも分けて、それ ぞれに別のパスワードを設定しておくでもしない限り、「社員や営業所員が 全員知ることが出来る情報は、秘密として取り扱われていたとは言えなく」 なってしまいます。すると、不当競争防止法の『営業秘密』には当たらなく なって、法的な保護が全然受けられません。Home Serverならば、解決出来る のです。 またWindows Home Serverは、バックアップも自動で行ってくれます。 1.月の最初、2.週の最初、3.その晩、のデータを3つづつ、計9つ 取っておいてくれます。これだけ置いてあれば、たいてい困ることはないで しょう。 ついでに、クライアントPCのバックアップも取るように設定する事が 可能です。一晩中電源を入れておく必要がありますが、ハードディスクが 壊れたときには助かりますね。復旧作業時間を大幅に節約出来ます。 小規模の事業所では、検討してみてはいかがでしょう? ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 3.用語の定義 3.1 情報資産(資産) 単純に整理すると、 『情報資産』は、「情報」と「情報を利用するために必要ないろいろなもの」 という事になります。情報を利用するためのものについては『保護する必要が あるかどうか』という点が、「情報資産と扱うべきかそうでないか」の分かれ 道になります。 【解説】 厳密に言えばISO27001やJIS版には、”情報資産”という用語は書かれていま せん。単に”資産(asset)”と書かれています。日本情報処理開発協会(JIPDEC) のISMS認証基準に書かれていただけですので、ISO27001だけを対象とする当 メルマガでは使うべきではない用語かもしれません。 しかし単に”資産”と言ってしまうと、特殊な用語ではなくて普通の日本語 に見えます。土地、建物、車などの情報セキュリティマネジメントをする上で は直接関係のないものが連想されてしまいます。一般の日本語ではなく、特殊 な意味を持った「用語」なのだよ。という事を分かりやすくするために、当 メルマガでも”情報資産”と表現することにしました。 『情報資産』に含まれるものには、まず『情報』そのものが挙げられます。 紙に書かれているもの、電子的に書かれているもの、頭の中にだけあるもの..。 いろいろな形で情報は存在しているでしょう。紙に字や図が書かれていたり、 フロッピーになにかデータが入っていたら、即、「情報資産だ」とした方が 整理上単純でしょう。 他に『情報資産』に含まれるものとしては、『情報を利用するために必要な もの』があります。電子情報だったら、コンピューターがなければ利用できな いでしょうし、その形式のファイルを開くソフトウェアも必要です。ですから、 コンピュータなどのハードウェアやソフトウェアは「情報資産だ」という事に なります。情報がサーバーコンピューター上にあるなら、サーバーやネット ワークやネットワーク機器も「情報資産です」。その情報が入っているフロッ ピーやCDも、不具合があれば情報が利用できなくなってしまいますから「情報 資産だ」という事になります。その他に、プリンターやプロジェクターなどの 出力装置も「情報資産です」し、スキャナーやOCR装置、外付けのフロッピー、 MO、メモリーカードドライブのような入力装置も「情報資産です」。 今時はあまりありませんが、マイクロフィルムに情報が入っているならマイ クロフィルム読み取り機も「情報資産です」。ビデオテープに情報が入って いるならビデオデッキ、スライドフィルムならスライド映写機...、果ては、 FAX機や電話、その回線も「情報資産だ」という事になります。 気を付けなければならないのは「会社の情報資産には何があるだろう」と リストを作る時に、お客さんなどから預かった情報を除外しない事です。お客 さんから預かった大切な情報ですから、情報セキュリティを保たなくて良い わけがありません。ISO9001を取り入れているなら”顧客支給品(又は預かり品)” という事になりますからなおさらです。その辺について情報セキュリティ事務 局では良く分かっていても、実際にリストを作る各部の人達は”会社の”と いう表現にとらわれて、所有権を意識してしまい、除外してしまう事が良く あります。 同じように「会社の中の情報資産には何が..」と言ってリストを作ろうと すると、業者さんに加工してもらうため(印刷原稿など)や、お客さんなどに 返したり引き渡したり(納品物)する途中の情報も、「”会社の中”にはない」 と誤解されやすいので注意して下さい。情報は敷地の外にある時の方が、運送 業者の引渡しミスや交通機関・飲食店での忘れ物、車上狙いなどの危険がいっ ぱいです。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所では、1月末にWebサーバ、メールサーバの移転を 行いました。何か不具合を発見された方は、ご連絡いただけると幸いです。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、専門職以外の派遣労働廃止は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
