2009/02/23
日常語ISO27001 with セキュリティ新事情 ~用語.番外 管理目的、経営者
No.205 09.02.23 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ さて、これを公開しても良いのかどうか確認を取るのを忘れていますが、 こういうものは「次号予告」で公開されるのが常識ですので、もう大丈夫で しょう。 この度筆者は、マネジメントシステム月刊誌「アイソス」さんで、毎号 1ページの連載を持つことになりました。内容は、「情報セキュリティ新 事情総集編」です(12回計画)。3月10日頃発売の4月号からの連載と なります。 アフィリエイト契約があるわけではありませんが、宜しければ http://www.isos.co.jp/ からご購読下さい。店頭にはあまり出ていない様 ですが、同ページに取扱書店リストも載っています。 では、205号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 先週は、「内部者犯行によって18万人分もの顧客情報が取り出されて、 名簿業者に渡ってしまった」という事件が発生していました。これによって 架空請求詐欺被害も発生しているとの事です。 迷惑料を1件500円、お詫びと支払いの経費を300円、詐欺被害は大きく ないが弁済させられると計算すると、1億5千万円ほどの被害ですね。相当 の大企業でなければ、倒産してしまいます。 この件で犯人は、ネットカフェから正規のID/パスワードを使って社内 サーバにアクセスしてデータを盗み出していたとの事です。 さて、何故でしょうね? もちろん、社外からサーバにアクセス可能な様 にしてあったという事はありますが、社内からの方が越えるべき壁は少ない に決まっています。 考えるに、おそらく共用IDだったので社外から犯行を行えば、誰がやっ たのかわからないから、社外から悪事を働いたのではないでしょうか。 共用IDだったとしても、アクセスして来た回線や端末の情報は残ります。 社内からやったり自宅からやったのでは記録(ログ)をたどれば、犯人が わかってしまう可能性が高かったので、ネットカフェからやったのでしょう。 ネットカフェは完全会員制のところもありますが、単価が高くても良いなら とか、長時間パック料金が利用できなくても良いならとかの条件次第で、 会員登録が要らないところが多いので、ネットカフェからアクセスした事が 判ってもアシがつかないで犯行が可能だと思ったのでしょう。 もし、社員個別にIDが発行されているのだったら、ネットカフェから 犯行を行うなんて、面倒くさいだけです。バレるものはバレてしまいます。 結局この事件では、犯人自ら犯行を名乗り出て解決しました。犯人には 借金があったとの事なので、そちら方面からの捜査でだいたいバレかかって いたのかもしれません。可哀想な事に、犯人は名簿業者から金銭を受け取れ ていなかったとの事です。無論、懲戒解雇になっています。 「ID/パスワードは共用しない」のが鉄則ですが、この原則を外れると 億単位の被害が出る事があるという事例になりましたね。秘密情報を持って いない会社でない限り、サーバにアクセスするためのID/パスワードを 共有するとたいへんな事になる可能性がありますよ。 メールパスワードの様に、それを知っていたとしても大した事が出来ない (メールの送受信しか出来ない)様なパスワードならば、共用しても構わない 場合がありますけどね。 もっとも、この手の悪事をシステム管理者が行った場合は、止めたり発見 したりするのが困難です。過去には「情報担当取締役」が顧客情報を盗み 出した件も発生していますので、ID共用の禁止だけで万全なわけではあり ません。保有情報の秘密度に応じて対策下さい。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 3.用語の定義 番外2. 管理目的 「具体的にどんな管理策をとるのかは後で考えるが、どんな事を、どんな 状態にする事を目指して、何の為に管理するのかという事を決めたもの」が 『管理目的』です。 付属書Aでは、管理策をまとめる単位として使われています。 「情報セキュリティポリシーよりはやや具体的で、管理策よりかなり大雑把 なもの」です。そんな意味ではISO14001で環境方針と環境目標の中間的な ”環境目的”に似ています。「管理策”群”」と理解した方が分かり易いなら、 とりあえずはそんな理解で構わないでしょう。 【解説】 2002年版BS7799-2解説まで、当サイトでは原文でいう”Conrol Objective” を『管理目標』と統一して表現して来ました。それは、99年版のBS7799-2では 間違いなく「目標」という意味で使われていた事、ISO9001やOHSAS18001で ”Objective”は「目標」と訳されて「目標」の意味で使われている事、からの 判断でした。 しかし、ISO27001(= BS7799-2):05年版では、日本規格協会(JIS)訳通りに 『管理目的』と表現した方が良いと判断し、120°方向を転換して『管理目的』 と統一します。 理由は、ISO27001では表現が整理されて、99年版で言っていた「目標」と いう意味の解釈の方が自然と思われる箇所がなくなった事。JIS訳でもISO27001 では「目標」と訳されている箇所がなくなったので、審査の現場で「目標が 設定されていませんね」なんて言われる可能性が」ほぼなくなった事。そして 何よりISOの技術委員会では、上に示した意味だという共通理解で作業が進めら れたと聞いた事です。 番外3. 経営者(マネジメント) 「マネジメントする」という行動を表す意味を別にしても、『マネジメント (原文でmanagement:マネジメントする人)』の意味は広いです。日本規格協会 が訳した「経営陣」という表現だったら、国語辞典的に「会社の常務会や取締 役全員を指す。」という範囲でしょうが、原文を忠実に解釈すれば、「社長に 代表されるマネジメント(管理)を行う役割の人、管理職(課長またはそれ以下 のレベルの管理職を含む)」という、もう少し広い意味になります。いや、極端 に「社長さん」を意味するケースと「管理職全員」を指すケースに分かれる かもしれません。 ところでISO27001には、ISO9001/14001に書いてある様な「トップマネジメン ト(top management)」という表現がありません。 トップマネジメント(感覚的には社長さん)と、マネジメント(役職者全員)が 明確に区別されていないのです。これはもちろん「区別しなくて構わない」と いうつもりではなく、「区別しておかなくても、読んだらわかるだろう」と いうつもりだったと思われます。 ですから、当「日常語:ISO27001」サイトでは、ISO9001も参考にしながら、 ISO27001が意味するつもりであったと思われる様に『社長さん』、『役職者』 と区別して表現することにします。 『社長さん』という表現について、トップページにも書いた様に、会社全体 でなく事業所単位などでマネジメントシステムを組み立てる時には「事業所長」 「工場長」などと読み替えて下さい。社長さんより会長さんの方がえらい会社、 集団指導体制の会社、銀行や財団法人の様に”社長”という役職のない団体で も同様に読み替えて考えて下さい。 『役職者』という表現について、「課長、係長という様に役がついているか どうか」にはこだわらないで下さい。平社員であっても、その人の指示で何人 かが作業するような体制なのなら、その人は間違いなく「マネジメントをして います」。『役職者』と同等に扱いましょう。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所では、1月末にWebサーバ、メールサーバの移転を 行いました。何か不具合を発見された方は、ご連絡いただけると幸いです。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、専門職以外の派遣労働廃止は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
