2009/03/02
日常語ISO27001 with セキュリティ新事情 ~用語.番外 監査、不適合
No.206 09.03.02 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 興味深い情報セキュリティ事件が起こっていました。なんと暴力団から Winnyネットへの情報流出があったのです。今までに、ありとあらゆる種類の 団体から情報流出があったと思っていましたが、「暴力団から」というのは 初めて目にします。 対して国家防衛を担っている自衛隊でも、Winnyへの情報漏洩件数は数え る気も起こらないくらいにたくさんあります。暴力団は自衛隊よりも相当堅く 結束している様です。そんな結束の堅い団体からも情報漏洩させるとは、 Winnyおそるべし。 「自社の社員は自宅でもWinnyを使っていない」なんていう前提で、情報 セキュリティ対策をなさってはいけませんよ。 では、206号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 最近、ノートPCの本体価格割引とセットで売り出して、普及が急速に 進んでいるイーモバイルのデータ通信カードですが、「5月から、アウト バンドポート25ブロック」を施すと発表しました。目的は、イーモバイル 回線からの迷惑メール発信防止です。おわかりの方には事情も対策もおわか りでしょうが、おわかりでない方にはナニガナニヤラさっぱりですね。 インターネット上やたいていのLAN上のアドレスは、IPアドレスと 言います。基本的に1台のPCに一つずつ付いています。ところが、小さな 会社のインターネットサーバでは、Webサーバも、送信メールサーバも、 受信メールサーバも、DNSサーバも全部1台にまとまっているケースが あって、通信を受け取ったコンピュータがどのソフトにデータを渡せば良い のか困る事が考えられます。 例えて言えば、会社に郵便が届いて宛先に会社名しか書かれていなかった ら、会社の誰に郵便物を渡せば良いのか困りますよね。人間だから、その辺 は推測してなんとか処理しますが、コンピュータにそんな融通は利きません。 ですから、宛名に相当する「ポート番号」までIPアドレスの一部に持たせ て通信するのが当たり前になっています。 ここで、このポート番号は世界中でだいたい統一しておかないと整理が つきませんので、だいたい統一される事になっています。Webならば80番、 メール受信は110番、メール送信は25番です。 メール送信にはパスワード認証の仕組みが基本的にない事から、迷惑メー ルは各方面の送信サーバを踏み台にして送られていました。10年くらい前に は、メール受信(パスワード認証がある)して一定時間以内でないと送れなく なるなどの対策が進んでからは、不正プログラムに感染させたコンピュータ を踏み台にして送られる様になっています。 不正プログラム感染を完全になくす事は出来ません。インターネットプロ バイダは自社回線から迷惑メールが出て行くことを防ぐために、自社送信 メールサーバ以外からの25番ポート通信が外へ出て行く事をブロックする ようになって来ているのです。それを「アウトバンドポート25ブロック (OP25B)」と言うのです。現在では、ほとんどのプロバイダが導入済みの迷惑 メール対策です。 但しそれでは、世の中で困る人がたくさん出ます。例えば筆者はYahoo!BB 回線でインターネットをしていますが、メールサーバはkiriishi.netを使っ ていて、Yahoo!のメールサーバは使っていません。そのままでは、メールを 送れなくなってしまいます。 そこでOP25Bを実施するプロバイダは、587番ポートで送信メールを受け付 けて、25番にポート番号を付け替えて外へ送るようにしています。ユーザ側 では、メーラーの設定を変更する必要が出ます。社有ノートPCでイーモバ イルを導入されている場合には、ご注意下さい。 それにしてもこれだけOP25Bが徹底しますと、不正プログラムも587番ポー トを使うようになって、意味がなくなる時がやってくるかもしれません。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 3.用語の定義 番外4. 監査 「監査」は単に、基準に合っているか、ちゃんとやっているかということを 確認するのみではなく、人が見ても分かる様な”証拠”を集めて記録し、証拠 から事実がどうだったかを探り当て、その起こっていること(どんなやり方を したのか、どのくらい行ったのかというような事)を評価して”問題なのか どうか”ということを決める、日常の仕事とは独立した特別な作業を監査と 言います。 「内部監査」は、「自社が受ける監査」のうち社内で自主的に計画して行わ れるものを指します。 ”日常の仕事とは独立している”というのは、中小企業の場合「監査される 仕事の責任者でも、担当者でもない人が監査員になっていること」と理解して よいでしょう。 内部監査には、その結果を社長さん達に報告するところまでが含まれます。 【解説】 監査は、「真実を探し求める」という意味で”捜査”と似通っていますが、 単に「基準に合っているかどうか確かめる」という意味を持つ”検査”とは 違うものです。 PDCAの管理のサイクルで言えば、”C”の半分近くの役割を担っています。 日常的なチェックは、”監視及び測定”が担っていて。定期的(非日常的、 時々行う)チェックは、監査が担っています。 ISMSが、ちゃんと出来ているか、ちゃんと守られているのかということを チェックして、出来ていたとしても、出来ていなかったとしても、その結果を ”見直し”に渡して『では、どうすれば良いのか』という検討が行われる事に なります。 ”内部監査”は外部の専門家などに頼んで行っても問題があるわけではない ので、正確には”自主監査”がISO27001に期待されていると言えます。 認証 機関の審査などの外部圧力的な指摘がなくても、会社が自分で”問題点”を 発見して、解消し、ISMSを改善していく仕組みを持つという事がISO27001の 期待なのです。 【ISMS監査の特徴】 品質や環境の監査と、情報セキュリティ監査の違うところは『サンプリング が許されない事が多い』点です。例えば50台のコンピューターのうち49台が、 ちゃんとWindowsを更新していても、残りの1台が更新していなかった為に、 その1台が不正プログラムに感染してしまい、会社中に感染を広げるという事 があります。また、たった1箇所のLAN配線ミスでループを作ってしまうと、 会社のLAN全体がマヒします。ですから、多くの事について”全数監査”が必要 になります。 「サンプリングが許されるのかどうか」技術的によく考えて、監査を計画し なければなりません。 【上級的解説】 監査では、単に「実際の行動がルールに合っていない」という様な事を発見 して指摘するのは、真の目的ではありません。もっと言えば、そんな事は全然 目的とはかけ離れています。 「実際の行動がルールに合っていない」のを発見したなら、どのような原因 でそれが起こっていて、どこに問題があって、どうすれば環境マネジメント システムが発展する様な方向で問題が解消できるのかという事まで調べて、 それを指摘するのがマネジメントシステム監査の目的なのです。 ですから、監査の指摘事項を直したら、絶対にISMSは良くならなければなり ません。間違っても悪くなってはいけないのです。 例を挙げると、 単に「国民年金が未納になっている」事実がいけないことであるからと、 未納者個人を攻撃しても、納付させても、年金システムは全く良くなりません。 「未納になりがちな制度」が本当の問題点なので、「未納になりにくい様に 制度改革」するのが、”発展的な問題点の解消”の一例です。 番外5.不適合 何かの決まり事に違反しているか、決めた基準に達していないこと。 ”決まり事”には、例えばISO27001、情報関係法規制、会社で決めた手順 などがあります。明文化されていなくても、常識違反は不適合とした方が良い でしょう。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 1月末にWebサーバを移転しました。不具合を発見された方はご連絡下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
