2009/03/17
日常語ISO27001 with セキュリティ新事情 ~4.2.1c,d)
No.208 09.03.16 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 地方によって多少の差があるでしょうが、スギ花粉飛散がピークに達して います。筆者も体調に大きな影響を受けて困っていますが、全国的にたくさ んの人が影響を受けている事でしょう。体調の悪い人が出ることで間接的に 影響を受ける事まで考えると、ほぼ全国民が影響を受けそうですね。 そんな中、黄砂も飛来しています。暖冬だった影響なのか、今年はかなり 多い様に見受けられます。これだけの粉が日本中飛んでいるとすると、 コンピュータの中にも溜まらないかちょっと心配になりますね。 ついでの話ですが、これだけの粉が日本中を舞っている中、次の日曜日に は東京マラソンが開催されます。ランナーや観戦者に悪影響が出たりしない ものでしょうか? では、208号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 今月に入って、もしかすると今後の情報セキュリティ上一つの転換点に なるかも知れない事が起きました。 警察庁の東北管区警察局では、「仕事を家に持ち帰ろうとして」警察職員 の名簿などを「私有の外付けHDDにコピーして」自宅に持ち帰っていた職員が 減給処分(10%・3ヶ月)になったのです。 大企業や官庁では既に、仕事を家に持ち帰る事や、その為に何かの情報を 家に持ち帰る事は禁止なのが常識になっています。しかし、その情報が漏洩 したり紛失したりしない限り、処罰の対象となったというのは初耳の話です。 今回は漏洩・紛失があったわけではなく、「一斉点検」で発覚したのだとの 事でした。(どう一斉点検したら発見出来たのかは、わかりません) さらに、今回持ち出されていたのは顧客情報や住民情報ではなく職員名簿 ですから、何かあっても外部に迷惑がかかるわけではありません。これまで の例と較べても厳しい処分でした。 該当の職員の場合は、職場のPCに音楽情報や画像がコピーされていたと の事ですから、それが元で発見されたのかもしれません。処分は、業務用 PCに私用データが置かれた事が含まれていたのかもしれませんね。 ともかくも「内規に違反して情報を家に持ち帰った事によって、減給の 懲戒処分が下された。」という発表になりました。 一方、中小企業ではどうなっているかというと、「役付きの社員は仕事を 家に持って帰りるのが当たり前」という労働基準法上も問題がある状態の ままである事が珍しくありません。帰宅途中に一杯飲んでその隙にカバンを 奪われたり、会社からは惰性的に仕事を持って出るもののクルマに置いた ままにして夜間に盗まれたりする事件が未だに後を絶ちません。 それどころか、小規模の営業所ではノートPCしか置いてなくて「PCは 毎晩全社員が家まで持って帰る」事にしている例もあるくらいです。 「仕事を家に持って帰るだけで、極端な場合は処罰を受ける様になって きた大企業/官庁」と「役が付いたら、格好だけでも仕事を家に持って帰ら なければならない雰囲気がある中小企業」間の感覚差は、あまりにも大きく なり過ぎました。 最初の就職からそこに居れば、他の会社では常識が全然違うというのは、 なかなか想像出来るものではありません。大企業が中小企業に情報処理など を業務委託することはたくさんありますが、契約を取り交わす時にお互いの 常識が違うという事を前提に契約内容が考えられることはあまりないでしょ う。契約上も、情報セキュリティ面には特別な注意が必要になって来ます。 そうなると、これからは中小企業でも徐々に「仕事を家へ持って帰らない」 事が強制されて行く事になります。それはそれで、「休日でも担当者の携帯 電話に連絡すれば何とか対応」される事が多かった日本の商習慣が見直され る様になりますね。大企業側が「きめ細やかなサービス」の一環として半ば 押しつけていたわけで、随分勝手な話です。「両立させろ」なんて無茶な 要求にならない様に期待したいものです。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.2.1c) (リスクアセスメント概要) リスクアセスメントのやり方は、一つの考え方に沿って、矛盾がない様に 決めておいて下さい。 1)そのリスクアセスメントのやり方は、次の3つにふさわしくなる様に決め て下さい。 ・ISMS全体 ・仕事上、セキュリティを保たなければならない事柄 ・法律がある事などで、セキュリティを保たなければならない事柄 2)情報セキュリティリスクが「ここまでやってあれば、これ以上は仕方が ない[受容する]」と判断する基準は、あらかじめ決めておいて下さい。つまり、 「これ以上は、やっていられなくても仕方がない事にするのだ」という部分を 決めておく事になります。(5.1f)にも書いてあります) このリスクアセスメントの方法は、過去のアセスメント結果などとうまく 比較出来るとか、調べる人やちょっとした事によって結果が左右されない (再現性が良い)とかいうものでなければなりません。 【解説】ここに書いてある事は4.2.1d)〜h)にも書かれていますから、強く 意識しないでも良いでしょう。他の項に書いてある事をどの様にやるか 決める時に、ここに書いてある事も確認して下さい。 4.2.1d) (リスクの特定) 会社は、どのような情報セキュリティリスクがあるのか整理して一覧できる 様にして下さい。その整理をする時には、下の全部を、それぞれ整理して(一 覧表などに)まとめられている様にして下さい。 ・ISMSの適用範囲にある全部の情報資産と、情報資産ごとに何かあった場合 に責任を持つ人 (所有者という用語を使っていますが、所有権を問題にしているわけでは ありません) ・その情報資産に起こるかも知れない、全部の情報セキュリティ上の困った 事[脅威] ・”困った事”が起こる時の原因、または問題点[脆弱性]の全部 ・それぞれの”困った事”が起きた時に、機密性・完全性・可用性上どの くらい困るのかという事 【解説】日常語ISO27001では、「リスクの特定:全部を、それぞれ整理して まとめられている様にして下さい。」と書いているのですが、対訳版/旧 JIPDEC規格には”識別しなければならない”と書いてあります。そのため、 ”識別”が転じて「選別する」と表現して、「ISMSで取り扱うかどうか 選別する」と解釈されていることがありますが、原文では”shall identify” となっています。 「どの様なものが在るのか全部把握しなさい」と受け取るのが自然です。 許容するのかどうかという事は、この後の「リスクアセスメント」の 結果から判断されなければならないのですから、話も合わなくなります。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 1月末にWebサーバを移転しました。不具合を発見された方はご連絡下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
