2009/03/26
日常語ISO27001 with セキュリティ新事情 ~4.2.1e,f)
o.209 09.03.23 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 今週は記事は早めに書いてあったものの、発行作業を忘れて出張に出て しまいましたので、こんなに遅い発行になってしまいました。 さて先週は、また珍しい情報セキュリティ事件が起きていました。コイン ロッカーからノートPCが盗まれ、格納してあった情報が漏洩したのです。 こんなニュースを見たのは、これまでにも1回くらいしか記憶にありません。 おそらく、ロッカーにPCらしいものを入れるところを見られていて、 そこを狙われたのだと思いますが、本当に油断も隙もありません。 そうかと思えば、鳥取県の職員が個人情報を格納したUSBメモリを出張 先で普通に紛失していました。鳥取県庁では、情報セキュリティ要領を未だ にまとめている最中で、実施に移されていなかったそうです。盗む方はどん どん狡猾になっている一方、守る方の対策はどこまでも遅れています。まぁ、 ちゃんと対策を行っている側から見ると、他の誰かが簡単に盗まれてくれれ ば、盗む側の技術があまり進みませんから助かります。 我々だけは、人柱にならない様に致しましょう。では、209号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− さて上に述べた様に、対策が進んでいない団体では全然進んでいない情報 セキュリティ対策ですが、IPAはそんな団体(会社を含む)に向けて、 「中小企業の情報セキュリティ対策ガイドライン」を発表しました。 (http://www.ipa.go.jp/security/fy20/reports/sme-guide/index.html) 筆者の感想を一言で言えば「これで十分ではない」ですが「良くまとまっ ています」。 欠点は、「中小団体で現在対策が出来ていないところ」を対象にしている ため、あまりに初歩の事しか書いてありません。それなりに対策が出来て いる団体では参考にならないかもしれません。また、「対策費が充分でない 事を前提に」書いてありますから、一部に時代遅れになりつつある対策を 推奨している箇所もあります。ですから、「これを全部やっていても、十分 とは限らない」事になります。 例えば無線LANの暗号化について、WEPを使う事は全否定しています。 当たり前です。今ではWEP暗号を数秒で破ってしまうプログラムが普通に 手に入ります。ところが推奨しているのがWPA暗号なのです。現在売られ ている無線LANアクセスポイントならば、WPA2暗号が必ず実装されて いますからその程度を推奨すべきなのですが、敢えて「場合によっては10 分ほどかけると破れなくはない」という程度でしかないWPAが推奨されて います。5年以内に買った機器はなるべく買い替えさせない配慮なのでしょ うか、暗号破りに関する情報が古かったのでしょうか。 もう一つの欠点は、「対策の具体性が低い」という点です。「...に ついて、どうするか決めておかなければならない」と書いてある箇所が 多すぎます。もちろん、「どうするか決めてあればどの様に決まっていても 構わない」というわけではありません。ある程度の常識的な線はあるのです がそれが書かれていないのです。 これはおそらく、扱っている情報の機密性の差や、ガイドラインをまとめ ている間に「例示する策が時代遅れになる」可能性が考慮されたからなので しょうね。WPA暗号も「一部解読される様になった」と言われ始めたのは 08年の11月の事でした。情報セキュリティは、ホンの数ヶ月でかなり変わっ てしまう事がありますから、文書をまとめる数ヶ月、あるいは文書が出て から読者がそれを目にするまでの数ヶ月の間に妥当ではなくなってしまう事 がいくらでも発生します。それを避けたのかもしれませんが、それでは 「全然わかっていない中小企業」の役には立たない事でしょう。 それでも。「ここより遅れていれば確実に時代遅れ」という基準として、 このガイドラインは有効に利用する事が出来そうです。「5分で出来る自社 診断シート」なんてのもあります。ここに書いてある25策が一つでも行わ れていなければ、確実に「問題がある」状態です。その代わり100点でも 「大丈夫」という事は出来ません。診断解説の方にもその様に書いてあり ます。その辺に注意の上、一定の参考になさってはいかがでしょうか。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.2.1e) (リスクアセスメント) リスクアセスメントは次の様なやり方で行って下さい。 1)セキュリティ上の問題が実際に起こった場合の、事業に対する損害の程度 を見積もる。 機密性や、完全性、可用性が保たれなくなることが、どの様なことになるか 予想して、その予想結果から考えて下さい。 2)セキュリティ上の問題が実際に起こる可能性を見積もる。 これは ・どんどん増している危険 ・情報資産が持っている弱点 ・情報資産を狙う側から見たメリット ・今既にやっているセキュリティ対策 の4点を考えて見積もって下さい。 3)上の1)と2)の結果から、リスクのレベルを(何段階かのうちの何段目 かを)決めて下さい。 4)4.2.1c)で決めておいた「ここまでやってあれば、これ以上は仕方がない」 と判断する基準と比較してみて、それぞれのリスクを「”許容”する」のか 「何か手だてを用意する」のか判断して下さい。 【解説】多くの場合は、1)(リスクの重大性)と、2)(リスク発生の可能 性)をそれぞれ3〜10段階評価して、その2つをかけ算して、出た答えを 3〜5段階に整理します。 そして、一番低い評価になったものだけを、”許容”することになるケー スが多いです。 4.2.1f) (リスク対応策の選択) 上の4.2.1e)で、「対応して何かする」と判断したリスクについて、どの様な 対応をするか決めて下さい。「対応」には、例えば次の様な対応が考えられます。 ・何かの「管理」を行う。 ・リスクを「回避」する。(絶対に、問題が起こらない様にしてしまう事) ・リスクを「移転」して、保険を掛けたり、出入りの業者さんと損害賠償契約 を結んだりする。 もう一つの選択が、 ・リスクを「許容」する事になります。 但し、会社のセキュリティポリシーと4.2.1c)で決めた”基準”に合っている 場合にだけ、「リスクはあるけれども、これは”仕方がない”事にして許容する のだ。」という事を意識して、「許容」して下さい。 【解説】「リスクを回避する」というのは、例えば、フロッピーディスクを 踏みつけてしまうというリスクに対して、フロッピーディスクを使用禁止 にしてしまうとか、ノートPCが盗まれて、中の情報が漏洩するというリス クに対して、ノートPCに秘密情報は保存せず、常にサーバーに置いて利用 する事にする。という様な事が考えられるでしょう。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 1月末にWebサーバを移転しました。不具合を発見された方はご連絡下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
