2009/04/06
日常語ISO27001 with セキュリティ新事情 ~4.2.1hij)
No.211 09.04.06 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 昨日は北朝鮮が大陸間弾道ミサイルの試射をしました。日本を飛び越えて 行ったのですから、日本がその射程に入っていることが明らかになったわけ です。 ISMSに長けているハズの読者の皆様の中には、こう思った方も居た はずです。「ISO27001のA14項が求めている『事業継続管理』では、この ミサイルが飛来する事を考慮に入れなければならないだろうか?」 筆者が考えますに、その必要はないでしょう。今回は、発射準備開始から 準備が整ったと宣言するのに2日を要しています。大急ぎでやっても丸1日 かかるでしょう。もっと射程が短いミサイルでもかなりの時間がかかるハズ です。ですから、その間に米韓が航空攻撃で殲滅してしまうと予想されます。 地震などで拠点が大ダメージを受ける事が想定されているなら、その延長 で概ね対応可能だと思われます。 では、211号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− さて今週も、IPAが発表していた『情報セキュリティ10大脅威』から 取り上げましょう。 (http://www.ipa.go.jp/security/vuln/10threats2009.html) 他はだいたい解説済みですので、八位の『減らないスパムメール』です。 「スパムメールは減った」という調査結果もみかける事はあるのですが、 筆者の体感からもスパムメールはあまり減っていない感じです。色々な調査 結果から推測すると、全インターネットメール中90〜98%がスパムの様です。 スパムメールの解説を1度やってからもう4年が経っていますから、 「スパムメールとは」からやり直しましょうか。 「スパムメール」は、「バルクメール」「迷惑メール」などと呼ばれる事 もあります。受信者の方には全く用がないが、メールアドレスを教えた覚え もない相手から送りつけられるE−メールの事を言います。送る方が大量 (バルク)に送っている事からバルクメールと言ったり、”スパム”という 商品名のランチョンミート缶詰のテレビCMが「スパムスパムスパム」と 連呼してしつこい事から、”しつこい”という意味を残して「スパムメール」 と呼ばれたりしています。 多くは、詐欺を狙った勧誘です。性風俗、金融、学位、高級時計、ED薬 などで受信者を惑わせる事を狙っています。必ずしも詐欺とは限りませんが、 風営法や著作権法違反が前提の怪しい商売です。リンクをクリックすると、 不正プログラムに感染することもよくあります。 スパムメールの何が問題なのかというと、不正プログラム感染の他に 1.詐欺に引っかかってしまう人が出る。 「そんなバカな」と思うでしょ うが、ネット初心者はどこまでも初心者です。少数でも誰かが引っかかっ ているからこそ、スパムメールが減らないのです。 2.インターネットが混み合う。 ネット通信の半分以上が、スパムメール などの不正目的の通信だろうと推定されています。プロバイダは、その分 の通信設備まで用意しないと、ユーザが満足する通信品質を確保出来ませ ん。 3.受信したスパムメールを消去しなければならないが、その作業に時間が 取られてしまう。 4.用があるメールがスパムメールに埋もれてしまって、見逃す事がある。 5.用があるメールを見逃さないようにしようと思ったら、何らかの方法で ふりわけなくてはいけなくなる。 6.コンピュータが振り分けると、どうしても用事のあるメールの一部を スパムメールと判定してしまい、そのメールはさらに見落とされやすく なってしまう。 筆者も、仕事用、プライベート用の全アドレスに来る「スパムメール」を 毎日500〜1000通消去しています。多くは、怪しいかもしれない会員サービス 登録用アドレスに届いているのでスパムと判定されたメールは、確認もしない で消去していますが、それでも毎日200通くらいは、発信者と件名のチェック を行っています。本当に困ってしまいます。 また、あるお客様から来るメールは必ず「スパム」判定されています。お そらくメールサーバが脆弱性を抱えたままで、ブラックリストに載っている のでしょうね。この様に、来ているメールを見逃す、あるいは「送るメール が届かない」という事が発生するのが、スパムメールが多いことの最大の 弊害です。 つまり『あなたが送ったそのメールは、相手に届いているとは限らない』 のが、今のインターネット事情だという事になります。 メールにすぐ返事がない場合は、そのメールは相手に届いていないかも 知れないと考える必要があります。同様に、確実に届かなければならない メールを受け取った時は「届いた」旨連絡をするのが、現在のメールマナー になりつつあります。 「スパムメール」さえ少なければ、こんなに面倒な事をする必要はないの ですが。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.2.1h) (残留リスクの承認) リスクが残る事と、その残るリスクについて社長さんの承認をもらって下さ い。 【解説】リスクが残るのは、「許容したリスク」によるものも有りますが、 そもそも大したことがないから「許容する」ので、そちらに残るリスクは ちゃんとリスクアセスメントされている限り問題ではありません。 むしろ、すぐには対応できない経済的・物理的理由があって、目標を 立てるなど計画的に対応を進めて行く事に対して、計画が実行されるまで の間に”残る”リスクなどが問題となるでしょう。 4.2.1i) (ISMSの承認) (リスクが残る)ISMSを会社のシステムに取り入れて、運用を始める事に ついて、社長さんの承認をもらって下さい。 【解説】普通は、費用対効果の問題などからリスクが全く残らないISMSを 作るのは困難です。2002年版まではその「『リスクが残る』ISMSの 承認をもらう」と明記されていたのですが、2005年版(ISO化後)は明記 されていません。但し意味は変わっていないと思われます。 4.2.1j) (適用宣言書) 『適用宣言書』を作成して下さい。 適用宣言書には、 ・4.2.1g)で選択した管理目的/管理策と、選択した理由(付属書Aに乗って いないものも含む) ・今やっている管理目的/管理策 ・付属書Aに載っていて、選択しなかった管理目的/管理策と、その選択 しなかった理由を書いておいて下さい。 【解説】1.2項を参考にして下さい。選択しない場合には充分な理由が必要で す。また、1.2項の言う「『除外しても良い』という、責任者の正式な承認 の証拠」は、適用宣言書が承認されている事で満たすのが良いでしょう。 ISO9001の品質マニュアルと同様に、管理策を具体的に定めた文書(規定 など)が参照できる様にしておくと、適用宣言書の利用価値が上がるでしょ う。極力そうするべきです。 【解説】行動順を普通に考えれば、j)適用宣言書の作成は、h、i)残留 リスクとISMSの承認の前、あるいは同時になるケースの方が多い様に思わ れます。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 1月末にWebサーバを移転しました。不具合を発見された方はご連絡下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
