2009/04/27
日常語ISO27001 with セキュリティ新事情 ~4.2.3監視・見直し
No.213 09.04.27 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 2週間も開きますと、ここで触れたい話題がたまってしまうものですね。 毎週だと、話題を探すのが時々大変だったものですが。 さて、「やはり」と言うべきでしょう。三菱UFJ証券から名簿業者への 情報漏洩は回収不可能なほどに拡散していた模様です。当初は「転売された 先は13社に限られていて、そのうち11社からは既に回収の合意が得られ た。」なんて回収に自信を見せていましたが、やはりそんな事は無理だった のですね。 だいたい、最初から反社会的な事を事業にしている名簿業者が、素直に 全部の転売先を教えてくれるとは思われません。それは、どれだけお金を 積んだとしても同じです。数社間引いて教えたところで、漏洩が起こって しまった会社側にバレる事はあり得ないからです。しかも、今回は3社の 名簿業者に情報が漏洩していましたから、「自分だけは全部開示した」と 言い張れば、迷惑勧誘を行う業者があってもどこから出たのかわかりやしま せん。 同様に転買いした業者についても、回収に応じたフリをしてコピーを持っ ていたり、再転売して取得代金を回収していたりするでしょう。どうして、 「回収出来そうだ」なんて考えたのでしょうかね。 傘下には、情報セキュ リティコンサルティングをしている会社もあったと思うのですが、使わな かったのでしょうね。結果として、確認出来ているだけで80社ほどに名簿が 流れていると見られていますから、当初目論見は大きく外れました。 お粗末。では、213号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 今春から、情報処理技術者資格が改編されました。かつて、情報セキュリ ティアドミニストレーター、テクニカルエンジニア(情報セキュリティ)と いう資格(試験)はなくなって、「情報セキュリティスペシャリスト」という 資格(試験)が新設されました。 新しい試験ですので、筆者も受けてみました。いやぁ、難しいですね。 旧セキュアドと、旧テクニカルエンジニアの両方に合格出来る様な知識が ないと合格しそうにありません。筆者は全然対策(勉強)をしないで受けに行 きましたので、今回は合格できそうにありません。いや、少なくともCGI プログラムくらいは組めないと、解けない問題が多すぎましたのでこの先も 難しいかもしれません。そう言う意味で、旧テクニカルエンジニア(情報 セキュリティ)の方に近いのではないかと感じました。 試験の中身を紹介しましょう。 午前試験はIとIIに分割されました。午前Iは50分:30問、午前IIは 40分:25問ですから、問題数は5問増えていますね。逆に試験時間は10分 短くなっていますから、キツイです。 午前I試験は、プロジェクトマネージャ、データベーススペシャリスト、 エンベデッドシステムスペシャリスト、情報セキュリティスペシャリスト、 システム監査技術者 の共通の問題です。最大公約数的な共通問題ではなく、 どれかに該当して必要な知識は広く出されていました。それも、ホンの基礎 的な部分よりは結構深かった様に感じました。 ”サーバ用の一般的なソフト名”、”CMMIの開発モデルの目的”、”シス テム管理基準の中身”、”監査証跡に関するもの”、”ERPパッケージ導入の 留意点”、”共通フレーム2007の中身”、”TLO法の中身”などを問う問題が 出されていて、どの分野にしても結構高度な事まで聞かれます。広く、深い 知識が必要で、かなり高いハードルと言えるでしょう。 午前IIの問題の方は、情報セキュリティスペシャリストだけの問題です。 レベルは午前Iよりも数段高いですが、これは楽勝で解けました。 午後I問題は、今回から4問中2問解答すれば良くなりました(これまで 4問中3問)。問1は、パケットのログ解析をする問題でした。問2はCG Iプログラムの脆弱性対策をする問題、問3はハッシュ関数に関する問題、 問4は特権管理から内部統制までに渡る問題でした。おそらく、テクニカル エンジニアは問2と3を、セキュアドは問1と4を選択したのでしょうが、 セキュアドで、ログ解析まで出来る人は少ないでしょうし、株式を公開して いない会社の人出は内部統制について良く知らない人が居ても不思議はあり ません。少なくとも今回情報セキュリティアドミニストレーターには、かな りキツイ試験問題だったのではないでしょうか。 午後II問題は、これまでと同様に2問中1問選択です。問1がテクニカル エンジニア向き問題、問2がセキュアド向き問題でした。試験時間が1時間 半から2時間に伸びていましたが、何故だかわかりません。1問ならだいた い1時間で解ける程度の問題です。 印象としては「これだけ広く深い知識を求めてどうするのか??」という 感じですね。元々午前問題では、各分野で活躍するのに全然必要なさそうな 知識がやたらと広く問われていました。今回はその傾向が強まっています。 午前I試験をやめてしまって、午前II試験を拡充した方が良いと思うので すが、他に受験した方はどう思われたでしょうか。 また、試験難度が上がってしまったという事か、今回の試験問題で出た 用語で、メルマガ誌上でも解説しておいた方がよいと思われる用語は見あた りませんでした。再度探してみておきますが、ここではあまり難しい用語の 解説はしない事にしています。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.2.3 ISMSの監視及び見直し a)〜g)は原文のままの項目番です。ここでは分かり易い様に掲載順を整理 しています。 ▼監視 a)ルールや管理策は、次の様な監視を行って下さい。 1)計算などの情報処理結果に間違いがあったら、早く気が付く様な監視 2)情報セキュリティ違反、事件、事故が起こったら、早く気が付く様な監視 (これには、実際には違反、事件、事故が起こらなくても「起こりそうだ った(未遂の)状況」にも気付く事が出来る様にしておいて下さい。) 3)代理の人に頼んだ情報セキュリティ活動があるなら、その頼んだ活動が ちゃんと期待通りに行われているかどうか、頼んだ管理職が判断できる様 な監視 4)インジケーター(ランプやアラーム音)を使って、何かあった時に気が 付きやすくしておいて、事件にまでなるのを防ぐ 5)セキュリティ違反の解決のために、とった行動に効果があったかどうか という監視 【解説】このa)は、付属書A.13「情報セキュリティ事件の管理」や、A.15. 2「セキュリティポリシーや標準及び技術コンプライアンスの見直し」と 一部重なっていますが、全部は重なっていませんので、ISMSを作り上げる 時は抜けない様に注意が必要です。 尚、4)項の”インジケーター”はJIS版では”表示”となってしまって いて意味がわりにくいですが、原文が”indicator”ですから上の様な意味 です。 c)管理策がうまく効いているかどうか調べて、セキュリティ上必要な事が満 たされているかどうか確かめて下さい。 h)ISMS上の活動や、起こった事の記録をとって下さい(ISMSの効果に影響が あるかもしれない程度に重要なものだけで構いません)。(4.3.3項参照) ▼内部監査 e)あらかじめ決めた(以内の)間隔でISMS内部監査をして下さい。 注)内部監査とは、”自主的に行う”監査という意味です。必ずしも社内の 人がやらなければならないわけではありません。社外の専門家に依頼して 行っても構いません。 ▼見直し b)ISMSがうまくいっている(効いている)かどうかという見直しを定期的 に行って下さい。ここで見直しの材料にする事項は以下の通りです。 ・セキュリティポリシーがどれくらい守られていたかという事 ・管理目的のが満たされているかどうかという事 ・管理策(手だて)の変更が必要かどうかという事 ・セキュリティ監査の結果 ・ISMSがうまくいっているかどうか調べた結果 ・発生した(しそうだった)セキュリティ事件・事故 ・何かの提案 ・外部の人の意見 f)定期的にISMSマネジメントレビューを実施して下さい。 【解説】このb、f)は、7.1〜3項に書かれているマネジメントレビューと ほぼ完全に重なります。 g)この監視・見直しで何か結果が出たら、情報セキュリティの計画類も見直 してそこへ盛り込んで下さい。 【解説】JIS版では”セキュリティ計画を更新する”と書いてあるので、 「ここまでに、ISO27001に書かれていないが『セキュリティ計画』という ものが作られていなければならない」という誤解を生みそうです。 しかし、JIPDECやBISジャパン経由の情報によると、ISO技術委員会では、 「『セキュリティ計画』とは、『ISMSで作った様々な計画類』という事を 意味していて、何か特別なものを意味してはいない」という見解だという 事です。ですから、リスク対応計画や訓練計画や監査計画などのISMS上 作った色々な計画類と受け取って下さい。 JISが「セキュリティ計画」と訳さずに、「セキュリティの計画類」と 訳してくれていれば発生しなかった問題です。 ▼残留リスク d)残っているリスク(残留リスク)と、許容できるリスクのレベルについて 見直して下さい。この見直しでは下の事を考えに入れて下さい。 ・会社(の情報セキュリティに対する考え方など)の変化 ・世間の技術の進化や会社で使っている技術の変化 ・事業上の目標や仕事のやりかたの変化 ・情報資産の狙われ具合(脅威)の変化 ・やっている管理策の効き具合 ・社外の状況(例えば、法規制の変更、社会の関心)の変化 【解説】社会の関心の変化とは、例えば個人情報の漏洩に敏感になって来る などがあります。 尚、このc)は7.3項b)とほとんど重なっています。7.3b)5)を7.3b)1〜 3)を考慮して行って下さいと書かれているだけの様なものです。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
