2009/05/26
日常語ISO27001 with セキュリティ新事情 ~4.3.1文書化
No.215 09.05.25 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 今週末、石川県庁で大規模なソフトウェア著作権違反が発覚していました。 のべ約550本を不正にコピーして公務に使っていて、4000万円程度の和解金を 支払って解決するべく交渉にあたっているとの事ですが、額が大きいので 議会を通さないとならないほどになっています。おそらく、責任を明らかに しなければこれだけの額の出費は議会を通らないでしょうね。 この様にソフトウェア著作権問題で損害賠償に及ぶのは、初めての事では ありません。今までにも何回か起こっています。もちろん、違法コピーを して使っていた場合は、後から正規の価格だけを払えば済むという問題では ありません。万引きをしていたのと同じ事ですから、もっと高額を支払わな ければならくなります。 小規模の著作権違反にまで賠償請求が発生するのは先の事だと思われます が、ソフトウェアも不景気で売れなくなっているでしょうから損害賠償請求 をするヒマが出てきていて、そちらで入金を増やす経営戦略が採られる様に なって来るかもしれません。もし、ソフトウェアの違法コピーをお使いの 会社がありましたら、賠償請求の危険も増しています。正規の利用ライセン スを取得される様にお勧め致します。 では、215号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 情報セキュリティに興味があれば、マイクロソフトのアップデートは毎月 1回定期的に発表されているというのはご存じの事でしょう。以前は、 Windowsやインターネットエクスプローラーに不具合が発見されて対応が可能 になる度にアップデートが提供されていましたが、あまりに頻繁になって 毎週何回ものアップデートが必要になったため、ほとんど誰もチェックし 切れなくなり、03年11月からは月1回にまとめられる様になったのです。 自動アップデート機能も標準ではなかった時代の話でした。 それ以降、毎月第二火曜日(アメリカ時間なので日本では実質的に翌日: 第二水曜日とは限らないので注意)にはWindows、IE、OEがまとめて1月分 アップデートされる様になり、第二火曜日はUpdate Tuesdayと呼ばれる様に なりました。何の不具合も発見されなければ、何もアップデートされないの ですが、そんな事は今まで起きていない様です。また逆に、緊急性のとても 高いアップデートは、第二火曜日以外でも対応でき次第発表するという事に なっていますが、第二火曜日以外にアップデートが発表される事は数年に 1回しかありません。 これで「チェックしきれない」という状況は解消しましたし、今年からは アドビ社もアップデートを数ヶ月に1回まとめて発表する様にするそうで、 それなりの利点もある様ですが、その代わりに別の脅威も発生しました。 悪者が、新しいセキュリティホールを突いて不正行為をする時には、第二 火曜日が狙われる様になったのです。第二火曜日又は数日前に攻撃を始めれ ば攻撃が分析されて、セキュリティホールの修正が出来るようになっても、 翌月の第二火曜日まではまず修正されません。悪者には1ヶ月間の「やり たい放題期間」が設定された事になってしまったのです。 困ったことに、これ自体に対して我々はどうする事も出来ません。マイク ロソフトの力は強大です。しかし大会社などでは、マイクロソフトからアッ プデートが発表されてもすぐには適用していない事が多いはずです。社内 専用に開発されたソフトウェアなどを使っていて、Windowsをうかつにアッ プデートしてしまうと、社内ソフトが動かなくなる危険があるからです。 マイクロソフトからアップデートが発表される → 社内で、社内ソフト が問題なく動作する事を確認する → 社内PCのWindowsを更新する と なっていて、社内ソフトが不具合を起こすかどうかの確認に結構手間がかか るのが常なのです。しかしこの期間を縮めませんと、悪者の「やりたい放題 期間」がどんどん伸びます。なんとか、短くなるように対策下さい。 尚、マイクロソフトの4月の発表によりますと、「MSオフィスのセキュ リティホールを突く攻撃の9割は2年以上前に発見(対策)されたものだ」と の事です。オフィスのアップデートが社内ソフトに及ぼす影響までは確かめ ていられないので、「オフィスはアップデートしない」事にしてしまって いる会社が結構たくさんあるという事なのでしょうね。 あるいは、Windows を自動アップデートにしないでオフィスだけを自動 アップデートにする方法はありませんから、オフィスのアップデートにまで 情報セキュリティ要員の手が回らないのかもしれません。 『常識的にやらなければいけないソフトウェアのアップデートだが、結構 アップデートが遅れたり、やられなかったりしている事がある』というお話 でした。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.3.1 文書化一般 会社は、次のものを文書にして下さい。 a)情報セキュリティポリシー(4.2.1b項)と管理目的 b)ISMSの適用範囲(4.2.1a項) c)ISMSに関する手順や管理策(4.2.1g項) d)リスクアセスメントのやり方を決めた手順書(4.2.1c項) e)リスクアセスメントの結果(4.2.1c、d、e、f、g項) f)リスク対応計画(4.2.2a項) g)自社のISMSがちゃんと効き目がある様にするために、会社が必要だと 判断した手順書 h)ISO27001に取っておくように求められている記録 i)適用宣言書(4.2.1h項) 注1:c)などの”手順書”とは、何かの行い方を決めて書いてある文書で す。手順書は、やり方がちゃんと決められていて、分かるように書いて あって、その通り行われて、必要があったら改められる必要があります。 注2:c)などの手順を文書化しておく必要のある範囲は、会社によって 変わりますからよその会社のISMS文書を写させてもらっても、自社では 適切でない可能性が高いでしょう。 −会社の規模や事業内容が違います −ISMSの適用範囲やセキュリティに必要な事柄、管理している情報 システムが違います 注3:文書や記録の様式は何でも結構です。また、紙に書いてあっても電子 的なものでもよいです。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して 提供しています。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
