2009/07/20
日常語ISO27001 with セキュリティ新事情 ~5.1 コミットメント
No.219 09.07.20 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 明後日は日食ですね。日本列島にはまだ梅雨前線も残っていますので、 日本中が晴れるというのは期待できそうにありませんが、なるべく多くの 地域で見られると良いですね。ちなみに、当地の明後日の天気予報は雨です。 情報的には、日食が起きても影響はないと思われますが、急に夜になる事 でGPSが少々狂う事が予想されるなどしています。通信量も多少増えて、 インターネットが遅くなるかもしれません。 軽く警戒くらいしておいても宜しいでしょう。では、218号。 ★情報セキュリティ新事情------------------------ ネットワーク雑誌などを見ますと、SaaSとかクラウドコンピューティ ングという用語が乱れ飛ぶようになっています。以前からあった技術で、 特に目新しいわけではありませんが、注目を集めているという事なのでしょ う。 SaaS(サースと読みます、以前はサーズと読みましたが致死性の高い 病気SARSと区別するため読み方が変わりました)というのは、Software as a Serviceの略です。ソフトウェアをPCにインストールしないでサーバ 上で動かして、遠くからそれを利用するという形態です。ですから、ASP (Apprication Srevice Providing)と同じですね。Webメールシステムも 簡単なSaaSですし、グループウェアサービスや顧客管理サービスがよく利用 されています。考えてみれば、オンラインゲームもSaaSの一種ですね。 一時は、ワープロや表計算のソフトもSaaS/ASPとしてサービスされ始めまし たが、これは流行らなかった様です。 クラウドコンピューティングは、SaaSをさらに発展させたサービスという 事になっていますが、どこあたりが発展しているのかよくわかりません。 クラウドコンピューティングの言葉の定義自体が雲(クラウド)の様で、 定まっていない様に見受けられます。どうも、「ASPと言ってあまり流行ら なかったので、SaaSと言い換えてみたが結局流行らなかった。クラウドと 言ったら、言葉だけは流行り始めた。(中身は同じ)」という事の様です。 これらのサービスのメリットは、第一に非力な旧型PCでも高性能PCに 近い処理能力を発揮させられる事です。次に、システムを自社構築するのに 比べれば、格段に小さい初期投資でサービスを受けられることです。特に、 たくさんの営業所を抱えている会社が全社一貫した顧客管理をしようと思っ たら、こんなサービスは便利でしょう。また、システム運用までの期間は、 自社構築するのと比べれば圧倒的に短期間で済みます。 デメリットは、ソフトウェアのカスタマイズが利かない事です。サービス 事業者は画一化したサービスをたくさんのお客さんに提供することでスケー ルメリットを出していますので、カスタマイズに対応することはコストアッ プでしかありません。次には、データの置き場もサービス事業者側になりま すので、情報漏洩が心配です。どんなレベルの対策が取られて、どの程度 徹底しているのかがわかりにくいですし、悪質な業者は「セキュリティの為」 と言ってそんな情報を一切開示しなかったりします。そんな業者では、倒産 した時にその情報をどこかに売却してしまうかもしれないと疑った方が良い でしょう。最後に、「障害」の可能性が上がってしまう事です。サービス 事業者のサーバやデータセンターでの障害、データセンターの通信障害、 自社の通信障害、これらのどれか一つでも起こるとサービスは一切利用でき なくなってしまいます。 一言で言うと、現段階では「経済的に有利な例はあるだろうが、セキュリ ティ面では不安が大きい」と評価した方が良い様です。インターネット通信 回線も圧迫しますので、採用にあたっては慎重に検討すべきです。 これらのデメリットをカバーする為に、プライベートクラウドと呼ばれる 形態が増えてきました。処理をインターネットの向こう側に任せるのでは なく社内に置くが、PCではやらないというやり方です。...しかし、 それは普通の社内システムですね。呼び方が変わっただけです。 どうも「クラウド」と言うと、新しい技術であるかの様な錯覚を受けるの で、売る側に売りやすくなるという「呪文」に過ぎない様です。呪文に騙さ れて導入してしまわない様に注意が必要です。メリット/デメリットを比較 してちゃんと検討されて下さい。業者が「時代だから」なんて言い出した 場合は、それ以外に何もアピールするポイントがないという事になります。 やめておいた方が良いでしょう。 ☆本題のISO27001解説-------------------------- 5.1 経営者のコミットメント 【解説】”経営者”はここでは、社長さんを意味しています。 ”コミットメント”という言葉は、明らかに日常使う言葉ではありません が、原文の”commitment”を一語で表すうまい日本語がないのです。一般 的に”commitment”を訳す時には、「決意」、「不退転の決意」、「宣誓」、 「公約」という強い意志をもった表明に使われます。仕方がないので、 JIS版同様にカタカナで”コミットメント”と表現します。 「意志決定(decision)」に近い意味と理解してだいたい差し支えありませ んが、常にもっと強い意味で使われています。 社長さんは、ISMSを作り上げて、実施して、PDCAサイクルに基づいた改善を して行くのだという『決意(コミットメント)』を示す証拠に、次の事を行って 下さい。 a)情報セキュリティポリシーを定める b)情報セキュリティ目的(管理目的)と、それを達成する為の計画を定める c)情報セキュリティのための責任体制を、整える d)社員の情報セキュリティ意識を高める (それは1.情報セキュリティポリシー、 2.管理目的達成の重要性、 3.法律を守る事の重要性、 4.ISMSをずっと改善し続けて行く事の重要性、 などを社員に理解してもらう事で達成されます) e)ISMSに必要な資源(人、資金、設備など)を用意する。 f)許す事が出来るリスクのレベルを決める g)ISMS内部監査を行う h)ISMSマネジメントレビューを行う 【解説】a)~h)は全てISO27001の7項までの他の項に「やって下さい」 と書いてある事ばかりです。ISMSを組み上げるときには、あまり強く意識 しなくても構いませんが、他の項では「会社は...やって下さい。」と 書いてあるものもあります。「社長さんの責任として..やって下さい。」 という意味付けになります。 ------------------------------------ マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して 提供しています。 ------------------------------------ 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 大雨で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
