2009/11/09
日常語ISO27001 with セキュリティ新事情 ~8.1継続的改善
No.227 09.11.09 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ アリコから7月に流出が発覚した顧客のクレジットカード情報流出は、 9月までの調査で18184件だけが流出したと発表されていましたが、先月末 までにそれ以外のクレジットカード情報も流出している模様である事が発覚 しました。クレジットカード会社の調査による発覚です。 結局、「最大13万件」漏れた可能性がある段階まで逆戻りしています。 一方、犯人の追及は「ある業務委託先」社員の誰かである可能性が高いと いうところまでで、その先は進んでいません。おそらく、1つのIDを共有 させていたので、全員に否定されたらどうにもならないログしか残していな かったという事なのでしょう。 あまり真剣に犯人捜しをしている様子がないのは、犯人が特定できても 商売的にあまり変わらないからなのでしょうね。情報流出を起こしたという 事自体を、世間の人のかなりの部分は忘れてしまっています。ここで犯人が 捕まってしまったら、再度報道される事になって世間の人々が情報漏洩を 思い出してしまいますから、営業上痛手になるでしょう。 世間の人だって、 「他の会社は完璧に情報管理しているとまで思っていない」という変な期待 もあるのかもしれません。 しかし、そうなると情報犯天国になってしまいますので、非常に困った 社会になってしまいます。アリコには毅然とした処置、ちゃんとした情報 セキュリティ対策、それらを強くアピールした再起を図って頂きたいもので す。 では、227号。 ★情報セキュリティ新事情------------------------ やらかしてしまいました。筆者がプレゼン用に持ち歩いているネットブッ ク(小型廉価ノートPC)で、定期不正プログラムスキャン中に、時間が かかるので、自席の近くの少々低いところに置いておいたのですが、ちょっ とした拍子に蹴飛ばしてしまいました。 HDDが飛んだ様な症状を呈し、 全く立ち上がらなくなりました。 この先非常に苦しむことになるわけですが、結論として 『小規模な会社 ならば、メーカー製のPCを使うのは避けましょう』 という事になります。 尚小規模でない会社というのは、PCが壊れたり不調に陥った時の為の 予備PCを常備しておける規模の会社です。 メーカー製のPCが不調に陥ったり、故障した場合には、販売店やメーカ ーのサポートセンターに修理に出す事になるわけですが、1週間から2週間 の期間がかかってしまいます。今や、事務系職員1人1PC体制でないと 仕事にならない会社が大多数でしょうから、自分用PCが半月もない社員が 出てしまうというのは、たいていの会社で容認出来ないでしょう。 それに対して、自作PCもしくはショップブランドPCの場合は、故障 した部品を自分で取り替えてしまえば、数時間で修理してしまう事が可能 です。メーカー製のPCでも、同じように故障した部品を取り替えて直る事 もありますが、部品の相性の問題やその他の問題が出る可能性がとても高い ので、自分で部品交換をする事が可能だとは期待できません。もっとも、 会社にPC知識がそれなりにある人が誰も居ない場合や、近くにPCパーツ 店がない地方では、結局自分で部品交換するという事は出来ませんが、そう でない限りはメーカー製PCは避けるのが賢明です。 当方では、「もう メーカー製PCは絶対に買わない」と心に誓いました。 もちろん、当方では筆者自身が自作したPCを使っていますので、修理 能力に問題はありませんし、金沢市及び近郊には複数のPCパーツ店がある という前提条件を満たしているので、可能になるのではあります。 今回、HDDが壊れてしまいましたので、蹴っ飛ばしても壊れないSSD に換装する事を試みました。しかしまず、PCのフタが開きません。裏側 からネジを全部外したと思うのですが開きません。メーカーが、ユーザーが 修理しようと思うかもしれないなんて考えていないせいです。結局、ゴム足 4つのうち2つを外した向こうにネジがあると判るまでに3時間ほど格闘 する羽目になりました。ゴム足の裏にネジという事はよくある事なのですが、 2つを見て、その裏にネジがなかったので騙されてしまいました。 普通なら、説明書に書いてあったり、ユーザーサポートに連絡すれば教え てもらえたりするのですが、このPCに説明書はありませんし、ネットで 公開もされていません。ユーザーサポートも購入後1年を過ぎると簡単な 質問でさえ「1回2千円払え、同じ件で何回も質問したいなら3千円だ」と いう体制なので、質問する気は起きませんでした。 ともかく、物理的に壊れたHDDを外して、その代わりに買ってきたSS Dを入れ、次にはWindowsのインストールになるのですが、このPCは何と WindowsのCDが付いていないのです。復旧の為のデータはHDD内のある、 という事になってしまっています。今回、そのHDDが完全に壊れてしまっ ているので、どうしようもありません。メーカーに出した場合は、費用も 期間もどれくらいかかるかわかったものではありません。結局、Windows VistaよりはPCに負担が少ないという、新発売のWindows 7を買ってきて、 それをインストールする事になってしまいました。 誠にメーカー製PCというのは、壊れたときに買い替えたくなる様に作ら れています。 ☆本題のISO27001解説-------------------------- 8.1 継続的改善 会社は、一旦組み上げたISMSを、そのレベルのまま放ったらかしにしないで、 より効き目が良くなるようにずっと改善し続けて下さい。 改善する対象になるものも、改善する手だてとして使うものも、下の通りで す。 ・情報セキュリティポリシー ・情報セキュリティ目的(管理目的) ・監査結果 ・監視(4.2.3項)した結果を分析したりする事や、その結論 ・是正処置や予防処置 ・マネジメントレビュー 【解説】改善は、やめてしまってはいけませんが、次の改善の準備のためな ど止まる時が多少あるのは、いけないわけではありません。 ------------------------------------ マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して 提供しています。 ------------------------------------ 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、政権交代は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 大雨で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
