日常語：ISO27001 with 情報セキュリティ新事情 [まぐまぐ！]

2009/06/23

日常語ISO27001 with セキュリティ新事情～4.3.3　記録の管理

No．２１７　　　　　　　　　　　　　　　　　　　　　　０９．０６．２２
◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

　日常語：ISO27001　with　情報セキュリティ新事情

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆

　　昨晩は当地方で警報が出るほどの大雨になりました。昨年７月に洪水に
　見舞われた当地では、各方面でかなり心配されましたが、全国的にも特段の
　被害は出ないで終わったようです。

　　皆様の会社でも、想定される洪水には備えがあるでしょうか？

　　では、２１７号。　

★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−−

　　ヨドバシカメラでは全店の”ＰＣ　ＤＯＣＫ”で、昨年から「100円ウィル
　スチェック」というサービスを行っています。このサービスを受託している
　（株）パステムセゾンによりますと、これまでの半年間に持ち込まれた約
　2500台のうち半数以上が何らかの不正プログラムに感染していたのだという
　事です。

　　正直言いまして、予想よりもかなり大きな感染率でした。現在では、セキ
　ュリティソフトの導入率は私有ＰＣでも７〜９割はあると伝えられています。
　ＮＴＴのフレッツサービスでも標準料金内でセキュリティソフトを提供して
　います。それにもかかわらず『半数以上』という数字は驚きに値します。
　これは、この数字をどう考えるか少し考察した方が良いでしょう。

　　一つには、まぁ何かの「身に覚え」のあるＰＣばかりが持ち込まれたの
　だろうと考える事が出来ます。そうすればこの『半数以上』という割合は、
　日本中の私有ＰＣの不正プログラム感染率よりも相当に高いのかもしれませ
　ん。せいぜい１〜２割が感染しているのだろうと考える事も出来るでしょう。

　　しかし「身に覚える」事が出来るというのは、ある程度の情報セキュリ
　ティ感覚を持ち合わせた、そこそこのレベル以上の人達だと言う事も出来ま
　す。そんな人達でさえ『半数以上』が感染していたのだと考えると、大多数
　の私有ＰＣは不正プログラムに感染していると見なければならないかもしれ
　ません。

　　考えてみれば、顧客関係以外の筆者の知人を思い起こしますと、「セキュ
　リティソフトは買ったときのまま（つまり数十日のお試し期間は過ぎている）
　」とか、「せいぜい１ヶ月に１回くらいしかネットに繋がない（つまりウィ
　ルス定義が更新されるまでの数分間は新規ウィルスに対応出来ない）」と
　いう事が珍しくありません。　

　　筆者の周囲だけが特にセキュリティレベルが低いというわけがありません
　ので、件の「セキュリティソフト導入率調査」の結果の方がいいかげんなの
　でしょう。　おそらくはアンケートでちゃんとした説明をしていなかったの
　だと思われます。その為、お試し期間が終わった様なセキュリティソフトが
　入っていても、「入っている」方にカウントされたに違いありません。ある
　いは、個人のＰＣ利用でも皆セキュリティソフトは導入していると思わせ
　たい為に、わざと数字が高く出る集計方法をとったのかもしれません。

　　また、世の中には初期のWindows Xpも相当台数存在します。アップデート
　が自動になっていないせいでWindowsが更新されていなかったり、Windows
　ファイアウォールが無効になっているＰＣも相当にある事でしょう。筆者に
　個人的に相談を持ちかけられるケースでは、Windows Me以前のOSを搭載して
　いる事まであります。もちろんその場合は「このＰＣで安全にネット接続
　する事は不可能」な旨説明していますが、世間でも相当数あると見るべきで
　しょう。

　　総合的に考えてみますと、やはり『世の中の私物ＰＣの大半は不正プログ
　ラムに感染している』と見た方が妥当な様子です。

　　企業内のＰＣも安心はしていられませんよ。２１５号に述べた様に、マイ
　クロソフトの発表する更新を、企業内では適用していない例がありますから、
　それが原因で不正プログラムに感染している可能性が低くありません。現に、
　感染した不正プログラムによって盗み出されたＷｅｂページ更新用パスワー
　ドで、Ｗｅｂページが書き換えられてしまうという事件が頻発しています。
　（バックナンバーは　http://www.kiriishi.net/7799/jijo.htm　から）

☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−−

４．３．３　記録の管理

▼どの様な記録が必要か
　作り上げたISMSやISO27001や関連の法律を会社がちゃんと守っていること、
またISMSの効果を示す証拠として、記録をとって残して下さい。
　そこには、少なくとも「4.2の各項(4.2.1a)〜4.2.4d))に書いてある事がちゃ
んと行われている事を確認するための記録」や、「情報セキュリティ事件・
事故発生の記録」は、含めて下さい。

▼記録の管理
　記録は、読みやすくなければなりません。また、傷ついたり、汚れたり、消
えてしまったり、なくしてしまったりしないようにつけて、保管して下さい。
　記録は、わかりやすく作って、記録をつける時や、後で見返す時に困らない
様にしておいて下さい。
　記録は、どんな活動（あるいは製品やサービス）についてつけた記録なのか
わかりやすくしておいて下さい。

　【解説】”読みやすく”については4.3.2項と同様です。

▼記録管理の手順書
　記録の管理のやり方について、下の事を含めて手順書(4.3.1注１)を作って
下さい。

　ａ）記録が何について書いてあるのか（その他、いつの記録か、どこの記録
　　かという様なことも）分かりやすくする方法
　ｂ）記録の保管方法
　ｃ）記録が傷ついたり、汚れたり、消えてしまったり、なくしてしまったり
　　しないようにする方法
　ｄ）記録を使うときに簡単に取り出せる様にしておく方法
　ｅ）記録をいつまで取っておくか（ということを決める方法）
　ｆ）取っておく期間が過ぎたら、どう捨てるかという事

【解説】
　ａ）記録タイトルの付け方を工夫すれば良いでしょう。
　ｄ）置き場所のリストを作る。記録番号順に綴じておくておくなどすると
　　よいでしょう。

−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
　マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して
　提供しています。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
日常語：ISO27001は「ＩＳＯで小難しい言葉を使わない運動」を強く推進して
います。
日常語：ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語
変換版ではありません。
日常語：ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web
などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。
尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する
つもりです。

ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。

他の項目の解説は：　　http://www.kiriishi.net/7799/top.htm

バックナンバーは：　　新事情インデックスからご利用下さい。
情報セキュリティ新事情インデックスは：
　　　　　　　　　　　http://www.kiriishi.net/7799/jijo.htm
マネジメント改善研究所ホームページ：
　　　　　　　　　　　http://www.kiriishi.net/
メールマガジンの登録・解除は：
　　　　　　　　　　　http://www.kiriishi.net/7799/mag2.htm
環境版メルマガは：
　　　　　　　　　　　http://www.kiriishi.net/14001/mag2.htm
ご意見、ご感想、ご質問は：
　　　　　　　　　　　info3@kiriishi.net

○発行　マネジメント改善研究所
○編集　切石　庄之介
Copyright　マネジメント改善研究所　

マネジメント改善研究所は、石川県金沢市にあります。
大雨で電車が止まらなければ、編集人自ら全国に出張可能です。

ここまで