2009/11/23
日常語ISO27001 with セキュリティ新事情 ~8.2、8.3 是正・予防
No.228 09.11.23 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 先日、テレビを見ておりましたら交通安全に関する話題をやっていました。 PC作業をしながら何気なく見ていたのですが、非常に興味深い事を言って いました。 「日本人のほとんどは自転車に乗ることが出来るが、必要な整備が出来る 人は1割も居ない。半分以上の自転車はタイヤの空気圧が不足したまま走っ て居るし。ネジ一つ回せば出来てしまうブレーキ調整のやり方も知らない。 これでは交通安全の確保なんて、出来ようもない。」との事です。 情報セキュリティに当てはめて考えると、全く同じ事が言えますね。 「日本人の半数以上はPCを使うことが出来るが、情報セキュリティに 関して充分な知識を持っている人は1割も居ない。これでは、情報セキュリ ティの確保はとても困難だ。」 しかし、情報セキュリティに関して「自転車と同じだよ」と言っている わけには行きません。最悪の場合は、億単位、百億単位の金銭被害に直結 しますので破産しかねません。少なくとも予想被害額+風評被害額に見合っ た対策を講じておかなければなりませんね。 では、228号。 ★情報セキュリティ新事情------------------------ 春から発行頻度を下げたのですが、そのせいでお伝えするべきニュース的 内容が溜まってきました。まとめて放出する事にします。 1. 前号で、「結局、流出したのは18184件だけではなかった」事をお伝えした アリコからの顧客クレジットカード情報の漏洩ですが、「新たに14175件の 流出が確認出来、さらに最大23万人分までの流出の可能性がある」との 発表がありました。 本当にこれだけなのかと疑ってしまいますが、既に「漏洩が確認された 18184人には1万円、漏洩の可能性のあった11万人には3千円」の商品券を 贈っています。同様の補償をすると、新たに5億円が必要になる事になりま す。総額で10億円を超えますね。流出確認が出来た人達が訴訟をすると、 かつての裁判例から考えると5万円ほどの賠償額になるでしょうから、さら に10億円くらいかかってしまいます。 原因として中国の業務委託先に与えていたIDからの不自然なアクセスを 挙げていますが、中国企業にクレジットカード情報に関与できるIDを与え てしまうなんて不自然極まりありません。原因追及が出来ていないという 批判をかわす為に、でっち上げているのではないかと思えてなりません。 顧客の反応ばかりでなく、カード会社の反応も気になります。 2. 三菱UFJ証券で、顧客情報を盗み出して名簿業者に売っていた元部長の 刑事裁判が結審し、求刑2年半であったところ、懲役2年の実刑との判決が 出ました。情報を盗む事は罪に問われない為、会社所有のCD-Rメディア を持ち出した事での裁判だったのですが、空CD1枚盗んだだけで2年の 実刑になったのですから、情報を盗んだ事も評価には入っている様です。 しかし、盗まれた側で数十億単位の被害になっていて、たったの2年という 事は、あくまでもCD泥棒に対する判決ですね。現在はこれが限界です。 (窃盗の最高刑は懲役10年;不正競争防止法違反も最高懲役10年) 3. 日本ネットワークセキュリティ協会では、同協会を騙った不審なメールが 出回っていると注意喚起をしています。メールは「FBIよりあなたがテロ 行為に関わったとして逮捕状が出ており、ネットワークも監視している。 関与していないという書類を用意しなければ○月○日に逮捕する。」という 内容だという事です。今のところこれだけなので、単にアメリカのドラマ 「24」の見過ぎです。FBIが日本の警察を経由しないで何か行動を起こ すなんてあり得ません。しかし、書式として不正プログラムが添付されて いると、開いてしまう人が居るかもしれませんね。 4. 大企業を装って、偽の支払い請求メールを送りつけるという手口が増えて いるそうです。こちらは、不正プログラムが関与しているとの事なので、 支払い方法の案内か書式の添付ファイルがあるのでしょう。マイクロソフト、 ヤフー、コカコーラなどから経理担当者に請求メールが来たら、担当者は 添付ファイルを開いてしまうかもしれません。注意するとともに、ファイル はダブルクリックしないで、「右クリック」→「プログラムから開く」で 開くように習慣づけましょう。 5. 数年前からどんどん増えてきていて、当メルマガでも再三注意喚起している 『偽セキュリティソフト』ですが、IPAの調査によりますと「偽セキュリ ティソフト」というものを知っている人は、世の中の半数しかいないとの事 です。会社のPCであれば、「セキュリティ担当に任せているから」という 事になるでしょうが、私有PCの業務利用を許している場合は引っかかり かねません。こういう事もありますので、私有PCの業務利用は避ける必要 があります。 ☆本題のISO27001解説-------------------------- 8.2 是正処置 (再発防止) 会社は、”不適合”が起こってしまったときには、その不適合の原因をつぶ して再発防止(是正)をしなければなりません。 その「行い方」は、下の事をハッキリ決めた手順書を作ってそこに書いて おいて下さい。 a)どんな”不適合”が起こったのかハッキリさせる。 b)どんな成り行きで”不適合”が起こったのかという事を含めて調査をし て、原因が何だったかハッキリさせる。 c)再発しないようにより確実に原因をつぶす手だてが必要かどうかを決め る。 d)どんな手だてを行うか決めて、決めた通りに行う。 e)再発防止のためにどんな手だてをとって、どんな結果になったのか、 結果を記録する。 e)ちゃんと手だてがとられたか、効き目はどれくらいあったか、という事 を確認する。 8.3 予防処置 (未然防止) 会社は、”不適合”が起きそうだったときには、その不適合の原因をつぶす 未然防止(予防)をどうするか決めなければなりません。 その「行い方」は、下の事をハッキリ決めた手順書を作ってそこに書いて おいて下さい。 a)どんな”不適合”が起こるかもしれないのかハッキリさせる。 b)不適合の原因をつぶす手だてが必要なのかどうか決める。 c)どんな手だてを行うか決めて、決めた通りに行う。 d)再発防止のためにどんな手だてをとって、どんな結果になったのか、 結果を記録する。 e)ちゃんと手だてがとられたか、効き目はどれくらいあったか、という事 を確認する。 とった手だてによって、リスクがどれくらい変わったかハッキリさせておい て下さい。大きく変わったリスクには注意して下さい(あるリスクを減らす事 によって、別のリスクが増える事があります)。 ”不適合”の原因をつぶすための対策は、”不適合”の大きさや発生させて しまったときの影響の大きさと釣り合いがとれていなければなりません。また、 その対策をとる優先度(緊急だとか普通だとか)もリスクの大きさに応じてハッ キリ決めて下さい。 【解説】”不適合”が大した問題でないなら、今より起こりにくく改善され ていればその程度でも良いかもしれませんが、とても大きな問題に発展し そうな場合は、絶対に起きない様な対策が必要です。 【解説】05年改訂でb)項が追加され、不適合が起こっても予防処置をとら ない選択が許される事がハッキリされました。但し、それはISO9001との 整合性の為と見られます。情報セキュリティ事件が起こる事は普通は許さ れませんから、費用対効果の問題がありますが多くは予防処置をとること がふさわしいでしょう。 ------------------------------------ マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して 提供しています。 ------------------------------------ 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、小春日和は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 大雨で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
