pagetop

>このブログのトップ

MENU

  March/2008  

S M T W T F S
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

月別アーカイブ

blog内検索

カテゴリー表示

<2008年02月 2008年 03月 2008年04月>

リスクアセスメント(5)リスクレベルの算定

2008-03-31

 ここまで、リスクアセスメントを効果的、効率的に実施するために、情報資産の重要性(機密性、完全性、可用性が侵害された場合の影響のレベル)を評価し、情報資産の特性に応じてグループ化し、それぞれの脅威、脆弱性を特定・評価することを述べてきました。
 次は、規格要求事項 4.2.1e) の 3)リスクのレベルを算定し、4)リスクが受容できるか、又は対応が必要であるかを判断する。作業となります。
 まずは、「リスクレベルの算定方法」を定めておく必要があります。

 リスクの定義を紹介していませんでした。規格要求事項には、「リスク」の定義はありませんが、引用規格とされているJIS Q 27002(ISO/IEC27002:2005)で、「リスク:事象の発生確率と事象の結果の組合せ」(ここでの”事象”は、望ましくない事象に限定して良いでしょう。)としています。

 ”事象の発生確率”は、脅威の発生頻度と脅威に対する脆弱性の程度で考えられます。”事象の結果”は、機密性、完全性、可用性が侵害された場合の影響(損害)の大きさとなります。
 これまで説明してきた、「情報資産の重要レベル(機密性、完全性、可用性が侵害された場合の影響のレベル)」と「脅威、脆弱性の評価レベル」をリスクの算定に用いるのです。

続きを読む

Posted by nasihat 08:10:03Comments(0)TrackBack(0)

防犯設備士として適切な防犯セキュリティを提案

2008-03-29

 情報セキュリティ対策を行う中で、侵入盗などに対応するための防犯設備等の物理的対策も重要です。

 NPO日本ネットワークセキュリティ協会「2006年 情報セキュリティインシデントに関する調査報告書」によると、個人情報漏洩件数の原因のうち、「盗難」が19%を占めています。
 休日・夜間の無人となった事務所に侵入し、換金しやすいノートパソコンが盗まれてしまうものです。”車上荒らしも”なども含まれています。

 情報セキュリティ対策に関するコンサルティングを行う中で、こうした犯罪に対する適切な物理的セキュリティのアドバイスを行うためとして、必要な勉強をして、この度、「防犯設備士」の資格を取得しました。


 「防犯設備士」は、平成4年に警察庁の指導の下で防犯システムの技術レベルの向上を目的に資格化され、平成13年からは、(社)日本防犯設備協会の認定資格となっています。国家資格ではありませんが、発注者から条件として指名される例もあって、防犯関連事業者の従業者など対象に資格取得を目指す人が増えており、警察関係者からも期待されているとか・・・。

 防犯対策を行う上での警戒線の引き方から、それぞれの警戒領域に相応しい防犯設備とそれら防犯機器の構造や設置方法などの特徴、防犯設備の設計図の描き方、防犯設備施工の進め方や関連法令、また、施工作業の上で必要な電気回路の知識や使用する工具に関する知識、守秘義務などの防犯設備士としての心得など、習得しなければならない知識は多岐に渡ります。

 幸い、電子工学を学び、電子回路設計などに従事していたこともあったて、基礎技術面に関する試験は比較的容易でしたが、新たに、鍵の構造や特徴から防犯設備の図記号や関連法令まで、新たに覚えなければならない事項も多くあって、試験は、想像以上に難しいものでした。

 今後、企業等の防犯診断や防犯対策も含めた、適切な情報セキュリティ対策の提案に活かして行きたいと思います。

Posted by nasihat 10:35:51Comments(0)TrackBack(0)

悲喜交々、認証マーク制度

2008-03-27

 巷では、認証マークが大流行しています。
 ある事項が、一定の水準以上にあることを第三者認証機関が認定し、その証しとして認証機関が所定の”マーク”の利用を許可するものです。
 どうも、日本人はこうした「お墨付き」に弱いようです。

 私の業務に近いところの”マーク制度”の一つ、日本商工会議所が実施する「オンラインマーク制度(Online Shopping Trustマーク)」が本年いっぱいで制度を終了すると発表しました。
 一方で、新たに、社団法人ニューオフィス推進協議会が実施する「オフィスセキュリティマーク認証制度」が始まりました。


 「オンラインマーク制度」は、日本商工会議所が、「特定商取引法」が求める通信販売業者等に求める表示義務が法より厳格に適切であることを審査し、認証マークの使用を許可するものです。内容的には、情報セキュリティとの直接的な関係はありません。

 このマークが似ている?制度として、有限責任中間法人日本プライバシー認証機構が行う「TRUSTe(トラストイー)シールプログラム」があります。
 これは、Webサイト上で扱う個人情報が、OECDプライバシー8原則、個人情報保護法に対応できていることを認証するものです。もともと米国で始まり、世界26カ国で運用され、日本では2001年から運用されています。

 個人情報の扱いと言えば、財団法人日本情報処理開発協会が行う「プライバシーマーク制度」があります。こちらは、会社全体の全業務において、個人情報が個人情報保護法より厳格で適切に扱われていること認証するものです。

続きを読む

Posted by nasihat 18:35:00Comments(0)TrackBack(0)

個人情報に関する消費者の意識アンケート結果

2008-03-25

 国民生活センターが、昨年、全国で開催された「個人情報保護法に関する説明会・相談会」の参加者を対象にアンケートを実施した結果を公表しました。
 http://www.kokusen.go.jp/news/data/n-20080324_1.html

 「個人情報保護法が施行後の変化、困ったこと」について、
・社会全体で個人情報に関する取扱いが慎重になりすぎて、不便になった(68.2%)
・何かにつけて個人情報だと言われる(57.4%)
との回答が多く、「必要な連絡網等が作りにくくなった」、「国勢調査、民生・児童委員の活動などの公的な調査を拒否する者が増加した」などの声もあがっています。

 「個人情報保護法に期待することは何か」との問いには、
・事業者が保有している個人情報の安全管理責任の強化(50.6%)
・情報の漏えいや悪用についての罰則強化(50.5%)
・知らない事業者からの勧誘電話やDMを制限、停止(50.2%)
・自分の個人情報が納得できる範囲内で利用される(41.1%)
となっています。
 言い換えると、現状では、このような事案に対応できていないということです。

続きを読む

Posted by nasihat 23:31:43Comments(0)TrackBack(0)

中小企業向けセキュリティに関するアンケート

2008-03-19

 内部統制必須の時代に、情報セキュリティが重要な課題となっている中で、中小企業におけるその対応は、まだまだ不十分であろうと思います。
 近畿経済産業局およびNPO日本ネットワークセキュリティ協会(JNSA)西日本支部では、中小企業の情報セキュリティ対策のガイドライン策定のため、製造業の中小企業の皆様を対象とした「情報セキュリティ対策実施状況」のアンケートを実施しています。
 http://www.kansai.meti.go.jp/2-7it/security/080317.html

 アンケートへの協力はもとより、「情報セキュリティチェックシート」「情報資産台帳サンプル」は、中小企業における情報セキュリティ対策の取り組みについて、良い参考資料ともなります。
 一度、ご覧頂きたいと思います。

Posted by nasihat 08:55:40Comments(0)TrackBack(0)

リスクアセスメント(4)脅威・脆弱性の特定

2008-03-19

 前回は、リスクアセスメントを効果的、効率的に実施するために、情報資産のグループ化について説明しました。
 今回は、グループ化した情報資産の脅威・脆弱性の特定です。規格要求事項 4.2.1 d) 2 及び、c) 2 にあたる部分です。

 ちなみに、規格要求事項には、脅威、脆弱性の定義はありません。そこで、JIS Q l3335-1:2006(情報通信技術セキュリティマネジメント−第1部:情報通信技術セキュリティマネジメントの概念及びモデル)より引用して紹介しておきます。
・脅威:システムまたは組織に危害を与える、好ましくない偶発事故の潜在的な原因
・脆弱性:脅威によって影響を受け得る資産または資産グループの弱さ

 日常生活の中で例をとれば、「建物」という全体でいえば「泥棒にあう」という脅威にあたります。その脅威に受ける要因として、「泥棒の対象となりやすい立地環境にある」「ピッキングしやすい鍵である」「風呂場の窓が締められていない」などといったいろいろな脆弱性が見い出されます。その上で、「ピッキングしやすい鍵」という脆弱性に対して、「ピッキングしにくい鍵に交換する」「もう一つ鍵を付ける」「ピッキングセンサー・アラームを取り付ける」などの対策を考え、費用対効果などを考慮して対策を講じることになります。

続きを読む

Posted by nasihat 08:49:56Comments(0)TrackBack(0)

ゆうちょ銀行をかたるフィッシングメール

2008-03-17

 最近、「ゆうちょダイレクト【重要なお知らせ】」などと題したフィッシングメールが出回っているらしいとの情報です。
 http://www.jp-bank.japanpost.jp/news/2008/news_id000219.html

 送信元アドレスは、infor@jp-bank.japanpost.jp と、正規のゆうちょ銀行ドメインとなっていますが、そのメールに記載されたWebサイト(ホームページ)のURLをクリックすると、ゆうちょ銀行と見間違えるWebサイトに誘導され、お客さま番号やパスワードなどを入力させて、盗み取ろうとするものです。

 既に、本フィッシングメールの誘導先のWebサイトは既に閉鎖されているとのことですが、こうしたフィッシング詐欺は、後を絶ちませんので注意が必要です。
 メールから誘導されたWebサイト上で、IDやパスワードなどの大切な情報を入力しないようにするなどとした注意が必要です。

 メールの差出人の詐称がいとも簡単に出来てしまうのは、今日普及しているインターネットシステムの大きな脆弱性ともいえます。
 最近は、フィッシング対策として、一部の銀行などでは電子署名付きメールが使われるようになりました。せめて財産を管理する金融機関やクレジット会社などでは電子署名付きメールを取り入れて欲しいものです。

Posted by nasihat 22:49:31Comments(0)TrackBack(0)

「IT統制に関する実態調査」等集計結果公表される

2008-03-12

 (財)日本情報処理開発協会(JIPDEC)から、内部統制報告制度に伴うIT統制の状況について調査した結果が公表されました。
 http://www.jipdec.jp/chosa/it_riyou/gaiyo.html

 内部統制報告制度とは、会計処理に関する不祥事を防止を目的に、日本版SOX法(金融商品取引法の一部)に基づき、内部統制の評価に関する報告書の提出が義務付けらるものです。
 また、内部統制とは、簡単に言えば、財務報告報告の信頼性や事業活動にかかわる法令の遵守などを保証するための仕組みですが、IT活用の浸透に伴い、IT利用に関する統制(IT統制)への対応も重要な要素となっています。

 「IT統制に関する実態調査」は、昨年10月〜12月の間に、上場企業の情報システム部長にアンケートを実施して、そのIT統制の取り組みの実態を調査したものです。
 本制度は、本年4月1日以後に開始する事業年度から適用されるものですが、内部統制の構築と評価への対応の進捗状況は、一部着手から殆ど未着手の企業が半数以上もあり、果たして、どれほど信頼性ある評価がなされるかが心配なところです。

 また、IT統制においては、情報セキュリティへの取り組みも避けては通れません。

続きを読む

Posted by nasihat 17:48:14Comments(0)TrackBack(0)

リスクアセスメント(3)情報資産のグループ化

2008-03-11

 先週末、A社の第四回目ISMS認証取得プロジェクト会議を開催しました。今のところ、ほぼ順調に進んでいます。
 こちらの説明は、第三回目プロジェクト会議での作業についての説明で、前回の情報資産の機密性(C)、完全性(I)、可用性(A)に続いて、”グループ化”の話です。

 次回の話となりますが、それぞれの情報資産にどのような脅威があるか?その脅威につけ込まれる脆弱性があるかを検討し、機密性・完全性・可用性を考慮のうえ、放置できない脆弱性には、何らかの補強策(セキュリティ対策)を講じることが必要です。
 この一連の作業がリスクアセスメントですが、洗い出された情報資産の一つ一つに検討していくと大変な作業となります。
 そこで、情報資産をグループ化して、グループ単位でリスクアセスメントを行うわけです。

続きを読む

Posted by nasihat 07:47:23Comments(0)TrackBack(0)

IPA「安全なウェブサイトの作り方」公開

2008-03-07

 独立行政法人 情報処理推進機構(IPA)は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするための資料として、「安全なウェブサイトの作り方改訂第3 版」を2008 年3 月6 日(木)より、IPAセキュリティセンターのウェブサイト上で公開しました。
 http://www.ipa.go.jp/security/vuln/websecurity.html

 IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料だそうです。
 図など用いて説明してあり、これから学ぶ人向けかな?と思いましたが、結構、専門的な内容でした。

Posted by nasihat 07:40:09Comments(0)TrackBack(0)

リスクアセスメント(2)情報資産のCIA評価

2008-03-06

 前回、説明すればよかったのですが、規格には、具体的なリスクアセスメントの手法は示されていません。また、リスクアセスメントの手法は幾つかの方法があります。
 ここで、紹介する手法は、GMITS(The Guidelines for the management of IT Security:ITセキュリティマネジメントのためのガイド)のISO/IEC TR 13335-3:1998で紹介されている例を参考にしたものです。

 まず、リスクアセスメントの最初の作業として、情報資産の機密性(C)、完全性(I)、可用性(A)を評価します。
 規格要求事項に示されているリスクアスメントの流れは次のようになっていますが、順番としては逆ですが、4)にあたる作業です。
 1)資産及び資産の管理責任者を特定する。
 2)それらの資産に対する脅威を特定する。。
 3)特定した脅威がつけ込む可能性のある脆弱性を特定する。
 4)機密性(C)、完全性(I)、可用性(A)の喪失が及ぼす影響を特定する。

 事故等の結果としてCAIの喪失による発生コストを予測する作業とといえます

続きを読む

Posted by nasihat 20:36:32Comments(0)TrackBack(0)

個人情報の保護に関する取組み実態調査

2008-03-05

 財団法人日本情報処理開発協会(JIPDEC)より、「経済産業分野の事業者における個人情報の保護に関する取組み実態調査2008」の報告書が公開されました。
 http://privacymark.jp/news/20080304/index.html

 調査は、JIPDECプライバシーマーク推進センターのホームページ上のアンケートによるもので、回答者の約65%がプライバシーマーク認定事業者、もしくは、認定に向けた検討・準備中・申請中事業者であることを前提として読む必用があります。

 個人情報保護に関する方針(プライバシーポリシー)を策定し公表しているとする回答者は91.0%となっています。今日、Webサイト上で個人情報保護方針やプライバシーポリシーを宣言することは常識化しつつあります。

 個人情報保護の社内規程類の整備して運用しているは、87.9%、個人情報の管理に関する組織体制として、個人情報保護管理者を設置しているは、78.3%となっており、JIPDECプライバシーマーク推進センターのホームページ上のアンケートに答える事業者は、やはり、相応の取り組みを実施しているようです。

 個人的にちょっと目に付いたデータは・・・・

続きを読む

Posted by nasihat 23:55:14Comments(0)TrackBack(0)

リスクアセスメント(1)

2008-03-04

 第三回目からは、いよいよ、ISMS構築の具体的な作業です。
 プロジェクト会議のレジュメ次第は次の通りですが、この部分は重要であり、第三回、第四回と継続して取り組みます。
  1、リスクアセスメントの手法について
     ・リスクアセスメントに関する要求事項
     ・リスクアセスメント実施手順の提案
  2、情報資産目録の作成について
     ・情報資産のCIA評価
     ・グループ化
     ・資産目録の作成
  3、リスクアセスメントの実施
     ・脅威・脆弱性の特定
     ・対策と詳細管理策の選択
     ・残留リスク
  4、リスク対応計画の作成について

 前回の規格要求事項の説明に続いて、再度、リスクアセスメントに関する規格要求事項を説明しました。この部分は、審査でも重点的に説明が求められますので、しっかりと理解していただきます。
 続いて、リスクアスメントの手法を決定します。

続きを読む

Posted by nasihat 09:32:28Comments(0)TrackBack(0)

不正アクセス行為の発生状況

2008-03-03

 総務省より、平成19年1月1日から12月31日までの不正アクセス行為の発生状況が公表されました。
http://www.soumu.go.jp/s-news/2008/080229_6.html

 不正アクセス行為の認知件数は、昨年H18年の946件に比べて、H19年は1,818件と倍増しています。
 不正アクセス行為による所業としては、インターネット・オークションの不正操作(他人になりすましての出品等)が最も多く(1,347件:全体の7割強)、その多くが、フィッシングサイトによって不正に入手したID・パスワードを利用したもののようです。

 電子メールによりホームページへの誘導に注意し、また、IDパスワードの定期的に変更など心がけて、被害者になれないようご注意ください。

Posted by nasihat 09:53:18Comments(0)TrackBack(0)

JISQ27001の理解

2008-03-03

 今回は、第二回目プロジェクト会議の内容をご紹介します。
 レジュメ次第は、次のような簡単なものです。
  1、JISQ27001規格要求事項について
  2、情報資産の洗い出し状況について

 ISMS構築にあたっては、JISの規格要求事項を充分に理解しておく必要があります。また、ISMSの審査を無難に対応する上でも重要です。
 およそ、3時間かけて、箇条ごとに、要点を説明させていただきました。とは言っても、その場で全てをご理解していただくのは難しいと思いますので、今後の作業の中で、なぜ、この作業を行う必要があるかについての説明を加え、審査までには、重要部分についてはしっかり理解していただきます。

 ISMSの本質は、規格要求事項の「1 適用範囲 1.1 一般」に記載中の次の事項だろうと思っています。
 ○その組織が存立するための核の事業リスクを考慮する
 ○利害関係者に信頼を与えるセキュリティを確実にする

 この説明や個々の規格要求事項に関する説明は到底ここに書ききれませんので、今後の作業を紹介する中で触れて行きたいと思います。

 あとは、宿題としていた情報資産の洗い出しの状況を確認して終わりました。
 まだ、整理できていないものの、40人弱の会社でも、600件以上がリストアップされていました。
 第二回目プロジェクト会議の内容は、こんなところで終わっておきます。

Posted by nasihat 09:37:27Comments(0)TrackBack(0)

ISO27001/ISMSセミナー講師派遣

2008-03-01

= 期間限定(2008年5月31日まで)無料!! =

 業界団体や組合、異業種グループ、ISO27001/ISMSに関する勉強会などの中小企業の皆様を対象として、”情報セキュリティの必要性”や”具体的なセキュリティ対策”、”ISMS適合性評価制度”に関するセミナーや研修会等に講師を無料で派遣させていただきます。
 実際のコンサルティング、ISMS認証審査の経験を踏まえて、”ここだけの話”もふんだんに盛り込んで有益なお話しをさせていただきます。

<要項>
・講師費用は原則として無料とします。
 但し、遠方の場合は、会場までの交通費はご負担ください。
・事前にご予約ください。
・会場は主催者でご用意ください。
・概ね10社以上のご出席でご聴講ください。
 (参加者名簿の提出は不要です。)
・一回あたりの時間は60分〜90分とします。
 ※夜や土・日曜についてもご相談ください。

■内容の例 (90分程度)
 -情報セキュリティの必要性
 -これだけはやってほしいセキュリティ対策
 -ISO27001、ISMS認証制度について
 -ISMS構築の手順、及び、押さえどころ
 -質疑・応答

 その他、詳細に関してはメールでお問い合わせください。

Posted by nasihat 09:11:10Comments(3)TrackBack(0)

<2008年02月 2008年 03月 2008年04月>

▲ページの先頭へ

最新記事の表示

最新コメント

最新トラックバック

サイトマップ