2008-04-18T21:14:03Z 中小零細企業の情報セキュリティマネジメント（ISMS／ISO27001）、プライバシーマーク認証取得支援・・合資会社パンカル PwBlog copyright (c) 2008, PwBlog 2008-04-18T21:12:31Z 2008-04-18T21:12:31Z tag:www.web-kyoto.com,2008-04-18:/user/nasihat/pangkal/132.html 2008-04-18T21:12:31Z

　警察庁では、宝くじ協会の助成を受けて警察協会が作成したサイバー犯罪対策の情報セ....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/132.html 情報セキュリティ http://www.npa.go.jp/cyber/video/index.html 　このたび、星野真里が主演する最新版の情報セキュリティ対策ビデオ「仕掛けられた罠」が公開されました。 　インターネットに詳しいＯＬ（星野真里）の弟がネット・オークションで詐欺にあい、また、本人もフィッシングにあってネットバンキングのＩＤ・パスワードが盗まれたうえ、お金を引き出されてしまいます。 　最後は、警察のサイバー犯罪対策係が登場し、見事、犯人を特定し逮捕するというものです。 　約２０分の内容で、フィッシングの手法なども映像で示されいるので、あまり詳しくない人でも大変分かりやすい内容となっています。 　本サイトには、これまでの三津谷葉子、萬田久子、大河内奈々子、竹下景子が主演するネット犯罪に関するビデオが公開されています。 　ちなみに、市民の防犯意識や規範意識の高揚に資する映像コンテンツの配信を目的とした「ポリスチャンネル」では、情報セキュリティ対策ビデオの他、市民の生活の安全・安心に関する様々なビデオが無料で見られます。 　政府拉致対策本部が製作したアニメ「めぐみ」も見られます。 　http://www.police-ch.jp/ 　休日に、ご家族と一緒にご覧になってはいかがでしょう。]]> 2008-04-16T22:15:19Z 2008-04-16T22:15:19Z tag:www.web-kyoto.com,2008-04-16:/user/nasihat/pangkal/130.html 2008-04-16T22:15:19Z

　独立行政法人 情報処理推進機構（ＩＰＡ）は、2008年1月18日、19日に15....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/130.html 情報セキュリティ http://www.ipa.go.jp/security/fy19/reports/ishiki02/press.html 　情報セキュリティの重要性について、全体としては「非常に重要である＝55.7％」「まあ重要である＝41.3％」となっており、その重要性は少しずつ浸透しているようです。 　しかし、「非常に重要である」とする人を、年齢別に見てみると、「10代＝40.1％」と「40代＝61.4％」との間に大きな差が見られます。 　また、職種別では、「医者・弁護士等、専門職＝71.5％」、次いで「会社員・公務員・教員(情報システムおよび通信関係の技術者・研究者)＝65.6％」などが高いのに対して、学生や契約社員/派遣社員は40％台と低くなっています。 　それぞれの社会経験や職責の大きさなどが、こうした意識に影響を与えているように思います？ 　「経営者・役員」「会社員・公務員・教員」「契約社員／派遣社員」の企業等の勤務者を対象とした「組織における情報セキュリティ関連ルールの策定状況」については、「300人以上の組織＝82.2％」に対して「300人未満の組織＝46.4％」となっており、中小企業では、情報セキュリティの重要性は理解できていても、組織的な取り組みはまだまだ充分ではないようです。 　中小企業は大企業に比べて安全だとか、社会的責任は軽いなどということは全くないのですが・・・・ 　情報セキュリティ上の脅威は、年齢や職種、企業規模の大小などか変わりなく訪れることを認識していただきたいと思います。]]> 2008-04-10T06:56:27Z 2008-04-10T06:56:27Z tag:www.web-kyoto.com,2008-04-10:/user/nasihat/pangkal/119.html 2008-04-10T06:56:27Z

企業の情報セキュリティのレベル（信頼度の水準）を評価し、格付する世界初のセキュ....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/119.html 情報セキュリティ セキュリティ格付専門会社「株式会社アイ・エス・レーティング」が5月2日付けで誕生します。 富士ゼロックス　ニュースリリース 　http://www.fujixerox.co.jp/release/2008/0408_israting.html 　これによると、松下電器産業、富士ゼロックス、富士通、野村総合研究所など、国内有名企業１８社が出資しますが、大株主は作らず、業種や企業グループを超えた中立な立場の第三者機関として、信頼される格付制度を確立し、グローバルスタンダード化を進めていくとしています。 　国際認証制度ISO27001に加え、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化して、組織等の情報セキュリティレベルをランク付けするもののようです。 　「提供サービス」の一つとして、「委託先・取引先の情報セキュリティ格付」というものがあります。委託先などからの情報漏洩が後を絶たないと言った背景もあるものと思います。 　これからは、形だけの「プライバシーマーク」や「ＩＳＭＳ」では対応できなくなる可能性があります。 　情報セキュリティへの取り組み姿勢が、企業競争力に大きく影響することになりそうです。]]> 2008-04-05T09:54:50Z 2008-04-05T09:54:50Z tag:www.web-kyoto.com,2008-04-05:/user/nasihat/pangkal/114.html 2008-04-05T09:54:50Z

　独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)からの2....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/114.html 情報セキュリティ 北京オリンピックウイルス」と称して、注意を促しています。 　「OLYMPIC.XLS」や「SCHEDULE.XLS」などのファイル名で、北京オリンピックのスケジュール表などに偽装されたExcelファイルが電子メールに添付される形で送られてくるそうです。このファイルを開くと偽のスケジュール表が表示される裏で、マクロ機能（作業簡素化のために処理を自動実行させるためのプログラム機能）の不具合（ぜい弱性）をついたものです。 　実行形式のプログラムファイルではなく、エクセルのファイルとなっていることから警戒心が薄れてしまいます。 　Excelのみならず、Wordやその他のアプリケーションソフトのデータで悪用される懸念がありますので注意が必要です。 　「北京オリンピック」開催に便乗するビジネスはいろいろとありますが、こんな便乗はやめてほしいものです。 ※情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（2008年3月分および第1四半期） 　http://www.ipa.go.jp/security/txt/2008/04outline.html]]> 2008-04-02T07:49:16Z 2008-04-02T07:49:16Z tag:www.web-kyoto.com,2008-04-02:/user/nasihat/pangkal/111.html 2008-04-02T07:49:16Z

　（財）日本情報処理開発協会 情報マネジメントシステム推進センターは、「医療機関....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/111.html 情報セキュリティ （財）日本情報処理開発協会 情報マネジメントシステム推進センターは、「医療機関向けのＩＳＭＳユーザーズガイド」をISO27001／JISQ27001にあわせて改定し、公開しました。 　医療機関では、病歴、病気の症状等のセンシティブ（機微）な個人情報を数多く保有しており、個人情報の保護という側面から情報セキュリティを検討する必要があります。 　JISQ15001（個人情報保護マネジメントシステム―要求事項）に基づく、プライバシーマーク付与認定取得などによって、適切な個人情報の取り扱いに努めることも大変重要ですが、電子カルテシステムやレセプト電算処理システムの導入など、情報システムへの依存度が高まる中では、そうしたシステムの管理、システム内の情報の利活用について”情報セキュリティ”の観点から、ＩＳＭＳ（情報セキュリティマネジメントシステム）の構築も検討していただきたいと思います。 　医療機関向け版のＩＳＭＳユーザーズガイドは、一般向けのユーザーズガイドに加えて、医療機関として考えなければならない事項について書かれており、医療機関においてＩＳＭＳ構築の取り組むにあたって目を通していただきたい内容となっています。]]> 2008-04-01T09:08:37Z 2008-04-01T09:08:37Z tag:www.web-kyoto.com,2008-04-01:/user/nasihat/pangkal/110.html 2008-04-01T09:08:37Z

　先に「認証マーク制度」が流行っていると書きましたが、同様に、様々な資格も大流行....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/110.html 情報セキュリティ 企業情報保護士認定試験」が創設されました。 　　http://www.joho-gakushu.or.jp/pcip/ 　本試験は、文部科学大臣許可法人である（財）全日本情報学習振興協会が実施する、いわゆる民間資格です。 　同協会は、他に、「個人情報保護士認定試験」「個人情報保護法検定」「情報セキュリティ検定試験」などの情報セキュリティに関係する試験、その他情報系に関する試験も実施しています。 　仕事柄、情報セキュリティに関係する試験にはチェックを入れ、時間が許せば受験もし、とりあえず合格もしていますが、私個人は、職業的なレベルから言えばそれを名乗るほどのものではないと思いましたので公開もしていませんし、新たに有効期限が定められて更新が必要となり、期限切れを迎えましたが更新もしませんでした。 　ただ、一般企業・特に中小企業等で専門家（情報処理技術者等）ではないものの、情報セキュリティ等に関する知識の習得と、その習得レベルを把握するために、こうした資格試験を受験されるのはとても良いことだと思っていました。 　とはいえ、あまり積極的にお勧めすことはありませんでした。 　しかし、今度の「企業情報保護士認定試験」はお勧めしても良いかな？と感じています。　今回出来た「企業情報保護士認定試験」の出題範囲を見ますと、単に情報セキュリティに直接的に関係した知識のみならず、情報セキュリティをマネジメントとして取り組む際の管理者クラスの方に、ぜひ、習得していただきたい。と思われる内容となっています。 ＜出題範囲の概要＞ ・課題? 経営情報化の理解 　経営組織と経営戦略などの経営管理の知識、CRM、ERP、SFAなどの情報化に関する知識、管理者に必要な分析手法など ・課題? コンプライアンス 　知的財産権、個人情報保護法、不正競争防止法、不正アクセス禁止法およびコンピュータ犯罪に関係する刑法、日本版SOX法（内部統制、IT統制）、民法、労働法（派遣法等）など ・課題? リスクマネジメント 　GMITSのリスク分析手法、リスク評価手法、リスク対応（回避、軽減、移転、保有）など ・課題? 安全管理措置対策 　組織的キュリティ、人的セキュリティ、オフィスセキュリティ、情報システムセキュリティ 　今、資料を請求すれば、模擬問題集が送られてきますが、既存試験の合格者には、試験の案内と共に送られてきました。 　模擬問題の内容を見たところ、結構難易度の高いものです。 　これまで、民間資格をお勧めすることは殆どありませんでしたが、今回は、ＩＳＭＳ認証取得のためのご支援をしている会社のプロジェクトメンバーの皆さんやこれまでにご支援した会社の方々にお勧めしました。 　みなさんも、チャレンジされてみてはいかがでしょう。]]> 2008-03-31T08:10:03Z 2008-03-31T08:10:03Z tag:www.web-kyoto.com,2008-03-31:/user/nasihat/pangkal/107.html 2008-03-31T08:10:03Z

　ここまで、リスクアセスメントを効果的、効率的に実施するために、情報資産の重要性....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/107.html ISMS構築支援日記 リスクのレベルを算定し、4)リスクが受容できるか、又は対応が必要であるかを判断する。作業となります。 　まずは、「リスクレベルの算定方法」を定めておく必要があります。 　リスクの定義を紹介していませんでした。規格要求事項には、「リスク」の定義はありませんが、引用規格とされているJIS Q 27002(ISO/IEC27002:2005)で、「リスク：事象の発生確率と事象の結果の組合せ」（ここでの”事象”は、望ましくない事象に限定して良いでしょう。）としています。 　”事象の発生確率”は、脅威の発生頻度と脅威に対する脆弱性の程度で考えられます。”事象の結果”は、機密性、完全性、可用性が侵害された場合の影響（損害）の大きさとなります。 　これまで説明してきた、「情報資産の重要レベル（機密性、完全性、可用性が侵害された場合の影響のレベル）」と「脅威、脆弱性の評価レベル」をリスクの算定に用いるのです。　そこで、リスクの算定式を次のように定義します。 ・リスク＝「脅威の評価レベル」×「脆弱性の評価レベル」×「情報資産の重要レベル」 ※情報資産の重要レベルは、機密性、あるいは、完全性、可用性が侵害された場合の影響を表していますので、リスクは、機密性、完全性、可用性それぞれについて算出されます。 　重要な資産（資産の重要レベルが高い）が、頻繁に発生している事件（脅威のレベルが高い）に対して、対策が不十分（脆弱性のレベルが高い）な状況下にある場合はリスクが高い。 　資産に価値が無い場合（資産の重要レベルが低い）や、事件（脅威）の発生が考えられない状況下である場合（脅威のレベルが低い）、また、既に、事件（脅威）の発生を想定した充分な対策が講じられている場合（脆弱性のレベルが低い）には、リスクが低い。という訳です。 　リスクのレベルの算定 ( 4.2.1e)3) )が出来ましたので、リスクが受容できるか、又は対応が必要であるかを判断します。 ( 4.2.1e)4) ) 　この判断のために、リスク受容基準を設定し、また、リスクの受容可能レベルを特定 ( 4.2.11c)2) )し、ここでは、自動的に、リスクの受容／リスクの対応を判断します。 　ちなみに、「リスク受容基準」とは、何をもって受容とするか？という”物差し”を作ること、「リスクの受容可能レベル」その”物差し”で、幾らであれば、受容するかを判断するレベルを決めることです。 　この”物差し”で計る「リスクの受容可能レベル」は、算定したリスクのレベルと対比できる必要があることは言うまでもありません。 　これにより「リスクの受容可能レベル」にあるリスクは取りあえず置いておき、そのレベル外にあるリスクは「リスク対応」が必要となります。 　次回は、リスク対応について述べます。]]> 2008-03-29T10:35:51Z 2008-03-29T10:35:51Z tag:www.web-kyoto.com,2008-03-29:/user/nasihat/pangkal/106.html 2008-03-29T10:35:51Z

　情報セキュリティ対策を行う中で、侵入盗などに対応するための防犯設備等の物理的対....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/106.html 事業案内 ＮＰＯ日本ネットワークセキュリティ協会「2006年 情報セキュリティインシデントに関する調査報告書」によると、個人情報漏洩件数の原因のうち、「盗難」が19％を占めています。 　休日・夜間の無人となった事務所に侵入し、換金しやすいノートパソコンが盗まれてしまうものです。”車上荒らしも”なども含まれています。 　情報セキュリティ対策に関するコンサルティングを行う中で、こうした犯罪に対する適切な物理的セキュリティのアドバイスを行うためとして、必要な勉強をして、この度、「防犯設備士」の資格を取得しました。 　「防犯設備士」は、平成4年に警察庁の指導の下で防犯システムの技術レベルの向上を目的に資格化され、平成13年からは、(社)日本防犯設備協会の認定資格となっています。国家資格ではありませんが、発注者から条件として指名される例もあって、防犯関連事業者の従業者など対象に資格取得を目指す人が増えており、警察関係者からも期待されているとか・・・。 　防犯対策を行う上での警戒線の引き方から、それぞれの警戒領域に相応しい防犯設備とそれら防犯機器の構造や設置方法などの特徴、防犯設備の設計図の描き方、防犯設備施工の進め方や関連法令、また、施工作業の上で必要な電気回路の知識や使用する工具に関する知識、守秘義務などの防犯設備士としての心得など、習得しなければならない知識は多岐に渡ります。 　幸い、電子工学を学び、電子回路設計などに従事していたこともあったて、基礎技術面に関する試験は比較的容易でしたが、新たに、鍵の構造や特徴から防犯設備の図記号や関連法令まで、新たに覚えなければならない事項も多くあって、試験は、想像以上に難しいものでした。 　今後、企業等の防犯診断や防犯対策も含めた、適切な情報セキュリティ対策の提案に活かして行きたいと思います。]]> 2008-03-27T18:35:00Z 2008-03-27T18:35:00Z tag:www.web-kyoto.com,2008-03-27:/user/nasihat/pangkal/99.html 2008-03-27T18:35:00Z

　巷では、認証マークが大流行しています。 　ある事項が、一定の水準以上にあること....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/99.html 情報セキュリティ 日本商工会議所が実施する「オンラインマーク制度（Online Shopping Trustマーク)」が本年いっぱいで制度を終了すると発表しました。 　一方で、新たに、社団法人ニューオフィス推進協議会が実施する「オフィスセキュリティマーク認証制度」が始まりました。 　「オンラインマーク制度」は、日本商工会議所が、「特定商取引法」が求める通信販売業者等に求める表示義務が法より厳格に適切であることを審査し、認証マークの使用を許可するものです。内容的には、情報セキュリティとの直接的な関係はありません。 　このマークが似ている？制度として、有限責任中間法人日本プライバシー認証機構が行う「TRUSTe（トラストイー）シールプログラム」があります。 　これは、Webサイト上で扱う個人情報が、OECDプライバシー8原則、個人情報保護法に対応できていることを認証するものです。もともと米国で始まり、世界26カ国で運用され、日本では2001年から運用されています。 　個人情報の扱いと言えば、財団法人日本情報処理開発協会が行う「プライバシーマーク制度」があります。こちらは、会社全体の全業務において、個人情報が個人情報保護法より厳格で適切に扱われていること認証するものです。　それ以外にも類似のマーク制度は幾つかありますが、いずれの制度も、Ｂ-Ｃ事業において、一般顧客に対してアピールする色合いの強いものですが、はたして、利用者（お客）は、それぞれの違いを認識できているのでしょうか？ 　とりあえず、「マーク」が付いているから安心。ってところかも知れませんが、「何が安心？」ってところについての認識については疑問です。 　ところで、「オンラインマーク制度」の終了の理由は何なのでしょう。 　商工会議所の「オンラインマーク」は、2000年より始まり、マーク取得事業者（Webショップ開設者）は現在、292事業者となっています。 　「TRUSTeシール」は、日本では、2001年から始まり、現在、認証ウェブサイト数は738サイトとなっています。（一事業者が複数サイトを運営し、複数の認証を得ている例も多く、事業者数としては500程度と思われます。） 　一方、「プライバシーマーク」は、2000年から始まり、現在9,245社が認証取得しています。 　「プライバシーマーク」が、他のマークを圧倒している理由は、同制度を実施している（財）日本情報処理開発協会が、経済産業省および総務省共管の公益法人で、公的機関が実施する個人情報関連セミナーで紹介され、さらには、公的機関の入札時の条件にまでなったことが、普及の大きな背景となっていると思います。 　こうした状況が、「マーク」に権威を与えており、現在では、Ｂ−Ｂにおける要求事項となっています。 　結果として、「オンラインマーク」より「プライバシーマーク」という方向に流れて、認証数は伸び悩み、社会的な認知は低下し、制度の維持が難しくなった。というところではないかと思います。 　しかし、本来、「オンラインマーク」と「プライバシーマーク」の意図は全く異なるものですから、この流れはおかしいのですが、「とりあえず、何か権威のある認証マークが欲しい。」ってことになっており、一方で、お客側も「とりあえず、何かマークが付いているから安心」という安易な想いがあるからではないかと思います。 　今度、新たに始まった、（社）ニューオフィス推進協議会の「オフィスセキュリティマーク認証制度」は、オフィス自体の物理的なセキュリティの確保を第三者機関が認証するもので、他の制度（ＩＳＭＳ？）と比較して、費用や期間等において認証取得、並びに、その維持・継続が容易であるとのことです。 　お客様は、あるいは、取引先は、このマークの意味をどの様に認識し、どれほど普及し、如何ほどに権威が高まるのかを注目したいと思います。 　お墨付きが好きな日本において、乱立するマーク制度ビジネスですが、「制度実施機関」と「認証受ける事業者」、そして「顧客」の”ＢtoＢtoＣ”のビジネスモデルであると考えられますが、どうも、Ｃの視点が欠けているように思います。 　資格制度も同様ですが・・・ 　皆さんはどように思いますか。]]> 2008-03-25T23:31:43Z 2008-03-25T23:31:43Z tag:www.web-kyoto.com,2008-03-25:/user/nasihat/pangkal/95.html 2008-03-25T23:31:43Z

　国民生活センターが、昨年、全国で開催された「個人情報保護法に関する説明会・相談....

nasihat http://www.web-kyoto.com/user/nasihat/pangkal/95.html 情報セキュリティ http://www.kokusen.go.jp/news/data/n-20080324_1.html 　「個人情報保護法が施行後の変化、困ったこと」について、 ・社会全体で個人情報に関する取扱いが慎重になりすぎて、不便になった（68.2％） ・何かにつけて個人情報だと言われる（57.4％） との回答が多く、「必要な連絡網等が作りにくくなった」、「国勢調査、民生・児童委員の活動などの公的な調査を拒否する者が増加した」などの声もあがっています。 　「個人情報保護法に期待することは何か」との問いには、 ・事業者が保有している個人情報の安全管理責任の強化（50.6％） ・情報の漏えいや悪用についての罰則強化（50.5％） ・知らない事業者からの勧誘電話やＤＭを制限、停止（50.2％） ・自分の個人情報が納得できる範囲内で利用される（41.1％） となっています。 　言い換えると、現状では、このような事案に対応できていないということです。　「個人情報の漏えい問題について、個人情報保護法が役に立っていると思うか」と直接的な質問でも、 ・もともと漏えいを確実に防止することは法律では不可能と思う（37.5％） ・漏えい問題が依然として発生しているので、役に立っていない（31.2％） となっており、全体として、個人情報保護法の有効性を疑問視するような結果になっています。 　これについては、そもそも、個人情報保護法は、個人情報の入手や目的外利用など行わないことなどの個人情報の取り扱い全般を規定するものであって、個人情報の漏洩防止等の情報セキュリティが主体ではないことを認識しておく必要があるだろうと思います。 　すなわち、個人情報保護法の順守によって個人情報漏洩防止ができるというは幻想なのです。 　この法律が名称として「個人情報の保護」＝情報漏洩等のセキュリティ強化に繋がる法律としての幻想を抱かせていることにも問題があるのだろうと思います。 　以上は、情報セキュリティ面から述べましたが、その他の、個人情報の取得、契約書等による個人情報の取扱いに関する通知、個人情報の開示請求、認定個人情報保護団体の相談窓口等に関するアンケート結果から見ても、やはり、現状の個人情報保護法はあまり機能していないのではないかと思われる結果となっています。 　個人情報漏洩時の罰則規定を強化しようとした改正案もありましたが、ただ、単に罰則許可しても、ますます、ギクシャクした社会になるだけのような気がします。 　個人的には、スパムメールや個人情報の入手元を明かさないメールや電話での営業活動を禁止して欲しいと思っています。]]>