教学相長：ＩＳＭＳ／情報セキュリティ

　警察庁では、宝くじ協会の助成を受けて警察協会が作成したサイバー犯罪対策の情報セキュリティ対策ビデオを、「警察庁・サイバー犯罪対策」のホームぺージ上で公開しています。
　ドラマ形式でサイバー犯罪の対策法などを紹介しており、会社での社員研修や家庭での教育等に役立てられる内容となっています。
　http://www.npa.go.jp/cyber/video/index.html

　このたび、星野真里が主演する最新版の情報セキュリティ対策ビデオ「仕掛けられた罠」が公開されました。

　インターネットに詳しいＯＬ（星野真里）の弟がネット・オークションで詐欺にあい、また、本人もフィッシングにあってネットバンキングのＩＤ・パスワードが盗まれたうえ、お金を引き出されてしまいます。
　最後は、警察のサイバー犯罪対策係が登場し、見事、犯人を特定し逮捕するというものです。
　約２０分の内容で、フィッシングの手法なども映像で示されいるので、あまり詳しくない人でも大変分かりやすい内容となっています。

　本サイトには、これまでの三津谷葉子、萬田久子、大河内奈々子、竹下景子が主演するネット犯罪に関するビデオが公開されています。


　ちなみに、市民の防犯意識や規範意識の高揚に資する映像コンテンツの配信を目的とした「ポリスチャンネル」では、情報セキュリティ対策ビデオの他、市民の生活の安全・安心に関する様々なビデオが無料で見られます。
　政府拉致対策本部が製作したアニメ「めぐみ」も見られます。
　http://www.police-ch.jp/

　休日に、ご家族と一緒にご覧になってはいかがでしょう。

　独立行政法人 情報処理推進機構（ＩＰＡ）は、2008年1月18日、19日に15歳（高校生）以上のＰＣインターネット利用者を対象に、情報セキュリティに関する認知、理解、意識、および行動の現状についてアンケート調査を行い、その結果を公開しました。
　http://www.ipa.go.jp/security/fy19/reports/ishiki02/press.html


　情報セキュリティの重要性について、全体としては「非常に重要である＝55.7％」「まあ重要である＝41.3％」となっており、その重要性は少しずつ浸透しているようです。

　しかし、「非常に重要である」とする人を、年齢別に見てみると、「10代＝40.1％」と「40代＝61.4％」との間に大きな差が見られます。
　また、職種別では、「医者・弁護士等、専門職＝71.5％」、次いで「会社員・公務員・教員(情報システムおよび通信関係の技術者・研究者)＝65.6％」などが高いのに対して、学生や契約社員/派遣社員は40％台と低くなっています。
　それぞれの社会経験や職責の大きさなどが、こうした意識に影響を与えているように思います？

　「経営者・役員」「会社員・公務員・教員」「契約社員／派遣社員」の企業等の勤務者を対象とした「組織における情報セキュリティ関連ルールの策定状況」については、「300人以上の組織＝82.2％」に対して「300人未満の組織＝46.4％」となっており、中小企業では、情報セキュリティの重要性は理解できていても、組織的な取り組みはまだまだ充分ではないようです。
　中小企業は大企業に比べて安全だとか、社会的責任は軽いなどということは全くないのですが・・・・

　情報セキュリティ上の脅威は、年齢や職種、企業規模の大小などか変わりなく訪れることを認識していただきたいと思います。

企業の情報セキュリティのレベル（信頼度の水準）を評価し、格付する世界初のセキュリティ格付専門会社「株式会社アイ・エス・レーティング」が5月2日付けで誕生します。

富士ゼロックス　ニュースリリース
　http://www.fujixerox.co.jp/release/2008/0408_israting.html

　これによると、松下電器産業、富士ゼロックス、富士通、野村総合研究所など、国内有名企業１８社が出資しますが、大株主は作らず、業種や企業グループを超えた中立な立場の第三者機関として、信頼される格付制度を確立し、グローバルスタンダード化を進めていくとしています。

　国際認証制度ISO27001に加え、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化して、組織等の情報セキュリティレベルをランク付けするもののようです。

　「提供サービス」の一つとして、「委託先・取引先の情報セキュリティ格付」というものがあります。委託先などからの情報漏洩が後を絶たないと言った背景もあるものと思います。
　これからは、形だけの「プライバシーマーク」や「ＩＳＭＳ」では対応できなくなる可能性があります。

　情報セキュリティへの取り組み姿勢が、企業競争力に大きく影響することになりそうです。

　独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)からの2008年3月および第1四半期のコンピュータウイルス・不正アクセスの届出状況のまとめによると、北京オリンピックに関するスケジュール表のような情報を表示すると同時に悪さをするウイルスが発見されたそうで、「北京オリンピックウイルス」と称して、注意を促しています。

　「OLYMPIC.XLS」や「SCHEDULE.XLS」などのファイル名で、北京オリンピックのスケジュール表などに偽装されたExcelファイルが電子メールに添付される形で送られてくるそうです。このファイルを開くと偽のスケジュール表が表示される裏で、マクロ機能（作業簡素化のために処理を自動実行させるためのプログラム機能）の不具合（ぜい弱性）をついたものです。

　実行形式のプログラムファイルではなく、エクセルのファイルとなっていることから警戒心が薄れてしまいます。
　Excelのみならず、Wordやその他のアプリケーションソフトのデータで悪用される懸念がありますので注意が必要です。

　「北京オリンピック」開催に便乗するビジネスはいろいろとありますが、こんな便乗はやめてほしいものです。


※情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（2008年3月分および第1四半期）
　http://www.ipa.go.jp/security/txt/2008/04outline.html

　（財）日本情報処理開発協会 情報マネジメントシステム推進センターは、「医療機関向けのＩＳＭＳユーザーズガイド」をISO27001／JISQ27001にあわせて改定し、公開しました。
　医療機関では、病歴、病気の症状等のセンシティブ（機微）な個人情報を数多く保有しており、個人情報の保護という側面から情報セキュリティを検討する必要があります。
　JISQ15001（個人情報保護マネジメントシステム―要求事項）に基づく、プライバシーマーク付与認定取得などによって、適切な個人情報の取り扱いに努めることも大変重要ですが、電子カルテシステムやレセプト電算処理システムの導入など、情報システムへの依存度が高まる中では、そうしたシステムの管理、システム内の情報の利活用について”情報セキュリティ”の観点から、ＩＳＭＳ（情報セキュリティマネジメントシステム）の構築も検討していただきたいと思います。

　医療機関向け版のＩＳＭＳユーザーズガイドは、一般向けのユーザーズガイドに加えて、医療機関として考えなければならない事項について書かれており、医療機関においてＩＳＭＳ構築の取り組むにあたって目を通していただきたい内容となっています。

　先に「認証マーク制度」が流行っていると書きましたが、同様に、様々な資格も大流行です。
　今度、「企業情報保護士認定試験」が創設されました。
　　http://www.joho-gakushu.or.jp/pcip/

　本試験は、文部科学大臣許可法人である（財）全日本情報学習振興協会が実施する、いわゆる民間資格です。
　同協会は、他に、「個人情報保護士認定試験」「個人情報保護法検定」「情報セキュリティ検定試験」などの情報セキュリティに関係する試験、その他情報系に関する試験も実施しています。

　仕事柄、情報セキュリティに関係する試験にはチェックを入れ、時間が許せば受験もし、とりあえず合格もしていますが、私個人は、職業的なレベルから言えばそれを名乗るほどのものではないと思いましたので公開もしていませんし、新たに有効期限が定められて更新が必要となり、期限切れを迎えましたが更新もしませんでした。

　ただ、一般企業・特に中小企業等で専門家（情報処理技術者等）ではないものの、情報セキュリティ等に関する知識の習得と、その習得レベルを把握するために、こうした資格試験を受験されるのはとても良いことだと思っていました。
　とはいえ、あまり積極的にお勧めすことはありませんでした。
　しかし、今度の「企業情報保護士認定試験」はお勧めしても良いかな？と感じています。

　ここまで、リスクアセスメントを効果的、効率的に実施するために、情報資産の重要性（機密性、完全性、可用性が侵害された場合の影響のレベル）を評価し、情報資産の特性に応じてグループ化し、それぞれの脅威、脆弱性を特定・評価することを述べてきました。
　次は、規格要求事項 4.2.1e) の　3)リスクのレベルを算定し、4)リスクが受容できるか、又は対応が必要であるかを判断する。作業となります。
　まずは、「リスクレベルの算定方法」を定めておく必要があります。

　リスクの定義を紹介していませんでした。規格要求事項には、「リスク」の定義はありませんが、引用規格とされているJIS Q 27002(ISO/IEC27002:2005)で、「リスク：事象の発生確率と事象の結果の組合せ」（ここでの”事象”は、望ましくない事象に限定して良いでしょう。）としています。

　”事象の発生確率”は、脅威の発生頻度と脅威に対する脆弱性の程度で考えられます。”事象の結果”は、機密性、完全性、可用性が侵害された場合の影響（損害）の大きさとなります。
　これまで説明してきた、「情報資産の重要レベル（機密性、完全性、可用性が侵害された場合の影響のレベル）」と「脅威、脆弱性の評価レベル」をリスクの算定に用いるのです。

　情報セキュリティ対策を行う中で、侵入盗などに対応するための防犯設備等の物理的対策も重要です。

　ＮＰＯ日本ネットワークセキュリティ協会「2006年 情報セキュリティインシデントに関する調査報告書」によると、個人情報漏洩件数の原因のうち、「盗難」が19％を占めています。
　休日・夜間の無人となった事務所に侵入し、換金しやすいノートパソコンが盗まれてしまうものです。”車上荒らしも”なども含まれています。

　情報セキュリティ対策に関するコンサルティングを行う中で、こうした犯罪に対する適切な物理的セキュリティのアドバイスを行うためとして、必要な勉強をして、この度、「防犯設備士」の資格を取得しました。


　「防犯設備士」は、平成4年に警察庁の指導の下で防犯システムの技術レベルの向上を目的に資格化され、平成13年からは、(社)日本防犯設備協会の認定資格となっています。国家資格ではありませんが、発注者から条件として指名される例もあって、防犯関連事業者の従業者など対象に資格取得を目指す人が増えており、警察関係者からも期待されているとか・・・。

　防犯対策を行う上での警戒線の引き方から、それぞれの警戒領域に相応しい防犯設備とそれら防犯機器の構造や設置方法などの特徴、防犯設備の設計図の描き方、防犯設備施工の進め方や関連法令、また、施工作業の上で必要な電気回路の知識や使用する工具に関する知識、守秘義務などの防犯設備士としての心得など、習得しなければならない知識は多岐に渡ります。

　幸い、電子工学を学び、電子回路設計などに従事していたこともあったて、基礎技術面に関する試験は比較的容易でしたが、新たに、鍵の構造や特徴から防犯設備の図記号や関連法令まで、新たに覚えなければならない事項も多くあって、試験は、想像以上に難しいものでした。

　今後、企業等の防犯診断や防犯対策も含めた、適切な情報セキュリティ対策の提案に活かして行きたいと思います。

　巷では、認証マークが大流行しています。
　ある事項が、一定の水準以上にあることを第三者認証機関が認定し、その証しとして認証機関が所定の”マーク”の利用を許可するものです。
　どうも、日本人はこうした「お墨付き」に弱いようです。

　私の業務に近いところの”マーク制度”の一つ、日本商工会議所が実施する「オンラインマーク制度（Online Shopping Trustマーク)」が本年いっぱいで制度を終了すると発表しました。
　一方で、新たに、社団法人ニューオフィス推進協議会が実施する「オフィスセキュリティマーク認証制度」が始まりました。


　「オンラインマーク制度」は、日本商工会議所が、「特定商取引法」が求める通信販売業者等に求める表示義務が法より厳格に適切であることを審査し、認証マークの使用を許可するものです。内容的には、情報セキュリティとの直接的な関係はありません。

　このマークが似ている？制度として、有限責任中間法人日本プライバシー認証機構が行う「TRUSTe（トラストイー）シールプログラム」があります。
　これは、Webサイト上で扱う個人情報が、OECDプライバシー8原則、個人情報保護法に対応できていることを認証するものです。もともと米国で始まり、世界26カ国で運用され、日本では2001年から運用されています。

　個人情報の扱いと言えば、財団法人日本情報処理開発協会が行う「プライバシーマーク制度」があります。こちらは、会社全体の全業務において、個人情報が個人情報保護法より厳格で適切に扱われていること認証するものです。

　国民生活センターが、昨年、全国で開催された「個人情報保護法に関する説明会・相談会」の参加者を対象にアンケートを実施した結果を公表しました。
　http://www.kokusen.go.jp/news/data/n-20080324_1.html

　「個人情報保護法が施行後の変化、困ったこと」について、
・社会全体で個人情報に関する取扱いが慎重になりすぎて、不便になった（68.2％）
・何かにつけて個人情報だと言われる（57.4％）
との回答が多く、「必要な連絡網等が作りにくくなった」、「国勢調査、民生・児童委員の活動などの公的な調査を拒否する者が増加した」などの声もあがっています。

　「個人情報保護法に期待することは何か」との問いには、
・事業者が保有している個人情報の安全管理責任の強化（50.6％）
・情報の漏えいや悪用についての罰則強化（50.5％）
・知らない事業者からの勧誘電話やＤＭを制限、停止（50.2％）
・自分の個人情報が納得できる範囲内で利用される（41.1％）
となっています。
　言い換えると、現状では、このような事案に対応できていないということです。