教学相長：ＩＳＭＳ／情報セキュリティ

　内部統制必須の時代に、情報セキュリティが重要な課題となっている中で、中小企業におけるその対応は、まだまだ不十分であろうと思います。
　近畿経済産業局およびＮＰＯ日本ネットワークセキュリティ協会（ＪＮＳＡ）西日本支部では、中小企業の情報セキュリティ対策のガイドライン策定のため、製造業の中小企業の皆様を対象とした「情報セキュリティ対策実施状況」のアンケートを実施しています。
　http://www.kansai.meti.go.jp/2-7it/security/080317.html

　アンケートへの協力はもとより、「情報セキュリティチェックシート」や「情報資産台帳サンプル」は、中小企業における情報セキュリティ対策の取り組みについて、良い参考資料ともなります。
　一度、ご覧頂きたいと思います。

　前回は、リスクアセスメントを効果的、効率的に実施するために、情報資産のグループ化について説明しました。
　今回は、グループ化した情報資産の脅威・脆弱性の特定です。規格要求事項 4.2.1 d) 2 及び、c) 2 にあたる部分です。

　ちなみに、規格要求事項には、脅威、脆弱性の定義はありません。そこで、JIS Q l3335-1:2006（情報通信技術セキュリティマネジメント−第１部：情報通信技術セキュリティマネジメントの概念及びモデル）より引用して紹介しておきます。
・脅威：システムまたは組織に危害を与える、好ましくない偶発事故の潜在的な原因
・脆弱性：脅威によって影響を受け得る資産または資産グループの弱さ

　日常生活の中で例をとれば、「建物」という全体でいえば「泥棒にあう」という脅威にあたります。その脅威に受ける要因として、「泥棒の対象となりやすい立地環境にある」「ピッキングしやすい鍵である」「風呂場の窓が締められていない」などといったいろいろな脆弱性が見い出されます。その上で、「ピッキングしやすい鍵」という脆弱性に対して、「ピッキングしにくい鍵に交換する」「もう一つ鍵を付ける」「ピッキングセンサー・アラームを取り付ける」などの対策を考え、費用対効果などを考慮して対策を講じることになります。

　最近、「ゆうちょダイレクト【重要なお知らせ】」などと題したフィッシングメールが出回っているらしいとの情報です。
　http://www.jp-bank.japanpost.jp/news/2008/news_id000219.html

　送信元アドレスは、infor@jp-bank.japanpost.jp　と、正規のゆうちょ銀行ドメインとなっていますが、そのメールに記載されたＷｅｂサイト（ホームページ）のＵＲＬをクリックすると、ゆうちょ銀行と見間違えるＷｅｂサイトに誘導され、お客さま番号やパスワードなどを入力させて、盗み取ろうとするものです。

　既に、本フィッシングメールの誘導先のＷｅｂサイトは既に閉鎖されているとのことですが、こうしたフィッシング詐欺は、後を絶ちませんので注意が必要です。
　メールから誘導されたWebサイト上で、ＩＤやパスワードなどの大切な情報を入力しないようにするなどとした注意が必要です。

　メールの差出人の詐称がいとも簡単に出来てしまうのは、今日普及しているインターネットシステムの大きな脆弱性ともいえます。
　最近は、フィッシング対策として、一部の銀行などでは電子署名付きメールが使われるようになりました。せめて財産を管理する金融機関やクレジット会社などでは電子署名付きメールを取り入れて欲しいものです。

　（財）日本情報処理開発協会（JIPDEC)から、内部統制報告制度に伴うＩＴ統制の状況について調査した結果が公表されました。
　http://www.jipdec.jp/chosa/it_riyou/gaiyo.html

　内部統制報告制度とは、会計処理に関する不祥事を防止を目的に、日本版ＳＯＸ法（金融商品取引法の一部）に基づき、内部統制の評価に関する報告書の提出が義務付けらるものです。
　また、内部統制とは、簡単に言えば、財務報告報告の信頼性や事業活動にかかわる法令の遵守などを保証するための仕組みですが、ＩＴ活用の浸透に伴い、ＩＴ利用に関する統制（ＩＴ統制）への対応も重要な要素となっています。

　「IT統制に関する実態調査」は、昨年10月〜12月の間に、上場企業の情報システム部長にアンケートを実施して、そのＩＴ統制の取り組みの実態を調査したものです。
　本制度は、本年4月1日以後に開始する事業年度から適用されるものですが、内部統制の構築と評価への対応の進捗状況は、一部着手から殆ど未着手の企業が半数以上もあり、果たして、どれほど信頼性ある評価がなされるかが心配なところです。

　また、ＩＴ統制においては、情報セキュリティへの取り組みも避けては通れません。

　先週末、Ａ社の第四回目ＩＳＭＳ認証取得プロジェクト会議を開催しました。今のところ、ほぼ順調に進んでいます。
　こちらの説明は、第三回目プロジェクト会議での作業についての説明で、前回の情報資産の機密性(C)、完全性(I)、可用性(A)に続いて、”グループ化”の話です。

　次回の話となりますが、それぞれの情報資産にどのような脅威があるか？その脅威につけ込まれる脆弱性があるかを検討し、機密性・完全性・可用性を考慮のうえ、放置できない脆弱性には、何らかの補強策（セキュリティ対策）を講じることが必要です。
　この一連の作業がリスクアセスメントですが、洗い出された情報資産の一つ一つに検討していくと大変な作業となります。
　そこで、情報資産をグループ化して、グループ単位でリスクアセスメントを行うわけです。

　独立行政法人 情報処理推進機構（ＩＰＡ）は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするための資料として、「安全なウェブサイトの作り方改訂第3 版」を2008 年3 月6 日（木）より、ＩＰＡセキュリティセンターのウェブサイト上で公開しました。
　http://www.ipa.go.jp/security/vuln/websecurity.html

　ＩＰＡが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料だそうです。
　図など用いて説明してあり、これから学ぶ人向けかな？と思いましたが、結構、専門的な内容でした。

　前回、説明すればよかったのですが、規格には、具体的なリスクアセスメントの手法は示されていません。また、リスクアセスメントの手法は幾つかの方法があります。
　ここで、紹介する手法は、GMITS（The Guidelines for the management of IT Security：ITセキュリティマネジメントのためのガイド）のISO/IEC TR 13335-3:1998で紹介されている例を参考にしたものです。

　まず、リスクアセスメントの最初の作業として、情報資産の機密性(C)、完全性(I)、可用性(A)を評価します。
　規格要求事項に示されているリスクアスメントの流れは次のようになっていますが、順番としては逆ですが、４）にあたる作業です。
　１）資産及び資産の管理責任者を特定する。
　２）それらの資産に対する脅威を特定する。。
　３）特定した脅威がつけ込む可能性のある脆弱性を特定する。
　４）機密性(C)、完全性(I)、可用性(A)の喪失が及ぼす影響を特定する。

　事故等の結果としてCAIの喪失による発生コストを予測する作業とといえます

　財団法人日本情報処理開発協会（JIPDEC)より、「経済産業分野の事業者における個人情報の保護に関する取組み実態調査2008」の報告書が公開されました。
　http://privacymark.jp/news/20080304/index.html

　調査は、JIPDECプライバシーマーク推進センターのホームページ上のアンケートによるもので、回答者の約65％がプライバシーマーク認定事業者、もしくは、認定に向けた検討・準備中・申請中事業者であることを前提として読む必用があります。

　個人情報保護に関する方針（プライバシーポリシー）を策定し公表しているとする回答者は91.0%となっています。今日、Webサイト上で個人情報保護方針やプライバシーポリシーを宣言することは常識化しつつあります。

　個人情報保護の社内規程類の整備して運用しているは、87.9%、個人情報の管理に関する組織体制として、個人情報保護管理者を設置しているは、78.3%となっており、JIPDECプライバシーマーク推進センターのホームページ上のアンケートに答える事業者は、やはり、相応の取り組みを実施しているようです。

　個人的にちょっと目に付いたデータは・・・・

　第三回目からは、いよいよ、ＩＳＭＳ構築の具体的な作業です。
　プロジェクト会議のレジュメ次第は次の通りですが、この部分は重要であり、第三回、第四回と継続して取り組みます。
　　１、リスクアセスメントの手法について
　　　　　・リスクアセスメントに関する要求事項
　　　　　・リスクアセスメント実施手順の提案
　　２、情報資産目録の作成について
　　　　　・情報資産のＣＩＡ評価
　　　　　・グループ化
　　　　　・資産目録の作成
　　３、リスクアセスメントの実施
　　　　　・脅威・脆弱性の特定
　　　　　・対策と詳細管理策の選択
　　　　　・残留リスク
　　４、リスク対応計画の作成について

　前回の規格要求事項の説明に続いて、再度、リスクアセスメントに関する規格要求事項を説明しました。この部分は、審査でも重点的に説明が求められますので、しっかりと理解していただきます。
　続いて、リスクアスメントの手法を決定します。

　総務省より、平成１９年１月１日から１２月３１日までの不正アクセス行為の発生状況が公表されました。
http://www.soumu.go.jp/s-news/2008/080229_6.html

　不正アクセス行為の認知件数は、昨年H18年の946件に比べて、H19年は1,818件と倍増しています。
　不正アクセス行為による所業としては、インターネット・オークションの不正操作（他人になりすましての出品等）が最も多く（1,347件：全体の７割強）、その多くが、フィッシングサイトによって不正に入手したID・パスワードを利用したもののようです。

　電子メールによりホームページへの誘導に注意し、また、ＩＤパスワードの定期的に変更など心がけて、被害者になれないようご注意ください。