Page: 1/2   >>
スポンサーサイト
0

    一定期間更新がないため広告を表示しています

    | スポンサードリンク | | - | - | - | - |
    情報資産とは、なんでしょう?
    1
    情報セキュリティに関するリスク分析を進めていく段階で、
     「情報資産って、どこまででしょうか?どのくらい細かく抽出すべきでしょうか?」
    という質問をコンサルの場でよくされます。

    そもそも、組織にとって、情報資産ってなんでしょうか?

    まず、構成している漢字から、考えてみました。
     
     <情> なさけ。他人に対する心づかい。心の動き。
     <報> むくいる。受けた恩や労力などに対するお返し。
     <資> もととなるもの。財産。
     <産> 産む、産み出す。

    個々の漢字の意味からすると、

     情報 = 心の動きに対するお返し?心づかいの結果?
     資産 = 財産を産み出すもの?

    辞書を引いてみると、
    (いくつも意味があるので、部分的に抽出しています)

     情報 = 行動の意志決定をするために役立つ資料や知識。
     資産 = 企業が所有し、その経営活動に用いる財産。

    それぞれの意味をまとめると、
     情報資産 = 「経営活動での行動や意思決定をするために役立つ資料や知識」
    となりそうです。

    情報資産の意味がなんとなくわかったとして、意味から考えると
    「組織にとっての情報資産」は、どこまでなのかは、だれが知っているのでしょうか?

    情報資産の意味からすると、どこまでを経営活動と考えるのかによって、
    どこまでを情報資産とするのかも、変わってきそうなことは、わかりますよね?

    また、誰にとって役立つ資料なのかによっても、変わります。

    逆に言えば、誰が、いつ、どのように、どうやって、使っているデータや資料なのかが
    わかれば、情報資産なのか、単なるデータなのかは区別できるのではないでしょうか?

    ★組織でのポイント★
    闇雲に組織内で扱っている資料やデータを、情報資産として一覧にして、
    一つ一つ価値を評価して、リスクを考えて、、、って、やっていませんか?

    たとえば、以下のようなやり方で情報資産を見直してみてはいかがでしょうか?
     ・組織の活動として、なにがあるか?どこまでを経営活動として考える?
     ・複数の組織活動の中で、重要な活動はどれか?
     ・重要な活動にかかわっている人は、だれか?
     ・重要な組織活動で使う資料やデータは、どんなものがあるのか?
     ・活動の道具として必要な資産(パソコンやMS Officeなど)はどれか?


    | コンサルタント | 17:52 | comments(0) | trackbacks(0) | - | - |
    BYODとは?
    2
    JUGEMテーマ:セキュリティ
     
    あちらこちらで、「BYOD」という言葉をよく目にするようになりました。

    BYODは、Bring Your Own Device の略で、従業員の私物を業務に活用
    してもらおうという考え方です。

    「中小企業の場合、いまさらそんな横文字で言わなくても、私物を業務で
     使うなという制限はないよ」というところも、多いのではないでしょうか?

    わざわざ「BYOD」という言葉がでてきているのは、
     「私物の業務利用は禁止」
     「業務で使うものは企業側から提供」
    という考え方が前提となっています。

    この考え方のままでいくと、
     会社から提供されている業務用のスマートフォン、タブレット。
     スケジュール管理したり、調べ物をするために個人用のスマートフォンとタブレット。
     と、軽くて1台でいろいろなことができて、いつでも使えて便利なものを2台ずつ
     持ち歩くことに・・・。
     これって、スマートフォン、タブレットのメリットが失われない?
     
     しかも、業務用の方はアプリも限定されて、設定も制限されて使いにくいし
     持ち歩く意味がないんじゃ・・・。

    ということになりかねないので、企業側で個人の私物を許可して、業務効率を
    あげてもらおうという考え方です。

    ただ、今まで制限していたのは、
     ・情報漏えいの防止
     ・ウィルス感染の予防
     ・不正行為の予防
     ・利用機器を統一することによる統制
    など、企業側で統制管理することが目的です。

    業務効率UPのために私物を許可するとしたら、どんなことが必要になるでしょうか?
     1.従業員との誓約書の締結
     2.スマートフォン、タブレットの利用ガイドラインを作る
      例えば、以下のような内容。
       ・ウィルスに対する対策の義務付け
       ・アプリ導入時の注意
       ・アカウントの管理
       ・データの保管についての注意
       ・廃棄、機種変更時の手順
       ・紛失、盗難時の手順

    ★組織でのポイント★
    中小企業では、従業員の私物を禁止して、全体で統制管理ということ自体、
    実現が難しいということが、多々あります。

    中小企業にとって、スマートフォンやタブレットの普及は、資源不足により
    業務効率が低下していた環境を、改善するチャンスではないでしょうか?

    私物のスマートフォンやタブレットを安全に業務で活用するために、
    以下のようなことを、話し合ってみてはいかがでしょうか?
     ・どのような使い方をすれば、業務効率の改善につながるか?
     ・情報漏えいやウィルス感染などの危機は、どのような方法で回避、低減できるのか?
     ・私物を業務で利用する場合、どのようなルールが必要なのか?

    | コンサルタント | 15:02 | comments(0) | trackbacks(0) | - | - |
    フレームワークとは?
    1
    ISOのマネジメントシステムは、フレームワークの一つです。

    <フレームワークとは?>
    フレームワークを辞書で引くと、「骨格、枠組み、体制、構成」というような
    意味が書かれています。

    ソフトウェア開発では、
     フレームワーク 
      ⇒ ある特定の機能を開発するための基本ライブラリやクラスをまとめたもの
        Webアプリケーション開発の土台や、開発の手間を省くことために利用されます。

    ビジネスでよく知られていて、よく使われるフレームワークとしては、
     SWOT分析:強み、弱み、機会、脅威を評価するためのツール
     PPM:戦略的観点から事業相互の組み合わせを決定するためのツール
     3C:事業環境分析に必要な顧客、競合、自社の3つの観点
     5フォース分析:外部環境分析に必要な5つの観点
     5S:整理、整頓、清掃、清潔、躾の働き易い環境を整える要素
     PDCA:管理業務をスムーズにするための手法
     5W1H:ニュース記事や報告書などに含めておくべき項目
    などがあります。
    その他にも、BABOK、PMBOKなどもフレームワークの一つです。

    フレームワークは、どれも、分類するための基準となる項目だったり、
    最低限抑えて置くべき項目だったり、考え方だったりと、実態のないものです。

    <フレームワークはどういうときに使う?>
    フレームワークを使うのは、たとえば、以下のような場合です。
     ・ある事について、「もれなく、だぶりなく」考えたい。
     ・ある事柄を整理して、分類したい。
     ・ある目的を達成するために、一般的に共通的な項目を網羅しているか確認したい。

    あること、ある目的がなければ、フレームワークを使う意味がありません。

    個人や何のために使うのか、フレームワークで何をしたいのかを
    明確にしないことには、使いこなすことのできないものです。

    フレームワークのような枠組みがない状態で、どうしたいのか、
    どうするべきなのか、何ができるのかなどを、広い視点、視野で
    考え抜いた結果として、目的、目標が定まったあとで、使うべきものです。

    <フレームワークを使うメリットは?>
    個人や組織内だけでは、発想の軸、視点や視野が限られてしまうことが多くあります。
    フレームワークを使うことで、発想する軸、視点、視野を広げることができます。

    個人や、組織内だけでは、思いつかなかったことや発見できなかったことを
    見つけることができます。

    <ISOもフレームワーク?>
    ISOやJISなどの規格も、フレームワークの一つです。
    規格には、ある事柄について、網羅すべき項目がまとめられています。

    例えば、ISO27001であれば、情報セキュリティ管理をするために、必要となるで
    あろう項目や基準が、要求事項、管理策に含まれています。

    あくまで、要求事項も、管理策も基準なので、組織でどのように解釈して、
    自組織のやり方に取り入れるかを考え、実現していくことで、ISOという
    フレームワークを活用することができます。

    そのため、
     「ISO27001の認証を取得した」=「情報セキュリティ対策は完璧」
    というわけではありません。

    まずは、ISOというフレームワークを組織で活用してみることが第一歩です。
    その後、フレームワークを発展させて、組織の栄養にしていきます。
    組織の栄養となった結果として、事業の目的に沿った情報セキュリティ管理の
    活動ができるようになります。

    ★組織でのポイント★
    経営課題を解決するために、フレームワークを使って考えてみると、
    意外な解決策が発見できるかもしれません。

    自組織の課題に関連するフレームワークを選択して、フレームワークを
    使ってみることで、新しい発見につながる可能性もあります。

    フレームワークですべてが解決できるわけではありませんが、発想の転換の
    道具として活用してみては、いかがでしょうか?

    | コンサルタント | 11:17 | comments(0) | trackbacks(0) | - | - |
    ソフトウェア資産管理とは?
    0
      JIPDEC(一般財団法人日本情報経済社会推進協会)は、
       「クラウド・コンピューティング時代のSAMについての考え方」
      を公開しました。 SAM:ソフトウェア資産管理

       参考: JIPDEC ソフトウェア資産管理(SAM)に関する文書

      JIPDECの資料は、クラウド環境を利用する際に、ソフトウェア資産を
      どのように管理すればよいかをまとめたものになっています。

      クラウド環境の発展により、今まで高くて購入できなかったソフトウェアも
      安価に利用できる可能性が広がっています。
      その反面、ソフトウェア資産の管理が複雑になる可能性があり、
      気がつけば、コンプライアンス違反という可能性もありえます。

      <ソフトウェア資産とは、なんでしょうか?>
       ソフトウェア資産=ソフトウェアとライセンスを総称したもの
       (引用元 : JIPDEC SAMユーザーズガイド 平成22年6月版 2.12.)

       例1)
        業務でよく利用するMicrosoft Officeの場合、
         ソフトウェア
          ⇒ Microsoft Officeのアプリケーション
         ソフトウェア資産
          ⇒ Microsoft Officeのアプリケーション+自社の購入ライセンス数
            +製品に添付されている使用許諾契約書(使用条件)

       例2)
        クラウド環境上の勤怠管理用のSaaSサービスの場合、
         ソフトウェア
          ⇒ 勤怠管理用のSaaS環境
         ソフトウェア資産
          ⇒ 勤怠管理用のSaaS環境 + 利用契約書 + 課金条件

       例3)
        自社製品のマニュアル(操作手順書)の場合、
         ソフトウェア
          ⇒ 自社製品のマニュアル
         ソフトウェア資産
          ⇒ 自社製品のマニュアル+マニュアルに対する自社の著作権
           + 顧客が利用する場合の使用条件(契約内容)

      <ソフトウェア資産管理とは?>
       ソフトウェア資産管理(SAM:Software Asset Management)とは、
       簡単に言うと、ソフトウェアとライセンスを活用するための活動です。

       活用するためには、以下の5W1Hを把握する必要があります。
        ・WHO   だれが使っているのか?だれが買ったものなのか?
        ・WHERE  どのパソコンで、サーバで利用しているか?どこで保管しているか?
        ・WHAT   なにを買ったのか?何を提供したのか?(ソフトウェア)
        ・WHEN   買ったのはいつか?いつまで使えるか?
        ・WHY   何のために必要か?何を目的としたソフトウェアか?
        ・HOW   どのくらい(ライセンス数)使っているか、保有しているか?

       5W1Hを把握することで、以下のような利点があります。
        利点1 : 無駄なライセンスの購入が発生しない
         ⇒購入したソフトウェアの利用数と保有数、利用条件、何のために必要かを
          把握することにより、不要なソフトウェアの購入や、過剰なライセンス購入を
          抑えることができ、無駄を削減できます。
          クラウド環境においても、SaaS環境を利用している社員数と契約数を把握
          することにより、必要最小限の契約数に削減できる可能性があります。

        利点2 : コンプライアンス違反を予防できる
         ⇒従業員と協力して、ソフトウェア資産を把握し、管理していくことで、
          従業員への教育効果も期待できます。
          そのことで、不正コピーなどのコンプライアンス違反の予防につながります。

        利点3 : 自社の知的資産を活用できる
         ⇒自社製品のマニュアルや自社で開発したソフトウェアについて5W1Hを
          明らかにすることによって、部門内で埋もれていた資産を把握することが
          できます。
          全社のソフトウェア資産を把握することで、更なる活用方法を見出せる
          可能性があります。


      ★組織でのポイント★
       まずは、購入したソフトウェア資産について、以下の点を把握してみましょう。
        ・過去5年間に購入したソフトウェアは、どんなものがあるのか?
        ・購入したソフトウェアのライセンス数は、何本あるのか?
        ・それぞれのソフトウェアは、だれが何のために利用しているのか?
        ・ソフトウェアのメディア(データ)は、どこにあるのか?
        ・購入したソフトウェアは、どれだけ、どのくらいの頻度で利用されているのか?

       ソフトウェアによっては、購入ライセンス数×保守単価というものもあります。
       購入費用や保守費用の削減のために、購入したソフトウェア資産の棚卸を実施しましょう。

       購入したソフトウェア資産の次は、自社で作成したソフトウェアについて、 以下の点を
       把握してみましょう。
        ・自社で作成したソフトウェアどのようなものがあるのか?
         (簡単なエクセルのマクロ、製品マニュアル、映像データも含めて)
        ・それぞれ著作権はどのようになっているのか?
        ・顧客に提供した数は、把握できているのか?
        ・顧客に提供した場合、契約条件はどのようになっているのか?

       すべてのソフトウェア資産に対して、一度に把握しようとすると、あまりの膨大さに
       資産の把握すらできない可能性があります。
       自社で把握し、管理しやすい小さな単位や区分を決めて取り組むことが、ソフトウェア資産の
       活用への近道です。

      補足:
       ソフトウェア資産管理プロセス: ISO/IEC 19770-1
          ISMS(情報セキュリティマネジメントシステム)、QMS(品質マネジメントシステム)
         と同じ、PDCAサイクルのマネジメントシステムです。
         ISMSやQMSのPDCAサイクルに合わせることで、ソフトウェア資産管理を実現
         しやすくなります。
      | コンサルタント | 15:42 | comments(0) | trackbacks(0) | - | - |
      プロセスアプローチとは?例:「晩御飯を作る」
      0
        ISOのマネジメントシステムで、「プロセスアプローチ」という言葉がでてきます。

        「プロセスアプローチ」は、ISOの認証取得を目指す組織以外でも、活用することの
        できる考え方です。

        <「プロセスアプローチ」とは、なにか?>
        ISO27001によると、
        「そのようなプロセスを明確にし、かつ、相互作用させることと合わせて、それらの
         プロセスをシステムとして組織内に適用し、かつ、運営管理することを
         ”プロセスアプローチ”と呼ぶ。」
        と書かれています。(JIS Q 27001:2005より引用)

        なんだか、わかりにくいですが。。要点は、以下4つです。
         1.プロセスを明確にする
         2.プロセスを相互作用させる
         3.プロセスをシステムとして組織内に適用する
         4.プロセスを運営管理する

        まだまだ、よくわかりませんね。
        プロセス・・・って、なんなんでしょ?

        <プロセスとは、なにか? プロセスアプローチとの関係は?>
        プロセス=「インプットをアウトプットに変換することを可能にする活動」

        例えば、「晩御飯を作る」というプロセスで考えて見ましょう。
        「晩御飯を作る」というプロセスは、いくつかのプロセス(活動)から
        成り立っています。
        大きく分けると、「ごはんを炊く」「おかずを作る」の2つ。

        −例:プロセスA 「晩御飯の時間に合わせて、ごはんを炊く」−
         インプット : お米、水
         アウトプット: 炊き立てごはん
         利用資源 :炊飯器、電力、作業を行なう人、晩御飯の時間、晩御飯を食べる家族の人数
         活動の詳細: 
           1.何人が食べるのかを考える
           2.炊く量を決める
           3.必要なお米を計量する
           4.お米を研ぐ
           5.炊くために必要な水を計量する
           6.炊飯器にセットする
           7.晩御飯の時間に合わせて、19時にタイマーを設定する
           8.19時にごはんが炊き上がる

        −例:プロセスB「家にある食材でおかずを作る」−
         インプット : 家にある食材
         アウトプット: 晩御飯のおかず
         利用資源: 料理を作る人(手元にある食材でメニューを考え、作る能力)、
                ガスコンロ、料理道具、調味料
         活動の詳細:
           1.家にある食材、調味料を確認する
           2.今の時間と家族が帰ってくる時間から、調理時間を考える
           3.調理時間の長さと食材から作れるメニューを決める
           4.決定したメニューから、手順、平行して作れるものを考える
           5.料理をする→おかずが完成
         
        2つのプロセスの組み合わせで、晩御飯が完成します。

        ここまでで、プロセスアプローチの以下2つまでは、できています。
         「1.プロセスを明確にする」
           → 「晩御飯を作る」プロセスを構成する大きく2つのプロセスを明確化。
            プロセスA:「ごはんを炊く」 プロセスB:「おかずを作る」
         「2.プロセスを相互作用させる」
          →プロセスA,Bのアウトプットの組み合わせで
            「できたての晩御飯(Aの結果:炊き立てごはん+Bの結果:おいしいおかず)」
           が完成。

        晩御飯を完成させるためのインプットとして、お米や家にある食材が必要です。
        これは、「食材を買う」というプロセスのアウトプットです。
        「食材を買う」ためには、お金が必要です。
        お金は、「働いた成果として収入を得る」というプロセスのアウトプットです。

        労働を提供して→収入を得て→食材を買い→晩御飯を作る→家族で楽しく食べる
        という一連のプロセスの組み合わせ(システム)があることから、成り立ちます。
        「家族で楽しく食べる」というプロセスの結果として、「翌日も頑張るぞという意欲」が
        生まれ、「労働を提供する」インプットとなります。

        これが、「3.プロセスをシステムとして組織内に適用する」です。
        それぞれのプロセスのインプット、アウトプットだけではなく、それぞれのプロセスが
        何のために必要とされているかも含めて、システムを作り上げることにより、
        より良いシステムとなります。

        このシステムを成り立たせるためには、それぞれのプロセスにおいて
        インプットとアウトプットが出せる状態が維持できているかを、管理していく
        必要があります。

        「晩御飯を作る」というプロセスに限定すると
          ・限られた食材で晩御飯を作る能力があるか?(能力管理)
          ・作る人がいなかった場合、代わりにできる人がいるのか?(要員の確保)
          ・炊飯器が壊れた場合、別の手段はあるのか?(代替手段)
          ・お米を炊くための水分量は、どのくらいが適当か?(情報の管理)
          ・家族で楽しく食べるという条件を満たしているか?(品質の管理)
          ・次の日も頑張ろうと思える栄養のある晩御飯になっているか?(品質の管理)
        など、プロセスを阻害する要因や品質を保つために必要な能力や情報を
        運営管理していく必要があります。

        これが「4.プロセスを運営管理する」です。

        <再び、「プロセスアプローチ」とは、なにか?>
         1.プロセスを明確にする
           組織で行なっている活動(プロセス)に必要なもの(インプット)と結果(アウトプット)、
           プロセスの実現に必要な資源(人、金、設備、情報)を明確にする

         2.プロセスを相互作用させる
           1で明確にしたプロセスがどう作用しあっているか、相互作用すべきか、を考える

         3.プロセスをシステムとして組織内に適用する
           プロセスの相互作用も考慮したうえで、人(能力)、金、設備、情報をどのように
           割り当てるか、誰がやるか、どの時期にやるかなどを見直してみる(システム化)
           見直した結果を、組織全体で実際にやってみる(組織内に適用)  
           ★ISO規格要求事項に沿うこと=ISOマネジメントシステムを適用すること

         4.プロセスを運営管理する
          1つ1つのプロセスの品質、状態の管理、システム全体の品質、状態を管理する

        ★組織でのポイント★
         プロセスアプローチは、ISOマネジメントシステムで採用されている仕組みですが、
         業務の見直しにも利用できる考え方です。

         以下の点を組織で考えてみることで、改善ポイントが明らかになるかもしれません。
          ・自組織は、どのようなプロセスで構成されているか?
          ・それぞれのプロセスがどのように関係しているか、影響しあっているか?
          ・プロセス一つ一つに対して、5W1Hが明確になっているか?
          ・理想とするプロセスの組み合わせ(システム)が実際の活動と一致しているか?
          ・プロセスの状態の管理の方法は、決めているか?
          ・プロセスの状態の管理はできているか?
          ・それぞれのプロセスは、何のために存在しているか?
          ・プロセスの組み合わせにより、顧客の満足度をUPさせることができるか?

         単純に「晩御飯を作る」だけであれば、「インスタントラーメンにお湯を注ぐ」だけでも、
         完成します。
         でも、
          <”「翌日も頑張るぞ」という気持ちにつなげるために”「晩御飯をつくる」>
         というように、”なんのために”を明確にしたら、どうするべきでしょうか?

         「晩御飯を作る」というプロセスを自社の製品やサービスに置き換えたときに、
         ”なんのために”は、明確になっていますか?

        | コンサルタント | 12:45 | comments(0) | trackbacks(0) | - | - |
        情報セキュリティインシデントとは?
        0
          JUGEMテーマ:セキュリティ 

          JNSA(日本ネットワークセキュリティ協会)より、
           「2010年度 情報セキュリティインシデントに関する調査報告書−個人情報漏えい編
          が公開されました。

          今回、公開されたJNSAの資料では、
           「個人情報漏えい事件・事故」=「情報セキュリティインシデント」
          として扱っています。

          <情報セキュリティインシデントとは、そもそもなんでしょうか?>
          簡単にいうと、以下の7つの要素を脅かす出来事(事象)のことです。
           1.機密性(Confidentiality)
              情報を許可されている人だけが見れる状態か?
           2.完全性(Integrity)
              情報に間違いがない状態か?改ざんされていない状態か?
           3.可用性(Availability)
              情報を使いたい、見たいと思ったときに使える状態か?
           4.真生性(Authenticity)
              本物か?本物どうか立証できる状態か?
           5.責任追跡性(Accountability)
                 情報の変更をだれが、いつ、どのように行なったかを確認できるか?
           6.否認防止(Non-repudiation)
                 「言った」「言わない」論にならないような仕組み、証拠があるか?
           7.信頼性(Reliability)
                 期待された役割を果たすことができる状態か?

          JNSAの調査報告書は、上記のうち個人情報についての「1.機密性」に
          注目して、発生した事故と原因をまとめたものです。

          「情報漏えい」という事故が起きたこと=「情報セキュリティインシデント」です。

          ISMSでは、実際に事故・事象が起きたことを「情報セキュリティインシデント」
          として扱います。

          補足:
           ITSMSのインシデントとは、定義が異なります。
           用語の定義は、末尾に記載します。

          起きていなくても、7つの要素を脅かす出来事(イベント)を管理していくことで、
          情報セキュリティインシデントの予防につながります。

          たとえば、以下のようなことが、「情報セキュリティインシデント」に
          つながる可能性のある出来事(イベント)になります。
           「プリントアウトしようとしたら、印刷できなかった」
           「ウィルスチェックソフトの定義ファイルの更新にいつも失敗する」
           「社内からのインターネットへの接続がいつもより遅い」
           「施錠管理されているはずの書庫が空いていた」
           「隣の席の人がWindowsUpdateを途中で止めていた」
           「売り上げ報告書の数値が間違っていたことに締め切り後に気がついて
            後から修正した」

          簡単にまとめると、
           「情報セキュリティインシデント」:1〜7の要素を脅かす事故のこと

           「情報セキュリティインシデントにつながる出来事(イベント)」
            情報セキュリティイベント。
            ちょっとしたミス、いつもと違うと感じたこと、社内のルールと異なること。
          となります。(ISMSでの定義は、末尾に記載)

          情報セキュリティイベントの段階で予防していれば、事故を防ぐことが
          できます。

          ★組織での取り組みポイント★
          ・組織で発生している情報セキュリティイベントを把握していますか?
          ・情報セキュリティイベントを把握できる仕組みはありますか?
          ・情報セキュリティイベントを蓄積する仕組みはありますか?
          ・蓄積した情報を分析する仕組みはありますか?

          ちょっとしたミスや「おかしいな?」と思えることを報告したり、指摘しあえる
          組織の雰囲気が情報セキュリティインシデントの防止に役立ちます。

          日々の業務の中で、情報セキュリティイベントが頻繁に発生する作業には、
          ひょっとしたら、情報セキュリティインシデントにつながる弱点が潜んでいる
          かもしれません。

          参考:
           −ISMSでの定義−(JIS Q 27001:2006 3 用語及び定義より引用)
           3.5 情報セキュリティ事象(information security event)
            システム、サービス又はネットワークにおける特定の状態の発生。
            特定の状態とは、情報セキュリティ基本方針への違反若しくは、
            管理策の不具合の可能性、又はセキュリティに関連するかもしれない
            未知の状況を示しているものをいう(ISO/IEC TR 18044:2004)

           3.6 情報セキュリティインシデント(information security incident)
            望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独
            若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率
            及び情報セキュリティを脅かす確率が高いもの(ISO/IEC TR 18044:2004)。

           −ITSMSでの定義−(JIS Q 20001:2007 2 用語及び定義より引用)
           2.7 インシデント(incident)
            サービスの標準的な運用に属さないあらゆる事象であって、サービスの中断
            若しくはサービス品質の低下を引き起こすもの、又は引き起こす可能性が
            あるもの。
            注記 インシデントには、問い合わせ(例えば、”・・・するには、どうすればよいか”)
                を含む場合がある。

          | コンサルタント | 17:17 | comments(0) | trackbacks(0) | - | - |
          フィッシング(phishing)詐欺
          0
            フィッシング対策ガイドラインの改訂版が、2011年6月27日公開されました。
             参考:フィッシング対策協議会 フィッシング対策ガイドラインの改訂について

            「フィッシング(phishing)詐欺」:
             正規のメールやWebサイトを装い、暗証番号やクレジットカード番号を搾取する詐欺

            「スペアフィッシング」:
             フィッシング詐欺のうち、特定の個人や団体を標的にしたもの
             ユーザサポートが送信するメールを装うなどで、偽者かどうかの区別がつきにくく
             被害にあいやすい。

            「フィッシング対策ガイドライン」では、サービス提供側の企業、団体に対しての対策と
            個人に対しての対策がまとめられています。
            企業、団体に対しての対策要件は、36要件あり、そのうち23要件を「実施すべき」
            としています。

            「そんなに多いの?」と思われるかもしれませんが、不正アクセスや情報漏えい対策
            と共通していることも多く含まれています。

            企業に対しての対策要件を、フィッシング対策特有のものと、それ以外のものに
            分類してみました。

            <フィッシング対策特有のもの>
             1.ドメイン名に関する配慮(要件23〜要件26)
              →ドメイン名は、顧客が安全性を判断する重要な材料となります。
               そのことから、「使用するドメイン名と用途を顧客に周知」などの対策により
               顧客が被害にあう可能性を減らす方法です。

             2.顧客への啓発活動(要件33)
              →正規のサイトであることを見分ける方法をWebサイトに掲載するなどの
                工夫により、顧客が被害にあう可能性を減らす方法です。
                    例) 楽天銀行 フィッシング詐欺に関するご注意

            <それ以外のもの>
             1.安全なWebサイトの作成と安全性確保(要件6〜12、15〜17、21、22、35、36)
              →SQLインジェクションなどぜい弱性を悪用した攻撃への対策と共通して
                いる内容です。
                Webサーバに対する対策と、Webサイトの構成や機能に関する対策の
                両方があります。

             2.アクセス情報、アカウント情報の取扱い(要件3、5、13、14、17〜20)
              →なりすましによる不正アクセスへの対策と共通している内容です。
                ・アクセス情報やアカウント情報を顧客にどのように伝えるか
                ・どこまでを顧客側で編集可能とするか
                ・顧客のアクセス履歴、購入履歴の扱いをどうするのか?
                などにより、不正の予防や異常の検知を実現する方法です。

             3.電子メールのセキュリティ確保(要件1、2、4)
              →電子メールの信頼性を確保するための対策と同じ内容です。

             4.組織体制の構築(要件27〜32、34)
              →フィッシング詐欺だけでなく、不正アクセスや個人情報の紛失、流出などにも
               共通する内容です。
               問い合わせ窓口の明確化や顧客への情報提供方法、調査手順、日ごろの
               情報収集など、組織全体で実施すべき内容です。

            ★組織での取り組みポイント★
             「中小企業で、無名の企業だから、フィッシングのターゲットにはならないよ」
             「だから対策しなくても、大丈夫」
             と思われるかもしれませんが、フィッシング以外の攻撃の可能性もあります。

             不正アクセスやウィルス感染などと同じようにフィッシング詐欺を脅威の一つと
             考え、対策を行なうことをお奨めします。
               
             
            | コンサルタント | 13:07 | comments(0) | trackbacks(0) | - | - |
            ソフトウェアライセンス
            0
              ソフトウェアの海賊版をインターネットで販売していた男性が大阪地検に
              逮捕されました。
              参考:http://www.bsa.or.jp/press/release/2011/0609.html

              海賊版のソフトウェアとは、知らずに安いからと購入してしまったことで、
              無意識のうちに、犯罪に加担していたということになりかねません。

              また、どんな業種でも業務を進めていく上で、パソコンやインターネット環境は
              なくてはならないものです。
              パソコンで業務を行なうためには、様々な種類のソフトウェアを利用する
              必要があります。

              知らない間にソフトウェアを不正利用していて、正規のソフトウェアの販売元
              から、訴えられて、多額の損害賠償請求が・・・。

              ということにならないために、どういうことがソフトウェアの不正利用となるのか
              を理解しておくことが大切です。

              簡単に言うと、
               「ソフトウェアの不正利用」=「ソフトウェアライセンス違反」
              です。

              <ソフトウェアライセンスとは、なんなんでしょう?>
               ソフトウェアライセンスとは、利用者とソフトウェアメーカー(製造者)間で
               結ばれる約束事です。

               約束事には、利用範囲の制限や、複製の制限、プログラムの改変についての
               事項などが含まれています。

                「そんな約束した覚えはないっ」
               と思われるかもしれませんが、
               ほぼすべてのソフトウェアで、インストールする途中に必ず、
                「ソフトウェア利用条件に同意しますか?」
               という画面がソフトウェア利用条件と共に表示されます。

               同意しなければ、インストールすることすらできないため、
                「インストールして利用している」=「利用条件に同意している」
               ことになります。

               ソフトウェアライセンスは、有償ソフトウェアにだけにあるのではなく、
               無償で利用できるフリーウェアにもあります。

               利用条件と現在の利用状況が一致しているかを確認しましょう。

              <どういう場合に不正利用となるのか?>
               正規のソフトウェアを購入しているにも関わらず、利用条件に沿わない
               利用をした場合、不正利用となります。
                当然、海賊版ソフトウェアの利用や知り合いからもらったソフトウェアの
               コピーを利用することも不正利用となります。

               「インストール時に同意さえすれば、すべてOK、不正利用にならない」
               というわけではありません。

               たとえば、以下のような場合、ライセンス違反になる可能性(※)があります。

                購入ライセンス数:
                 組織で利用するためにMicrosoft Officeのライセンスを10ライセンス購入。
                利用者数:
                  ライセンス購入当初は、従業員数8名だったが、現在は25名。
                  従業員各自のパソコン25台にインストールして利用している状態。
                ライセンスの追加購入:
                  インストールできるので、ライセンスの追加購入はしていない。

                ※基本的には、1つのパソコンへのインストールに対して1ライセンス必要
                    ですが、 ライセンスの種類や詳細な利用状況により異なる場合があります。
                     そのため、「ライセンス違反になる可能性」としています。

               参考:BSA eラーニングサービス
                BSA(ビジネスソフトウェアアライアンス)がソフトウェアの不正利用防止に
                関するeラーニングサービスを開始しました。
                組織で不正利用防止に取り組むポイントがまとめられています。
                
              ★組織でのポイント★
               まずは、組織で利用しているソフトウェア、購入しているソフトウェア、
               それぞれのソフトウェア利用者数を把握しましょう。
               従業員が個人的に購入したしたものや、フリーウェアをインストールして
               いないかも含めて、現状を把握することが重要です。

                利用しているソフトウェアとそれぞれの購入数、利用状況が確認できたら
               各ソフトウェアの利用条件の範囲内で、利用しているかを確認しましょう。

               知らず知らずのうちに、組織全体でライセンス違反行為をしていて、
               ある日突然多額の損害賠償請求が・・・ということにならないように
               ソフトウェア資産管理を組織で取り組むことをお奨めします。

               参考:
                ソフトウェア資産管理基準V2.0
                ソフトウェア資産管理に関するガイドライン
              | コンサルタント | 13:15 | comments(0) | trackbacks(0) | - | - |
              著作権
              1

              一般社団法人日本音楽著作権協会(JASRAC)が、違法音楽配信サイトの運営

              者などに対して、著作権侵害への損害賠償金(17000万円以上)を求める

              訴えを東京地方裁判所に提起しました。


              http://www.jasrac.or.jp/release/11/05_4.html


              今回の訴えでは、違法音楽配信サイトにWebサーバ環境を提供していたレン

              タルサーバ業者に対しても著作権侵害を幇助(ほうじょ)していたとし、

              損害賠償金を求めています。


              <そもそも「著作権」とは、どういうものなのでしょうか?>


              − 文芸、学術、美術、音楽、プログラム等の自らの思想・感情を作品(著作物)

               にした者に認められる権利です。

              − 著作権は、特許権や実用新案権とは異なり、登録制ではなく、著作物を作成

               した時点で著作権が発生します。


              権利関係がシンプルな例で説明すると・・・


              たとえば、Aさんが自分の半生を題材にした「Aのなかみ」という私小説を書

              いたとします。


              ・著作者  = Aさん

              ・著作物  小説「Aのなかみ」

              ・著作権  小説「Aのなかみ」を出版したり、複製したり、雑誌に載せた

                      りする権利

              ・著作権者 小説「Aのなかみ」の著作権を持つ人。通常は、Aさん。

              (財産権として、著作者死亡後相続人などに権利を移転することができる。)


              <どういう場合に「著作権侵害」となるのでしょうか?>


              著作者の持っている著作物を無断で複製したり、上映したり、テレビで放映

              したりなど、著作者のみが行なってもよいとされていることを、著作者以外

              の人が許可なく行なった場合、「著作権侵害」となります。


              ※「著作者のみが行なってもよいこと」は、著作権法で定められています。


              参照 : 文化庁−著作権 

              http://www.bunka.go.jp/chosakuken/index.html


              たとえば、

               Aさんの妹B子さんが、「Aのなかみ」を読んで感動。

                       ↓

               「これは、みんなに読んでほしい」と、Aさんに無断で出版社に持ち込み、

                       ↓

               出版社でも絶賛され、めでたく出版されてしまった。


              ・・・となった場合、B子さんの行為は、「著作権侵害」となります。


              小説を・・・ということは、普段あまりないかもしれないので、もっと身近

              な例にすると、


               ・インターネット上で気に入った画像を勝手にダウンロードして自社の

                パンフレットに利用

               ・見知らぬ人のブログにあった風景写真が気に入ったので、ダウンロード

                して自社ホームページの背景に利用


              何気なく気軽にできてしまいそうな行為が著作権侵害につながる可能性があ

              ります。


              ★組織でできること★

              − どういうことが著作権侵害になるのかを、自社の業務と照らし合わせて考え

               て見ましょう。


              「気がついたら、多額の損害賠償金を請求されている・・・」

              ということにならないように組織で、以下のようなことを考え、共有してみ

              てはいかがでしょうか?

              ──────────────────────────────────

               ・自社の業務上で扱う著作物は、どういうものがあるのだろう?

               ・著作権とは、どういうことだろう?

               ・自社の業務上で、著作権侵害や著作権侵害幇助(ほうじょ)にあたる行為

                が発生するとしたら、どういう業務だろう?

               ・自社の著作物が勝手に複製されていることが発覚!どうすればよいのか?

                等々

              ──────────────────────────────────

              ちなみに、データベースやそれを利用したWebサイトも著作物ですね。

              顧客や利用者との間でトラブルを起こさないように、慣習的な扱いではなく、

              前もってその権利や扱いについて確認し、契約書や利用規約等に明記しておく

              ことが大切です。

              | コンサルタント | 15:00 | comments(0) | trackbacks(0) | - | - |
              守秘義務
              1
              ・スポーツ用品店の従業員が顧客の情報をTwitterでつぶやき、
               情報流出というニュースが流れました。
               http://www.adidas.com/jp/corporate/01company/0519.asp

              ・2011年1月にもホテルの従業員(アルバイト)が自身のTwitterでつぶやき
               情報流出ということがありました。
               http://www.westin-tokyo.co.jp/press/img/press130.1.1.pdf

              どちらも、従業員が個人のTwitterにつぶやいたことに対して、企業として
              謝罪しているという状況。
              今後の組織としての対策は、守秘義務に関する教育を徹底していくという。

              そもそも「守秘義務」とは、どういうことなのでしょうか?

              「守秘義務」とは?
                文字の通り、秘密を守る義務です。
               
                秘密の意味を辞書で確認すると、
                 「隠して人に知らせないこと。公開しないこと。また、その事柄。 」

              では、企業や組織にとっての秘密とは、なんなのか?
                 「業務上、職務上知ることができた情報で、組織が外部に公開することない、
                  公開してはいけない情報」

              「組織が外部に公開することのない情報」の具体的な内容は、組織によって
              当然異なるものです。

              今回のTwitterへの流出の場合、来店したお客様の情報は、基本的に
              「組織が外部に公開することのない情報」であり、その従業員も当然
              「公開してはならない情報」ということになります。

              従業員に対して、具体的にどういう情報、どういうことが「秘密」なのか
              正確に伝えていますか?
              または、従業員は、具体的にどういう情報が「秘密」なのか理解して
              いますか?
              また、個人のブログやtwitterで情報を公開する「影響度」について周知して
              いますか?


              「従業員や協力組織との間で、守秘義務契約や機密保持契約などを
              締結しているから、うちの組織は、絶対大丈夫。」

              ・・・ではなく、以下の点を機会ある毎に、従業員と一緒に考えることで、
              守秘義務の意味を再確認し、意識を高めましょう。
              (機会の抑止だけではなく、動機のコントロールが大切です)

              ・なぜ守秘義務があるのか?
              ・組織の業務上の秘密とはなにか?
              ・秘密を流出した場合、どのような影響が考えられるか?
              ・個人的なTwitterやブログ、SNSに書き込んでよいこととはなにか?
              ・組織のTwitterやブログ、SNSに書き込んでよいこととはなにか?
              ・組織のTwitterやブログ、SNSに書き込む場合のルールや手順は?

              気軽に従業員が情報発信できる仕組みがどんどん増えている今、
              従業員個人のTwitterやブログ、SNSの利用状況を把握し、上記のような
              活動をぜひ実施してください。
              組織の情報流出防止だけではなく、組織や従業員が知らないうちに
              加害者になることを防ぐためにも、必要なのことかもしれません。


              | コンサルタント | 12:21 | comments(0) | trackbacks(0) | - | - |