■情報のセキュリティについて考えよう■
                            すばるアイ

私はISMS(情報セキュリティマネジメントシステム:ISO27001)という認証の コンサルティングに関連した仕事をしています。
「すばる」の他のページでは、コミュニティというITの楽しい側面を描いていますが、 それも情報セキュリティという負の側面から自分を守れてこそ楽しめるのです。
そうです。危ないことをすれば危険があるのは当たり前のことで、それを国や他人 のせいにしてもしょうがないのです。
ここでは、個人や家庭と、企業や組織での情報のセキュリティについて考えてみましょう。

最近我が家に届く郵便物からあて先情報が漏れないように、シュレッダーを買いました。 江戸の昔から自分や自分の家族を守るのは自己責任でしかないからです。
別な例では、私宛のメールの中でスバムメールが半数を超えるようになりました。でも、ベイズ推定に基づくスパムフィルターを入れたおかげで、ほぼ完全にスバムメールはゴミ箱行きです。

話題を変えましょう。最近、警察官がWINNYで捜査情報を漏洩させる事件が多発して問題になっています。 もっとITを勉強させるべきだと言われています。でも、これは違います。
企業や組織の情報セキュリティを個人や家庭の情報セキュリティと同じに考えてはいけません。組織の守るには、 個人のITリテラシィとは別なやり方があるのです。
ここでは、個人や家庭の情報セキュリティと、組織や企業の情報セキュリティを区別して考えてみましょう。
             お問い合わせはすばるアイまで


■個人や家庭の情報セキュリティを守るには■

以前、パソコンの調子が悪いというので、直しに行ってあげました。すると、 中でウイルスが数百個も動いていました。ワームからExcelのマクロウイルスまでありとあらゆる奴等です。
その人は言いました。「ウイルスって何ですか?誰がどうしてそんなものを作るのですか?」これは 正論のようで、実は違います。
自分のパソコンを守り、他人に迷惑をかけないようにネットコミュニケーションを楽しむためには、 最低限のIT知識を持ち、それを実行しくてはいけません。
ウイルスについて無関心なのは、家に鍵をかけないで出かけることや、 ズボンの尻ポケットに財布を挟んで歩くことと同じことなのです。
IT社会では無知は罪なのです。
「そんな話を聞かされて、パソコンを使うのがいやになった。」耳の痛い話です。でも、パソコンを使わなくても IT社会の負の側面は嫌でもやってきます。あなたは銀行カードを使わないで済ませられますか? あなたは住基ネットとどう付き合いますか?
最近、ネット犯罪が悪質になってきています。例えば以前からウイルスは、多分に愉快犯的な ものが多かったのですが、最近多発しているフィッシング詐欺などはだまされた人から現金を奪う ことを目的とした、本来の犯罪になりつつあります。これからは、知らなかったでは済まされないのです。

実はパソコンを安全に使うには、守らなければいけない大原則は3つだけだと思います。
<その1>インターネットを家に引き込む際、モデムの内側にルーターを入れること。これによって、 パソコンをインターネットの世界とは離れた場所に置くことができます。
ところが、プロバイダーが提供してくれる接続機材の中には、これがない場合もあるのです。
「こら、Xxxxx!」

<その2>Windows Updateを実行して、パソコンの悪いところを直し続けること。これはWindowsパソコンの 場合なのですが、犯罪者と開発者、悪いところ(脆弱性といいます)の見つけ合いをしています。
いち早く直さなければ、いち早くやられます。(^_^)

<その3>専門の会社の提供するセキュリティソフトを自分で入れて、最新の状態にすること。これで、ウイルスで あるとか、悪い侵入を防ぐことができます。断っておきますが、プロバイダーのサービスに任せてはいけません。 プロバイダーは接続業者であって、情報セキュリティには素人なんです。 ちょっと勉強して、自分の手で自分のパソコンにセキュリティソフトを入れてくださいね。

たった3つですが、これだけは騙されたと思って(^_^)最低限”ちゃんと”実行してください。 それ以外のことは、応用技なのです。
例えば、WINNYを使うことを趣味としている方は、WINNYから悪いソフトを仕込まないためにやることがあります。スバムメールが多くなってきたら、フィルターをかければ いいんです。怖いフィッシング詐欺を防ぐには、電子メールに書いてあるURLを信用しないことです。
その他、個々のことについてのご相談は、メールをください。

             お問い合わせはすばるアイまで


■企業や組織の情報セキュリティを守るには■

企業や組織の情報セキュリティとなると、その本質がずいぶんと変わってきます。なぜなら、 IT技術によって武装するのは当然のことで、ポイントは人間的な側面に移ってくるからです。

では、WINNYによる警察官の個人情報、犯罪情報の流出を例にとってみましょう。評論家は、個人や家庭の 情報セキュリティと混同して「警察官がもっとITのことを知らなければいけない。」と言ってました。 それが問題なのでしょうか?いえいえ、一般の人がハッカーと同様のITの知識を持つことなど不可能です。 どんなに知識のない警察官でも情報セキュリティを守れるように、組織が仕組みを作っておけばいいのです。 例えば、次のような仕組みを作って、守ればどうでしょうか。
1.自分のパソコンを職場に持ち込むには、しかるべき許可を得る。
2.会社のパソコンを持ち出すには、しかるべき許可を得る。
3.会社の中で使うパソコンのソフトは、常に自動チェックする。
どうですか? 捜査情報の入ったパソコンでWINNYを使うことはできないでしょう。

それでも、事件は起こります。それは、「会社のパソコンを家に持って帰らなきゃ、仕事にならない。」と いう間違ったプロ意識です。組織の中でその意見が通らなければ、内緒で持って帰ったりします。 つまり、仕組みを作っても、働くものが意図的に破ろうと思ったら出来てしまうのです。やはり、 問題は人間にあるのです。これを防ぐには、仕組みの徹底意識教育を行うしかありません。

そして、企業において情報セキュリティが破られる最も恐ろしい問題は、外注先の管理にあります。 これは、実によくあることなのです。大企業A社がB社に顧客の個人情報に関連した仕事を発注したとします。 B社はその一部を外注先のC社にやらせます。C社は突然の仕事なので派遣労働者を雇って対応します。 その派遣労働者が実はA社が大嫌いで、もしくは金に困っていて、そのA社の顧客の情報を盗み出し、 売ってしまったりします。
一番悪質な、人間の問題です。これも、仕組みでかなり防げます。A社はB社に対して、外注を認めない契約を 結べば良いのです。もしくは、B社が外注する際にC社で関わる人間の身元調査を要求することでも ある程度防げます。

以上のことから、企業や組織の情報セキュリティを守るポイントは人間的な側面を仕組みで守ることにあり、 逆に言うと、完全に防ぐことは出来ない問題であることが分かります。
つまり、企業や組織の情報セキュリティとは、情報セキュリティ技術を考えるだけではなく、むしろ情報セキュリティ マネジメントシステム(ISMS)を構築することによって守るしかないのです。

             お問い合わせはすばるアイまで




■ISMSがISOになった。■

企業や組織の情報セキュリティがしっかりしていることを第三者機関が審査し認定するISMS評価認定制度というものがあります。組織や企業、また企業の一部がそれを取得することによって顧客企業からも安心して仕事を任せていただけます。
この認証制度の利点はそれだけではありません。この審査に対応する過程でその企業や組織の情報セキュリティから見た 危ない点が発見でき、その企業や組織にふさわしいやり方や程度で改善することが出来ます。また、働く人 それぞれの意識改革につながり情報セキュリティがより強固になります。

そんな良い事ずくめのISMS評価認定制度なのですが、従来は日本を中心に導入が進んでいたのですが、 2005年10月ついにISO(国際標準化機構: International Organization for Standardization )により世界標準規格となり、今後ますますいろいろな組織、企業で導入が進むものと思われます。
是非、あなたの会社も情報セキュリティに強いしっかりした会社に変身するためISMS(ISO27001) の導入を検討してみてはいかがでしょうか。

             お問い合わせはすばるアイまで