情報資産とは

　ISMSを構築する際にまずやることと言えば、この情報資産のリストアップです。

　情報資産というと、コンピュータ上のデータをまず思い浮かべるかも知れませんが、それだけではなく名刺の一枚、業務に関するメモ書き、取引先から届いたFAXなど電子・紙といった媒体を問わずすべての情報が対象になります。

　また、会社の評判、名声といった目に見えないものまでも含まれます。このように説明すると一体どうやってリストアップすればいいのか、よくわからないととまどう人たちも多くみられます。

　無理もないことで、これだけ対象の範囲が広いとどうしていいのかわからないという気持ちになっても仕方がないことでしょう。

　このようにしてリストアップした情報資産の中から組織にとって必要なものをランク付けして、重要なものとそうでないものとに分類します。それによって、重要なものに対して重点を置いてその情報資産を守るにはどうやっていくのかを考えます。

　わかってしまえば簡単なことなのですが、これは組織が大きくなればなるほど地道な大変な作業となります。ISMS構築のまず第一の山場といっても過言ではありません。

　情報資産とはどんなものか考えたことがない方は、身近な情報資産を一度リストアップしてみてください。まずは、それを守るのが第一なのですから。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

情報漏洩対策の進み具合

　皆さんが所属する組織や、あるいは皆さん自身の家庭での情報漏洩対策は進んでいるでしょうか？

　世の中にそれこそ数え切れないほどの組織や家庭がありますが、組織の長や家長の人たちのセキュリティ意識は確かなものでしょうか。

　大手企業でも情報漏洩事件が多発している現在、全体的にみれば情報漏洩対策が首尾良く進んでいるとはとてもいえるとは、思えないというのが本当のところではないでしょうか。

　漏洩事件を起こした大手企業は重い腰を上げざるを得ないわけですが、幸いまだ事件の洗礼を受けていない企業での対策は、はたして十分と言えるのでしょうか。

　また、大手企業ならば尻に火がつけばそれなりの対策を行うこともできますが、これが中小企業となるとどうでしょうか。たとえ、尻に火がついてもどうしていいのかわからない、やりたくても予算がない、それを担当する人材もいないというないない尽くしで手のつけようもないという組織が大半なのではないでしょうか。

　大手新聞や、マスコミの報道だけをみていると情報漏洩対策は着々と進んでいるように見えますが、実態はそれとはかけ離れているというのが私の想像です。

　これからはますます情報漏洩対策が求められる時代に突入します。その時代をわれわれがどうやって過ごしていかなければならないか、それが問題なのです。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

流れるプールでの水死事故

　埼玉県のある市の流れるプールで女の子が吸水口に吸い込まれて死ぬという痛ましい事故が起きました。

　市営のプールで、管理を外部の会社に委託していて、その会社は市に無断でまた別な会社に管理を請け負わせていたそうです。

　このような多重の請負あるいは丸投げの構図は、たとえ責任の所在がはっきりしていたとしても、安全管理がきちんと行き届くかどうか、大きな疑問を感じざるを得ません。

　この下請けの下請けになっている管理会社が、このプールの利用者の立場に立って、細かい部分まで安全に配慮してプールを運営していたとはとても思えません。

　このような多重の下請け構造で、末端に行くにつれて報酬は安くなり、末端の業者の安全性に対するモラルについては大きな疑問符が付くところでしょう。

　情報セキュリティに限らず、このような危機管理の場面では現場の人のやる気のあるなしが大いに影響します。安値でこき使われている人と、応分の報酬をもらって責任を持たされている人とではそのやる気や責任感の違いは明らかでしょう。

　いずれにしても人の命に関わる問題については何事も慎重に対応してもらえるよう、利用者としては望むばかりです。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

日本沈没

　日本沈没という映画が公開されています。小松左京原作の、30年くらい前の映画のリメイクのようですが現実にこのようなことが起こったとしたら、わたしたちの生活はどうなるでしょうか。

　以前、バックップセンターの話をしましたが、そのバックップセンターが日本にあっては何の役にも立ちません。この場合、海外になければ無意味です。

　また、日本そのものがなくなってしまうわけですから、たとえデータとコンピュータセンターのバックアップがあったとしても、海外に再開のための本拠地を設ける必要があります。もともとの国際企業なら業務再立ち上げのスピードは早いでしょうが、そもそも日本がなくなってしまえば、顧客そのものがなくなってしまうと考えるべきで、そうなると事務所を再開しても意味があるのかどうかわかりません。

　こんなことを考えていると映画を見る楽しみが減ってしまう気がしますが、情報セキュリティの観点から考えるといろいろなことが思い浮かびます。

　日本という国がこの世界から消えてしまったらどうなるのでしょうか。世界に及ぼす影響はどうなるのでしょうか。日本人は根無し草として世界中を放浪して落ち着く場所を探すしかありません。そして、世界中のあちこちで、日本人としてのいろいろな意味での種をばらまくことになるでしょう。

　国土を失った国民の悲劇は歴史を学べば知ることができますが、よもや自分たちにそれがふりかかってくるとは思ってもいないのが大半の人たちでしょう。

　この暑い夏に、ちょっとだけ想像力をめぐらせて考えてみてはどうでしょうか。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

ISMSからISO27001へ

　先日、ISMS審査員からISO27001審査員へ移行するための差分研修を受けてきました。この研修をうけることにより、ISMS規格からISO27001へ変更になった点を理解し、ISO27001審査員として活動するための申請をすることができるようになります。

　極端に変更になった部分はないのですが、考え方で加わったのがISMSの効果測定の項目でしょうか。

　ISMSを実施することによって、その効果がどのように現れたか効果測定をして結果を出さなければいけなくなりました。

　あとは、事業継続計画の位置づけが会社全体のそれにISMSのそれが含まれるということがはっきりとうたわれるようになりました。ISMSの範囲の中だけでは、完全な事業継続計画というものは実施できないという考え方です。

　このようにして、日本独自だったISMS規格は国際規格へと移行していくことになります。すでに認証取得している組織も次回の更新審査から順次新規格への対応をせまられることになります。

　国際規格になったISMSですが、これからは今まで以上に取得がすすむのでしょうか。日本独自の規格だということで二の足を踏んでいた企業も、重い腰を上げてくれることを願っています。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

水の事故の危機管理

　梅雨も明け、海やプールに出かける機会が増えました。特に週末など、夜のニュースで報道されるのが海や、プールで起こった水の事故の犠牲者のニュースです。

　このような報道を耳にするたび、水の事故というものはなくせないのかと思うのですが、海やプールに繰り出す人が増えるにつれて、必ずある一定の割合で事故に遭う人たちも増えているようにみえます。

　統計学的なことはわかりませんが、残念ながら一定の割合で水の事故というものはおこるというのが事実のようです。

　これと同じで、情報セキュリティ事故というものも一定の割合で起こりうるものであると、経験的に感じています。限りなくゼロに近づけることはできても、完全になくすことは不可能です。

　悲しいですが、このようにして事故というものは一定の割合で必ず起こるという前提で世の中の仕組みを作っていかなければなりません。

　必要以上に悲観的になる必要はありませんが、しかし、押さえるべき場所は押さえなければならないというのが現実なのです。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

信頼の根拠

　究極の情報セキュリティとは何かということを考えると、実は何も信用できないということになって情報セキュリティ対策自体が破綻してしまいます。

　どこかで線引きをして、そこから先は信用するということにしないと情報セキュリティは成立しません。それは、ハードウエアやソフトウエアの環境の場合もありますが、最終的に信用すべきは人、そのものです。

　対象の情報システムにかかわる人について、最終的に信用することなしには情報セキュリティ対策は成立しません。考えればわかるとおり、誰かのことを疑えばきりがないからです。

　また、いったん厳しい資格審査をパスしたとしてもいつその人が悪い人に変貌するかもしれません。そんなことを考え出すときりがないことは、これで明白だと思います。

　ですから、情報セキュリティについてはいろいろな面からのアプローチがありますが、最終的には人について考えなければならないということを心の片隅においておくことが必要です。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

シン・クライアントですべて安心か？

　最近、徐々にシン・クライアントの導入事例が増えているようです。シン・クライアントとは、ハードディスクを持たず、ネットワークを介してサーバに接続しないと使用できない端末のことです。

　しかし、シン・クライアントを導入すればそれで安心かといえばそうとも言い切れないでしょう。出来心的な情報の持ち出しに対しては抑止効果大と言えるかもしれませんが、計画的な犯行ならば、それだけで安心とは言えないでしょう。

　重要機密情報の量が少なければ書き写したり、画面を写真に撮ればすみます。たしかに、何万件、何百万件というデータを持ち出すことは事実上不可能になりますが、データの重要性は量とは限らないはずです。たった一つの数字に重要な意味があるかもしれません。

　そういうわけですから、情報セキュリティ対策も十把一絡げにシン・クライアントを導入すれば終わりと考えて、安心するのは全くの誤りで、上記のようなことも起こりうるということを考えて普段から備えておかなければなりません。

　現状、シン・クライアントの導入には通常のPCの2倍以上のコストがかかるようですし、またユーザの使い勝手も確実に悪くなって、管理者に苦情が増えるのが通例のようです。

　このようなメリット・デメリットをよく勘案してシン・クライアントの導入については考えてもらいたいものです。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

安全装置の意義

　パロマのガス湯沸かし器事件ですが、問題の根本は安全装置が働かなかったことにあります。

　安全装置が故障しやすく、代替部品もすぐに手に入らない。安全装置が故障したままだとお湯をわかせない、となれば一時しのぎで安全装置をはずしてしまえということになってしまったようです。

　しかし、これは根本的な問題の解決ではないにもかかわらず、その後のアフターフォローがどの程度行われたが問題になります。同時に、このような使い方は一酸化炭素中毒を起こすかも知れない、危険な使い方だという意識がユーザの側にあったかどうかが問題です。

　おそらく、ユーザとしてはお湯さえ出ればとりあえず文句がなかったのでしょう。しかし、排気ファンが止まった状態でも湯沸かし器が動作し続けるというリスクを背負ったわけで、これは大変危険なことでした。この湯沸かし器は強制排気を前提に作られているからです。

　実はこのような安全装置がじゃまになるからはずしてしまえという考え方は、情報セキュリティの世界でも見られる現象です。たとえば、ウイルス対策ソフトがじゃまだから、とめてしまうという例が挙げられます。

　このような措置は、本当に緊急避難的措置として行われる分には仕方がない面もあるのですが、そのようなリスク意識がないままに行い、また安全装置を解除した状態が常態になるようなことはもってのほかとしかいいようがありません。

　われわれがPCを使用する上でこのような安全対策はいろいろと施されているわけですが、単に裏技的にそのようなものを回避できるというような生半可な知識を振り回すことは、厳に慎むべきでしょう。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！

著作権保護のあるべき姿

　ずいぶん前の記事で、デジタル放送の録画の問題を取り上げました。

　現状では、コピーの制限がかかって複数のコピーが取れないことが大変な不便を招いているという話題です。

　ハードディスクレコーダにせっかくお気に入りの番組を録画しても、その番組のバックアップコピーを取っておきたくても取れないというのは大きな問題です。ハードディスクレコーダのハードディスクなど、おそらくもっても数年の寿命だと思っておいた方がいいので、保存版の番組をどうすればいいのかという問題が生じます。

　前の記事では、時代遅れではありますがD－VHSというテープに番組コンテンツを移動しておくという提案をしました。テープは記録媒体として実績があり、長年の保存に耐えるからです。しかし、テープデッキがもはや主流ではないので、テープデッキのメインテナンスに不安が残るのが難点でした。また、万が一コンテンツの移動に失敗すると元のコンテンツも消えてしまうので、失敗が許されないという問題もありました。

　このコピーが許されないというのはどんな外部記録媒体を使った場合でも問題になることで、何らかの理由でコンテンツの移動に失敗すると元のコンテンツが消えてしまうという悲惨なことが起こってしまいます。

　最近、やっとHD DVDのレコーダが発売されました。ハイビジョン番組保存の決定版となりそうですが、まだまだ初物でランニングコストが高いとか、いろいろと不安な面があります。

　せめてもう少し著作権保護の規制がゆるければいろいろと試せるのにと思っているユーザは多いのではないでしょうか。個人で録画して楽しむ分にはもう少し寛容さがあってしかるべきだというのは私の意見です。

　あまりにも厳しいままで放置すれば、DVDのコピープロテクトと同じで必ずや著作権保護の仕組みを破る輩が現れて保護の仕組みが形骸化するやもしれません。

　とにかく、著作権者の立場だけでなく、まずはユーザにとってどうすることが一番いいかという立場から物事を考えてもらいたいものです。いくら著作権者とはいえ、そのコンテンツを購入して楽しむのは一般ユーザなのです。ユーザに不便を強いて、それでもコンテンツを購入しろというのはずいぶん傲慢不遜な態度ではありませんか。

　この問題、また新しい話題が出てきたら取り上げようと思っています。

←　おもしろかった、役に立ったという方はクリックして応援よろしくお願いします！