だから失敗するiso27001(isms) ~プロコンサルが教える「実践的情報セキュリティマネジメントシステム」の構築と運用~

  • ホーム
  • 日本
  • Meguro-ku, Tokyo
  • だから失敗するiso27001(isms) ~プロコンサルが教える「実践的情報セキュリティマネジメントシステム」の構築と運用~

だから失敗するiso27001(isms) ~プロコンサルが教える「実践的情報セキュリティマネジメントシステム」の構築と運用~ 多くの業種のISO27001対応支援実績200社を超えるプロコンサルタントが、そ?

24/05/2020

================
電子メールの誤送信
================

電子メールの誤送信事故は、どの企業においても頭の痛い問題です。
誤送信によって重要な営業秘密や個人情報が漏洩したりしたら、企業の事業継続にも影響する重大な事態となります。

そのため、ISO27001では、情報セキュリティマネジメントシステム(ISMS)に「電子メール利用規程」のようなルールの作成とその運用を推奨しています。

「従業者は、業務上やむを得ず機密情報や個人情報を送信する場合は、送信先のメールアドレスに間違いがないか、予め確認の上送信する。万一、誤送信した場合は・・・」

のようなルールが皆さんの会社のマニュアルにも記載されているのではないでしょうか。

しかし、このようなルールがあれば誤送信しないのかといえば、そう上手くはいかないですよね。

何故なら、ほとんどのメール誤送信の原因は、うっかりミス等のヒューマンエラーによるものだからです。
どんなに注意深い人も完璧ではありませんから、ある程度の確率でヒューマンエラーは発生します。

ISOでは、“人間は必ずミスをする!” という前提でルールを作ることを要求していますので、上記のように“メールを送る本人が注意して頑張れ!” みたいな決め事だけでは有効なルールとは言えません。

メール誤送信事故が止まらない企業も当然このことに気付き、じゃあ“ITの力を借りて誤送信を防止しよう”となります。

例えば、

・メーラーの誤送信防止機能の利用
・メールアドレスの記載補助機能の停止

のような対策です。

誤送信防止機能には、例えば、メール送信ボタンを押した後数分間メールを手元に留め置いてくれる一時保留機能のようなものがあります。
送信者がミスに気付く時間をかせぐことができるため、送信アクションをした直後に誤送信に気付けば送信自体をキャンセルすることができます。

一方、メールアドレスの記載補助機能はオートコンプリート機能なんて言われています。
送信先のメールアドレスを入力する際に、送信する相手が過去に通信した人であれば、リストからそのメールアドレスを途中から自動的に入力補助してくれるとても便利な機能ですが、同性の人が多い日本社会では、この機能が故に同性の別人に誤送信する事故が絶えません。

これらの対策は、残念ながら誤送信防止の決定打とはなりません。
自らが行ったメール送信動作が誤っていないと思い込んでいる人は、これらのシステムが働こうが働かまいが、自分のミスに気付かずにメールを送信してしまうからです。

そして、これでもダメなら、“上司の承認がなければ社外にメール送信できなくしてしまおう!”
というように、今度は少しお金をかけて送信メールのダブルチェック機能を設けることになります。

只、私の経験上、最後の砦であるはずの上司も誤送信を見逃すケースは多く、これも実はあまり有効な対策とはいえません。

いかがでしょうか?
皆さんの会社にも似たようなルールがあるのではないでしょうか。

お分かりのように、これらの対処療法的な誤送信対策をやればやるほど、メール送信に手間がかかり業務の生産性は低下しますよね。

したがって、仕事が忙しい時ほどこれらのルールは蔑ろにされ、これがまた誤送信事故の発生原因となってしまうのです。

悪循環ですね・・・

そもそも、「誤送信」とは何なのでしょうか。

メールを送る相手を間違えること・・・
メールに添付するファイルを間違えること・・・
送るべきでないタイミングに送信すること・・・
メール本文に記載した内容が誤っていること・・・

これらは全て「誤送信」なのでしょうか?

メール誤送信事故を防止するためには、まず「誤送信」を定義しておくことが重要です。

もし「誤送信」の定義が曖昧であると、いざ誤送信が起きても、

“いやいや、誤送信したメールには重要な情報が含まれていなかったからこれは事故じゃないんだ。”
“誤送信で漏洩したのは当社の情報のみで顧客の情報はなかったから大丈夫なんだ。”
“誤って送った相手は社内の人だからいいんじゃない。”
“送信した相手は気にしていないから誤送信には該当しない。”

といった現場の勝手な判断により事故が隠蔽され、改善の機会を逸することにもなりかねません。

また、実は「誤送信」の定義は組織によって異なるものなのです。

日本人の場合、どうしても事を大袈裟にしたくないという傾向が強いように思いますので、どのようなケースが誤送信に該当するのか、その定義は必ず文書化しておきたいところです。

さて、自社にとっての「誤送信」を定義できたとして、ではどのようにアプローチすればメールの誤送信は減るのでしょうか。

ISO27001では、具体的な対策を考える前に、メール誤送信のリスクをアセスメント(分析・評価)します。

メール誤送信にはどのような脅威(リスクとほぼ同意)があり、自社にはこの脅威に漬け込むかもしれないどのような脆弱性(弱さ)があるのかアセスメントを実施します。

このアセスメントの結果を受けてリスクを減らすための具体的なルールを作って実施するのです。

ちょっと難しかったでしょうか・・・

では、メール誤送信事故の発生原因とはどのようなものなのでしょうか。

事故を起こした会社にうかがうと、事故の原因について当事者はたいていこう言います。

“残業続きで寝不足で・・・うっかりしていた” 
“いつもの相手だったのでよく確認しないで送信してしまった”
“送信する相手があの鈴木さんだと思い込んでいた”

しかし、これらは事実であって、事故の原因ではありません。

ISO27001では、メール誤送信事故のような「不適合」に対して、その事故発生の原因について深く分析し、発見した根本的原因を改善することによって再発を防止することが要求されています。

メール誤送信事故の根本的な発生原因は、

“誤送信事故を起こした従業者やその所属組織が、電子メールを安全に利用できる環境に置かれていなかったこと”

多くの場合、これこそが事故の根源です。

ですから、

・メール誤送信の先にどのような悪いこと(情報漏洩による被害等)が起こるのかしっかり認知させる。

・送信者がミスしにくいメール送信手順を考えてマニュアルにする。

・どのような時にメール誤送信ミスが発生しやすいのか、送信手順の確認訓練等を通じて体感させる。

・誤送信していないか抜き打ちで送信メールのログをチェックする。

のような再発防止策を実施する必要があるのです。

しかし、最も有効な究極の対策は、“電子メールを送らないこと” かもしれません。

メールを送信しなければミスも100%防止できます。

電子メールはそもそもコミュニケーションツールなのですから、メールソフトを使用したコミュニケーションを行わなければよいのです。

つまり、コミュニケーションの相手を誤る可能性の少ない、よりセキュアなコミュニケーションツールを使用するわけです。

プロジェクトメンバー間のコミュニケーションであれば、プロジェクト専用サーバを介して情報を交換する。

法人IDによりアカウント管理されたSNSのチャット機能を利用する 等々。

他にも様々な代替手段がありますね。

どのような内容(情報の機密レベルや重要度など)のコミュニケーションなのか

コミュニケーションの実施時期はいつでその頻度はどれくらいか

情報交換を行う当事者は誰と誰か

必要なレベルの具体的手順はどのようなものか(ファイル交換が必要か等)

求められるコミュニケーションの品質に応じて、これら複数のツールを組み合わせて情報を交換するのもよいと思います。

自分たちに求められるメールセキュリティについて、この機会に一度考えてみてはいかがでしょうか。

14/05/2020

======================
共連れで崩壊する入退室管理
======================

オフィスへの入退室管理は、情報セキュリティルールの基本です。
ISMSを運用する多くの企業では、まずここから手を付けることが多いと思います。

電子錠付きのドアを設置しセキュリティカードで入退室する
監視カメラで入り口付近を監視する
受付の入館管理簿で入退館を記録する
来訪者にはビジター証を発行する
入館後は社員が訪問者に帯同する 等々

様々な管理方法がありますね。

しかし、どんなに設備投資をしても物理的に入室(館)をブロックできなければ何にもなりません。
また、ルールを決めたとしても、ルール違反をけん制したとしても、ルール自体を守らない人はどんな組織にも必ずいます。

例えば、ISMSを運用する多くの企業において発生している悩ましい問題の一つに、“共連れ”があります。

誰か別の人の権限で一緒に入室(館)する。

これが“共連れ”です。

社員Aさんがセキュリティカードで入室(館)する際に、電子錠が開錠している間を狙って社員Bさんが自分のセキュリティカードを使わないで一緒に入る。

このようなケースが頻発しているのです。

ISOは性悪説でものを考えますので、本来このような “スキ” をマネジメントシステム上に作ってはなりません。

「共連れは禁止する!」とマニュアルには書いてあればよいというものではないのです。

では、どうすれば有効なルールとなるのでしょう。

共連れで入室(館)した人が同じ人と退室(館)することは少ない!

ここに着目すればよいのです。

入退室(館)の記録を電子的ログで保管するのであれば、入室(館)のログだけではなく必ず退室(館)のログも取得する。
そして、この2つのログを突合し、不正な入退室(館)が発生していないか定期的に監視するのです。

ルール違反を重ねる人に対しては何かしらのペナルティを課すことも考える必要があるでしょう。

入退室管理のルールは共連れで簡単に崩壊することを覚えておきましょう。

13/05/2020

================
利害関係者とは?
================

ISO27001規格要求4.2項「利害関係者のニーズ及び期待の理解」では、以下の2つの事が要求されています。

・ISMSに関連する利害関係者の特定
・その利害関係者の、情報セキュリティに関連する要求事項

ここでまず分からないのが、“利害関係者”とはどのような人のことなのかです。

利害関係者とは、顧客、供給者(業務委託先やサプライヤー)、行政機関、従業者のことと考えるとよいでしょう。

なお、これ以外に従業者の家族などを利害関係者とみるケースもあります。
大地震や重大な労働災害が発生した場合の緊急連絡先として、従業者の家族とも利害が絡むという観点から利害関係者の一種とみるのです。

ISO27001はこれらの利害関係者を特定しろと要求しているのです。

“うそでしょ! 取引先には数百社あるけど全部洗い出すの?!”

と思った方もいると思います。

しかし、安心して下さい。
全ての利害関係者を特定する必要はありません。
あくまで“自社のISMSに関連する”利害関係者を特定すれば問題ありません。

そうだとしても、また膨大な利害関係者がいるという場合は、利害関係者の名称を特定するのではなく、その業態を洗出しの単位とするとよいです。

例えば、運送サービスを提供してくれている会社3社と取引があるとします。
細かく洗い出すのであれば、㈱〇〇運送、△△配送㈱、㈲××便 のようなイメージになると思いますが、これらのサービスは運送サービスなのですから、“運送サービス事業者”と一つにまとめて特定できます。

顧客についても、自社の製品・サービスを購入する相手なのですから、“製品Aの購入客”のように括ってしまっても問題ありません。

ISMSに関連する利害関係者を漏れなく特定すればよいのであって、1社ずつ細かく特定する必要はないのです。

また、これらの利害関係者の情報セキュリティに関する要求事項ですが、よく勘違いする方が多いので注意が必要です。

この要求事項は、“特定した利害関係者側が自分たちに要求している事項” のことです。
自分たちが利害関係者側に要求している事項ではありません。

これらの要求事項については、締結した契約書等の文書上に表記された事だけでなく、口頭やメール等で指示・相談された事も含みます。

何故なら、「利害関係者のニーズ及び期待の理解」の“ニーズ”とは利害関係者が明確に表明した要求事項のことですが、“期待”とは言葉にはしないけれども「できればこうして欲しいな」というレベルの事だからです。

利害関係者を特定してそのニーズ及び期待に応えることは、社会的存在としての企業にとっては必須のことです。
自社のISMSを適切なレベル以上に保つためにも、この要求事項への対応はとても重要です。

また、ISMSの構築においても、ISMSの適用範囲を決定するために必要となりますので、しっかりと取り組む必要があります。

12/05/2020

====================
 CISOは何をする人?
====================

ISMSを推進していく上で、その推進体制はとても重要です。

それなりの規模の企業では、社内の各セクションから選抜された委員からなる情報セキュリティ委員会などの組織がこの推進を担います。

一般的に、情報セキュリティ委員会は、

・情報システム管理者:社内のIT資産の導入・利用・維持・変更についてサポートを行う。
・情報セキュリティ教育責任者:ISMSの適用範囲の従業者に対して情報セキュリティ教育・訓練を計画・実施し、その力量を管理する。
・事務局:ISMSに関する情報を収集し関連セクションに情報提供する。

といった構成となります。

また、このほかに情報セキュリティ委員会から独立した組織として、内部監査責任者をヘッドとした内部監査グループも必要となります。

そして、情報セキュリティ委員会を取りまとめるのが、ISMSの構築・運用の総責任者である情報セキュリティ管理責任者(CISO:Chief Information Security Officer)です。

CISOは、情報セキュリティマネジメントを成功に導く上で鍵となる存在です。

では、どのような人物がCISOにふさわしいのでしょうか。

その適格要件は・・・

・社内の業務の内容(工程)に精通している
・組織間で対立する利害を調整できるスキルがある
・人望がある
・できればITに明るい

こんな感じです。

けっして新入社員などには務まらないことをお分かりいただけるでしょう。
しかし、コンサルの現場でこれらの要件を満たしたCISOにお会いするのは稀です。

CISOを任命するのはトップマネジメント、つまり代表取締役社長です。
多くのマンパワーと時間、コストをかけて構築するISMSが自社にとって有益なものとなり、事業継続にとって致命的な情報セキュリティ事故の発生を防止するためには、まず社長が誰をCISOにするかが大事なのです。

万一、適任者が居ない場合、迷うことなく社長自らがCISOとなることをお勧めします。

なお、CISOが兼務できないISMS上の役割がありますので、そこを知りたいという方は弊社まで直接お問い合わせ下さい。

お問い合わせはこちらまで
 ↓ ↓ ↓
[email protected]

11/05/2020

======================
 紙媒体は情報資産なの?
======================

ISO27001に対応するためには「情報資産」の洗出しが必須となります。

では、この「情報資産」とはどのような資産のことなのでしょうか。

コンサルにうかがうと、「情報資産」をデジタルファイルのことだと勝手に解釈されているケースがよくあります。

ISO27000(情報セキュリティマネジメントシステム-用語)において、「情報資産」という概念が明確に定義されているわけではありません。
しかし、「情報資産」という言葉は、ISO27001規格要求事項の中で沢山使われています。
特に、情報資産はリスクアセスメントの対象となり、重要な情報資産については具体的な取扱いルールを定める必要もあるため、ISMSの構築・運用担当者としてはその定義をはっきりと認識しておきたいものです。

「情報資産」とは、組織にとって価値のあるものと考えればよいでしょう。

“有形・無形を問わず自社にとって価値のある大切な資産”

と捉えておけばまず間違いはありません。
重要なのは、自らにとって価値があるかどうかであり、他者にとって価値があったとしても自分にとって価値がないのであれば情報資産には該当しないという点です。

つまり、情報資産かどうかに正解はないのです。

情報資産の代表格は以下のようなものです。

【有形の情報資産】
・書類などの紙資産
・PCやサーバ等のハードウェア
・オフィスや倉庫などの場所

【無形の情報資産】
・デジタルファイル
・情報ネットワーク
・契約に基づき享受している外部サービス
・ダウンロードして使うソフトウエア

組織によっては、特定の業務に精通した“人”も情報資産としているところもあります。
その人がいなければ組織の情報セキュリティレベルを維持できないような場合、例えば情報システム管理者等が該当します。

これらの情報資産は漏れなく目録(「情報資産台帳」)に特定し、その取扱状態を確認していく必要があります。

“漏れなく”という部分がくせ者なんです。
決して“細かく”ではない!!

情報資産を細かく洗い出そうとすると、「情報資産台帳」を作成するだけで膨大な時間を浪費することなるため、注意が必要です。

では、どのくらいの粒度で情報資産を特定しておけば審査に耐えうるのか・・・

ISMSの構築段階において、とても悩ましいテーマの一つです。

10/05/2020

======================
情報セキュリティって何だ?
======================

「情報セキュリティ」という言葉は今や当たり前に使いますが、どういう概念のことか説明して下さいと言われると困る人が多いと思います。

・デジタルファイルを不正なアクセスから守ること
・機密文書を盗難被害から守ること
・PCやサーバへの侵入を防止すること 等々

一般的にはこんなイメージですよね。

しかし、ISO27001で使用される「情報セキュリティ」は、ISO27000(情報セキュリティマネジメントシステム-用語)では、情報セキュリティ(information security)とは、“情報の機密性、完全性及び可用性を維持すること”と定義されているのです。

さらに、同注記においては、“さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。”とされています。

情報の「機密性」、「完全性」、「可用性」という言葉が敢えて使われていますから、これらの定義も知っておく必要があります。

「機密性](confidentiality)は何となく分かると思いますが、ISO27000では、“認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性”と定義されています。

う~ん、よく分かりません・・・

つまり、秘密にしておかなければならないかどうかという特性のことです。

次に「完全性」(integrity)ですが、“正確さ及び完全さの特性”と定義されています。

情報が古かったり誤っていたりした場合や不完全な状態では使いものになりませんね。

「可用性」(availability)の定義は、“認可されたエンティティが要求したときに,アクセス及び使用が可能である特性”

そもそも利用することを許された人が必要な時にアクセスしたり使用できるかどうかという特性のことです。

どうでしょう。
かなりイメージが変わってきたのではないですか?

「情報セキュリティ」とは、取り扱う情報の機密性、完全性及び可用性を自社や自社の利害関係者の期待するレベル以上に維持することなのです。

情報の機密性が優先する傾向が強い。
これが「情報セキュリティ」の一般的なイメージでしょう。

しかし、ISMS構築・運用の担当者は、可用性や完全性という特性も機密性と同じレベルで重要なのだと、まず頭を切り替える必要があります。

08/05/2020

情報セキュリティに関する国際認証規格であるISO27001。

企業において効果的な情報セキュリティマネジメントシステム(ISMS)の構築・運用を担う方は、日々様々な問題にぶつかります。

“どうすれば致命的な情報漏洩事故を防止できるのか!!”

プロコンサルタントとしての実務経験を基に、ISMSの構築と運用において失敗しないためのポイントについて書いていきたいと思います。

ISMS運用担当者の皆様に少しでもお役に立てれば幸甚です。

住所

1-24/5
Meguro-ku, Tokyo
153-0041

営業時間

月曜日 09:00 - 17:00
火曜日 09:00 - 17:00
水曜日 09:00 - 17:00
木曜日 09:00 - 17:00
金曜日 09:00 - 17:00

ウェブサイト

アラート

だから失敗するiso27001(isms) ~プロコンサルが教える「実践的情報セキュリティマネジメントシステム」の構築と運用~がニュースとプロモを投稿した時に最初に知って当社にメールを送信する最初の人になりましょう。あなたのメールアドレスはその他の目的には使用されず、いつでもサブスクリプションを解除することができます。

事業に問い合わせをする

だから失敗するiso27001(isms) ~プロコンサルが教える「実践的情報セキュリティマネジメントシステム」の構築と運用~にメッセージを送信:

ショートカット

共有する

カテゴリー