ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

セミナー取りまとめ

セキュリティ

ということで昨日聞いてきたセミナーについてまとめてみる。まあ、南下の足しにはなるだろう。

昨日のセミナーはISMSと個人情報保護関係のものだった。
とりあえず個人情報保護についてから。
4月の個人情報保護法完全施行後、個人情報を漏えいした企業100社について統計を取ったところ、プレスリリースのみ出した企業が75社、Web+プレスリリースを出した企業が20社、Webのみが1社で、社告を出したものはなかったらしい(あれ?数が合わん^^;聞き間違えたか?)。まあいずれにせよ、高々2ヵ月半程度でこれほど出てくるとは如何に問題が多かったことやら^^;。また、委託先の企業が委託元に断りなく公開しているところもあるらしい。こりゃ委託元は困るよなぁ。いや別に隠せと言ってるわけではなく、委託元がこういったことはコントロールしたほうが良いのでは?と思ってしまう。
個人情報の漏えいというのは漏えいしたことがわかることが少なく、個人からの問い合わせ、脅迫が遭って初めて発覚することが多いらしい。
漏えいの原因はやっぱり内部犯行が多くて、8割以上らしい。まあこれも昔から言われてたことだし、たいしたことないのだが。
ただ、社員に会社への恨みがなくても怖い人たちから脅迫されて犯行に及ぶ人もいてしまうらしい。身に覚えのないお金を振り込まれて、それを使っちゃったりしちゃうんだって。怖いねぇ。後、面白かったのは外部犯行の場合、ターゲットの会社の名刺を作って、ゴニョゴニョ(ちょっと検閲削除w)するらしい。某所での本人確認がいい加減なので結構簡単っぽい。いやぁねぇoTL。
その他、脅迫を受けた場合、それに乗っちゃ絶対駄目ってこと。一度乗っちゃうとそれがまた脅迫のネタになるそうな。

情報主体から漏えいしてるんじゃないの?ってくる場合はかな〜り事態が進んでいることがあり、社会に知られることも時間の問題らしい。一度情報漏えいが事件となると、株価が10%も下がるんだって。
個人情報が漏えいした場合、経産省商務情報政策局情報経済局にも報告が求められるが、その際には以下のもの必要とするらしい。

  • 報告者
  • 報告日
  • 連絡先
  • 事業者名
  • 発覚日
  • 事案の類型と概要
  • 流出データの媒体、項目及び件数
  • 警察届出の有無
  • 経緯
  • 2次被害
  • 本人への対応
  • 事案の公表
  • 再発防止策

特に必要以上に事案の類型をチェックするのは墓穴を掘ることになるので気をつける必要がある。また、実際に報告した内容について詳細な質問を受けるので、的確に準備をする必要がある。有事対応についてはどうやら事案を収集しているらしく、この点についても報告を求められるらしい。また、報告に虚偽があったり、期日の遅れがサボりなどであった場合厳罰に処されることがあるらしい。いつまでにこれこれをやってくださいといわれるが、自発的に「これはいつまでにやります」と言ってはいけないらしい。仮にそんなことを言って期日に間に合わないとよくないことが起こるかも。当然言われた期日に間にあわなそうな場合、即出来ませんと言うこと。まあこれは普通は当然ですね。
また、初期行動、初期報告の体制があるか、対応マニュアルはあるか、と言うことも聞かれるらしい。これらがないと個人情報管理責任者の責任と取られる。
そんなわけで、初期行動のタスクリストを作っておくのがよいかもしれない。
暇が出来たら作ってみるかな?

次にISMSについて
マネジメントシステムを構築するとなると、現場にはネガティブなイメージが強い。これは以下の要因による。

  • 継続的改善の誤解
  • 責任、権限のアンバランス
  • キッチリやることと早くやること

こういった誤解によるものが原因らしい。

  • 継続的改善の誤解

継続的改善となると、1次関数のようにしなければならないという考えにとらわれがちだが、マネジメントシステムが要求しているのは、何らかの変化に基づき段階的に改善していくことである。したがって、何らかの契機(例えば、この間のkakaku.comの事件のようなこととか)に従って改善していけばよい。

  • 責任、権限のアンバランス

新たにセキュリティ管理体制が作られるので、現場では責任ばっかり増えることになる。その一方で権限がなかったり、暇がなくなってしまうので現場から嫌われる。まあ、しっかり責任を与えたら、それなりの権限を同時に与えないとうまく回らないシステムになってしまう。

  • キッチリやることと早くやること

何でもかんでもキッチリやることはない。余りにも無駄なチェックは必要ない。その結果、処理に時間がかかりすぎてしまい報告できなくなってしまう。その結果、問題が発覚した場合などには取り返しがつかなくなったりする。

いずれにせよ、マネジメントと言うものは「うまくやること」であり、キッチリやることではない。

個人情報保護法が完全施行されてから機密性のみに目が行ってしまい、その他の可用性、完全性がずぼらになってしまっていることが多い。この結果ぐちゃぐちゃになってしまい業務が滞っているところもある。まあ、これはコンサルやったとこがそうだったような。まあ、実際には業務があってその上でセキュリティがあるはずなのに、何でもかんでもセキュリティ強化となってしまってうまく業務が回らなくなってしまう本末転倒なことがありうるので気をつけないといけないなぁと思った。

とまあ、いい加減にメモった内容を書いてみるテスト。

そうそう、後思ったのは、IT技術によるセキュリティ対策と言うのはあくまで従であり主たるものはやっぱり人間系のセキュリティ対策かな?と思う。最近やれシンクライアントだ、検疫システムだ、IPSだといってベンダーは売り込もうとするけど、ほんとかよ?と思う今日この頃。こういったものは入れて終わりでなくて、あくまで人はミスするもんだからフェールセーフとして働くように導入するものだと思うのだな。ぶっちゃけ言えば、人さえしっかりミスしなければそんな無駄なものはいらんw。
ということで人への教育活動、意識改革が必要だと思う。じゃあ、どうすりゃええねん?といわれると銀の弾丸と言うのはないので地道に何度も反復して行くしかないのだろうけどねぇ。

しかし、セキュリティ製品を売ってる会社の人間がそんなものいらねって言っていいのか?(w