昔はイケてたVICのあの人によるセキュリティ関連あれこれ

情報セキュリティに関するあれこれをジャパネットたかた社長ばりのハイテンションでご紹介していきます。

第五話:ISMSって更においしいの?教えて、Google先生!

ISMSってなんだろな?なんだろね?

皆さんは好奇心旺盛な子どもたちに、
ISMSってなあに?ISMSを取ると何でうれしいの?」
って聞かれたら何と答えますか?
筆者は、
ISMSはね、ISMSなんだよ。今ものすごく忙しいからまた今度ね!
ほら、お菓子とプラスしてジュースもあげるから。」
と答えます。
筆者の答えはいつも通り全く当てにならないので
何でも知ってる最強の先生、Google先生にまた聞いてみましょう。

JIPDEC 一般財団法人 日本情報経済社会推進協会のサイトによると、

近年、IT化の進展に伴い、不正アクセスやコンピュータウイルスによる被害、及び内部不正者や外注業者による情報漏えい事件など、情報資産を脅かす要因が著しく増加しており、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。

ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、
リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。

とあります。
要するに、
「弊社は情報資産を守るためにセキュリティを確保しているきちんとした会社です!」
という事を証明する制度って事ですね。

皆さんは大事なお客様を目的地に予定通り安全にお送りしたい時に、
タクシー事業の許可を受けた業者と、
普通の自家用車の白タクのどちらに乗せたいと思うでしょうか?
お客様をきちんと扱って安全に目的地まで送り届けるという意味で、
タクシー事業の許可を受けた業者に任せる方が圧倒的に安心ですよね。

会社の事業の中で取り扱う情報資産も同じ事が言えると思います。
今の時代、IT技術の発展により、情報資産を大量に高速に扱えるようになり、
しかもインターネットの発達で、大量の情報資産が外部に漏洩し、
あっという間に不特定多数の目にさらされる危険性があります。
会社に情報資産を取り扱う適切な体制や仕組みがない場合、
事業活動の中でそういった事故が起こってしまうリスクは高いと言えます。
もし、そんな事が本当に起こってしまったら、会社の信用は丸つぶれ、
行き着く先はアルティメット土下座です。
ですから、今の時代、事業の中で情報資産を取り扱っている会社にとっては、
ISMSは事業を行っていく上で必須のライセンスの様なものだと言えるでしょう。

「ウチは事業活動の中で情報資産をきちんと取り扱っている業者ですよ」
と対外的にアピールする事で社会的な信用を得ることができ、
お客様は安心してその会社に仕事を任せる事ができます。
仕事をする上で、信用は大事な要素の1つです。
お客様から信用を得る事で新たな仕事を得て利益を生み、
会社は事業を続け、更に事業を広げていく事ができます。

また、会社の事業の中で情報資産を適切に取り扱うための体制や仕組みを構築する事は、
その業務の効率化にもつながります。
タクシー業者がお客様を適切に扱って目的地まで効率的にお送りするために、
適切な体制や仕組みを構築する事で業務を効率化し利益を生みだす様に。
業務の効率化は会社の利益につながっていきます。

ISMSの構築と運用は、
対外的な信用を得る事で受注を獲得し、
業務を効率的に行えるようになる事でより多くの利益を生むという2つの大きなメリットがあると言えるでしょう。

 

・・・と、ここまで読んできて、感のいい読者の皆さんはお気づきになっていることでしょう。
筆者はPマークの時とほとんど同じこと言ってないかと?

Pマークの場合は会社の事業の中で取り扱う「個人情報」が対象だけど、
ISMSで取り扱いの対象となる「情報資産」って具体的に何?と。

情報資産の判断基準としては、
機密性:その情報が特定の関係者のみに開示・提供する必要があるか
完全性:その情報の内容を変更された場合、業務への影響はあるか
可用性:その情報が必要な時に利用できる状態である必要があるか
の3つの観点から、何がその会社の情報資産なのかは、情報資産洗い出しを行い、ISMSの適用範囲として自ら決定する必要があります。

これらに当てはまる情報資産には、
会社が業務を遂行する上で取り扱う機密情報や個人情報等を収めた電子ファイルや文書、
会社が業務を遂行する上で必要な業務用ソフトウェアや自社で開発したプログラム、
会社が業務を遂行する上で必要となるPC、サーバやディスク等のハードウェア、
会社がお客様に提供する情報サービス等が挙げられ、
どれも会社の業務を遂行する上で非常に重要で、
もし、それらが損なわれた場合、会社の業務や事業に大きなインパクトがある事が分かると思います。

業務を遂行する上で必要で、会社にとって価値のある情報を適切に管理し、それらの情報を守るための仕組みを構築する事は、会社組織を守り、事業を継続していく上で必要な防御策と言えるでしょう。


よし!ウチもISMSを構築してISMS認証を取得しよう!でもどうやって?

ISMS認証を取得するためにISMSを構築し、それを運用していくには、知識やスキル、労力が要ります。
しかも、ISMS認証は1度取得して終わりではありません。
3年毎に更新が必要ですから、ISMSを構築してISMS認証を取得した後、更新に向けてそれをきちんと継続運用していく必要があります。

ビック情報株式会社のISMSコンサルティングサービスでは、
ISMS認証取得に関する支援サービスとして、
ISMS認証の取得に必要な、ISMS組織・体制整備、ISMS策定の作業計画立案、ISMS規定の策定と文書化等、ISMSの構築ステップに準拠しつつより現場の実態や業務に即した形でISMS構築をサポートしています。
また、ISMS認証の維持・運用に関する支援サービスとして、
ISMS認証取得後のISMS維持・運用に必要な、維持・更新審査対応、教育・訓練の企画実施、内部監査、マネジメントレビュー、定期的なISMSの見直し・対策といった一連のISMS活動をサポートしています。

 

ISMS認証に関するお客様の目的・課題・お悩みに沿って細かなコンサルティングやサポートが可能です。以下のページでぜひ詳細をチェックしてみてください。

www.vic-info.co.jp

第四話:Pマークっておいしいの?教えて、Google先生!

Pマークってなんだろな?なんだろね?

皆さんは好奇心旺盛な子どもたちに、
「Pマークってなあに?Pマークを取ると何でうれしいの?」
って聞かれたら何と答えますか?
筆者は、
「Pマークはね、Pマークなんだよ。今忙しいからまた今度ね!
ほら、お菓子あげるから。」
と答えます。
筆者の答えは全く当てにならないので
何でも知ってる最強の先生、Google先生に聞いてみましょう。

JIPDEC 一般財団法人 日本情報経済社会推進協会のサイトによると、

プライバシーマーク制度は、
日本工業規格「JIS Q 15001個人情報保護マネジメントシステム—要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

とあります。
要するに、
「弊社は適切に個人情報を扱っているきちんとした会社です!」
という事を証明する制度って事ですね。

皆さんは大事なお客様を目的地に予定通り安全にお送りしたい時に、
タクシー事業の許可を受けた業者と、
普通の自家用車の白タクのどちらに乗せたいと思うでしょうか?
お客様をきちんと扱って安全に目的地まで送り届けるという意味で、
タクシー事業の許可を受けた業者に任せる方が圧倒的に安心ですよね。

会社の事業の中で取り扱う個人情報も同じ事が言えると思います。
今の時代、IT技術の発展により、個人情報を大量に高速に扱えるようになり、
しかもインターネットの発達で、大量の個人情報が外部に漏洩し、
あっという間に不特定多数の目にさらされる危険性があります。
会社に個人情報を取り扱う適切な体制や仕組みがない場合、
事業活動の中でそういった事故が起こってしまうリスクは高いと言えます。
もし、そんな事が本当に起こってしまったら、会社の信用は丸つぶれ、
行き着く先はアルティメット土下座です。
ですから、今の時代、事業の中で個人情報を取り扱っている会社にとっては、
Pマークは事業を行っていく上で必須のライセンスの様なものだと言えるでしょう。

「ウチは事業活動の中で個人情報をきちんと取り扱っている業者ですよ」
と対外的にアピールする事で社会的な信用を得ることができ、
お客様は安心してその会社に仕事を任せる事ができます。
仕事をする上で、信用は大事な要素の1つです。
お客様から信用を得る事で新たな仕事を得て利益を生み、
会社は事業を続け、更に事業を広げていく事ができます。

また、会社の事業の中で個人情報を適切に取り扱うための体制や仕組みを構築する事は、その業務の効率化にもつながります。
タクシー業者がお客様を適切に扱って目的地まで効率的にお送りするために、
適切な体制や仕組みを構築する事で業務を効率化し利益を生みだす様に。
業務の効率化は会社の利益につながっていきます。

Pマークの取得と運用は、
対外的な信用を得る事で受注を獲得し、
業務を効率的に行えるようになる事でより多くの利益を生むという
2つの大きなメリットがあると言えるでしょう。


よし!ウチもPMSを構築してPマークを取得しよう!でもどうやって?

Pマークを取得するためにPMSを構築し、それを運用していくには、知識やスキル、労力が要ります。
しかも、Pマークは1度取得して終わりではありません。
2年毎に更新が必要ですから、PMSを構築してPマークを取得した後、更新に向けてそれをきちんと継続運用していく必要があります。

 

ビック情報株式会社のPマークコンサルティングサービスでは、
Pマーク取得に関する支援サービスとして、
Pマークの取得に必要な、PMS組織・体制整備、PMS策定の作業計画立案、PMS規定の策定と文書化等、PMSの構築ステップに準拠しつつより現場の実態や業務に即した形でPMS構築をサポートしています。
また、Pマークの維持・運用に関する支援サービスとして、
Pマーク取得後のPMS維持・運用に必要な、維持・更新審査対応、教育・訓練の企画実施、内部監査、マネジメントレビュー、定期的なPMSの見直し・対策といった一連のPMS活動をサポートしています。

Pマークに関するお客様の目的・課題・お悩みに沿って細かなコンサルティングやサポートが可能です。以下のページでぜひ詳細をチェックしてみてください。

www.vic-info.co.jp

第三話:エレガントな物理的情報セキュリティを構築せよ

企業の情報を狙う悪の面々

今の世の中情報が金を生みます。
特許や企業秘密といった大それた情報でなくとも
企業のもつ顧客の個人情報だけでも、
盗まれれば「個人情報売ってるよ!」状態にされてしまうのです。
だから、密かに企業の情報を狙う不埒な輩は多いです。
内部統制や個人情報保護法ISMS等の法制度が整備されてきたということは
そういった企業の情報に対するセキュリティのニーズが高まっていると言う事です。

もし、企業の持つ情報に対してセキュリティを構築しなかったらどうなるか?
力こそが全ての街で無防備に金目のものを身につけて歩いている様なものです。
そんな奴は身ぐるみ剥がされて、その辺の道端に打ち捨てられるのがオチです。

悪いヤツは強そうでスキのない者は狙いません。
弱そうで無防備なやつが狙われるのです。

企業の情報セキュリティも同じことが言えます。
セキュリティが弱くて無防備な企業、場所が狙われます。

もし、企業の持つ情報に対してセキュリティを構築しなかったら...
その行き着く先はアルティメット土下座です。

悪意による人為的な情報漏えい等から情報を保護するためには、
物理的な対策が有効な手段となります。

企業の情報をしっかりガードするためには、どういうセキュリティを構築するか、
思い描いたセキュリティを構築できるどういう入退室管理システムを導入するかが重要です。


入退室管理システムと認証装置の多彩なコンビネーション

だからといって全てのエリアの入退室をハイセキュリティにすればいいという訳でもありません。

一般的に入退室の際の認証のセキュリティが高くなればなるほど、入退室者の利便性は低下し、管理の手間もかかります。
また、ハイセキュリティの認証装置はコストが高い事も多いため、全てのエリアの入退室をハイセキュリティにするのはコストの面からも現実的ではありません。

ちょっととなりの事務室まで行くだけなのに認証のステップや時間がかかってしまうと、入退室管理(セキュリティ)が業務の妨げになってしまいます。

「オフィス等の一般エリアでは管理しやすく低コストで導入できるICカードリーダ、
サーバー室等の重要エリアでは厳密に個人を識別できるハイセキュリティの生体認証」
といった様にエリアの重要度や求められるセキュリティレベルに合わせてICカードリーダや生体認証装置等の認証装置を柔軟に組み合わせられる事が入退室管理システムに求められます。

また、システムの機能がいくら豊富でも、操作が難しくて担当者が使いこなせなくては意味がありません。
入退室管理システムに求められるこの2つの課題をクリアするのが「CredoID」です。
入退室管理システムCredoIDは多彩な認証装置と接続でき、画面インターフェイスも分かりやすく、直感的な操作でセキュリティの構築が可能です。

 

以下のページでぜひ詳細をチェックしてみてください。


入退室管理システムとICカードリーダや生体認証装置で物理セキュリティを構築|ビック情報株式会社

f:id:vic-info:20180117145253j:plain

第二話:泥棒の商売あがったりな次世代の鍵と鍵の管理方法

人はなぜ鍵をかけるのか?

そもそも人はなぜ鍵をかけるのでしょうか?
扉の鍵、棚やラックの鍵、南京錠等、鍵の種類は異なりますが、多かれ少なかれそこに大事なもの、価値のあるものが置かれていて、そこに入れる人を制限したいという目的があると思います。
    
でも鍵をかけるだけで安心していないでしょうか?
「鍵をかけたから大丈夫!」という一種の固定観念で安心しているだけで、本当に中の"大事なもの、価値のあるもの"は安全なのでしょうか?

鍵の管理がずさんだったり、鍵の数が多かったりすると、知らないうちに鍵を持ち出される危険性が高まりますし、鍵は3Dプリンターで簡単にコピーできますから、もしかしたら、知らない内に鍵を使って中に入られている可能性もあります。でも通常の鍵は使ったという履歴がどこにも残らないので、監視カメラでもついていない限り本当に中に入られていないかどうかは分かりません。鍵をかける事で安心してしまい、知らない内に鍵を開けられてしまっては本末転倒です。

あんな鍵もこんな鍵の管理もまとめて電子化

鍵管理システムeCLIQは通常の鍵が持つこれらの問題点を解決してくれます。
電子キーを持ち出されたとしても鍵の解錠権限がシステムで設定されていなければ、鍵を開けることはできません。また、鍵の解錠権限はシステムで設定されるため、電子キーの形そのものをコピーしたとしても意味がありません。もし、鍵の解錠権限が残っている状態の電子キーを紛失した場合でも、電子シリンダの方で解錠権限を無効にできます。どの電子キーがどこの鍵で使われたのかはシステムの履歴で確認する事ができますので、鍵が使われていない、誰も中に入っていない事を証明できますのでより安心できます。また、鍵を電子キーに変えた場合のコストは気になるところだと思われますが、鍵の部分(シリンダ)を交換するだけなので、低コストで導入が可能です。

f:id:vic-info:20170526200156p:plain


扉の鍵、棚やラックの鍵、南京錠等、鍵の種類は異なりますが、eCLIQは様々な形の鍵を電子化できます。

一例を挙げると、シリンダタイプの鍵は、
保管庫、倉庫、機械室、空調室、遠隔地の無人施設、
通信施設、発電所、鉄道駅、空港、港等の公共インフラ施設、
市役所、病院、大学等の公共機関、
研究期間、製薬会社、データセンター等高いセキュリティが求められる場所、
博物館、美術館等の高価なものの展示・保管場所、
その他にはオフィスビル、店舗、工場、ホテル、マンション、集合住宅にも適用できます。

f:id:vic-info:20170619171007p:plainf:id:vic-info:20170619171016j:plainf:id:vic-info:20170619171028j:plain


カムロックタイプの鍵は、
サーバラックの扉、自動販売機、EPSや制御盤等の重要機器、産業用機器の扉等に適用できます。

f:id:vic-info:20170619170332p:plainf:id:vic-info:20170619170946j:plainf:id:vic-info:20170619170923j:plain


南京錠タイプの鍵は、
運送会社のコンテナ、敷地の重要施設への扉、フェンス等に適用できます。

f:id:vic-info:20170619170028p:plainf:id:vic-info:20170619170053j:plainf:id:vic-info:20170619170110j:plain


等々、様々な鍵の管理に適用できます。

以下のページでぜひ詳細をチェックしてみてください。

 

鍵管理の鍵を1本化・運用効率化する電子キーと電子シリンダ:eCLIQ|ビック情報株式会社 

f:id:vic-info:20170619165947p:plain

 

 

第一話:社長からの特命「鍵管理を効率化せよ!」

大量の鍵管理で頭爆発

f:id:vic-info:20170526195829j:plain

みなさんは大量の鍵の管理、どうされていますか?

鍵の数が多いほど管理が煩雑になって管理に手間も時間もかかりますよね。鍵の貸し出し、返却、本数確認、担当者間の引継ぎ等々。。。時間を無駄にしてる感がすさまじいです。しかも数が多いと何本返ってきてるのか返却状況もわかりづらいですし、紛失や不正持ち出しされても気づかない可能性も高くなりますよね。更にとどまる事を知らない傲慢な人間の科学技術が3Dプリンタなんぞを作りだしたばっかりに、鍵は秒速でコピーできる時代になりました。鍵の管理者の悩みは深まるばかりです。管理の手間は増える一方!リスクも増える一方!このままでは鍵管理のトラウマから心の病を負ってしまい、行きつく先は上司に虐げられ、「うるせぇぇぇぇぇぇえええええ!!!」と怒りを爆発させて逮捕なんてことに。。。そんな事にならないためにも、鍵管理はもっとハイセンスでスタイリッシュにキメなければなりません。

 

鍵管理の救世主現る

金属でできた物理的な鍵の野郎が今や多くの不幸を運んでくるアブない奴だって事は分かりました。じゃあどうすればいいか?スタイリッシュに鍵を電子化すればいいんです。いいんですか?いいんです!電子キー「eCLIQ」って奴は、電子キーで開けたい扉を権限設定できる最高にイカしたアイテムです。これなら1本のキーでいくつもの扉を開けれます。その分の鍵を一本化できます。しかも必要な時に必要な扉のみの最低限の解錠権限のみ設定もできるからセキュリティも最高にハイってやつだ!更に電子キーのいいところは電子キーを使った履歴、鍵を開けた履歴が取れるってことです。これなら、こっそり鍵を使って悪さをする不届き者をすぐ御用にできます。圧倒的じゃないか、我がeCLIQは。これなら通常の3倍のスピードで鍵管理ができます!皆さんぜひ、以下の詳細ページをチェックしてみてください。

 

 鍵管理の鍵を1本化・運用効率化する電子キーと電子シリンダ:eCLIQ|ビック情報株式会社

f:id:vic-info:20170526200156p:plain