ISMS(ISO27001)およびプライバシーマークの情報セキュリティ担当者に参考となる情報をお送りいたします。

presented by TS-ISM, Inc.

情報セキュリティ担当者を応援するblog(ブログ)

ISO/IEC27001とISO/IEC27002の2005年版と2013年版の対応表

JIPDEC(日本情報経済社会推進協会)のホームページで、ISO/IEC27001とISO/IEC27002の 2005年版と2013年版の対応表(SD3:Standing Document 3)が、 ISO/IEC JTC1/SC27 N13143文書として公開されているとの告知がありました。

原文(英語)は、DIN(Deutsches Institut fur Normung:ドイツ規格協会)のホームページよりダウンロードできます。

ISO/IEC27001:2013およびISO/IEC27002:2013の規格(対訳版)は、JSA(日本規格協会)のホームページより購入できます。

pdf


ワンクリック詐欺にひっかかった場合の対処法は、「無視」。

マカフィーでは、スマートフォンユーザーを狙ったワンクリック詐欺の手口と、詐欺を防ぐポイントを簡単にまとめ、ホームページ上で紹介しています。

URL: http://www.mcafee.com/japan/home/security/news/034.asp

 

急速に普及が進んだスマートフォンは、今やサイバー犯罪者にとって格好のターゲットとなっています。

先日、公開されたIPA(独立行政法人情報処理推進機構)の2013年第3四半期(79月)の「コンピュータウイルス・不正アクセスの届出状況および相談受付状況」においても、「スマートフォンにワンクリック請求」においては前期から7割増となっており、相談件数は今後も増えるであろうと予想されています。

URLhttp://www.ipa.go.jp/security/txt/2013/q3outline.html

 

マカフィーが紹介している、「ワンクリック詐欺」にあった時に一番の最適な方法は、「無視」することだそうです。

 

「電子契約法」では、「消費者が申込みを行う前に、消費者の申込み内容などを確認する措置を事業者側が講じないと、要素の錯誤にあたる操作ミスによる消費者の申込みの意思表示は無効」とあります。

画像や意図しないリンクのクリックした瞬間、「入会(登録)が完了しました」などのメッセージを表示し料金を請求するパターンは、「電子契約法」違反に当たります。

つまり、最後に内容を確認して承諾していない申込は無効であり、操作ミスを誘導した結果の申し込みも無効ということなのです。

 

経済産業省「電子契約法について」

URL: http://www.meti.go.jp/policy/it_policy/ec/e11213aj.pdf

 

ちなみに、絶対に画面内のクリックや苦情・問い合わせのメール返信はしないようにしましょう。

返信などをしてしまうと、不当な請求メールなどのスパムメールが繰り返し送ってくる恐れがあります。

一度、知られてしまったメールアドレスにスパムメールを来なくする方法はありませんので注意しましょう。

一番良い方法は、「無視」するということですね。

 

あと、「ワンクリック詐欺」にあった場合は、パソコンのウイルスチェックを必ず行いましょう。

ダウンロードした不正なアプリなどを通じて、何らかのマルウェアがパソコンに忍び込んでいる可能性もあるので、注意が必要です。

 

身に覚えないメールが多く届いたり、本物かどうか判断に迷ったり、困った場合は、「全国の消費生活センター」に問合せましょう。

全国の消費生活センター

URL: http://www.kokusen.go.jp/map/


 

消費者庁より「平成24年度 個人情報の保護に関する法律 施行状況の概要」が公表されています。

「個人情報の保護に関する法律」では、第 53 条第1項の規定により、「内閣総理大臣は、関係する行政機関の長に対し、法の施行の状況について報告を求めることができること」とされており、同条第2項にて、毎年度、同条第1項の報告を取りまとめ、その概要を公表することとされています。

それに従い、今回、消費者庁が、平成 24 年度における施行状況の報告について取りまとめ、その概要を公表しています。
 

pdf

地方公共団体における個人情報の保護に関する施行状況については、総務省が公表している「地方自治情報管理概要〜電子自治体の推進状況〜」(平成 25 年2月)を参照ください。

地方自治情報管理概要(地方公共団体における行政情報化の推進状況調査結果)
 

pdf

東京23区でISMS(ISO27001)認証取得を助成金対象とする区(更新版)

TSイズムのホームページ「Topics」に掲載しておりました、「東京23区でISMS(ISO27001)認証取得を助成金対象とする区」を更新しました。

東京23区では、各区においてISO認証取得のための助成金補助金融資などの制度があります。

前回、公開していた時よりも、新たに制度を導入されている区などもあったため、この度「2013/09/10」付けの内容で、記事を更新しました。

以前よりは、企業を支援する制度が実施する区が増えてはいますが、実施されていない区などもございます。

ISO認証取得を検討されている企業様(東京23区に拠点がある企業様)は、一度、調べてみる価値があるかと思います。

tokyo23

東京23区でISMS(ISO27001)認証取得を助成金対象とする区(更新)

コンピュータウイルスとウイルス攻撃の種類

TSイズムのホームページ「Materials」に、「コンピュータウイルスとウイルス攻撃の種類」という記事をアップしました。

コンピュータウイルスとはどのようなものがあるのでしょうか、またそれらのコンピュータウイルスは、どのような悪さを行うのでしょうか。

そのようなコンピュータウイルスとそれらを利用したさまざまな攻撃の関係を下図のように図解してみました。

複数の機能を持つ不正プログラムの登場や定義の変化により、明確な区分が難しくなってきており、またさまざまな観点により、分類などもいくつかのアプローチがあるかと思います。

コンピュータウイルスおよびウイルス攻撃の一つの理解の資料になれば幸いです。

TypeOfVirusAttackAndVirus

コンピュータウイルスとウイルス攻撃の種類

情報セキュリティ関連情報を、担当者がまとめて受信する方法。

情報セキュリティ担当者となると、それらの関連情報が気になりますよね。
私自身も、仕事の関係上、セキュリティ情報を毎日、色々なところからかき集め、
現在は、どのようなことが起こっているのかチェックしています。

OS、ソフトウェアの脆弱性情報
最新のウイルスやフィッシングメールなどの情報
どのようなセキュリティ事件・事故が起こっているのか?
各省庁の動き
新たな法規制に関する情報
などなど...

確かに、インターネットを検索すれば、毎日数多くの最新情報が流れています。

しかし、組織で情報セキュリティの担当者をやられている方は、
実際は他の業務との兼務で行っていたりとそれだけに時間を割くことは意外と大変ではないでしょうか。

チェックしていても、同じ情報がタイトルだけ違って幾重にも流れていたりと。
思ったよりも、チェックするだけで時間がかかってしまいますよね。

そこで、私が毎日チェックしている情報セキュリティ関連の情報を、
そのままセキュリティ担当者の皆様にお見せすることができればと思い、
TSイズムのツイッターを利用してつぶやくことにしました。

twitter

上記のアドレスをクリックし、お気軽に「フォロー」してやってください。

できるだけ、良質で多くの情報をつぶやければと思っています。
もしよろしければ、フォローしてください。


以上、TSイズムからのお知らせでした。


7月9日以降、感染パソコンはネット接続できなくなるかも!? 「DNS Changerマルウエア感染確認サイト」で要チェック!!

JPCERT/CC が、JPCERT-AT-2012-0008 で注意喚起を行った DNS Changer マルウエアの感染を確認できる Web サイトを公開いています。

「DNS Changer」とは、パソコンのDNS設定を変更するウイルス(マルウエア)で、感染すると、攻撃者が用意するDNSサーバーを参照させられ、知らないうちに悪質サイトに誘導されたり、攻撃者が意図したコンテンツをWebブラウザーに表示されたりする恐れなどがあります。

2011年11月、米国連邦捜査局(FBI)が悪質なDNSサーバーを差し押さえ、正常なDNSサーバーに置き換えたため、現在では、DNS Changerに感染しているパソコンでも、悪質なDNSサーバーを参照させられることはないとのことです。

当初、この正常なDNSサーバーは2012年3月9日に停止する予定だったらしいですが、サーバーを停止すると、感染パソコンでは名前解決ができなくなり、Webサイトやメールサーバーなどにアクセスできなくなる恐れがあるため、2012年7月9日まで運用されることになりました。

よって、再度運用の更新がなされない場合は、7月9日以降、感染パソコンではインターネットに接続できなくなるため、JPCERT/CCでは、DNSサーバーの運用停止に先駆けて、DNS Changerに感染しているかどうかをチェックするためのWebサイト「DNS Changerマルウエア感染確認サイト」を公開していています。

2007年に出現して感染を拡大し、世界中に35万台の感染パソコンが存在し、日本国内でも多数のパソコンが感染しているらしいので、一度チェックされてはいかがでしょう。

DNS Changer マルウエア感染確認サイト公開のお知らせ

DNS Changer マルウエア感染確認サイト公開のお知らせ

英字4桁のパスワードは、最短でたったの約3秒で解読される。

色々なところで必要になってくるパスワード。
パソコンやインターネット、スマートフォン、その他さまざまなアプリでも使用されていますよね。
あまりに、多くのパスワードが必要になってくるため、意外と適当に設定してしまって、結局はパスワードはどれも一緒だったりします。

でもそれって意外と危険だと知っていました。

犯罪者は、セキュリティ対策の弱いサイトを狙ってユーザー名とパスワードを収集し、他の人気サイトでその情報を試すそうです。
同じパスワードを使用していた場合、セキュリティの弱いサイトからパスワードが盗まれ、自分の知らない間に、そのパスワードを使って重要なアカウントが危険にさらされる可能性がでてきます。


 IPA( 独立行政法人 情報処理推進機構)の「コンピュータウイルス・不正アクセスの届出状況(2008年9月分)」によると、小文字または大文字のみの英字4桁の場合、パスワードの解読にかかる時間は最短でたったの約3秒だそうです。
この調査が、3年前のことなので、今ではもっと早く解読されるのかもしれません。
ちなみに、この資料によれば大文字、小文字の英字、数字、記号を組み合わせて8桁にするだけでも、最大解読時間は約1000年にまで伸びるらしいです。


パスワード設定のヒントになりそうなサイトがあります。

Googleは、インターネットを安全に利用するためのWebサイト「知っておきたいこと」を公開しました。
この中の 「オンラインの安全性 - 強力なパスワードの選び方」というページがあり、強力なパスワードの作成に役立つヒントをご紹介しています。

オンラインショップやSNSなどの利用で多くなったパスワード設定。
よろしれければ、一度、参考にしてみてはいかがでしょうか?

【パスワード作成のヒント】
 1. 重要なアカウントにはすべて固有のパスワードを使用する
 2. 長いパスワードを使用する
 3. 文字、数字、記号を組み合わせたパスワードを使用する
 4. 自分だけが知っている語句を使うようにする
 5. パスワードの回復方法を最新で安全な状態にする
 6. パスワードの覚え書きは簡単に見つからない秘密の場所に保管する
 7. Google アカウントのセキュリティ レベルを高める

ISMS,プライバシーマークの「審査前チェックと想定問答集」

ISMSやプライバシーマークの審査は、規程書などの文書に対して実施する「文書審査」と、それが実際に現場でどのように実施されているかを確認する「現地審査」の2回実施されることとなります。

特に、「現地審査」では、部門ごとにどの様な活動をしているかをヒアリングをしながら審査されるため、中心メンバーだけでも対応できた「文書審査」とは異なり、現場の社員の方にも質問されることがあります。

「審査はどのように行われるのか?」
「審査員からどのような質問がされるか?」
「どのように答えたら良いか?」

コンサルタントに依頼されているのであれば、模擬審査などで審査のシュミレーションをすることができるかもしれません。
しかし、自力での活動となると、十分な準備をしていたとしても、不安になってくるかと思います。
私自身も、はじめて審査を経験するときは、いくら準備をしても確信が持てずに、不安いっぱいだったことを記憶しています。

そこで、今から受審される方の不安が少しでも解消さればと思いテキストを作成しました。

審査の流れから、審査のポイント、審査員から質問された時の応対の仕方など、実際のコンサルティングで使用される資料をまとめたテキストとなっております。
専門のコンサルタントのノウハウをそのまま得ることができ、しかもこのテキストを使うことで、移行の新入社員や中途採用者に対しても、十分な教育を行うことが可能となります。

現地審査における想定問答集もありますので、審査対応への参考にしていただければと思います。

テキストは、
ISMSなら「ISMS認証取得支援パッケージ(29.000円 税込)」に、
プライバシーマークなら「プライバシーマーク取得支援パッケージ(29,000円 税込)」に
追加収録されています。

自力での取得にも、コンサルタントに依頼するための事前資料にもお役にたてる商品となっております。 

pkg-plus 


これらの商品は、【ISM Web store】 でお求めいただけます。


ISMS、プライバシーマークの取得をご検討中の方には、お勧めの商品です。


 

ISMS,プライバシーマーク,ISO9001の構築パッケージから「認証取得支援パッケージ」に

現在、ISM Web store で販売させていただいている「ISMS構築パッケージ」および「プライバシーマーク構築パッケージ」、「ISO9001構築パッケージ」ですが、このたび名称を変更することとなりました。

新名称は、以下の通り。
・ (旧)ISMS構築パッケージ → (新)ISMS認証取得支援パッケージ
・ (旧)プライバシーマーク構築パッケージ → (新)プライバシーマーク取得支援パッケージ
・ (旧)ISO9001構築パッケージ → (新)ISO9001認証取得支援パッケージ

弊社では、このパッケージに収録している資料を、通常のコンサルティングの中で、今までも現在も使用しております。
コンサルタントは、これらを活用して、ISMSやプライバシーマーク、ISO9001の認証取得をするための体制および文書構築、運用を行っていました。

これらの資料をパッケージ化して販売を行うことが決定した当時は、『認証取得するための組織体制(運用を踏まえた)の構築ができるためのもの』といった意味で「構築パッケージ」というネーミングをつけました。
そのほうが、商品の目的にあっていると当初は思っていました。

その後、徐々にお客様にご購入いただいている中で、「もっと早く見つけていれば、よかったなぁ」とか、「他のサンプル文書といったものと違ったもの(商品)だよ。もっとピーアールすべきだよ。」といったありがたい言葉。「これがあればコンサルティング必要ないよねぇ~(笑)。」といったものまで、多くの高評価をいただくようになりました。
大変ありがたいことです。感謝します。

そのような経緯もあり、弊社としても、他に販売されているサンプル文書とは異なることを分かりやすく伝える必要があるのではないかと思い、このたび商品名を変更することにしました。

収録内容は、とりあえず現行のバージョンと変わりはありません。
ただ、今まで同様に、現状に即した形に逐次更新し、より良い商品に育てていきたいと思っております。

これからも、ISM Web store をどうぞよろしくお願いします。

P.S.
先ほど、更新のためにということで、「取得支援パッケージ」をご購入いただきました。
もしかして、更新にも役に立つのかなぁ....?

pkg

商品のお求めは、以下の商品名をクリックして、ISM Web store からどうぞ。

ISMS認証取得支援パッケージ 29,000円 (税込み)
プライバシーマーク取得支援パッケージ 29,000円 (税込み)
ISO9001認証取得支援パッケージ 26,000円 (税込み)

twitter
ISMS認証取得支援パッケージ

ISMS認証取得支援パッケージ
\29,000- (税込)

プライバシーマーク取得支援パッケージ

プライバシーマーク取得支援パッケージ
\29,000- (税込)

  • ライブドアブログ