プライバシーマーク(Pマーク)セミナー定期的に東京・大阪で開催しています!!
こんにちわ!!
ホリデーコンサルティングです。
ホリデーコンサルティングでは、定期的にプライバシーマークや
ISO27001(ISMS)に関するセミナーを行っています。
先日10月13日にもプライバシーマークの無料セミナーを行いました。
ご参加いただいた皆様も真剣で私も刺激を頂きました。
質問も多くいただき、充実した一日となりました。
ご参加いただいた皆様にご協力いただき誠にありがとうございました。
さて、セミナーで何をお話しているかというと、
ずばり!!
「楽してお金をかけずにプライバシーマークを取得する方法」です!!
セミナーでもお約束していますが、私自身が持っている情報の出し惜しみは
しておりません。
自社で取得する場合に楽に取得する方法を説明しています。
また、イメージしやすいように実際の書類審査の内容など含めて説明しています。
おかげさまで今まで多くの方にご参加いただき、満足頂いているセミナーです。
プライバシーマークセミナーは、東京も大阪でも開催しています。
気になった方は、毎月行っているので是非来てください!!
ホリデーコンサルティングです。
ホリデーコンサルティングでは、定期的にプライバシーマークや
ISO27001(ISMS)に関するセミナーを行っています。
先日10月13日にもプライバシーマークの無料セミナーを行いました。
ご参加いただいた皆様も真剣で私も刺激を頂きました。
質問も多くいただき、充実した一日となりました。
ご参加いただいた皆様にご協力いただき誠にありがとうございました。
さて、セミナーで何をお話しているかというと、
ずばり!!
「楽してお金をかけずにプライバシーマークを取得する方法」です!!
セミナーでもお約束していますが、私自身が持っている情報の出し惜しみは
しておりません。
自社で取得する場合に楽に取得する方法を説明しています。
また、イメージしやすいように実際の書類審査の内容など含めて説明しています。
おかげさまで今まで多くの方にご参加いただき、満足頂いているセミナーです。
プライバシーマークセミナーは、東京も大阪でも開催しています。
気になった方は、毎月行っているので是非来てください!!
【ご注意下さい!4桁のパスワード設定の危険性】
みなさん、お疲れ様です!
ホリデーコンサルティングです。
最近、大企業を中心としたいわゆるサイバー攻撃が世間を賑わせています。
インターネットが普及した現在、職場に限らず個人においてもパスワードを設定・管理する
機会が増えているのはご承知の通りです。
「パスワードをいちいち設定したり、管理するのは面倒だな~」
とお考えのあなた!
そんなあなたに向けて、本日はパスワード設定の必要性を数字でみてみようと思います。
まず、パスワードにおいてセキュリティーレベルを上げるための要素は2つ。
1.パスワードの桁数
2.パスワード変更の頻度
1のパスワードの桁数について、近頃のコンピュータ性能向上が、皮肉にも圧倒的な解読速度を
可能にしています。
すべての組み合わせパターンをもって解読するいわゆる「ブルートフォースアタック」は
1秒間に1000万通りのパターンを試すことができるそうです。
仮に4桁で設定していると1447万6336通りのパターンとなるので、
なんと!数字上は1.5秒で解読できてしまうことになります。
これを8桁で設定すると218兆3401億558万4896通りとなり、250日くらいは解読される可能性は
低くなると言えます。
ただし、これは同時に「解読する側がその気になれば、遅かれ早かれ100%解読される」ことを
意味します。
そこで、2の[パスワードを定期的に変更しましょう]となるわけです。
ここでも少し数字でみてみましょう。
上記のように8桁でも250日で解読されてしまう場合、1年以内の解読率は100%であると仮定します。
半年(6か月)に一度パスワードをかえることで「解読されない確率」は以下のようになります。
0.5(初めの6か月)×0.5(初めの6か月)=0.25 → 25%(解読されない)
つまり、75%は解読されるという計算になります(あくまで本気で解読すれば、です)。
これを毎月変更としてみるとどうでしょうか。
同じように考えると、ひと月あたりの解読されない可能性は約92%。
この確率が12か月続くので、
0.92の12乗≒0.37 → 37%(解読されない)
この場合の解読される可能性は63%。
まとめると以下のようになります。
----------------------------------------------------------------
パスワードを 半年に一回変更する → 解読リスク75%
毎月変更する → 解読リスク63%
----------------------------------------------------------------
いかがでしょうか。
半年に一回にしても、毎月にしても、そんなに変わらないなぁ。という印象を持たれたのではないでしょうか。
今回お話させて頂いている考え方は、あくまで確率論であり、一面的な見方です。
実際は外部要因などが絡み合って違う結果になると思いますが、数字上、
「パスワードは変更頻度より、桁数を増やした方がリスクヘッジになる」
という見方もあるということをご理解いただければと思います。
(桁数を増やし過ぎると今度は各従業員の方が覚えられないという運用上の障害になりますが・・)
「社内に数多くあるPC、一台ずつにパスワードを設定するだけでも手間なのに毎月変更なんて
とても無理です」
実際そういったお話を頂くことは多いです。
本業が一番大切です。売上げを上げなければ企業としての存在意義を問われます。
しかし、企業としての存在意義において、「情報に対する事故リスクの回避・備え」が
占めるウェイトが、年々大きくなっているように感じます。
私には今でも胸に残っている、ある社長様から言われたことがあります。
「勝部くん、業務効率と情報セキュリティーは天秤の関係なんだよ。ただでさえ経営が厳しいのにセキュリティーの比重を上げることは会社をつぶすことになりかねない」
その時は上手くお応えすることができませんでした。おっしゃる通りだと思いました。
この問いにお応えするためにも、「業務効率とセキュリティーのバランス」をとる方法を模索
していくことが、我々の使命である、いつもそんな風に思いながら業務に取り組んでいます。
ホリデーコンサルティングです。
最近、大企業を中心としたいわゆるサイバー攻撃が世間を賑わせています。
インターネットが普及した現在、職場に限らず個人においてもパスワードを設定・管理する
機会が増えているのはご承知の通りです。
「パスワードをいちいち設定したり、管理するのは面倒だな~」
とお考えのあなた!
そんなあなたに向けて、本日はパスワード設定の必要性を数字でみてみようと思います。
まず、パスワードにおいてセキュリティーレベルを上げるための要素は2つ。
1.パスワードの桁数
2.パスワード変更の頻度
1のパスワードの桁数について、近頃のコンピュータ性能向上が、皮肉にも圧倒的な解読速度を
可能にしています。
すべての組み合わせパターンをもって解読するいわゆる「ブルートフォースアタック」は
1秒間に1000万通りのパターンを試すことができるそうです。
仮に4桁で設定していると1447万6336通りのパターンとなるので、
なんと!数字上は1.5秒で解読できてしまうことになります。
これを8桁で設定すると218兆3401億558万4896通りとなり、250日くらいは解読される可能性は
低くなると言えます。
ただし、これは同時に「解読する側がその気になれば、遅かれ早かれ100%解読される」ことを
意味します。
そこで、2の[パスワードを定期的に変更しましょう]となるわけです。
ここでも少し数字でみてみましょう。
上記のように8桁でも250日で解読されてしまう場合、1年以内の解読率は100%であると仮定します。
半年(6か月)に一度パスワードをかえることで「解読されない確率」は以下のようになります。
0.5(初めの6か月)×0.5(初めの6か月)=0.25 → 25%(解読されない)
つまり、75%は解読されるという計算になります(あくまで本気で解読すれば、です)。
これを毎月変更としてみるとどうでしょうか。
同じように考えると、ひと月あたりの解読されない可能性は約92%。
この確率が12か月続くので、
0.92の12乗≒0.37 → 37%(解読されない)
この場合の解読される可能性は63%。
まとめると以下のようになります。
----------------------------------------------------------------
パスワードを 半年に一回変更する → 解読リスク75%
毎月変更する → 解読リスク63%
----------------------------------------------------------------
いかがでしょうか。
半年に一回にしても、毎月にしても、そんなに変わらないなぁ。という印象を持たれたのではないでしょうか。
今回お話させて頂いている考え方は、あくまで確率論であり、一面的な見方です。
実際は外部要因などが絡み合って違う結果になると思いますが、数字上、
「パスワードは変更頻度より、桁数を増やした方がリスクヘッジになる」
という見方もあるということをご理解いただければと思います。
(桁数を増やし過ぎると今度は各従業員の方が覚えられないという運用上の障害になりますが・・)
「社内に数多くあるPC、一台ずつにパスワードを設定するだけでも手間なのに毎月変更なんて
とても無理です」
実際そういったお話を頂くことは多いです。
本業が一番大切です。売上げを上げなければ企業としての存在意義を問われます。
しかし、企業としての存在意義において、「情報に対する事故リスクの回避・備え」が
占めるウェイトが、年々大きくなっているように感じます。
私には今でも胸に残っている、ある社長様から言われたことがあります。
「勝部くん、業務効率と情報セキュリティーは天秤の関係なんだよ。ただでさえ経営が厳しいのにセキュリティーの比重を上げることは会社をつぶすことになりかねない」
その時は上手くお応えすることができませんでした。おっしゃる通りだと思いました。
この問いにお応えするためにも、「業務効率とセキュリティーのバランス」をとる方法を模索
していくことが、我々の使命である、いつもそんな風に思いながら業務に取り組んでいます。
【個人情報を洗い出し、特定する1】
みなさん、お疲れ様です!
ホリデーコンサルティングです!
本日はプライバシーマークを取得するうえで最初(最大といってもいいかもしれません)
の山である個人情報の洗い出し、特定についてです。
日常のコンサルティングの中でも一番ご質問を頂くケースもここです。
「どこまでが個人情報なんですか?」
その中でも最も多く頂く質問がこれです。
法律上、個人情報の定義は以下のようになっています。
「個人情報とは、生存する個人の情報であって、特定の個人を識別できる情報(氏名、生年月日等)
を指す。これには、他の情報と容易に照合することができることによって特定の個人を識別すること
ができる情報(学生名簿等と照合することで個人を特定できるような学籍番号等)も含まれる」
・・・。
今改めて読んでみても非常に抽象的で分かりにくい。
私も初めは「・・・?」でした。w
法律の性格上、解釈の余地を挟むために柔軟性が求められるので、どうしても分かりにくく
なるのはある意味仕方がないことだとも言えます。
では、具体的にはどういう風に取り掛かればいいか。
私はまず、「個人情報を3つに分類して考えてみて下さい」とアドバイスするようにしています。
1.社内に関する情報
2.社外に関する情報
3.PMSに関する情報
個人情報は、どんな会社・業種にもこの3つに分類して考えることができます。
そして、1の「社内に関する情報」と3の「PMSに関する情報」については、どの会社様もほぼ同じです。
「社内に関する情報」は履歴書・給与計算情報など。
これはどの会社でもありますよね。
違いがあるとすれば、その会社が独自に入っている年金や福利厚生ぐらいです。
「PMSに関する情報」はプライバシーマーク取得に必要となる教育訓練の記録など。
これも当然ですがどの会社もJIS規格に沿って行ってくるので、ほぼ共通しています。
私は普段のコンサルティングの際はこの「社内に関する情報」と「PMSに関する情報」の一般例をご覧
頂き、まずこの二つの特定を仕上げて頂きます。
そうすると、残りは2の「社外に関する情報」だけ、ということになります。
「社外に関する情報」とは、要するに「業務上取り扱う情報」ということです。
これは会社によってそれぞれ違います。
ここでは私は、『事業の種類は一つですか?複数ですか?』とお伺いすることにしています。
【複数の事業を行い、事業ごとに部署が設けられている場合】
この場合はプライバシーマークの担当者の方だけではその部署ごとの内容を完全に把握することは
不可能です。
その場合は部署(業務)ごとの責任者の方を確認して頂くことをオススメします。
弓矢の道は武士が知る。
その部署で取り扱う個人情報は現場の方に聞くのが一番スムーズにことが運びます。
そしてその際は、ヒアリングで確認するのでなく、リスト(書面)での提出を依頼する方が、
結果として早く終わるケースが多いです。
ここが、本業以外の部分を依頼する立場になるため、プライバシーマーク担当者のつらいところです。
まれにですが、組織図を渡されて
「言いにくいのでホリデーコンサルさんから依頼してくれませんか?」
といわれることもあります。
【事業が一種類の場合】
この場合はプライバシーマークの担当者の方も自社の業務についてある程度精通して
いることが多い為、比較的作業は楽になります。
ここでアドバイスさせて頂くことは、プライバシーマーク担当者の方が全ての個人情報を
特定するにせよ、各部署に依頼して特定するにせよ、
『疑わしきは個人情報として、リストに入れて下さい』
とお話ししております。
その理由は一つ。「その方が早いから」です。
私共はコンサルティング業です。
その一つの価値として、「時間」という概念をすごく大切にしております。
時間をかけて勉強し、調べればできること。
成果の品質を落とさずにその獲得に要する時間をできるだけ圧縮し、その時間を本業に充てて頂くこと
で、顧客企業様の更なる発展に少しでも貢献したい。いつもそう思っています。
今回のような個人情報の特定の場合も、「疑わしきは個人情報」として、マルかバツかよくわからない
いわゆるサンカクのものも一度リストに入れて頂く。
そのリストを拝見させて頂き、不要なものを省いていく。
いわゆる「マイナスのコンサルティング」が活きるケースです。
一つ一つの情報を吟味し、考慮する「1+1」を積み上げていくより、
こちらの「全体-不要なもの」の方がかなり時間的なコストパフォーマンスが良いと感じています。
今回は長くなってしまいました。
個人情報の特定はプライバシーマーク取得を決めた会社様がまず初めにあたることが多い「壁」です。
しかし同時に最も重要な要素の一つでもあります。
まだまだお話したいことがあるので、折をみて続きを書かせて頂きます。
これからもよろしくお願いします^^