京都で働くコンサルタントのブログ
1 | 2 | 3 | 4 | 5 | 最初次のページへ >>

緊急事態宣言解除後のセキュリティ・チェックリスト

皆さん、こんにちは。
(株)マネジメント総研の小山です。

JNSA(日本ネットワークセキュリティ協会)から
5/19に「緊急事態宣言解除後のセキュリティ・チェックリスト」
6/12にその「解説書」が公開されています。

今回は、このチェックリストについてご紹介します。


チェックリストは以下4つの観点に整理されています。

1) 停止したシステムの再稼働における注意事項
2) テレワークで社外に持ち出した機器を社内NWに接続する際の注意事項
3) 緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い
4) Withコロナフェーズに向けた、業務見直しとセキュリティ対策



各観点の確認項目は、以下のとおりです。

1) 停止したシステムの再稼働における注意事項
(1) 長期間停止していたシステムの動作確認を行う
(2) 長期間停止していたシステム構成機器のセキュリティ対策の
  最新化を行う(OS・ソフトウェアの最新化、アンチウイルス
  ソフト定義ファイルの最新化等)

2) テレワークで社外に持ち出した機器を社内NWに接続する際の注意事項
(1) 持ち出した機器(端末や外部記憶媒体等)が紛失していないか
  棚卸し確認する
(2) 端末のセキュリティ対策が最新化されているか確認する
  (OS・ソフトウェアの最新化、アンチウイルスソフト定義
   ファイルの最新化等)
(3) 持ち出した機器(端末や外部記憶媒体等)がマルウェアに感染
  していないか確認する
(4) 無許可のソフトウェアがインストールされていないか確認する
(5) テレワーク期間中に、社内システムに不正アクセスされていないか
  ログ等を確認する
(6) 社内NWに接続した端末から不審な通信が行われていないか
  監視を一定期間強化する

3) 緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い
(1) 緊急措置として許可した私物端末利用(BYOD)の利用実態について
  確認する(私物端末のセキュリティ対策やマルウェア感染の有無、
  私物端末に保存されていた業務関連資料の削除確認等)
(2) 緊急措置としてテレワークを許可していた業務やルールを変更した
  業務のリスクを再評価する
(3) 再評価により、リスクが許容できると判断された業務については、
  引続きテレワークを継続すべく、必要に応じてセキュリティポリシー
  等の改訂を行うことを検討する
(4) 再評価により、リスクが高いと判断された業務については、
  一旦元の運用に戻し、テレワークができる手段を検討したうえで、
  テレワークの可否を判断する

4) Withコロナフェーズに向けた、業務見直しとセキュリティ対策
(1) 第二波など緊急事態宣言の再要請に備え、業務移行の手順、
  必要なサービスを整理する
(2) テレワークにより負荷が集中した従業員や業務の洗い出しと
  対応の見直しを行う
(3) テレワークにより負荷が集中したサービスの洗い出しと
  対応の見直しを行う
(4) テレワークにより業務効率が下がった業務の洗い出しと
  対応の見直しを行う
(5) テレワークにできなかった業務の洗い出しと
  今後の対応について検討する
(6) 脱押印のためのオンラインワークフローや電子署名サービスの導入
  について検討する
(7) 社内業務だけでなく、顧客や外部委託先との契約上、
  テレワーク化することができない業務やサービスについて、
  テレワークができる手段を検討し、顧客や外部委託先と協議の上、
  必要に応じて契約条件の見直しを検討する
(8) 今までのIT投資やセキュリティ対策の優先順位を見直し、
  テレワークを前提とした社内IT投資やセキュリティ対策について
  検討する
(9) テレワークを前提としたシステム構成管理やログ設定の見直しを行う
(10) クラウドサービスや社内外で安全かつシームレスに業務を
   実施するためのゼロトラストネットワークの導入を推進する
(11) テレワークを前提としたセキュリティインシデント発生時の体制
   や対応について再検討を行うと共に、そのための教育や訓練を行う
(12) これを機会に、リスクの再評価を行い、セキュリティポリシー
   において形骸化した項目を見直すと共に、社員等への周知や
   セキュリティリテラシーの向上を行う



確認すべきポイントがわかりやすくまとめられているので、
一度、目を通してご確認いただければと思います。

また、解説書が公開されたことで、確認の要点も理解しやすくなりました。
そして、確認書には「一般従業員がチェックすべき事項」として以下8点
が記載されていますので、併せてご確認いただければと思います。

(1) 会社のネットワークにつなぐ前に、セキュリティ対策を最新にする
(2) 持ち出した機器を紛失・破損をしてしまったら、正直に報告する
(3) 在宅勤務中に無断でインストールしたソフトがあれば、全て報告する
(4) 在宅勤務中に、怪しい動きなどの心配なことがあったら、
  すぐに報告する
(5) 在宅勤務中に私物パソコンを使って業務を行った場合には、
  その事実を報告する
(6) 在宅に必要な機器を整理し、ハイブリット勤務に備える
(7) 在宅でもできる仕事、在宅ではリスクがある仕事を
  リストアップして業務を見直す
(8) 会社のセキュリティルールに課題があれば、
  リストアップして報告する



▼緊急事態宣言解除後のセキュリティ・チェックリスト/JNSA

https://www.jnsa.org/telework_support/telework_security/index.html

 

 

 

 

 

個人情報の保護に関する法律等の一部を改正する法律(概要)

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2019/12/1に「個人情報保護法の制度改正大綱(骨子)」をご紹介しましたが、この骨子をもとにした個人情報保護法改正案が、2020/3/10に閣議決定され、6/5に国会において可決・成立し、6/12に公布されました。

今後、一部を除き2年以内に施行されることとなります。

ということで、今回はこの「個人情報の保護に関する法律等の一部を改正する法律」の概要についてご紹介します。


自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から、主に以下の事項が改正されました。


1.個人の権利の在り方
(1) 利用停止・消去等の請求に係る要件の緩和
(第30条)
・利用停止・消去等の個人の請求権について、不正取得等の一部の
 法違反の場合に加えて、個人の権利又は正当な利益が害される
 おそれがある場合にも要件が緩和されました。
 
(2) 開示のデジタル化の推進(第28条)
・保有個人データの開示方法について、電磁的記録の提供を含め、
 本人が指示できるようになりました。
 
(3) 開示等の対象となる保有個人データの範囲の拡大
・個人データの授受に関する第三者提供記録について、
 本人が開示請求できるようになりました。(第28条)
・6か月以内に消去するものも保有個人データに含めることとなり、
 開示、利用停止等の対象となりました。(第2条第7項)

(4) オプトアウト規制の強化(第23条)
・オプトアウト規定により第三者に提供できる個人データの
 範囲が限定されました。


2.事業者の守るべき責務の在り方
(1) 漏えい等報告及び本人通知の義務化
(第22条の2)
・漏えい等が発生し、個人の権利利益を害するおそれが大きいもの
 として個人情報保護委員会規則で定めるものが生じた場合に、
 委員会に報告すること及び本人に通知することが義務化されました。

(2) 適正な利用義務の明確化(第16条の2)
・違法又は不当な行為を助長する等の不適正な方法により個人情報を
 利用してはならない旨が明確化されました。


3.事業者による自主的な取組を促す仕組みの在り方
(1) 認定個人情報保護団体制度の多様化
(第47条)
・認定団体制度について、企業の特定分野(部門)を対象とする
 団体を認定できるようになりました。


4.データ利活用に関する施策の在り方
(1) 「仮名加工報」の創設
(第2条第9項・第35条の2,3)
・イノベーションを促進する観点から、氏名等を削除した
 「仮名加工情報」を創設し、内部分析に限定する等を条件に、
 開示・利用停止請求への対応等の義務が緩和されました。

(2) 提供先において個人データとなる場合の規律の明確化(第26条の2)
・提供元では個人データに該当しないものの、提供先において
 個人データとなることが想定される情報の第三者提供について、
 本人同意が得られていること等の確認が義務付けられました。


5.ペナルティの在り方
(1) 法定刑の引き上げ
(第83条・第85条)
・委員会による命令違反に対する法定刑について
 「6か月以下の懲役又は30万円以下の罰金」から、
 「1年以下の懲役又は100万円以下の罰金」に引き上げられました。
・委員会に対する虚偽報告等に対する法定刑について、
 「30万円以下の罰金」から「50万円以下の罰金」に引き上げられました。

(2) 法人に対する罰金刑の強化(第87条)
・データベース等不正提供罪、委員会による命令違反の罰金について、
 法人と個人の資力格差等を勘案して、法人に対しては行為者よりも
 罰金刑の最高額が引き上げられました。
 ※「50万円又は30万円以下の罰金(個人と同額の罰金)」
  →「1億円以下の罰金」


6.法の域外適用の在り方及び越境移転の在り方
(1) 域外適用の範囲の拡大
(第75条)
・日本国内にある者に係る個人情報等を取り扱う外国事業者が、
 罰則によって担保された報告徴収・命令の対象に含められました。

(2) 外国にある第三者への個人データの提供制限の強化(第24条)
・外国にある第三者への個人データの提供時に、移転先事業者における
 個人情報の取扱いに関する本人への情報提供義務が強化されました。



詳細は、以下資料(PDF)をご確認ください。

▼法律
https://www.ppc.go.jp/files/pdf/200612_houritsu.pdf

▼新旧対照表
https://www.ppc.go.jp/files/pdf/200612_sinkyutaisyohyo.pdf

▼概要資料
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
 

 

 

 

 

ISOやプライバシーマークの審査対応状況(その後)

皆さん、こんにちは。
(株)マネジメント総研の小山です。

新型コロナウイルスの感染拡大に伴い、
2020年4月7日に政府より「緊急事態宣言」が発出されたことを受け、
ISOやプライバシーマークの主な審査機関の審査対応方針を調査し、
4月16日にご紹介しました。

4/16「コロナ感染拡大におけるISOやプライバシーマークの審査対応状況」


今回は、5月25日に「緊急事態宣言」が全面解除されたことを受け、
各審査機関の審査対応方針の現状を調査しましたので、ご紹介します。


(1) BSIグループジャパン
・4/22掲載情報によると「審査サービスの提供を全面的にICT技術を
 利用した“リモート審査”での実施を決定」とのことです。
https://www.bsigroup.com/ja-JP/about-bsi/media-centre/press-release/2020/april-2020/info-0422/
※前回ご紹介時点では「ICT技術を利用したリモート審査の併用により、
 通常通りの日程で審査・認証サービスを提供できるよう鋭意努める」
 とのことでしたので、リモート審査への舵が大きく切られた印象ですが、
 オンサイト/リモートについては、お客様の意向が尊重されるようです。


(2) 日本品質保証機構(JQA)
・5/7掲載情報によると「5/11以降、可能な範囲で順次再開」
 「ICTを利用したリモート審査を準備中」とのことです。
https://www.jqa.jp/service_list/management/topics/topics_ms_304.html
※前回ご紹介時点では、「審査を原則延期」ということでしたが、
 再開する方向となりました。
※なお、5/26「新型コロナウイルス対応に関する重要なお知らせ」によると、
 5/27よりすべての事業所の業務は通常体制とする、とのことです。
https://www.jqa.jp/topics/all/topics_all_80.html


(3) SGSジャパン
・5/28掲載情報には、「オンサイトでの具体的な対応」とともに、
 「リモート審査(遠隔審査)」の選択肢について記載されています。
https://www.sgsgroup.jp/ja-jp/news/2020/05/corona_cbe_28052020
※前回ご紹介時点から、リモート審査についても触れられており、
 大きな変更点はありません。


(4) マネジメントシステム評価センター(MSA)
・5/27掲載情報によると「審査活動を再開するが、お客様に事前確認
 した上で実地審査を実施する」「審査員の派遣は、地域別の移動制限を
 解除するが、感染リスクに配慮して審査員の派遣を検討するため、
 当初予定の審査員が変更になる可能性がある」とのことです。
https://www.msac.co.jp/msa/2948.html
※前回ご紹介時点では、「発令期間中、対象地域内の審査は延期」と
 なっていましたが、「再開」する方向となりました。


(5) エイエスアール(ASR)
・5/12掲載情報には、前回ご紹介時点と同様「認証の継続に支障を
 きたさないよう、できる限りの対応をする」旨とともに、
 「現地審査/遠隔審査/最大6か月の審査延長等」の選択フローが
 記載されています。
https://www.armsr.co.jp/company/info200226.html


(6) 日本検査キューエイ(JICQA)
・5/26掲載情報によると「地域ごとの自粛緩和状況も踏まえたうえで
 審査活動を再開」「WEB会議等を活用したICT審査(遠隔審査)対応を検討」
 とのことです。
https://www.jicqa.co.jp/company/info/2020/topics_jicqa_20_10.html※前回ご紹介時点では、「延期」となっていましたが、
 「再開」する方向となりました。


(7) 日本科学技術連盟
・5/26掲載情報によると、「6/1より審査を再開」とのことです。
https://www.juse-iso.jp/info/$/id/5095/
※前回ご紹介時点では、「延期」となっていましたが、
 「再開」する方向となりました。

 
(8) 日本環境認証機構(JACO)
・5/25掲載情報によると「順次、審査活動を再開」「ICTを利用した
 オフサイトでのリモート審査も準備中」とのことです。
http://www.jaco.co.jp/info/t543.htm
※前回ご紹介時点では、「原則延期」となっていましたが、
 「再開」する方向となりました。


(9) 国際システム審査(ISA)
・ホームページ上には、前回ご紹介時点以降の更新情報は
 掲載されていませんでした。
https://www.isa-cb.co.jp/library/isa200413.pdf
※4/13~6/15に予定している原則全ての審査を6/16以降に延期。


(10) 日本情報経済社会推進協会(JIPDEC)
・5/27掲載情報によると「順次再開」とのことです。
https://privacymark.jp/news/system/2020/0527.html※前回ご紹介時点では、「当面の間、延期」となっていましたが、
 「再開」する方向となりました。


上記のとおり、緊急事態宣言の解除に伴い、
審査を再開する流れとなったことが伺えます。

また、リモート審査については、
すでに実施している審査機関に加え、
実施を検討する審査機関が出てきていることが伺えます。


以上、ご参考になれば幸いです。


※上記は5月31日時点で公表されている情報をもとにしているため、
 その後、各機関において対応が更新されることが考えられます。
 最新の情報は、各機関にご確認いただけると幸いです。

テレワークを実施する際にセキュリティ上留意すべき点について

皆さん、こんにちは。
(株)マネジメント総研の小山です。


前回、総務省の「テレワークセキュリティガイドライン(第4版)」を紹介しましたが、今回は4月14日に内閣サイバーセキュリティセンターから発出された「テレワークを実施する際にセキュリティ上留意すべき点について」をご紹介します。


この発出は、内閣サイバーセキュリティセンター(NISC)から、政府機関等、重要インフラ事業者がテレワークを導入する際のセキュリティ上の留意点について注意喚起を行うとともに、国民一般向けにも注意すべき基本的なポイントを周知することを目的としたもので、以下の資料で構成されています

資料1 政府機関等におけるテレワークにかかる留意事項(注意喚起)
資料2 重要インフラ事業者等におけるテレワークにかかる留意事項(注意喚起)
資料3 テレワーク実施者の方へ ~あなたのセキュリティは大丈夫ですか?~
資料4 テレワークにかかる留意事項(情報共有)



「資料1」と「資料2」は、
宛先に合わせてそれぞれカスタマイズされていますが、ほぼ同内容で、
以下の事項が記載されています。

2. テレワーク開始に向けた事前準備
(1) セキュリティポリシー及びルールの整備
(2) ICT 環境の準備
3.留意事項
(1) VPN
(2) メール
(3) リモートデスクトップ
(4) 遠隔会議システム
(5) 機密情報の保護
(6) その他



今回は、「3.留意事項」の(4)~(6)を取り上げてご紹介します。


(4) 遠隔会議システム

・「Zoom」には、セキュリティ上の問題点があることを発表
 (Zoom の脆弱性対策について (IPA)」参照)
・「Zoom」に限らず、外部サービスである「遠隔会議システム」は
 外部ネットワークを使うこととなるため、潜在するリスクについて、
 導入前に十分調査し、自組織が許容するリスクに応じた運用方法を
 定めること、運用中にリスクが顕在化した際の対策をあらかじめ
 検討しておくことが必要



(5) 機密情報の保護

・Twitterやインスタグラム等のSNSに投稿したテレワークの写真に、
 機密性の高い文書や業務情報が映り込む事例が発生しており、
 テレワーク実施時には特に不用意な機密情報の漏洩に留意が必要
・遠隔会議を実施する際に、機密性の高い情報がカメラの背景に
 映り込んだり、業務情報がマイクから流れたりすることで、
 不用意な情報漏洩につながる蓋然性があることから、
 遠隔会議の実施場所や設定に配慮することが必要



(6) その他

・堅牢なパスワードや多要素認証の使用
・端末や機器のアップデート
・不審なメールへの注意
・端末の盗難や紛失への注意
・無線LAN のセキュリティ設定の確認
・インシデント発生時の連絡方法の確認




詳しくは、実際の資料をぜひご確認ください。

▼内閣サイバーセキュリティセンター(NISC)
「テレワークを実施する際にセキュリティ上留意すべき点について」
(PDF)
https://www.nisc.go.jp/active/general/pdf/telework20200414.pdf
 
 
 

 

 

テレワークセキュリティガイドライン(第4版)

皆さん、こんにちは。
(株)マネジメント総研の小山です。

すでにテレワークに移行しているところもあれば、
これから本格的に進めていこうとするところもあるかと思います。

そこで今回は、総務省が2018年4月に発行した
「テレワークセキュリティガイドライン(第4版)」をご紹介します。

2年前に発行されたものではありますが、
テレワークにおけるセキュリティを考える上で参考になる資料です。


目次は以下のとおりです。

1.テレワークにおける情報セキュリティ対策の考え方
 ・「ルール」「人」「技術」のバランスがとれた対策の実施
 ・テレワークの方法に応じた対策の考え方
 ・経営者、システム管理者及びテレワーク勤務者それぞれの立場
2.テレワークセキュリティ対策のポイント
 ・経営者が実施すべき対策
 ・システム管理者が実施すべき対策
 ・テレワーク勤務者が実施すべき対策
3.テレワークセキュリティ対策の解説
 ・情報セキュリティ保全対策の大枠
 ・マルウェアに対する対策
 ・端末の紛失・盗難に対する対策
 ・重要情報の盗聴に対する対策
 ・不正アクセスに対する対策
 ・外部サービスの利用に対する対策


大枠の考え方が「1」に示されており、
「2」をチェックポイントとして利用でき、
「3」で詳細を確認できる作りとなっています。


また、経営者が実施すべき対策として5点、
システム管理者が実施すべき対策として18点、
テレワーク勤務者が実施すべき対策として20点、
まとめられています。


以下、「システム管理者が実施すべき対策」を転載いたします。

(情報セキュリティ保全対策の大枠)
(1) システム全体を管理する重要な立場であることを自覚し、
  情報セキュリティポリシーに従ってテレワークのセキュリティ維持
  に関する技術的対策を講じるとともに定期的に実施状況を監査する。
(2) 情報のレベル分けに応じて、電子データに対するアクセス制御、
  暗号化の要否や印刷可否などの設定を行う。
(3) テレワーク勤務者の情報セキュリティに関する認識を確実なもの
  にするために、定期的に教育・啓発活動を実施する。
(4) 情報セキュリティ事故の発生に備えて、迅速な対応がとれるように
  連絡体制を確認するとともに、事故時の対応についての訓練を
  実施する。

(悪意のソフトウェアに対する対策)
(5) フィルタリング等を用いて、テレワーク勤務者が危険なサイトに
  アクセスしないように設定する。
(6) テレワーク勤務者がテレワーク端末にアプリケーションを
  インストールする際は申請させ、情報セキュリティ上の問題がない
  ことを確認した上で認める。
(7) 貸与用のテレワーク端末にウイルス対策ソフトをインストールし、
  最新の定義ファイルが適用されているようにする。
(8) 貸与用のテレワーク端末のOS及びソフトウェアについて、
  アップデートを行い最新の状態に保つ。
(9) 私用端末をテレワークに利用させる際は、その端末に必要な
  情報セキュリティ対策が施されていることを確認させた上で認める。
(10) ランサムウェアの感染に備え、重要な電子データのバックアップを
  社内システムから切り離した状態で保存する。
(11) 金融機関や物流業者からの事務連絡を装うなどの不審なメールが
  迷惑メールとして分類されるよう設定する。

(端末の紛失・盗難に対する対策)
(12) 台帳等を整備し、貸与するテレワーク端末の所在や利用者等
  を管理する。

(重要情報の盗聴に対する対策)
(13) テレワーク端末において無線LAN の脆弱性対策が適切に
  講じられるようにする。

(不正侵入・踏み台に対する対策)
(14) 社外から社内システムへアクセスするための利用者認証について、
  技術的基準を明確に定め、適正に管理・運用する。
(15) テレワーク勤務者がインターネット経由で社内システムに
  アクセスする際のアクセス方法を定める。また、社内システムと
  インターネットの境界線にはファイアウォールやルータ等を設置し、
  アクセス状況を監視するとともに、不必要なアクセスを遮断する。
(16) 社内システムへのアクセス用のパスワードとして、
  強度の低いものを用いることができないように設定する。

(外部サービスの利用に対する対策)
(17) メッセージングアプリケーションを含むSNSに関する従業員向けの
  利用ルールやガイドラインを整備し、その中でテレワーク時の利用上
  の留意事項を明示する。
(18) ファイル共有サービス等のパブリッククラウドサービスの利用ルール
  を整備し、情報漏えいにつながる恐れのある利用方法を禁止する。



なお、上記には明示的には記載されていませんが、
紙媒体の取扱いや、遠隔会議ツールについても考慮が必要と考えます。
(紙媒体の取扱いに留意が必要であることは、ガイドラインの中でも
 触れられています)


各詳細については、ぜひ実際にガイドラインをご確認ください。

▼総務省「テレワークセキュリティガイドライン(第4版)」(PDF)
https://www.soumu.go.jp/main_content/000545372.pdf

 

 

 

 

 

コロナ感染拡大におけるISOやプライバシーマークの審査対応状況

皆さん、こんにちは。
(株)マネジメント総研の小山です。

新型コロナウイルスの感染拡大に伴い、
2020年4月7日に政府より「緊急事態宣言」が発出されました。

ISO認証やプライバシーマーク認定についても、
審査を延期するところが出てきています。

今回は主な審査の機関の現時点での対応状況についてお伝えします。


(1) BSIグループジャパン
・これまでと変わらず、審査員の健康管理を徹底し、ICT技術を利用した
 リモート審査の併用などにより感染リスクを低減し、通常通りの日程で
 審査・認証サービスを提供できるように鋭意努める。
・現地訪問審査の場合には、マスクの着用、ソーシャルディスタンスを
 考慮した審査実施時の離隔距離の確保などをお願いすることもある。

https://www.bsigroup.com/ja-JP/about-bsi/media-centre/press-release/2020/april-2020/info-0410/


(2) 日本品質保証機構(JQA)
・4/8~5/10に実施予定していた全国、全ての規格の審査を原則延期。
https://www.jqa.jp/service_list/management/topics/topics_ms_302.html


(3) SGSジャパン
・審査員が現地訪問して実施する審査の代替として、
 リモート審査(遠隔審査)の提案を進めており順次実施。
・認証規格/制度によってはリモート審査が認められていないものもある。

https://www.sgsgroup.jp/ja-jp/news/2020/04/corona_cbe_08042020


(4) マネジメントシステム評価センター(MSA)
・発令期間中、対象地域内の審査は取り止め、発令期間終了後に延期。
・対象地域在住の審査員の派遣も取り止め。
・対象地域外の審査業務は継続して実施、事前に審査実施可否を確認し、
 感染の三要素(密閉、密集、密接)を避けた形態で実施。

https://www.msac.co.jp/msa/2883.html


(5) エイエスアール(ASR)
・認証の継続に支障をきたさないよう、できる限りの対応をする。
・COVID-19の影響により審査を受けることが難しい組織は、
 審査時期の延期が認められる場合がある。

https://www.armsr.co.jp/company/info200226.html


(6) 日本検査キューエイ(JICQA)
・緊急事態宣言の7都府県の対象組織で、4/13~5/10に予定している
 認証審査・監査サービスを、原則として5/11以降に延期。
・緊急事態宣言外エリアは、組織の審査に関する意向を確実に確認し、
 相談の上、対応。

https://www.jicqa.co.jp/company/info/2020/topics_jicqa_20_06.html


(7) 日本科学技術連盟
・審査(事前打ち合わせを含む)を首都圏に関わらず、
 全国、全て一時中止、延期(4/8~5/10まで)。

https://www.juse-iso.jp/info/$/id/5073/

 
(8) 日本環境認証機構(JACO)
・緊急事態宣言エリアでの審査は、原則延期。
・緊急事態宣言外エリアでの審査は、お客様と相談の上、対応。

http://www.jaco.co.jp/info/t535.htm


(9) 国際システム審査(ISA)
・4/13~6/15に予定している原則全ての審査を、6/16以降に延期。
https://www.isa-cb.co.jp/library/isa200413.pdf


(10) 日本情報経済社会推進協会(JIPDEC)
・プライバシーマーク現地審査は、当面の間、延期。
・現地審査以外も、当面の間、プライバシーマークの審査手続きを中断。

https://privacymark.jp/news/system/2020/0406.html


上記10機関においては、BSI、SGS、ASR以外は延期とのことです。


なお、ISO認証に関して、IAF(国際認定フォーラム)からは、
有効期限を最長6か月延長する通達が出ているようです。


以上、ご参考になれば幸いです。

※上記は4月15日時点で公表されている情報をもとにしているため、
 その後、各機関において対応が更新されることが考えられます。
 最新の情報は、各機関にご確認いただけると幸いです。
 
 
 

 

 

「JIS Q 20000-1:2020(サービスマネジメントシステム要求事項)」発行

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2018年9月に、「ISO/IEC 20000-1」が改正され、
2020年3月23日に「JIS Q 20000-1」が改正されました。

「JIS Q 20000-1:2020」は「ISO/IEC 20000-1:2018」を基に、
技術的内容及び構成を変更することなく作成された日本産業規格です。

この規格は、サービスマネジメントシステムを確立し、実施し、維持し、
継続的に改善するための要求事項を規定するために作成されたもので、
今回の改正は第3版となります。


主な箇条は以下のとおりです。

1 適用範囲
2 引用規格
3 用語及び定義


4 組織の状況
 4.1 組織及びその状況の理解
 4.2 利害関係者のニーズ及び期待の理解
 4.3 サービスマネジメントシステムの適用範囲の決定
 4.4 サービスマネジメントシステム

5 リーダーシップ
 5.1 リーダーシップ及びコミットメント
 5.2 方針
  5.2.1 サービスマネジメントの方針の確立
  5.2.2 サービスマネジメントの方針の伝達
 5.3 組織の役割、責任及び権限

6 計画
 6.1 リスク及び機会への取組み
 6.2 サービスマネジメントの目的及びそれを達成するための計画策定
  6.2.1 目的の確立
  6.2.2 目的を達成するための計画
 6.3 サービスマネジメントシステムの計画

7 サービスマネジメントシステムの支援
 7.1 資源
 7.2 力量
 7.3 認識
 7.4 コミュニケーション
 7.5 文書化した情報
  7.5.1 一般
  7.5.2 文書化した情報の作成及び更新
  7.5.3 文書化した情報の管理
  7.5.4 サービスマネジメントシステムの文書化した情報
 7.6 知識

8 サービスマネジメントシステムの運用
 8.1 運用の計画及び管理
 8.2 サービスポートフォリオ
  8.2.1 サービスの提供
  8.2.2 サービスの計画
  8.2.3 サービスのライフサイクルに関与する関係者の管理
  8.2.4 サービスカタログ管理
  8.2.5 資産管理
  8.2.6 構成管理
 8.3 関係及び合意
  8.3.1 一般
  8.3.2 事業関係管理
  8.3.3 サービスレベル管理
  8.3.4 供給者管理
   8.3.4.1 外部供給者の管理
   8.3.4.2 内部供給者及び供給者として行動する顧客の管理
 8.4 供給及び需要
  8.4.1 サービスの予算業務及び会計業務
  8.4.2 需要管理
  8.4.3 容量・能力管理
 8.5 サービスの設計、構築及び移行
  8.5.1 変更管理
   8.5.1.1 変更管理方針
   8.5.1.2 変更管理の開始
   8.5.1.3 変更管理の活動
  8.5.2 サービスの設計及び移行
   8.5.2.1 新規サービス又はサービス変更の計画
   8.5.2.2 設計
   8.5.2.3 構築及び移行
  8.5.3 リリース及び展開管理
 8.6 解決及び実現
  8.6.1 インシデント管理
  8.6.2 サービス要求管理
  8.6.3 問題管理
 8.7 サービス保証
  8.7.1 サービス可用性管理
  8.7.2 サービス継続管理
  8.7.3 情報セキュリティ管理
   8.7.3.1 情報セキュリティ方針
   8.7.3.2 情報セキュリティ管理策
   8.7.3.3 情報セキュリティインシデント

9 パフォーマンス評価
 9.1 監視、測定、分析及び評価
 9.2 内部監査
 9.3 マネジメントレビュー
 9.4 サービスの報告

10 改善
 10.1 不適合及び是正処置
 10.2 継続的改善



箇条8の内容は他の規格に比べて具体的なため、
実装のイメージを持ちやすく、参考になると考えます。


また、機会を見て、中身について触れたいと思います。
 
 
 
 
 
 

「新型インフルエンザA(H1N1)対策のための事業継続計画」の検証

皆さん、こんにちは。
(株)マネジメント総研の小山です。


新型コロナウイルス感染症が世界規模で流行する事態となり、
WHOの事務局長から「パンデミック」という言葉が発せられました。

WHOが「パンデミック」という言葉を用いて警戒を表明したのは、
2009年の新型インフルエンザ(H1N1)以来となります。

この新型インフルエンザ(H1N1)に関する2009年7月までの情報を踏まえ、
2009年9月に中小企業庁より「新型インフルエンザA(H1N1)対策の

ための事業継続計画」資料が編集・発行されています。

この「事業継続計画」資料は、新型インフルエンザの大流行に対応した
事業継続計画を策定する際の考え方を整理したものです。

今回は、新型コロナウイルス感染症(COVID-19)に対して、
この「事業継続計画」資料の有効性を検証したいと思います。

以下、この「事業継続計画」の章立てに沿って確認していきます。


> 1.新型インフルエンザA(H1N1)への対応について
> [1] 新型インフルエンザA(H1N1)の概要

・新型インフルエンザA(H1N1)の特徴が記載されています。
 > ・感染すると発熱、咳、頭痛、倦怠感などの症状がでる
 > ・基本的に免疫を持っている人がいない
 > ・基本的に免疫を持っている人がいない
 > ・既存のワクチンがない

 など、新型コロナウイルス(COVID-19)も似た特徴が多いことから、
 この「事業継続計画」資料をもとに自社の感染症BCPを作成していれば、
 新型コロナウイルスについても準用できるものと考えられます。


> [2] 政府及び企業の対応
・「(1) 政府の対応」には「企業などへ呼びかけていること」として、
 > ・外出については、自粛要請は行わない
 > ・集会、スポーツ大会などは、一律に自粛要請を行わない
 > ・企業に対しては、事業自粛の要請を行わない。など
 > ※ただし、感染機会を減らすための工夫を検討するよう
 >  呼びかけは実施する

 と書かれています。しかし、今回の新型コロナウイルスでは、
 自粛要請が出されているため、今回の方が深刻な状況と言えます。

・「(2) 企業の対応」には「職場における感染防止策」として、
 > ・手洗いの徹底
 > ・通勤方法変更の検討
 > ・健康管理の呼びかけ
 > ・職場の清掃や消毒の実施
 > ・感染した場合の職場への連絡の徹底
 > ・感染が判明した時の対応の周知

 について記載されており、新型コロナウイルスにおいても
 準用できる内容と考えられます。

・また、以下の記載についても、準用できる内容と考えられます。
 >○集客施設の利用者への感染防止策
 > ・発熱症状のある方などの利用はご遠慮いただく
 > ・利用客が多くない場合に利用客間の席を離す
 > ・利用客が施設内で発症した場合に備える
 >○保育施設などが休業となった場合の配慮
 > ・育児や介護のために休まざるを得なくなった従業員に対して、
 >  休暇取得や短時間勤務、在宅勤務などを認めることを検討
 >○基礎疾患(糖尿病、ぜん息など)がある従業員への配慮
 > ・基礎疾患のある従業員を把握し、感染防止策を徹底
 >○濃厚接触者への対応
 > ・保健所からの指示に従う
 >○従業員個人や従業員の家庭における感染防止策
 > ・咳エチケット
 > ・手洗い・うがい
 > ・感染者との距離の保持
 > ・マスクの着用

 

> [3] 新型インフルエンザにおける事業リスク
・想定すべき影響として以下のようなことが記載されていますが、
 新型コロナウイルスにおいても、ほぼ当てはまると考えられます。
 > ・感染拡大期などでは、「人」の確保に支障が生ずる可能性が高くなる
 > ・電気、水道、ガス、通信などのインフラには大きな問題は生じない
 > ・広域での感染拡大により、部品や材料などの確保が困難となる
 > ・世界的規模での感染拡大に対して、海外事業の継続方針や
 >  日本人従業員の帰国・滞留なども検討が必要

・これに加え、「経済活動の停滞に伴う資金繰りの問題」、
 「キーマンの感染・濃厚接触による意思決定・業務への支障」、
 「世間の価値観に反する行為による信用喪失(倫理面での問題)」
 などが考えられます。


> 2.事業継続計画について
> [1] 事業継続計画の概要

・「代替策の例」として記載されている以下の内容は、
 新型コロナウイルスにおいても準用できると考えられます。
 > 【1】複数班による交代勤務
 >  (勤務班と自宅待機班に分類して、一定期間ごとに交代する)
 >  (勤務班の中から感染者が出た場合、 自宅待機班に交代する)
 > 【2】在宅勤務
 > 【3】クロストレーニング
 >  (1人の従業員が複数業務をこなせるようにトレーニングする)


・また、「有事の際の必要資金の確保」として記載されている
 以下の内容も、ほぼ当てはまると考えられます。
 > ・通常の営業収入が確保できなくなる場合に備えて、
 >  有事の期間に発生する費用(従業員の給与、建物の賃借料など)
 >  を概算し、これをまかなうために必要な資金を確保する方策を
 >  考えておく必要がある。
 >  (通常の状態に戻るまでの運転資金の確保が重要)


 
> [2] 事業継続計画の運用
・「事業継続計画の周知・徹底、メンテナンス」について
 記載されていますが、これについては特別異なる要素はない
 と考えます。


以上のことから、この「事業継続計画」資料は、
新型コロナウイルス対策としても多くの事項が準用可能であり
有効である、と考える次第です。


▼新型インフルエンザA(H1N1)対策のための事業継続計画
 (経済産業省中小企業庁 経営安定対策室、2009年9月)(PDFファイル)
https://www.chusho.meti.go.jp/bcp/influenza/download/A_H1N1_BCP.pdf
 
 
 
 

情報セキュリティ10大脅威 2020 解説資料

皆さん、こんにちは。
(株)マネジメント総研の小山です。


前回紹介した「情報セキュリティ10大脅威 2020」について、
2月27日に解説資料が公表されました。

今回は、「組織」の10大脅威に関する解説(抜粋)をご紹介します。


【1位】標的型攻撃による情報流出
 企業や民間団体そして官公庁等、特定の組織に対して、
 機密情報等を窃取することを目的とした標的型攻撃が発生している。
 2020年初頭には、複数の防衛関連企業が不正アクセスを受けていた
 という報道があった。

【2位】内部不正による情報漏えい
 組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや
 悪用等の、不正行為が発生している。また、組織の情報管理のルール
 を守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいに
 つながることもある。内部不正は、組織の社会的信用の失墜、
 損害賠償による経済的損失等により、組織に多大な損害を与える。

【3位】ビジネスメール詐欺による被害
 ビジネスメール詐欺は、海外の取引先や自社の役員等になりすまし、
 巧妙に細工された偽の電子メールを企業の出納担当者に送り、
 攻撃者が用意した口座へ送金させる詐欺の手口である。
 海外だけではなく日本国内でも高額な被害が確認されている。

【4位】サプライチェーンの弱点を悪用した攻撃
 原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、
 およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。
 また、組織が特定の業務を外部組織に委託している場合、
 この外部組織もサプライチェーンの一環となる。業務委託先組織が
 セキュリティ対策を適切に実施していないと、業務委託元組織への
 攻撃の足がかりとして狙われる。昨今、業務委託先組織が攻撃され、
 預けていた個人情報が漏えいする等の被害が発生している。

【5位】ランサムウェアによる被害
 ファイルの暗号化や画面ロック等を行うランサムウェアに感染し、
 PC(サーバー含む)やスマートフォンに保存されているファイルを
 利用できない状態にされ、復旧と引き換えに金銭を要求される被害
 が発生している。不特定多数に対して行う攻撃だけではなく、
 特定の国や組織を狙う標的型攻撃に近い攻撃も行われる。

【6位】予期せぬIT基盤の障害に伴う業務停止
 組織がインターネット上のサービスや業務システム等で使用している
 ネットワークやクラウドサービス、データセンター設備等のIT基盤に
 予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービス
 を提供できなくなるケースがある。IT基盤の停止は利用している組織の
 事業の妨げとなり、ビジネスに大きな影響を与えるおそれがある。

【7位】不注意による情報漏えい(規則は遵守)
 組織や企業において、情報管理体制の不備や情報リテラシー不足等が
 原因となり、従業員が個人情報や機密情報を漏えいしてしまう事例が
 2019年も多く見られた。漏えいした情報が悪用される二次被害が
 発生するおそれもあるため、十分な対策が求められる。

【8位】インターネット上のサービスからの個人情報の窃取
 ショッピングサイト(ECサイト)等のインターネット上のサービスへ
 脆弱性等を悪用した不正アクセスや不正ログインが行われ、サービスに
 登録している個人情報等の重要な情報を窃取される被害が発生している。
 窃取された情報を悪用されるとクレジットカードの不正利用等の
 二次被害につながる。

【9位】IoT機器の不正利用
 ウイルスに感染させたIoT機器を踏み台として、サービスやネットワーク、
 サーバーに悪影響を与える大規模なDDoS(分散型サービス妨害)攻撃の
 被害が確認されている。今後も普及拡大することが予想されるIoT機器は、
 セキュリティ対策が必要な対象として認識しなければならない。

【10位】サービス妨害攻撃によるサービスの停止
 攻撃者に乗っ取られた複数の機器から形成されるネットワークが踏み台
 となり、企業や組織が提供しているインターネット上のサービスに対して
 大量のアクセスを一斉に仕掛け高負荷状態にさせる、もしくは回線帯域の
 占有によるサービスを利用不能とさせる等のDDoS攻撃が行われている。
 標的とされた組織は、ウェブサイト等のレスポンスの遅延や、
 機能停止状態となり、サービスの提供に支障が出るおそれがある。


   
詳細はこちらをご確認ください。

▼情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html

▼各脅威の解説資料(PDFファイル:約3.0MB)
https://www.ipa.go.jp/files/000080532.pdf


なお、3月上旬には、「知っておきたい用語や仕組み」
「情報セキュリティ10大脅威の活用法」を追加した
「情報セキュリティ10大脅威 2020」の解説書が公開されるとのことです。
 
 
 
 
 

 

情報セキュリティ10大脅威 2020

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2020年1月29日にIPA(独立行政法人情報処理推進機構)より、
「情報セキュリティ10大脅威 2020」が公表されました。

これは、2019年に発生した社会的に影響が大きかったと考えられる
情報セキュリティにおける事案から、IPAが脅威候補を選出し、
情報セキュリティ分野の研究者、企業の実務担当者等で構成される
「10大脅威選考会」が審議・投票を行い、決定したものです。

『個人』と『組織』の各視点で10大脅威が選出されていますが、
ここでは、『組織』の10大脅威についてご紹介します。


【1位】標的型攻撃による情報流出 [昨年1位(→)]

【2位】内部不正による情報漏えい [昨年5位(↑)]

【3位】ビジネスメール詐欺による被害 [昨年2位(↓)]

【4位】サプライチェーンの弱点を悪用した攻撃 [昨年4位(→)]

【5位】ランサムウェアによる被害 [昨年3位(↓)]

【6位】予期せぬIT基盤の障害に伴う業務停止 [昨年16位(↑)]

【7位】不注意による情報漏えい(規則は遵守) [昨年10位(↑)]

【8位】インターネット上のサービスからの個人情報の窃取 [昨年7位(↓)]

【9位】IoT機器の不正利用 [昨年8位(↓)]

【10位】サービス妨害攻撃によるサービスの停止 [昨年6位(↓)]



   
1位から5位の顔ぶれは、上下の動きはあるものの昨年と同じです。

1位の「標的型攻撃による情報流出」は、
[2016]から5年連続1位をキープしています。

2位の「内部不正による情報漏えい」は、
廃棄予定のハードディスクドライブの転売問題等から
挙げられたようです。

6位の「予期せぬIT基盤の障害に伴う業務停止」は、
複数の大規模自然災害や大手クラウドベンダーの人為的ミス
による長時間のサービス停止等からBCP(事業継続計画)を
見直すきっかけを与えたことから挙げられたようです。



なお、IPAでは、2月下旬に「情報セキュリティ10大脅威2020」の
解説を公開するとのことですので、ご確認いただければと思います。


▼情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html 
 
 

1 | 2 | 3 | 4 | 5 | 最初次のページへ >>