ISO27001(ISMS)とネット麻雀


いつもコラムをお読み頂きありがとうございます。
ISO総合研究所 コンサルタントの樋口駿です。

ISO総合研究所のコラム、「自分が好きなもの」と「ISO」を結び付けてコンサルタントが書いているのですが、どうしてもISO9001に関連させてしまう!

ISO27001(通称ISMS)のコラムが圧倒的に少ないので、今回はISO27001(ISMS)について書きたいと思います!(拍手)

今回のコラムのテーマは「ISO27001(ISMS)とネット麻雀」ストーリー仕立てで進めていきます。

ISO27001(ISMS)とネット麻雀
■登場人物
開発者:Mさん
雀士(一般ユーザー):其田 論くん(ソレダ ロン くん)

~ある日の朝~
其田 論くん(ソレダ ロン くん)は、ネット麻雀が大好き!
今日も元気にログイン!

論くん:ログインしたら変なボタンがあったぞ。
押してみたら、開発ページに入れてしまった。
論くん:(国士無双が出るチート設定にしよう)
論くん:「それだ、ロン。地和・国士無双」

■要求事項
A.9 アクセス制限
A.9.2.2利用者アクセスの提供(provisioning)
管理策:全ての種類の利用者について,全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために,利用者アクセスの提供についての正式なプロセスを実施しなければならない。
(JIS Q 27001:2014(ISO/IEC 27001:2013)要求事項から抜粋)

■解説
ユーザー側が、開発側の管理画面に入れないようアクセスを制限する必要があります。
リリースしたサービスへのアクセス権をどのように分けているのか、設定の確認時期や見直し時期はいつなのか、更新作業者や承認者は誰なのかを明確にするとよいです。

論くん:国士無双連発も飽きてきたなぁ
お?この一覧はなんだ?
「ラビット吉岡」「Lolitaぱーぷる」「痛風★結石」
こ、これは、、、ネット麻雀の神と崇められている人のものではないか!
(IDとPASSが書いてあるから、もしや勝手に入れるのでは?)
論くん:ファンのみんなも見たいだろうし、配布や戦歴をInstagramで公開しちゃおう!

■要求事項
A.9 アクセス制限
A.9.2.4利用者の秘密認証情報の管理
管理策:秘密認証情報の割当ては,正式な管理プロセスによって管理しなければならない。
(JIS Q 27001:2014(ISO/IEC 27001:2013)要求事項から抜粋)

■解説
秘密認証情報とは、いわゆるパスワードや指紋認証などの生体認証のデータなどを示します。
・システム開発者側のパスワード等をどう管理しているか
・ユーザー側のパスワード等をどう管理しているか
を明確にする必要があります。

開発者側の秘密認証情報は、システム管理統括者がトップダウン式で一括に決められている場合や、各自で決めた秘密認証情報(パスワード等)をシステム管理統括者に伝え、それを一覧化してシステム管理統括者が管理する場合などがありますね。

ユーザー側の秘密認証情報は、アカウント登録時に自動的に一覧化されることが多いイメージです。
ただ、機密性が高いため、(開発者側の)アクセス権を徹底的に絞ったり、サーバを分けて保管されるような設定にしているところも見受けられます。

開発者Mさん:なんだこれは!? クレームや問い合わせが100通以上きているぞ!?
「牌の偏りが酷い。国士無双を3連続で上がられた」
「公開していない牌譜がネットで広まってしまっている」
(そんなことはあるはずがない、、、)
(でも、サーバの容量ケチるために、ログを保管してないんだよな。)
(どうしよう。)
論くん:「ツモぉぉぉぉぉぉぉぉ タンピンツモ三色イーペ ドラドラ。親倍満だ。」

■要求事項
A.12.4 ログ取得及び監視
A.12.4.1 イベントログ取得
管理策:利用者の活動,例外処理,過失及び情報セキュリティ事象を記録したイベントログを取得し,保持し,定期的にレビューしなければならない。
A.12.4.3
実務管理者及び運用担当者の作業ログ
管理策:システムの実務管理者及び運用担当者の作業は,記録し,そのログを保護し,定期的にレビューしなければならない。
(JIS Q 27001:2014(ISO/IEC 27001:2013)要求事項から抜粋)

■解説
事件事故が発生したときにトレース(後追い)できるように、ログを管理しておきましょう。
イベントログや作業ログを閲覧するフローや、誰が管理するのか、どの期間保管するのか、いつ定期見直し確認(レビュー)するのかなどを規定するとよいです。

最近は、クラウドサーバの利用が多く、「なにかあればクラウドサーバの委託先企業に問い合わせし、ログを出力してもらう」という企業もかなり増えてきました。

テレビ:「インターネット上で遊べる麻雀のゲームで不正アクセスがあったとして、今日午前10:00頃、東京都在住の其田 論さんが逮捕されました。」
「其田氏は、『まだだ、まだオレのオーラスは終わってねぇ!』等と意味不明な供述をしており、現在も犯行の経緯を調査しております。」

開発者Mさん:「どうにか犯人を特定することができたが、また同じことが起きてはダメだ。みんなが楽しめるように、セキュリティレベルも上げていこう!」

■要求事項
A.16 情報セキュリティインシデント管理
A.16.1.1 責任及び手順
管理策:情報セキュリティインシデントに対する迅速,効果的かつ順序だった対応を確実にするために,管理層の責任及び手順を確立しなければならない。
A.16.1.2情報セキュリティ事象の報告
管理策:情報セキュリティ事象は,適切な管理者への連絡経路を通して,できるだけ速やかに報告しなければならない。
A.16.1.3情報セキュリティ弱点の報告
管理策:組織の情報システム及びサービスを利用する従業員及び契約相手に,システム又はサービスの中で発見した又は疑いをもった情報セキュリティ弱点は,どのようなものでも記録し,報告するように要求しなければならない。
A.16.1.4情報セキュリティ事象の評価及び決定
管理策:情報セキュリティ事象は,これを評価し,情報セキュリティインシデントに分類するか否かを決定しなければならない。
A.16.1.5情報セキュリティインシデントへの対応
管理策:情報セキュリティインシデントは,文書化した手順に従って対応しなければならない。
A.16.1.6情報セキュリティインシデントからの学習
管理策:情報セキュリティインシデントの分析及び解決から得られた知識は,インシデントが将来起こる可能性又はその影響を低減するために用いなければならない。
A.16.1.7 証拠の収集
管理策:組織は,証拠となり得る情報の特定,収集,取得及び保存のための手順を定め,適用しなければならない。
(JIS Q 27001:2014(ISO/IEC 27001:2013)要求事項から抜粋)

■解説
社内の情報セキュリティインシデント(事件や事故、ヒヤリハット等とイメージしてください)が発生した場合、再発防止のために是正や管理をしなければなりません。

発生から完了までの手順の確立や、報告フロー、原因の追究や、処置・是正の立案、仮説として立てた是正処置が有効だったのか(再発していないか)の有効性の評価などのルールを規定し、取り組まなければなりません。

まとめ
ストーリー仕立てで、ISO27001(ISMS)について、解説していきました。
いかがでしょうか?

ISMS総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【ISMS総研】メールマガジン登録

ISMSに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス