- ベストアンサー
ISO(ISMS)の審査等の対応措置について
ISOの情報セキュリティ対策で、ノートPCについては盗難対策としてセキュリティワイヤーを取り付ける様に指導を受けたらしい(ISO事務局が対応したためこの様な表現)のですが、ワイヤーはペンチ等で簡単に切断できるため、気休めの対策の様に思えます。 取り付けるとなると、何百台ものPCにつける為費用が馬鹿になりません。他にもっと効果的なセキュリティ対策があると思われ未対策のままで保留としています。 (PC認証システムは導入してます) どなたか、ワイヤーをつけても殆ど意味が無いと云う説明で審査員等に対応できる理由がありませんか。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
なるほど、しっかり管理されていますね。 ご存知だと思いますが、リスクは完全にゼロにすることが不可能なので、リスク保有という概念があります。 現実に則して許容範囲内にリスクを封じこめておけば、それ以上の過剰な管理は必要ではありません。 そのことを、顧客・取引先、その代弁者としての審査機関/審査員に納得してもらう説明責任を果たさないと認証取得はできませんから、「どのように説明するか?」に焦点を絞りましょう。 まずご質問の前提「ワイヤーをつけても殆ど意味が無い」については、「カード認証システムを採用しているPCについてはワイヤーによる物理的管理は必要ない」という結論に向くように考える方がよいように思います。 ワイヤーは、PCを物理的に固定することにより、盗難防止だけでなく、必要な情報に必要な要員がアクセス可能であるという「可用性」も確保します。 万が一、物理的対策を講じていない=ワイヤーなしのPCが盗難にあったとしても、「可用性が著しく損なわれない」という説明が必要でしょう。 そうでなければ、物理的対策が不足していると判断されてもなかなか反論しづらいですから。 カード認証システムはかなり信頼性は高いのですが、それなりの説明ができないと、審査員も鵜呑みにして「それで大丈夫です」と判断はしません。 メーカーの担当者などに、ワイヤーなしの運用事例や、データの保護がどのレベル(詳しくないですが、暗号化の複雑さなどの指標があると思います)なのか、説明できる資料などを入手しておくとよいでしょう。 認証カードとPCを同時に盗難されたら元も子もなかったり、そもそも内部の人が一晩持ち出してデータを取り出すというリスクについてどのようにリスク評価し対策をとるかは難しい課題だと思います。 PC自体が持ち出せなければ心配いらないことについて、ワイヤーがないだけで、PCの持ち出し時のリスクについて考慮しなければならないので、多くの会社がワイヤーのような直接的な物理的対策をとっているわけです。 (ワイヤー設置していても、盗難されて数日間分からないままのような管理状態ではダメですが) 監査員の指摘が、情報漏洩のリスクよりも、「物理的対策の必要性」「可用性」の観点からであれば、終業時/始業時にPCが持ち出されていないことを確認する手順などの、別の方法が暗示的に要求されているかもしれません。さらに詳細を確認されるとよいと思います。 もしも審査員の指摘が同業者も含めたISMSの常識として妥当であれば、ワイヤー設置もやむないくらいに柔軟に考えてみてください。
その他の回答 (2)
- isogava
- ベストアンサー率60% (6/10)
審査員の指摘は、「ワイヤーなどの防犯対策がとられておらず、外部から侵入者のみならず、従業員が持ち出して盗難しても分からない」状況として、もっともな指摘のように思えます。 外部侵入者に対しては、ガードマンや部屋自体のセキュリティシステムだけで、対策できるでしょう。 しかし、内部の犯行の場合は、そういった対策は簡単に破られてしまいますね。 従業員や業者などで入退室が許可されている人の持ち物の出入りの管理が徹底していなければ、一般的な文房具では切断しづらいワイヤーや針金などで保護する必要があるでしょう。 ※現状は「気休め対策すらしていない状態」かもしれません。 もしも入退室の際に「持ち物検査」を徹底しているなら、ワイヤーは不要と言い切れると思います。 または、強固なセキュリティ認証をかけ、HDD内のデータも暗号化しているから、盗難されても情報漏洩につながらないということを実証できれば大丈夫でしょう。(PCを分解されてもデータを取り出せないような、かなり高度な設定が必要ですが) また、USBメモリ、CD-Rなどでの持ち出しについてはどうですか? 「使用禁止」という実効性のないルールがあるだけでは、情報漏洩のリスクは大きいし、実際の審査でも不適合を指摘されかねません。 情報漏洩の大半が、内部関係者が直接関与していますしね。
お礼
早速のご回答有難うございます。 セキュリティの信頼性に対するコスト・レベル&グレード?投資対効果等だんだん迷いが整理できてきた様です。
補足
内部関係者のPCの持ち出しには、ご指摘のとおり問題点かとおもいます。 ただ、PCを持ち出されてもPCはカードPC認証システム(正式には認証セキュリティーシステム『smartOn NEO』)によりデータが開けなかったり、コピーが出来ない(100%不可ではない?)と思われ、それでもワイヤーが必要か?と判断に悩んでいます。 勿論、カードPC認証のないPCは無条件でワイヤー取り付け要とする考えです。
- yoneda_16
- ベストアンサー率47% (166/350)
「ワイヤーをつけても殆ど意味が無い」という言い方では審査員や世間を納得させることはできないと思います。 家のドアにかけるシリンダー錠ってありますね。あれ、簡単に壊す事ができます。そのため最近ではより強い錠前に変える人が多いですね。それでもドリルがあればそれなりに壊せるわけですけど。だからといって鍵の無いドアにする人はいません。 たとえ簡単に切れるワイヤでも、ドアにつける簡単な鍵と同じように、存在しないよりは犯罪抑止になります。すくなくともカジュアルな犯罪を防ぐことはできます。それで足りなければ、ワイヤーカッタのようなゴツイ道具でなければ切断できないものもあります。ゴツイ道具は入手も持ち歩きも、不可能ではないけど難しいですよね。そのぶん、犯罪者に対してより大きなコストを強いる事ができるわけです。 http://jp.fujitsu.com/group/coworco/services/supply/pcaccessories/security/wire/ 悪意のある人間が周到に準備すれば、どんな安全対策も破ることが可能です。「セキュリティ対策」はその準備にかかる手間を増やすことしかできません。どこまでコストをかけるかはあなたの判断ですが。 もし、PCを全て撤去し、thinクライアントのようなものを導入して、「盗まれても中に情報が入っていないので情報セキュリティ的に問題ない」という言い方ができれば…セキュリティワイヤなんか無くても大丈夫ですけど。でももっと高いですね。 http://jp.fujitsu.com/about/journal/288/topstory/ http://www.sw.nec.co.jp/effort/strategy/2005_0701/
お礼
早々回答有難うございました。 判断する考え方として良くわかりました。 少し質問説明不足で判断に迷っている点があります。 ノートPCを設置してある環境が2種類ありまして一つは本社ビルのような完全頑強なビル構造で玄関入り口にはガードマン及びセキュリティシステム、各階の入り口にもカード認証システムが設置されいてもワイヤーが必要かと云うこと。 もう一つは、環境が脆弱な現地事務所で、夜間は無人で 出入り口はアラームシステム又は施錠のみと云う環境です。 という訳で本社ビルは対策不要に思え、現地事務所は施錠だけの所は勿論要対策で、アラームシステムのある事務所はアラーム+カード認証があれば、余り対策はいら無いのではないか?と迷っています。 yoneda16さんの御回答のとおり、どんな対策も破ることが可能で、どこまでコストをかけるかの判断とは思いますが…。
お礼
間髪入れず回答をいただき有難うございます。 詳細にわたり、きめ細かなアドバイスを頂き対策の手立てが、お蔭様で整理ができてきました。 心よりお礼申し上げます。