http://www.asteq.co.jp/cp-bin/blog/ 株式会社アステックインタナショナルのブログです。 ja http://www.asteq.co.jp/cp-bin/blog/index.php?eid=16弊社アステックインタナショナルの代表取締役 野見山正弘 がISOマネジメント2012.5号に「審査員から見たISO9001の効果的な活用法」というタイトルで、記事を書きました。ISOを会社の中で効果的に運用するため、ぜひご一読ください。弊社アステックインタナショナルの代表取締役 野見山正弘 がISOマネジメント2012.5号に
「審査員から見たISO9001の効果的な活用法」
というタイトルで、記事を書きました。

ISOを会社の中で効果的に運用するため、ぜひご一読ください。

]]>2012-04-26T14:07:44+09:00Bloghttp://www.asteq.co.jp/cp-bin/blog/index.php?eid=15今年は、三菱重工や国会議員やネットバンキングのIDパスワードの搾取（アカウントハッキング）などの事件が多発しました。攻撃者も高度化し、金銭的被害のみならず、国の防衛情報などを狙った攻撃が現実なものとなりました。こういった攻撃は、「標的型攻撃（スピア攻撃）」とか「APT（Advanced Persistent Threat）攻撃」などと呼ばれます。さていくつか気になる記事について紹介いたします。Windowsのウイルス感染、主因はJavaやAdobe製品の更新忘れ4割はAdobe Reader未更新、2割は対策ソフトなし――危険な実態が判明昨今のサイバー攻今年は、三菱重工や国会議員やネットバンキングのIDパスワードの搾取（アカウントハッキング）などの事件が多発しました。
攻撃者も高度化し、金銭的被害のみならず、国の防衛情報などを狙った攻撃が現実なものとなりました。
こういった攻撃は、「標的型攻撃（スピア攻撃）」とか「APT（Advanced Persistent Threat）攻撃」などと呼ばれます。


さていくつか気になる記事について紹介いたします。
Windowsのウイルス感染、主因はJavaやAdobe製品の更新忘れ


4割はAdobe Reader未更新、2割は対策ソフトなし――危険な実態が判明


昨今のサイバー攻撃といわれる情報の搾取の事件は、実はAdobe Reader(Acrobat含む)、Flash Player、Javaといったアプリケーションの脆弱性を使った攻撃が起点になっていることが多くなってきております。

数年前のGumbler攻撃やネットワークゲームのアカウントハッキングの攻撃もこういった脆弱性が起点となっていました。

Windows OSやWebブラウザ（インターネットエクスプローラ、FireFoxなど）の更新、ウィルス対策ソフトの更新だけでは、対策としては不十分です。
特にウィルス対策ソフトに関しては、最近の攻撃はすり抜けてきます。
なので、対策としては
・WindowsやOSのアップデート（Windows Update、Microsoft Updateなど）
・Webブラウザのアップデート
・ウィルス対策ソフトのアップデート
に加え
・Flash Playerのアップデート
・Adobe Readerのアップデート
・Javaのアップデート
に関しても確実に実施してください。

さらにいえば、これでも潜り抜けてくる攻撃も存在します。そこでさらに高度な対策を実施するために、進入されても被害を最小限に食い止める対策というのも検討してはいかがでしょうか？

たとえば、ファイル毎の暗号化などはPCに不正に侵入されても、暗号化されていれば見られるリスクは極めて小さくなります。この対策は弊社開発のセキュリティコンパクトで可能です。
ご注意は、HDDの丸ごと暗号化では防げないという点です。HDDの丸ごと暗号化は、PCの紛失・盗難時に、HDDを取り出して別PCにつなげても読めないという対策でしかないのです。不正侵入によりPCをのっとられたときに対策にはなっていません。

比較的安価にできる対策として、フリーであるAdobe ReaderやFlash Player、Javaのアップデートを確実に実施し、さらに高度な対策として、ファイル毎の暗号化。
このような対策を実施して、情報漏えいを防ぎましょう。]]>2011-12-23T18:06:14+09:00Bloghttp://www.asteq.co.jp/cp-bin/blog/index.php?eid=14最近、防衛産業界の企業、国会議員、地方の行政機関などへのサイバー攻撃が大きなニュースとなりました。また、国会議員の情報がたくさん漏えいしたとも報道されています。電子メール等を通じてウィルスが仕込まれ、気が付かないうちにこのウィルスが社内やお客様にまで感染して、社内だけでなくお客様の大事な情報までもが盗まれてしまうのです。●わが社には需要な情報がないから私には関係ないわが社には重要な情報がないから関係ないと思っておられる人も多いでしょう。でも、あなたが気付かないうちにあなた自身がサイバー攻撃の加害最近、防衛産業界の企業、国会議員、地方の行政機関などへのサイバー攻撃が大きなニュースとなりました。また、国会議員の情報がたくさん漏えいしたとも報道されています。
電子メール等を通じてウィルスが仕込まれ、気が付かないうちにこのウィルスが社内やお客様にまで感染して、社内だけでなくお客様の大事な情報までもが盗まれてしまうのです。

●わが社には需要な情報がないから私には関係ない
わが社には重要な情報がないから関係ないと思っておられる人も多いでしょう。でも、あなたが気付かないうちにあなた自身がサイバー攻撃の加害者になっているかもしれないのです。
無防備なあなたのパソコンにウィルスが仕込まれ、そのウィルスが攻撃命令を出したり、攻撃したりするのです。

それじゃ、どうしたらよいのでしょうか。
● サイバー攻撃に備えるには次のような対策があります
１． まず検出率の高いアンチウィルスソフトを使用すること
いろいろなアンチウィルスソフトがありますが、検出率の高いソフトを使用すること
大規模組織では複数のアンチウィルスソフトを使用して、どこかでウィルスを検知できるようにしておくこと
２． 情報を暗号化しておくこと
万一情報を盗まれてもデータを暗号化しておけば、内容は見られることはありません

● 検出率の高いウィルスソフトは何ですか
わが社が販売しているドイツ製のG-Dataというソフトが最も高い検出率を維持していると評価されています。価格も手ごろですし、全員のパソコンのアップデートもサーバーから管理できます。一度検討されてはいかがですか。

●どんな暗号化ソフトがあるのですか。
暗号化ソフトはいろいろありますが、わが社が開発した情報漏えい防止ソフトセキュリティコンパクトは、手ごろな価格で、コストパフォーマンスの高いソフトです。とても簡単に使えます。ぜひ一度ご検討ください。]]>2011-12-15T21:17:28+09:00Bloghttp://www.asteq.co.jp/cp-bin/blog/index.php?eid=13● 品質マネジメントの8原則の前段の記述を知っていますか品質マネジメントの8原則は品質マネジメントシステムのパフォーマンスを改善する枠組みとして、ISO9001:2008の中で取り込まれている考え方です。この8原則を説明する前に次のような記述があります。組織を運営し、成功に導くためには、次にように取り組むことが望ましい。 系統的で、透明性のある方法で指揮・管理すること 利害関係者のニーズに取組むこと パフォーマンスを継続的に改善する仕組みをもつマネジメントシステムの実行・維持す品質マネジメントの8原則の前段の記述を知っていますか

品質マネジメントの8原則は品質マネジメントシステムのパフォーマンスを改善する枠組みとして、ISO9001:2008の中で取り込まれている考え方です。
この8原則を説明する前に次のような記述があります。
組織を運営し、成功に導くためには、次にように取り組むことが望ましい。
 系統的で、透明性のある方法で指揮・管理すること
 利害関係者のニーズに取組むこと
 パフォーマンスを継続的に改善する仕組みをもつマネジメントシステムの実行・維持すること

私は、この考え方が、ISO9001の本質ではないかと思っています。このような記述は、ISO14001にはありません。

システマティックで、目に見える仕組みを作って、会社を、指揮したり、管理したりすることが重要だといっています。皆さんが得意の「見える化」ですよね。仕事の手順を明確にする(例えば手順書を作ること)のも見える化ですよね。
利害関係者とはお客様のことだと思えばいいですね。お客様が皆さん何を望んでいるのか、何を期待しているのかを把握し、対応することを求めています。お客様の考えや気持ちがわからなければうまくいくわけがないですよね。
パフォーマンス(例えば品質などの仕事の成果)がもし達成できていなければ、マネジメントシステムを改善して、パフォーマンスがあがるようにすることを求めています。

● 品質マネジメントの8原則

品質マネジメントシステムのパフォーマンス改善の枠組みとして次の8つの原則が要求事項に含まれています。

 顧客重視
 リーダーシップ
 人々の参画
 プロセスアプローチ
 マネジメントへのシステムアプローチ
 継続的改善
 意思決定における事実に基づくアプローチ
 供給者との互恵関係
ISO9001を有効に活用するために、この原則の持つ意味をもう一度思い出してください。

次回はこの8原則の意図を簡単に説明することにしたいと思います。]]>2011-10-16T23:34:39+09:00Bloghttp://www.asteq.co.jp/cp-bin/blog/index.php?eid=12● ソフト・ハードだけの情報セキュリティ対策は膨大な費用がかかります情報に対して、ソフトやハードだけを駆使して行い、万全な情報漏えい防止を行おうとすると莫大な費用を要するのではないでしょうか。情報漏えいは、情報の入ったパソコンや、USBメモリーの紛失、盗難、メールの誤送信、FAXの誤送信、他人による情報の覗き見、ウィニー等のウィルスソフトによる漏えいや、情報の破壊、改ざん、ハッカーによるサーバーへの侵入、盗み出し、破壊、改ざん、故意の情報の持ち出し・盗みなど様々です。情報を盗み出す技術は日進月歩で益々ソフト・ハードだけの情報セキュリティ対策は膨大な費用がかかります

情報に対して、ソフトやハードだけを駆使して行い、万全な情報漏えい防止を行おうとすると莫大な費用を要するのではないでしょうか。
情報漏えいは、情報の入ったパソコンや、USBメモリーの紛失、盗難、メールの誤送信、FAXの誤送信、他人による情報の覗き見、ウィニー等のウィルスソフトによる漏えいや、情報の破壊、改ざん、ハッカーによるサーバーへの侵入、盗み出し、破壊、改ざん、故意の情報の持ち出し・盗みなど様々です。
情報を盗み出す技術は日進月歩で益々高度化していきます。これに対応するために、情報漏えい防止技術も日進月歩で変わっていきます。
情報を盗み出す技術に常に対応するハードやソフトを導入していくと、情報漏えいに対する対策費用は青天井になっていくのではないでしょうか。

● 悪意のある情報の盗み出しは完全に防ぐのは難しい

情報漏えいを防止する技術にはいろいろあります。たとえば、最近普及が進んでいるシンクライアント。クライアントのパソコンには情報は残りません。サーバーに接続して、サーバー内のデータを開いて作業を行い、作業が完了したら、データは全てサーバーに保管され、クライアントのパソコンにはデータが残らないから安心です。
でも、情報を盗む悪意をもったものがいれば、画面をカメラなどに撮影して盗み出すことは可能ですよね。
確かにいっぺんに大量のデータは盗めないかもしれませんが、情報のキーとなる部分だけを盗み出せれば、十分に事足りる場合はたくさんありますよね。

● 情報セキュリティは、ソフト・ハードとマネジメントの組合せで行うべき

情報セキュリティ対策は、マネジメントと組み合わせて可能な限り費用対効果の高い方法！選択すべきだと思います。
ISO27001情報セキュリティマネジメントシステムは、このような考え方に基づいたシステムです。
情報管理のシステムを構築し、守るべき情報を明確にする（情報が漏れた場合のリスクを評価し、守るべき情報を明確にする）。情報を漏えいした場合の懲罰規定を従業規則に盛り込み、従業員とは守秘義務契約を締結する。情報管理のルールや、情報を守ることの重要性を認識させる。物理的な対策による情報の保護、ソフトやハードによる情報の保護を組み合わせて対策を行い、費用対効果の高い仕組みにする。

もちろん、費用対効果の評価するのは難しいですが、ソフトやハードだけに頼らないマネジメントシステムとして管理していくことが望ましいのではないでしょうか。

● 従業員は信用できますか・・・悪魔の囁きを追い払うシステムの構築を！！

時々、従業員は信用できないという経営者がおられます。
しかし、企業はお客で成り立っていると同時に、従業員あってこそ成り立ってもいるのです。
経営者と従業員は、ある意味では運命共同体です。
従業員を信用しないと会社はうまく機能しませんよね。
従業員がミスした場合に情報が漏れないように、また、心の中で悪魔が囁いた時に、思いとどまらせるような仕組みを作っておくことが重要だと思います。]]>2011-10-16T23:17:50+09:00Blog