• ベストアンサー

ISO(ISMS)の審査等の対応措置について

ISOの情報セキュリティ対策で、ノートPCについては盗難対策としてセキュリティワイヤーを取り付ける様に指導を受けたらしい(ISO事務局が対応したためこの様な表現)のですが、ワイヤーはペンチ等で簡単に切断できるため、気休めの対策の様に思えます。 取り付けるとなると、何百台ものPCにつける為費用が馬鹿になりません。他にもっと効果的なセキュリティ対策があると思われ未対策のままで保留としています。 (PC認証システムは導入してます) どなたか、ワイヤーをつけても殆ど意味が無いと云う説明で審査員等に対応できる理由がありませんか。

質問者が選んだベストアンサー

  • ベストアンサー
  • isogava
  • ベストアンサー率60% (6/10)
回答No.3

なるほど、しっかり管理されていますね。 ご存知だと思いますが、リスクは完全にゼロにすることが不可能なので、リスク保有という概念があります。 現実に則して許容範囲内にリスクを封じこめておけば、それ以上の過剰な管理は必要ではありません。 そのことを、顧客・取引先、その代弁者としての審査機関/審査員に納得してもらう説明責任を果たさないと認証取得はできませんから、「どのように説明するか?」に焦点を絞りましょう。 まずご質問の前提「ワイヤーをつけても殆ど意味が無い」については、「カード認証システムを採用しているPCについてはワイヤーによる物理的管理は必要ない」という結論に向くように考える方がよいように思います。 ワイヤーは、PCを物理的に固定することにより、盗難防止だけでなく、必要な情報に必要な要員がアクセス可能であるという「可用性」も確保します。 万が一、物理的対策を講じていない=ワイヤーなしのPCが盗難にあったとしても、「可用性が著しく損なわれない」という説明が必要でしょう。 そうでなければ、物理的対策が不足していると判断されてもなかなか反論しづらいですから。 カード認証システムはかなり信頼性は高いのですが、それなりの説明ができないと、審査員も鵜呑みにして「それで大丈夫です」と判断はしません。 メーカーの担当者などに、ワイヤーなしの運用事例や、データの保護がどのレベル(詳しくないですが、暗号化の複雑さなどの指標があると思います)なのか、説明できる資料などを入手しておくとよいでしょう。 認証カードとPCを同時に盗難されたら元も子もなかったり、そもそも内部の人が一晩持ち出してデータを取り出すというリスクについてどのようにリスク評価し対策をとるかは難しい課題だと思います。 PC自体が持ち出せなければ心配いらないことについて、ワイヤーがないだけで、PCの持ち出し時のリスクについて考慮しなければならないので、多くの会社がワイヤーのような直接的な物理的対策をとっているわけです。 (ワイヤー設置していても、盗難されて数日間分からないままのような管理状態ではダメですが) 監査員の指摘が、情報漏洩のリスクよりも、「物理的対策の必要性」「可用性」の観点からであれば、終業時/始業時にPCが持ち出されていないことを確認する手順などの、別の方法が暗示的に要求されているかもしれません。さらに詳細を確認されるとよいと思います。 もしも審査員の指摘が同業者も含めたISMSの常識として妥当であれば、ワイヤー設置もやむないくらいに柔軟に考えてみてください。

tao-keiko
質問者

お礼

間髪入れず回答をいただき有難うございます。 詳細にわたり、きめ細かなアドバイスを頂き対策の手立てが、お蔭様で整理ができてきました。 心よりお礼申し上げます。

その他の回答 (2)

  • isogava
  • ベストアンサー率60% (6/10)
回答No.2

審査員の指摘は、「ワイヤーなどの防犯対策がとられておらず、外部から侵入者のみならず、従業員が持ち出して盗難しても分からない」状況として、もっともな指摘のように思えます。 外部侵入者に対しては、ガードマンや部屋自体のセキュリティシステムだけで、対策できるでしょう。 しかし、内部の犯行の場合は、そういった対策は簡単に破られてしまいますね。 従業員や業者などで入退室が許可されている人の持ち物の出入りの管理が徹底していなければ、一般的な文房具では切断しづらいワイヤーや針金などで保護する必要があるでしょう。 ※現状は「気休め対策すらしていない状態」かもしれません。 もしも入退室の際に「持ち物検査」を徹底しているなら、ワイヤーは不要と言い切れると思います。 または、強固なセキュリティ認証をかけ、HDD内のデータも暗号化しているから、盗難されても情報漏洩につながらないということを実証できれば大丈夫でしょう。(PCを分解されてもデータを取り出せないような、かなり高度な設定が必要ですが) また、USBメモリ、CD-Rなどでの持ち出しについてはどうですか? 「使用禁止」という実効性のないルールがあるだけでは、情報漏洩のリスクは大きいし、実際の審査でも不適合を指摘されかねません。 情報漏洩の大半が、内部関係者が直接関与していますしね。

tao-keiko
質問者

お礼

早速のご回答有難うございます。 セキュリティの信頼性に対するコスト・レベル&グレード?投資対効果等だんだん迷いが整理できてきた様です。

tao-keiko
質問者

補足

内部関係者のPCの持ち出しには、ご指摘のとおり問題点かとおもいます。 ただ、PCを持ち出されてもPCはカードPC認証システム(正式には認証セキュリティーシステム『smartOn NEO』)によりデータが開けなかったり、コピーが出来ない(100%不可ではない?)と思われ、それでもワイヤーが必要か?と判断に悩んでいます。 勿論、カードPC認証のないPCは無条件でワイヤー取り付け要とする考えです。

  • yoneda_16
  • ベストアンサー率47% (166/350)
回答No.1

「ワイヤーをつけても殆ど意味が無い」という言い方では審査員や世間を納得させることはできないと思います。 家のドアにかけるシリンダー錠ってありますね。あれ、簡単に壊す事ができます。そのため最近ではより強い錠前に変える人が多いですね。それでもドリルがあればそれなりに壊せるわけですけど。だからといって鍵の無いドアにする人はいません。 たとえ簡単に切れるワイヤでも、ドアにつける簡単な鍵と同じように、存在しないよりは犯罪抑止になります。すくなくともカジュアルな犯罪を防ぐことはできます。それで足りなければ、ワイヤーカッタのようなゴツイ道具でなければ切断できないものもあります。ゴツイ道具は入手も持ち歩きも、不可能ではないけど難しいですよね。そのぶん、犯罪者に対してより大きなコストを強いる事ができるわけです。 http://jp.fujitsu.com/group/coworco/services/supply/pcaccessories/security/wire/ 悪意のある人間が周到に準備すれば、どんな安全対策も破ることが可能です。「セキュリティ対策」はその準備にかかる手間を増やすことしかできません。どこまでコストをかけるかはあなたの判断ですが。 もし、PCを全て撤去し、thinクライアントのようなものを導入して、「盗まれても中に情報が入っていないので情報セキュリティ的に問題ない」という言い方ができれば…セキュリティワイヤなんか無くても大丈夫ですけど。でももっと高いですね。 http://jp.fujitsu.com/about/journal/288/topstory/ http://www.sw.nec.co.jp/effort/strategy/2005_0701/

tao-keiko
質問者

お礼

早々回答有難うございました。 判断する考え方として良くわかりました。 少し質問説明不足で判断に迷っている点があります。 ノートPCを設置してある環境が2種類ありまして一つは本社ビルのような完全頑強なビル構造で玄関入り口にはガードマン及びセキュリティシステム、各階の入り口にもカード認証システムが設置されいてもワイヤーが必要かと云うこと。  もう一つは、環境が脆弱な現地事務所で、夜間は無人で 出入り口はアラームシステム又は施錠のみと云う環境です。 という訳で本社ビルは対策不要に思え、現地事務所は施錠だけの所は勿論要対策で、アラームシステムのある事務所はアラーム+カード認証があれば、余り対策はいら無いのではないか?と迷っています。 yoneda16さんの御回答のとおり、どんな対策も破ることが可能で、どこまでコストをかけるかの判断とは思いますが…。

  1. カテゴリ
  2. ビジネス・キャリア
  3. 経営情報システム

関連するQ&A

  • ISMS審査について

    こんにちは。 ISMS認証取得に向けて、内部監査が今週末実施されます。 内部監査後、外部の審査を受けることになると思いますが、外部の審査は内部監査と同様の流れ・チェック項目と考えておいていいのでしょうか? 内部監査では機密レベルの高いものを数点ピックアップして、適切に保管されているかをチェックするようで、社員がそれぞれ使用している机の引出の中のものはチェック項目には入っていませんでしたが、外部の審査においても同じような感じでしょうか…。 机上や机の中を整理整頓、貸与されているPCのセキュリティ設定等、ISMS認証取得に向けて、会社からの指示どおりに準備をしているものの、初めてのことなので、細かくチェックされるとあまり自信がないというのが正直なところです。 実際にISMSの審査を受けた経験のある方からのお話を聞けたらと思っています。 よろしくお願いします。

  • ISO14001の審査について

    会社(印刷業)でISO14001を取得に当たり私は運用管理に任命されました。今月末にセカンドステージ(現地審査)がありますが、審査の対応に自信がありません。 運用管理者として責任・権限・手順等についてマニュアルは作成したものの、確かな知識として不安があります。 審査員の質問に対して明確な答を出す自信がないのです。 あと3週間となり夜も眠れない不安があります。 現地審査では実際どんな質問がされるのか予備知識だけでもあれば私としては対応にいくらかでも自信が持てそうな気がするのですが、今までの経緯からして社内的に一人に責任(環境管理責任者はおりますが、率先して動いてくれません)が押しつけられそうです。 全社員のQ&Aを作成するように社長からも指示がでていますが、Qが解らないことには対策の仕様がないと思い、悩んでおります。トップダウン方式のISOでこんな質問をするのもおかしいのですが、どなたか審査を経験された方がおりましたらお教え下さい。よろしくお願いします。

  • ノートパソコンの盗難防止に机にくくりつけようと思う

    ノートパソコンの盗難防止に机にくくりつけようと思うのですが http://www2.elecom.co.jp/accessory/security/wire/office/esl-3/index.asp この製品を見てるのですが、 ワイヤーってペンチを使えば簡単に切れたりしないのでしょうか? あとロックパーツも簡単に取れたりしないのでしょうか? いまいち仕組みがわかりません。 家に泥棒が入られた時に上記商品は役に立ちますか?

  • 「生体認証」は死体の手でもできるのですか?

    メガバンクや郵貯が「生体認証」を導入決定というニュースを見ました。 前々から疑問に思っていたのですが、「生体認証」とは生きている手(もしくは指)と死体の手の区別もつくのでしょうか? 区別がつかないなら、今までカード盗難で済んだものがカード盗難+手首切断、なんていう殺人事件になったりしないのかな、こわいなーと思いまして。(・・;)

  • PC用セキュリティワイヤの机への取り付け方法

    PC盗難防止のため、セキュリティワイヤを使って机にPCを括り付けたいと考えています。しかし、私の机には脚がなく、両側面、背面を全面板で囲んだ形のような机なので、セキュリティワイヤを取り付ける場所がありません。机に穴を空けることもできません。このような場合にセキュリティワイヤをつけるための、よい方法・製品を教えてもらえませんでしょうか。

  • FMV ESPRIMO 画面一体型の盗難防止

    会社で購入したFMVのESPRIMOに盗難防止のため、セキュリティワイヤーをつけたいと考えています。 背面および側面を見てもセキュリティワイヤーを取り付けるためのスロットが見つかりません。携帯ストラップのようなひも状を通す穴は背面下部の中央付近にあるのですが、ここにはワイヤーが通りません。盗難防止のために、どのような対応方法があるでしょうか? ※OKWAVEより補足:「富士通FMV」についての質問です。

  • 液晶テレビの盗難防止策について教えてください。

    液晶テレビの盗難防止策について教えてください。 知人が運営する宿泊施設の客室にあるアナログテレビを すべて地デジの液晶テレビ(19インチ)に置き換えようとしているのですが、(全部で10台以上あります。) 先に液晶テレビを導入した近隣の施設では 導入した直後からテレビ自体が盗難に合ったという話をいくつか耳にしており、 そのための対策を考えています。 最初はこんなワイヤーを導入しようかと思ったのですが、 http://www2.elecom.co.jp/accessory/security/wire/office/esl-12/index.asp あいにくテレビ自体は木製のタンスのようなものの上に置かれていて、 取付方法として例示されているようなワイヤを巻きつける柱のようなものが テレビの周辺にありません。 "テレビを壁掛けにすると取り外しが大変なので効果がある" というアドバイスも頂いたのですが そのための工事が建物の構造上不可 or できるにしてもかなりコストかかる見込み ということでこれも採用できませんでした。 正直なところあまり予算がありません。おそらくトータルで数万程度です。 私の自宅のテレビはネジで台座と固定できるパーツがテレビに元々ついていたので それを前述の「木製のタンス」に固定できれば気休め程度にはなるとも思ったのですが、 購入したテレビにはそういった類のパーツが含まれていませんでした。 木製のタンスと上手く固定できる方法 or もっとスマートな盗難対策の方法が あれば教えて頂けませんか。 上述以外にも、 利用者が退館するときに部屋のチェックをする、荷物チェックをする、等々 運用レベルではいくつかの手段が考えられますが、 あくまで物理的な対策という点でアドバイスを下さい。 このあたりの過去ログはすでに参照済です。 http://okwave.jp/qa/q6065775.html http://okwave.jp/qa/q5838449.html

  • セキュリティワイヤについて教えてください。

    現在ソニーのVAIO、typeFのVGN-FS30Bを使用しています。 盗難防止のためセキュリティワイヤをつけたいと思い、色々と自分なりに探してみたのですが、 セキュリティスロットもなく25ピンの横のコネクタもないので難しいのかなあと諦めかけております。 あまりPCに詳しくなく勉強不足かもしれませんが、このPCに合うセキュリティワイヤがあれば教えていただけたら嬉しいです。 どうぞよろしくお願いいたします。

  • 意外な盲点、駅周辺駐輪コーナーでの自転車盗難。

    駅周辺での不法駐輪やコンビニの駐輪場利用(いつも満車)が減少して、美観や防犯、それに何よりも駐輪場探しに便利になって喜んでおりますが・・・ 先日、高校生が盗難に遭い困ってました。 それは、番号を確認すれば自転車を堂々と駐輪の機械装置から出せて、何やら大型のワイヤー切断ペンチ上の工具でキーの鎖部分を切って自転車を持ち帰ってしまう手口のようです。 マウンテンバイクや新品の自転車を主に狙うようですが、後付けのキーは推測出来るが、番号キーや純正部品の頑強な鍵にはどうしてるのか分かりませんが・・・ そこでお尋ねしたいのは、自衛措置&盗難防止対策としては、どのようにすれば安心安全なのでしょうか?

  • PCをネットで使うに際し、気をつけるべきセキュリティー対策にはどんなも

    PCをネットで使うに際し、気をつけるべきセキュリティー対策にはどんなものがありますか? 思い浮かぶものとして、1.ウイルス対策 2.ファイヤーウォール 3.フィッシング対策 4.スパイウェア対策 があります。 これ以外にも通常、気をつけるべきことはありますか? また、私のPCは、ウィンドウズ7で、MSのSecurity Essentialsを導入してます。 この状況で私は、上記の何に対応していることになるのでしょうか?1と2に対応できているように思うのですが、あってますか? 対応していないものを対応するために無料のソフトがありましたら、教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する