– go to post

先週末にISMS認証の初回審査二次が終わりました。
ISMSとは、国際標準規格ISO27001に従い、組織における情報資産(顧客情報や個人情報など)のセキュリティを管理するための枠組みを設定し、実施するマネジメントシステムであり、ISMS認証を取得することは、一定のセキュリティを有していることを第三者機関に認められるということになります。
最終的に認証取得できるかを決定する判定会議は8月末なので、結果はまだ出ていませんが、審査員の方からもまず間違いなく大丈夫とのお墨付きをいただきました。

ISMS認証について何もわからない状態から始まった今回のプロジェクト、コンサルタントの先生や、一次審査時に審査員の先生からいろいろとアドバイスをいただいて、弊社の業務にできるかぎり支障の出ない範囲内でいかに高いセキュリティを維持するかのルールづくりをしていきました。
すべてが初めてのことなので、手探り状態の中、なんとか仕上げ、それに沿った運用を開始し、無事初回審査も終わったということで、ほっと一安心といったところです。

とはいえ、ISMS認証は取得したら終わりではありません。
1年に1度の維持審査と、3年に1度の更新審査がありますし、何より会社の情報、お客様の情報を守ることはずっと変わることのない使命です。
また、今年に入ってから何かとランサムウェア等のウィルスが話題になっているように、脅威は日々変化していきます。(ランサムウェア自体は数年前からありますが)
セキュリティを維持するのみでなく、より強化していくためにも定期的に社内で話し合い、ブラッシュアップしていかなければいけません。

実際にISMS認証を取得できるのは9月予定ですが、既に取得確実であるだけの情報セキュリティを持ち、今後も常に取り組み続けておりますので、皆様には安心して東3冷凍機と接していただければと思っております。


 
– go to post

このブログは基本的に弊社スタッフがエアコンのことや、ご縁のあったお客様のことを書かせていただいていることが多いのですが、私はジャンル分けをするとしたら一般的に情シスと呼ばれる分類の業務を担当していますので、直接エアコンに関わることはほぼありません。
その代わり、社内システムやネットワークの管理など、コンピュータに関することは一通り担当しており、当然セキュリティを維持することも私の大きな仕事のひとつです。

セキュリティといえば、昨年あたりから急増しているのがランサムウェア、身代金要求型不正プログラムです。
ランサムウェアとは何かを簡単に説明すると、PCそのものやPCの中のファイルを勝手に暗号化し、それを解除するためのパスワードがほしければお金を払うよう要求されるというものです。
無差別に出回っているスパムメールに含まれていることも多いですし、法人企業を集中的に狙っていることも多いです。
会社としてはデータが使えなくなると困るため、身代金を払ってでも早くデータを取り戻したいということで、要求に従ってしまうこともかなり多いようです。

ランサムウェア 身代金要求
写真)ランサムウェアの一例

セキュリティソフト会社などでは復号ツールを無償で提供しているので、もしランサムウェアによって暗号化されてしまった場合、要求に従わず、まずは各社の復号ツールを試してみると良いと思います。


 
– go to post

昨年より取り組んできた情報セキュリティ(ISMS)の認証(ISO27001)取得への道ですが、昨日、まずは1日半にわたる一次審査を終了いたしました。

エアコンの販売・設計・施工を行う会社がなぜわざわざ情報セキュリティの認証を取得するのか、いまひとつピンと来ない方もいると思います。
大切なお客様の個人情報を取り扱わせていただいていること、さらにメール等を通じて様々なお客様や協力会社様とやりとりをさせていただく中で、そういった情報データ(電子データだけではなく紙媒体も含めて)をどう取り扱うかを規定するということは非常に重要なことであり、そういった取り組みをきちんと行っているという証明として認証を取得することで、皆様にも安心して弊社を選択していただけるようにとの思いがあります。

審査の話に戻りますが、一次審査は書類審査で、弊社における情報セキュリティ規則を始め、作成した各資料を審査していただきました。
起ち上げからこれまでコンサルタントの先生に話を伺いながら進めてきたとはいえ、なにぶん初めての経験ですので、ドキドキしながらの受審となりましたが、終始和やかな雰囲気の中、それでいてしっかりと審査、説明をしていただきながらの進行となりました。
結果としましては、いくつかの修正点、課題点の指摘はありましたが、それらは二次審査までに見直せば良いということで、まずは一歩進んだところです。

とは言いましても、二次審査まで1ヶ月しかありません。
今回は書類審査のみでしたが、二次は実地審査となり、実際の業務において規定した情報セキュリティが守られているかという審査になります。
一次審査で挙げられた課題の修正はもちろん、各支店を含む全社での審査が行われますので、それに向けてのさらなるスタッフへの周知活動および内部監査等、二次審査までの1ヶ月間にやるべきことはまだまだありますので、もうひと頑張りです。

ISMS 審査
写真)ISMS一次審査会議中


 
– go to post

先日書いたブログがサーバ移転の際に削除されたため、改めて先日の内容も交えつつ、記事を書きたいと思います。
ちなみに、移転後初ブログということで、ちゃんと記事を書けるかどうかの検証も兼ねています(笑)

ここ1週間ほどで、Web、メール、社内ファイル、データベースのすべてのサーバを変更しました。
Webとメールは別のホスティングサービス業者へと移行し、社内ファイルサーバとデータベースサーバについては遠隔地のデータセンターにサーバマシンを置く形へと移行しました。
そのため、もし万が一名古屋で大きな災害が起こり、弊社が被災するようなことがあったとしても、重要なデータ(特にお客様からお預かりした情報)には影響なく、しっかりと守ることができるようになりました。
他にも社内の情報セキュリティ向上のために様々なシステムや設定をこの機会に加えています。

弊社Webサイトについては、Webサーバを変更したことで今朝方アクセスできない時間帯がありましたが、現在は移行も完了しております。
メールについては、自動的に切り替わる設定が問題なく働きましたので、受信漏れなどのトラブルは起きておりません。

先ほど、ここ1週間ほどでと書きましたが、当然準備開始からここまで来るのには紆余曲折ありつつ、それなりの期間がかかったわけですが、これで一通り移転作業は終わりました。
とはいえ、設定や検証がすべて終わったわけではありませんし、課題も残っています。また、システムを変えた直後は社内ヘルプデスクの仕事も当然増えますので、ほっと一息というわけにはいかない現状です。


 
– go to post

セキュリティを担当している人間として、昨日は見逃せないニュースがありました。
FacebookのCEOであるザッカーバーグ氏のTwitterとPinterestのアカウントが盗まれたというものです。
FacebookのCEOという、ITのプロ中のプロがなぜアカウントを盗まれてしまったのか。
真相は不明ですが、どうやらそこには2つの理由があるようです。

まず一つは、安易なパスワードを設定していたこと。
ハッキングしたクラッカー集団「OurMine」の発表が本当であれば、そのパスワードは「dadada」という非常に安易なものであったとか。
Twitterを見てもまともに使っていないので、適当にアカウント作成しただけなのかもしれませんが、それにしてもイメージダウンになりますし、正直、ITに関わっている人間がこんなパスワードにしてるなんてまったくもって信じられません。
もちろん「OurMine」がザッカーバーグ氏を馬鹿にするために嘘のパスワードを公表した可能性はありますし、そうであると信じたいですが……。

もう一つの理由は、パスワードの使い回し。
今年5月に騒ぎとなったLinkedlnの漏洩問題、その中にザッカーバーグ氏のメールアドレスとパスワードも含まれており、TwitterとPinterestでも同じパスワードを使用していたのではないかと言われています。
パスワードの使い回しはとてもよくあることではあるのですが、これもザッカーバーグ氏ほどのものがやっていたというのが本当であれば、セキュリティに携わる人間としてもとても悲しいものです。
しかも公表されたのが今年5月というだけで、実際にLinkedlnのデータがハッキングされたのは2012年のことですから、この話が本当であれば、それからパスワードを変更していなかったということにもなります。

では、そんな私はパスワード管理をどうしているか。
例えば上にも出てきたTwitterで言えば、私の個人的なTwitter(絶対にアカウントは公表しませんよ!)のパスワードは英数字(大文字・小文字両方含む)ランダムの20桁以上です。意味のある単語が入っているわけでもありません。
よくそんな20桁以上も覚えていられるねって?――覚えているわけないじゃないですか。
じゃあブラウザ等にパスワードを記憶させてるのかって?――そんなことしたら、その記憶させてたパスワードが消えちゃった時や、別の端末からログインする時にパスワードがわからなくなるじゃないですか。

では、どうしているのかというと、1Passwordというパスワード管理ソフトを使っています。我が家のPCにもスマホにもタブレットにも同じものを入れてあります。
暗号化されたパスワードデータはクラウドに保存してあり、それを開くためにはマスターパスワードが必要になっていますので、そのマスターパスワードさえ覚えていれば、どこにいてもすぐにパスワードがわかるというわけです。
もちろんマスターパスワードもある程度の桁数と、予測しづらい文字列で構成されています。
このパスワード管理ソフトを使う利点は、もちろん桁数の多い複雑なパスワードを記憶させておけるというのもありますし、それと同時に各サイトやサービスごとに別々のパスワードを設定しておいても、マスターパスワードさえ覚えておけばいいので、例えばどこかしらのSNSサービスがハッキングされてパスワードが流出したかもしれないというニュースが出れば、その特定のSNSサービスのパスワードさえ変更すればいいので、管理が非常に楽になります。
対応しているサービス等であれば、入力支援機能も使えるので、入力そのものも楽になってしまいます。

なんだか宣伝みたいになってしまいましたが、パスワードというのはどこからでも開けられる家のカギみたいなものですから、本当に大切なものです。
パスワードの管理は面倒で、ついつい安易なパスワードにしたり、同じパスワードをあちこちで使い回したりとしがちですが、そのパスワードを盗まれた時にはもっともっと面倒な事になってしまいますので、しっかりとしたパスワード設定および管理を心がけるようにしましょう!


 
– go to post

伊勢志摩サミットが開幕しましたね。
散々ニュース等でも取りあげられている話題なので、サミットについての話はしませんが、個人的にとても気になっているのはサイバーテロのこと。
今月21日、伊勢志摩サミットを取材するメディアのための宿泊施設の一つにサイバーテロと見られる罠が仕掛けられているのを、朝日新聞の記者が発見しました。
その罠とは、メディアの人たちが宿泊施設のWi-Fiを利用するのを狙って、その取材データ等を盗むために仕掛けられたものだと予想されます。
では、なぜ朝日新聞の記者がそれに気づいたのかというと、宿泊施設のWi-Fiに繋げてインターネットにアクセスしていたところ、サイト上の広告表示に時間がかかるなど、挙動に異変を感じたとのこと。
そこで調べてみると、本来はシンガポールのサーバから配信されているはずのその広告が、ロシアのサーバから配信されるように切り替わっており、さらにWi-Fiの電波を出す無線ルータの設定も改ざんされていたとのこと。

実際に今回のサイバーテロがどのようなものかは詳細発表がないため(あるけど知らないだけかもしれませんが……)、詳しい事はわかりませんが、おそらくその広告画像をクリックしてしまうと、ウイルスが仕掛けられたサイトに接続され、そのウイルスに感染することでPC内のデータが盗まれる危険性があったのではないかと思われます。
しかし、実際自分がその記者だとして、異変に気づくことができたでしょうか?
広告の表示に時間がかかるといっても、普通はちょっと回線が重くなっているのかなぐらいにしか思わないでしょう。しかも普段からその宿泊施設を使っているならまだしも、当然そういうわけではないでしょうし。

もちろんサイバーテロ対策に関しても厳重に警戒をしているでしょうけれど、サイバー攻撃の怖さは、基本的に形の無いものですから、もしかしたら気づいていないだけで、重大な事件が既に起きているのかもしれないという可能性。
こればかりは気づかない以上、犯人以外にはわからないことなのでどうしようもありません。
先日もiCloudに画像データをアップロードしていた芸能人のプライベート写真に不正アクセスしていた人が捕まりましたが、気づいていないだけで自分のデータだってどこかで誰かに見られている可能性は十分にあります。
私個人もハッキングの被害に遭ったことはありますし(業務上の出来事ではありませんよ!)、サイバー攻撃やハッキングといったものは実はものすごく身近なものであるということは皆さん認識しておくべきだと思います。

私も社内のサイバーセキュリティを任せていただいてる身として、不正アクセスを許すことのないよう、常に肝に銘じております。
どうせ今日も何もないだろう、そんな慢心が大きな事故を起こします。
ネットワークを通じた弊社のシステムやデータに異常がないか、怪しいアクセス記録がないかといった監視作業は何もないことが一番の成果であり、「異常無し」が続けば続くほど良いという、頑張ってるんだか頑張っていないんだかよくわからない、実に地味な仕事です。しかし、とても大切な仕事です。
ですから私は、今日も周りの人からも何しているのかわからないという目を向けられながらも、異常なアクセスが無いかのパトロールを欠かさないのであります。


 
– go to post

キヤノンシステムアンドサポート様主催の情報漏洩対策セミナーに、弊社の情報セキュリティ委員会を代表して行ってまいりました。

内容としては、SKY株式会社様を講師にお迎えして、藤原竜也さんがCM出演していることでもおなじみの「SKYSEA Client View」を利用した情報漏えい対策の具体例を見せていただくことができました。

以前にもブログで書きましたが、弊社では現在ISMS認証取得に向けて動いており、当然その中で様々な情報漏えい対策について改めて考え、実施していこうとしている最中で、こういったソフトウェアがあるということは紹介していただいていましたが、実際にセミナーでお話を聞いて、操作するところを見せていただくことで、とても多機能で、素晴らしいソフトウェアであることを実感いたしました。
PC端末はもちろん、USBデバイスなども管理でき、管理を一任されている身としては、興味深い機能が勢揃いで、話を聞いていてワクワクしました。

弊社では主にMacを使用しているため、残念ながら色々と制限はありますが(特にアラート関係の大部分や、各端末に管理機からソフトウェアの配布・インストールできる機能がMacでは利用できないようなので非常に残念)、導入するとなればセキュリティが向上するのはもちろん、管理する側としてもやりやすくなるので、ぜひ導入したいなと個人的には思いました。

同ソフトウェアを実際に導入するかどうかはまだこれから社内で話し合って決めますが、どちらにしても、既存の他の各システムや、これから導入しようとするシステムとの連携性を考え、できるだけ少ないシステムの中で多くの機能を使えるようにすることでコストを抑えつつ管理をしやすくし、その上で万全のセキュリティ体制が作れるよう、考えることは本当に沢山ありますし、まだまだやらなければならないことだらけです。

もちろん、以前にも書いたとおり、私個人だけが頑張ってどうにかなるものではありません。情報セキュリティ委員会のスタッフはもちろん、全社員すべてが一丸となり、セキュリティレベルを上げるだけでなく、全社員のセキュリティ意識の統一化に向け、ISMS認証取得への道を進んでいきます。
その旅はまだまだ始まったばかりで、これからが本当に険しい道が待っています。
ですが、スタッフ全員が東3冷凍機魂を持って一歩一歩確実に前へ進めば、きっと乗り越えられると信じています。
道がないわけではありません。
たとえどれだけ険しくても、そこに道がある限り、その道を進めば必ず目標地点へたどり着けるのですから、私たちは進み続けたいと思います。

ひとりはみんなのために
みんなはひとりのために
ひとつになるために・・・


 
– go to post

ISMS取得のための研修を受けました。
ISMSとは、組織における情報セキュリティを管理するための仕組みということで、IT化が進んだ現代において避けて通ることのできない情報漏えい等の脅威から守り、リスクを軽減させるための情報セキュリティマネジメント・システムです。
と書くと小難しそうで、会社がISMS認証取得に向けて動いているということは私も知っていましたが、実際に何をしなければいけないのかについてはさっぱりわかりませんでした。
そんな私のようなスタッフのために今回、主にオフィスのゾーニングや書類削減および整理整頓について、実際にISMS認証を取得して実施している職場を見せてもらい、話を聞く機会をいただきました。

ISMS研修

実際に見せてもらうととても綺麗に整理整頓されていて、そのための工夫もあちこちに見られました。
もちろんただ綺麗なだけでなく、セキュリティ面でもしっかり考えられていて感心させられました。
でも話を聞くと、元々は書類が机の上に山積みになっていたものを、会社をあげて徐々に整理整頓や、紙媒体そのものを減らすといった努力をして今があるということで、大変ですが私も頑張らなければ。