ISMS認証取得、Pマーク認証取得、QMS認証取得やその維持(更新)に関するコンサルサポートを提供しています
皆様にとって最適な情報セキュリティソリューションを提供する企業です



私たちの出来ること

マネジメントシステム認証取得支援 
  教育/研修支援
内部監査支援

JISQ15001(Pマーク)
ISO27000(ISMS)
 ISO9000(QMS)
各種認証取得/維持更新サポート

BCP(事業継続)立案支援


など各種認証取得などでお困りのことが有りましたら
ご相談ください

Pマーク新規取得
個別無償オンラインコンサル始めました

お気軽にお申し込みください



   
情報セキュリティ教育
個人情報保護教育
内部監査人教育
(ISMS、PMS,QMS対応)
社内研修テキスト
各種教育/研修に関するサポート

毎年の教育テキスト作成やセミナー実施でお困りでありませんか?
PMSやISMS、QMSでは毎年の対象人員に対して教育実施が
必須条件として求められています

毎年、多くの企業様にご利用いただきご好評を得ています

セキュリティ教育でお困りのことがありましたら
お気軽にお問い合わせください


定期的な内部監査でお困りではありませんか?!


Pマーク/ISMS維持に必要な内部監査支援
監査計画から監査実施、報告書作成に至る
各種支援サポートについてご相談に応じます

 


サービス・その他なんでも情報セキュリティに関する
ご相談/お問い合わせください


 

 弊社サービスの情報をお届けします

コロナ・コロナと世の中、なかなか落ち着いてきませんね・・
リモートでの会議が依然と増加傾向にあります
その様な中でPマークの新しい審査基準が発表されました
現状の規程類についてどのように対応すればよいのか??
とお困りの方々! ご安心ください
お困りの場合は当社にご相談ください
具体的な修正ポイントについて判り易く説明させていただきます
まずはお問い合わせを





Pマーク新規取得個別無償相談をネットで実施しています
ZOOMによる個別相談(無償)です
(想定相談対応内容)
概算取得費用、準備する作業項目、参考日程
その他、様々な疑問に個別にお答え対応いたします


Pマーク取得を考えたいが取組方法やそもそも何を準備するべきか判らないので今更ながらの説明を判りやすく聞きたい/相談したい方に最適な無償個別相談です

開催ご希望、時間帯をお知らせください:都合によりご希望に添えないことがあります

参加定員1名/1社(同一会社の場合複数名可)限定です
申込受付完了された場合はZOOM招待メールをお送りします
お申し込みは以下フォームからお申し込みください



ご注意:ご利用のネットワーク環境にご注意ください
ご利用環境によっては正常にご利用頂けない場合があります


弊社はPマーク取得企業です

 

一層のお客様視点に立ってセキュリティソリューション
提供してまいります

2020/10 只今、ホームページリニューアル中です
お見苦しいところがあると思いますがご容赦ください

当社はセキュリティアクション推進企業です
SECURITY ACTION を宣言しました(2018/8/)
SECURITY ACTION 普及賛同団体として認められました

セキュリティアクションとは

 


 

 情報セキュリティに関する様々な情報をお届けします  一覧 

   2022/5/4
個人情報保護法改正における
「安全管理措置公表義務」での記載事項について
個人情報保護法改正では「安全管理措置公表」について義務化されたことはご存じと思います
特にPマーク取得事業社の方々で保護方針の見直しを行う場合にどのように公表しようか頭を抱えているのではないでしょうか?
JIPDECでは実に簡単な記載で公表していますので、事業者の記載モデルとして活用できるのではないでしょうか?

--個人情報保護の取り組み|一般財団法人 日本情報経済社会推進協会 (jipdec.or.jp) 安全管理措置記載例抜粋

--------------------
上記のように要領よくまとめて公表されています
安全管理措置についての公表ですので手の内を詳細に明らか(公表)することは事業者にとって新たなリスクを抱えることになります
このJIPDECの事例のように記載されるのも有りかと思います
審査の時に審査員から指摘をもし受けた場合は「JIPDEC」が・・・と説明されてもOKかと思います
結果は自己責任でお願いします(笑)

  2022/4/06
3月14日、「EmoCheck」v2.1.1が公開されました。
Emotet感染確認ツール「EmoCheck」v2.1をJPCERT/CCが3月に公開しました
2月に更新された挙動の変化に対応されたバグフィックス版です
Releases · JPCERTCC/EmoCheck · GitHub
から確認できます
Emoteiの感染が広がっています
是非、ご利用の環境の確認をされてください



   2022/2/23
ISO27002が2022/2に改訂されました
ISO27002が2022年2月に改訂されました
今のところISMS認証基準である27001の改訂は行われていませんが本来、27002と27001は一体であるべきなので近い将来、27001の改訂も行われるものと思われます
今回の改定内容は、情報セキュリティ管理策の数が14カテゴリー114項目から、4カテゴリー93項目に削減されました
新しい4つのカテゴリーは以下となっています
organisational controls ・・・組織の管理策
people controls ・・・・・・・人の管理策
physical controls ・・・・・・物理的管理策
technical controls ・・・・・技術的管理策

その他、11個の新しい管理策が追加され、24個の管理策が既存の2013年版の管理策と統合され、既存の2013年版の58個の管理策が更新されています

   ISMS審査は27001を要求事項として審査が行われます
今のところ27001の改訂は行われていませんので直接審査には関係ありませんが27001と27002は一体であるべきなので早晩、27001の改訂が予想されます
そのためにも今回の改訂について内容理解に努めることは必要と思います
なお今のところJIS化は行われていませんので国内対応はもう少し時間がかかるものと思われます(2022/2/23現在)

   2022/2/16
「Windows10 バージョン20H2」のサポートが5月に終了!
Windows10バージョン20H2のサポート終了が近づいてきた(5月)とアナウンスがありました
サポート終了するとセキュリティアップデートが行われなくなります
こまめにアップデートされていれば良いのですがされていない方は21H2へお早めにアップデートされてください
詳細は以下からご確認ください:

Windows 10 20H2のサービス終了が近づく Microsoftが21H2へのアップデートを告知 (msn.com)

使っているPCのバージョンは「システム」の中の「詳細情報」で「Windowsの仕様」から確認できます
記載されているバージョンが「21H2」であればOKです
それ以外の場合は早めにアップデートされることをお勧めします


   2022/2/12
国際標準化機構(ISO)は現時点でISO9001を改訂せずと決定!
国際標準化機構(ISO)の技術委員会から5年程度で改訂が予想されていたISO9001:2015の改訂を現状行わないという決定が下されたようです
ISO9001:2015においては従来、5年に一度見直しを行うと言われていましたが、この度、委員会で評議した結果、現状のところ見直しは行わないとの決定が下されたとのことです
これにより、今後見直しが再検討された場合、それに関するレビュー(5年程度)や開発時間(3年程度)を考慮するとISO9001の改訂版は2030年まで発行されない可能性が出てきました
であれば現状の2015年版が長期に渡り運用されることになります
改訂を新たなビジネスチャンスとして心待ちにされていたISOコンサル諸氏にとってしばらくお預けになるものと思われます
詳細はこちらから
ISO は現時点でISO 9001は改訂せずと決定| (irca.org) JRACホームページ

ところでISO27002については2022年2月に改訂版が発行される予定であり、相互の整合性を維持するためには、ISO27001にも改訂版(または、既存の規格の暫定的な修正版) が必要となるものと予想され、その分野では少しコンサル諸兄は忙しくなるものと思われますので情報収集を怠りなくされてください
2022年がコンサル諸兄にとって良き年でありますようお祈りしています (^^♪

  2022/1/30
IPAより2022年10大脅威が発表されました
IPAから2022年10大脅威が発表されました


前年から大きな順位の変化はありませんが「組織」向けとして7位に「ゼロディ攻撃」がランクアップしてきました
また関連として「脆弱性に関する事項」も6位に上がってきています
自社におけるリスク管理を確認する指標として活用もありかと思います
詳細は
 プレス発表 「情報セキュリティ10大脅威 2022」を決定:IPA 独立行政法人 情報処理推進機構 
からご確認ください

   2022/01/03
医療機関へのランサムウェア事件 続報!
徳島の医療機関で発生したランサムウェア攻撃での続報が入ってきましたので、情報の共有を行うことにより同様な事故発生防止とされて下さい
直接的な原因としては以下VPN装置の脆弱性を突かれた不正アクセスによる保有データベース(画像診断情報や電子カルテ情報)の書き換え(勝手な暗号化など)が行われたため、迅速な復旧が困難な状況になり医療業務が長期間に渡って多大なる影響を受けたもの

<脆弱性のある対処が必要となっているVPN装置や他システム類>
・ Fortinet 製 Virtual Private Network(VPN)装置の脆弱性(CVE-2018-13379)
・ Ivanti 製 VPN 装置「Pulse Connect Secure」の脆弱性(CVE-2021-22893、 CVE2020-8260、CVE-2020-8243、CVE-2019-11510)
・ Citrix 製「Citrix Application Delivery Controller」「Citrix Gateway」「Citrix SD-WAN WANOP」の脆弱性(CVE-2019-19781)
・ Microsoft Exchange Server の脆弱性(CVE-2021-26855 等)
・ SonicWall Secure Mobile Access (SMA) 100 シリーズの脆弱性(CVE-2021-20016)
・ QNAP Systems 製 NAS(Network Attached Storage)製品「QNAP」に関する脆弱性 (CVE-2021-28799、CVE-2020-36195、CVE-2020-2509 等)
・ Windows のドメインコントローラーの脆弱性(CVE-2020-1472 等)

上記機器/システムは遠隔地医療や地域の広域医療システムを構成する中でよく使われているものであり脆弱性への対処を怠って利用し続けていると外部からの思わぬ攻撃を受けてしまう恐れがあります
またバックアップについてもネットワーク上のHDDなどへのバックアップのみで運用されていると同一ネットワークを経由してバックアップファイルも攻撃対象となり、肝心な時に利用できないことになります
今回がまさにその事例となりました
バックアップは、どこかのタイミングでオフライン媒体へ保存し、保管場所も分散化などを図る必要性について考慮することが重要です

今一度、自組織で使われている機材にセキュリティに関する穴が空いている状態で使われていないか、専門家への相談も検討するなど、自社だけで対応することを考えず専門家の意見を参考にシステムの安全性向上を図ってください
ちなみに徳島の医療機関では再発防止対策として2億円規模の予算を組んで対応されるとのことです
後手に回った事故発生後の対応ではそのコストは大きく膨れ上がる可能性があり、経営者の事前理解と判断が傷口を広げない最善の方策で有ると思われます
まずは医療などの社会システムを担っている事業者は現状の問題点を抱えて運用が行われていないか、早急に自社システムのリスク評価を行い、
事故発生防止に努めてください
    2021/12/26
Pマーク更新申請はお早めがお勧めかも・・・
(可能であれば3月末までに・・)!
Pマーク審査基準が2022年3月末まで現在の審査基準で行われることは既にご存じと思います
そのため、3月末までの申請書提出におけるPマーク審査では既に施行されている保護法の一部やガイドの一部を除いて、積極的な変更は求められないと思われます
よって、3月末までに更新申請が可能な企業はそれまでに更新申請を行うことにより、従来の審査基準での審査となり規程類の新審査基準への対応について極端に言えば次回審査まで時間的余裕が生まれるものと思います
(注:あくまでも余裕であって見直しをしなくても良いと言うことではありません:念のため・・・)

新審査基準に対応した規程類の見直しでお困りなことがありましたらご相談ください
経験豊富なコンサルが対応させていだきます


   2021/11/23
市役所に盗聴器が・・・
兵庫県川西市役所において盗聴器が設置されていたことが明らかになりました
約1年ほど前から設置されていたとみられています
某放送局のテレビ番組で盗聴器関係の調査番組取材中に、偶然川西市役所から怪しげな電波が発信されていることが判り調査した結果、ACアダプタータイプの盗聴器が執務室に設置されたテーブルタップに刺さっていることを発見しました
場所的には総務課の付近で、入札関係の取扱い部署近くとのこと
今のところ個人情報などの情報漏えい被害の可能性は低いとのことですが市役所として警察に被害届を提出したとのことです
電波の到達距離は200Mくらいあるとのことで、近くに停めた車の中から長時間にわたって盗聴可能で有ったようです
身の回りの環境で、怪しげで不自然なAC増設タップなどを発見したら、念のために誰が設置したのか確認を行い不必要な装置はできるだけ撤去するように努めましょう
実にアナログな手段による情報漏えい事故/事件でしたが貴方の職場でもどこかで誰かに覗かれている可能性があることを理解しリスク対応を行ってください



 
 2021/11/10
徳島の病院でランサムウェアに感染し医療業務に多大な影響が・・・
徳島県北部にある、つるぎ町立半田病院で2021年10月31日、ランサムウエアに感染したと発表されました
同病院によると、同日の午前0時半、院内の電子カルテシステムにおいて、英語による文書が大量に印刷されているのを病棟看護師が発見し電子カルテシステムが使えなくなり、診療に支障をきたす事態となったとのことです
電子カルテにはおよそ5万人分の患者カルテ情報が記録されていたとのこと
犯人からは未だ一切の接触は無く診療で使っている電子カルテシステムが感染し保存データが暗号化されるとともにバックアップシステムも感染していると判明し現状、診察に必要なカルテ情報について手作業でPC入力を行い院内の情報共有で診療で利用する緊急事態になっているとのことです
今のところ復旧の見込みは立っていないとのこと・・・
そもそも医療システムは外部ネットワークとは直接接続していないが唯一、地域医療システムとは接続されておりそのあたりから侵入されたものと思われます
よって犯人から見ても直接病院が見えていない状況にあり、ウィルスが勝手に院内で活動しているものとも考えられます

バックアップも同一LAN上に構成されたファイルシステムにある場合、容易に感染を許してしまうことになりネットワーク構成からも安全な接続をシステム構築時に考慮しておかないと、いざという時に全く役に立たないことになってしまいます
重要なファイルのバックアップ方法について特段の対策が必要と思わせる事例となりました
医療など社会システムに直結する重大な事故事例とし、自社におけるリスク対応の見直しの必要性について再考される良き事例であると思われます


つるぎ町立半田病院 (handa-hospital.jp)

 2021/10/16 10/17追加記載
JIPDECより「個人情報取扱い事故報告集計結果」について2020年度版が発表になりました
2019年度と比較して報告事業者数(985社⇒939社)は若干の減少が見られますが事故報告件数は(2543件⇒2644件)増加しています
報告された事故報告内容を見ると「誤送付関連」が1648件(62.3%)と一番多くなっています
先日も話題になった日本年金機構の年金通知書誤送付問題もこの辺りの話になるものと思います


発表された情報を簡単に整理すると上記のようになりちょっとした原因の漏えい事故が全体の74%を占めているようです
詳細は以下でご確認ください
参考URL:その他のNEWS|2020年度「個人情報の取扱いにおける事故報告集計結果」について|プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC) (privacymark.jp)

いつか来た道と感じる年金機構漏えい事故問題ですが、宛先情報と中身の年金情報の突き合わせチェックという簡単な確認を怠った結果発生した事故と考えられますが、DM事業者として基本中の基本動作が漏れていたということでしょうか・・・
請負い事業でのDM関連作業は一般に数は多いものの(今回は350万件超)作業単金は比較的安く、事業者にとって一旦事故発生時には重い責任を負わされる事となるケースが多く割の合わない作業と言われています
そのような中で発生した事故ではないかと思われますが皆さんはどう思われますか?
とはいえ、だからと言って起こしても良い事故ではありません
今回の事故発生においてもその様な受注環境で発生したのではないかと推測されます
---
★10/17追加記載
本件で時間が経過するにともない詳細が聞こえてきました
ちなみに委託先はPマーク取得事業者である岐阜の印刷事業者とのことです
JIPDECや審査機関(中部産業連盟)からも調査が開始されると思います
実際の誤送付件数は97万件となっていますが、発送前で郵便局で止めたのが352万件に及んでいるそうです
今回から年金通知書のハガキデザインが従来は縦型だったものが横型になりそれに伴い印刷プログラムが変更になったのですが、その際に表と中身の印刷データにずれが生じたようです
通常は少なくともロット単位に印刷確認を行っていたようですが今回は何故か確認が行われていない、印刷業者の完全なる瑕疵であると考えられます
幸いにも振込業務は年金機構が別途行っていますので今のところ異常は発生していないことは幸いと言えるかと思います
再印刷、再送付で追加費用は
5千万円は発生するようで、全て印刷業者負担となることは間違いないでしょう
多くのDM事業者は責任が大きい割に、事業的にペイしないとのことで撤退が進んでいるようで一部の事業者への寡占化が進んでおり委託側としても委託先を選べない深い社会的問題もあるようです
---
年金機構も委託事業者に丸投げではなく、適切な委託先管理を行う管理責任があることは自明です
DM事業ではチェックの自動化が進んでいるはずで当然行っていたと思われ、今回の事故原因のさらなる発表が気になります
根本原因の発表がありましたらまたお知らせしたいと思います

昨日の携帯電話ネット事故も然り、社会システムに関係した事故発生は話題性も高く、当事者になった事業者にとっては一定期間の入札停止等、事業継続において大きな課題を背負うことにもなります
ひょっとすると今年の年末を越えられない・・・なんてことにならないよう祈るばかりです

   2021/10/05
Pマーク新審査基準に対応するための
規程類見直しポイント
2021年9月にPマーク審査における現行審査基準と新しい審査基準の対応表が公開されました(2022/2改訂)
構築・運用指針と(現行)審査基準との対照表(2022年2月14日改訂版) (privacymark.jp))
2022年3月末までに更新申請を行った場合は従来の審査基準でPマーク審査が行われますが4月以降に
申請を行った場合新しい審査基準で審査が行われることになりました
新しい審査基準では従来は含まれていなかったJISQ15001の基本要求事項に関する用語も含めて
「新設」という形で審査基準への取り込みが行われています

(新設まとめ概要)具体的内容はJIPDEC資料でご確認ください

Pマーク更新事業者については従来の規程に関して上記項目を中心に追記/見直し対応が必要かと思います
具体的にどのように行うかは各社のノウハウになるためここでは具体的に説明できませんが2022年1月から2月にかけて保護法改正対応についてもJIPDECからアナウンス予定となっていますので、それを確認してからでも遅くは無いと思います
またそろそろJISQ15001:2017年版の改訂が行われる頃ですので2022年はPマーク取得事業者や対応コンサル事業者にとってかなり多忙な年になりそうですね
なお、新審査基準規程見直し対応でお困りの節はお気軽にお問い合わせください
弊社ではPマーク新規取得/更新対応についてサポート支援を行っていますのでご遠慮なくどうぞ・・
問い合わせは「問い合わせフォーム」からご依頼ください
(コマーシャルでした)

一覧
PマークやISMS認証取得でお困り事がありましたら何なりとご相談ください

📞:050-3694-4104  :pmark-info@isec-lab.com

 TOP  会社概要  サービス  問合せ  企業理念  お知らせ  個人情報保護基本方針  情報セキュリティ基本方針  合同会社情報セキュリティラボ