来年7月Pマーク取得にむけて,コンサルを招いて取り組んでいる印刷関係のものです。
技術的安全管理措置について質問させていただきます。
一般的に考えて,個人情報を扱うシステムのリスク管理の観点では,セキュリティソフトの導入は必須の事項と思われます。
しかし,弊社では制作部門でのコンピュータはMacintoshを使用しており,現時点でMacをターゲットとするウィルスは少数しか発見されていません。
「Macに対するウィルスのリスクは現時点では小さい」というリスク分析にもとづいて,対策ソフトの導入をMacコンピュータに対しては見送る,という措置をとった場合,Pマークの審査ではどのような判断となるでしょうか
来ていただいているコンサルも,このような事例を扱ってなく,一般的なWindowsコンピュータでの対策の話をしていただいています。
もちろん,企業として将来的にはMacにも強固な対策をしていく必要があることは認識していますが,現時点では,できる範囲での活動でPマークを取得していきたいと考えています。
審査上の判断,同様なケースの運用上の知恵,等々,アドバイスいただければ幸いです。
技術的安全管理措置について質問させていただきます。
一般的に考えて,個人情報を扱うシステムのリスク管理の観点では,セキュリティソフトの導入は必須の事項と思われます。
しかし,弊社では制作部門でのコンピュータはMacintoshを使用しており,現時点でMacをターゲットとするウィルスは少数しか発見されていません。
「Macに対するウィルスのリスクは現時点では小さい」というリスク分析にもとづいて,対策ソフトの導入をMacコンピュータに対しては見送る,という措置をとった場合,Pマークの審査ではどのような判断となるでしょうか
来ていただいているコンサルも,このような事例を扱ってなく,一般的なWindowsコンピュータでの対策の話をしていただいています。
もちろん,企業として将来的にはMacにも強固な対策をしていく必要があることは認識していますが,現時点では,できる範囲での活動でPマークを取得していきたいと考えています。
審査上の判断,同様なケースの運用上の知恵,等々,アドバイスいただければ幸いです。
|
|
|
|
コメント(6)
審査員がどう判断するか、ということになると、審査員次第という要素も強いと思います。仮にその点が指摘事項となってしまった場合どう対処するか、という観点から言いますと、ClamXav という、無償で導入可能な OSS の Mac 用ウイルス対策ソフトがありますので、それを導入するという「改善」が可能なのではないかと思います。
http://ewa4618.wed.macserver.jp/
問題は OSS であるということ(無償で導入できますが、企業による保証やサポートは供給されない)をどう考えるか、ということになるかと思いますが、規程等で「ウイルス対策ソフトについては適切なサポートを供給しているベンダによる製品を導入する」というようなことを明確に謳っているのでないのなら「何もしないよりははるかにマシ」という考え方はできるのではないでしょうか。
…あと、小手先のテクニックになりますが、最初は「『Macに対するウィルスのリスクは現時点では小さい』というリスク分析にもとづいて,対策ソフトの導入をMacコンピュータに対しては見送る」ということで審査に臨み、指摘された場合に上記ソフトウェアを導入して「改善しました」という報告にした方がいいかもしれませんね。無償で導入できるので最初から入れてしまっておく、というのもありだと思いますが、審査員から「でもこれってサポートが受けられないソフトでしょ?」と見られてしまうとマイナスに評価されてしまうかもしれませんので、だったら「何も対策していない」→「最低限対策を行った」としたほうが好印象になるかと思います。
http://ewa4618.wed.macserver.jp/
問題は OSS であるということ(無償で導入できますが、企業による保証やサポートは供給されない)をどう考えるか、ということになるかと思いますが、規程等で「ウイルス対策ソフトについては適切なサポートを供給しているベンダによる製品を導入する」というようなことを明確に謳っているのでないのなら「何もしないよりははるかにマシ」という考え方はできるのではないでしょうか。
…あと、小手先のテクニックになりますが、最初は「『Macに対するウィルスのリスクは現時点では小さい』というリスク分析にもとづいて,対策ソフトの導入をMacコンピュータに対しては見送る」ということで審査に臨み、指摘された場合に上記ソフトウェアを導入して「改善しました」という報告にした方がいいかもしれませんね。無償で導入できるので最初から入れてしまっておく、というのもありだと思いますが、審査員から「でもこれってサポートが受けられないソフトでしょ?」と見られてしまうとマイナスに評価されてしまうかもしれませんので、だったら「何も対策していない」→「最低限対策を行った」としたほうが好印象になるかと思います。
現地審査で指摘を受けました。
弊社も9割のPCがMacなのですが、
コンサルの方からは
「ウィルス対策ソフトがMacとあたったり不具合が出るから導入していません」
で通せば大丈夫と言われていたのですが
弊社の担当審査員は厳しかったらしく
(↑この他も細かい指摘が多く厳しいほうだったみたいです)
Macでもネットを使うならウィルス対策すべきだ!と指摘されました。
次の応答作戦としての
「ウィルス感染の事例が少ないから」
というのもあっけなく突っぱねられました…
現地審査の終盤で私も疲れていたため
「だってMacのウィルスなんて聞いたことないし!」
と言い返したのが、すごくスネて聞こえたらしく
審査員からドッと笑いが出たくらいです、、苦笑
そんなスネた私に審査員は
「じゃあ、ネット使わないでMac使ってください。できますか?」
といじわるく笑いました、、
その後、コンサルの方からは
「残存リスクとして認識していれば大丈夫」と言われましたが
念には念で
不具合の出にくいウィルス対策ソフトを探し
購入することにしました。
今ケータイから書き込んでるのでURLが貼り付けられませんが
『ウィルスバスター』という名前だったと思います。
弊社も9割のPCがMacなのですが、
コンサルの方からは
「ウィルス対策ソフトがMacとあたったり不具合が出るから導入していません」
で通せば大丈夫と言われていたのですが
弊社の担当審査員は厳しかったらしく
(↑この他も細かい指摘が多く厳しいほうだったみたいです)
Macでもネットを使うならウィルス対策すべきだ!と指摘されました。
次の応答作戦としての
「ウィルス感染の事例が少ないから」
というのもあっけなく突っぱねられました…
現地審査の終盤で私も疲れていたため
「だってMacのウィルスなんて聞いたことないし!」
と言い返したのが、すごくスネて聞こえたらしく
審査員からドッと笑いが出たくらいです、、苦笑
そんなスネた私に審査員は
「じゃあ、ネット使わないでMac使ってください。できますか?」
といじわるく笑いました、、
その後、コンサルの方からは
「残存リスクとして認識していれば大丈夫」と言われましたが
念には念で
不具合の出にくいウィルス対策ソフトを探し
購入することにしました。
今ケータイから書き込んでるのでURLが貼り付けられませんが
『ウィルスバスター』という名前だったと思います。
http://headlines.yahoo.co.jp/hl?a=20081203-00000050-zdn_ep-sci
こんな記事もあり、Mac=ウイルスはない、という教条主義的発想は、もっともPDCAからは縁遠く聞こえるのでダメでしょう。
しかし、ダメという審査員の力量問題もあり(たぶんMacを使ったことない人が多いこともあり)、なんとも中途半端な指摘候補となる可能性もあります。
この場合、現地審査時に、「これでいいんですか?」(的な審査員氏質問)にどう対処するかで、その後の運命(笑)が変わってくると思います。
a)教条的に、「大丈夫なんです」と根拠レスな託宣を連発→×
b)「残存リスクとして代表者も承認しています」とエビデンス提示→○になる可能性大。
c)なにもいえず...→×
しかし、審査員としては、(ときには酷い審査員もいますが)、現状より少しでもよくなってほしい、と願って指摘するはずなので、対応を(スケジュールも含めて)検討し、改善(実施/計画)の報告をされたほうがよいのではないか、とは思います。
※審査員と不毛な議論を続け、結果的にPマーク取得/更新が遅れることは、経営のリスクでしょうから。
こんな記事もあり、Mac=ウイルスはない、という教条主義的発想は、もっともPDCAからは縁遠く聞こえるのでダメでしょう。
しかし、ダメという審査員の力量問題もあり(たぶんMacを使ったことない人が多いこともあり)、なんとも中途半端な指摘候補となる可能性もあります。
この場合、現地審査時に、「これでいいんですか?」(的な審査員氏質問)にどう対処するかで、その後の運命(笑)が変わってくると思います。
a)教条的に、「大丈夫なんです」と根拠レスな託宣を連発→×
b)「残存リスクとして代表者も承認しています」とエビデンス提示→○になる可能性大。
c)なにもいえず...→×
しかし、審査員としては、(ときには酷い審査員もいますが)、現状より少しでもよくなってほしい、と願って指摘するはずなので、対応を(スケジュールも含めて)検討し、改善(実施/計画)の報告をされたほうがよいのではないか、とは思います。
※審査員と不毛な議論を続け、結果的にPマーク取得/更新が遅れることは、経営のリスクでしょうから。
ウィルスは,Mac上で発症しなくても,
ネットワーク内に存在すること自体がリスクですから,
ネットワーク上に存在させないための対策が必要ではないでしょうか。
ネットワークを介して入ってくるものであれば,
ゲートウェイやネットワークのブリッジで,アンチウィルスやIPSの機能を持ったものがあります。
媒体で入ってくるのであれば,
面倒でもウィルスチェック用の端末を1台用意して,
そこでウィルスチェックしてから使うようにすればどうでしょうか。
ネットワークを介してウィルスが混入した圧縮ファイルが入ってきたり,
VPNなどで,アンチウィルスをすり抜けて入ってくるものは,
経路を特定して,特定の端末でチェックしてから担当に渡せばよいでしょう。
そこまでやる必要が有るのか,という議論もありますが,
Pマークを取得するのは,それなりの面倒さと戦う覚悟がいるのではないかと思います。
ネットワーク内に存在すること自体がリスクですから,
ネットワーク上に存在させないための対策が必要ではないでしょうか。
ネットワークを介して入ってくるものであれば,
ゲートウェイやネットワークのブリッジで,アンチウィルスやIPSの機能を持ったものがあります。
媒体で入ってくるのであれば,
面倒でもウィルスチェック用の端末を1台用意して,
そこでウィルスチェックしてから使うようにすればどうでしょうか。
ネットワークを介してウィルスが混入した圧縮ファイルが入ってきたり,
VPNなどで,アンチウィルスをすり抜けて入ってくるものは,
経路を特定して,特定の端末でチェックしてから担当に渡せばよいでしょう。
そこまでやる必要が有るのか,という議論もありますが,
Pマークを取得するのは,それなりの面倒さと戦う覚悟がいるのではないかと思います。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
プライバシーマーク 更新情報
-
最新のアンケート
