月別アーカイブ: 2021年8月

書籍紹介『ISO 22301:2019 事業継続マネジメントシステム 要求事項の解説』(中島一郎・岡部紳一・渡辺研司)

このエントリーをはてなブックマークに追加

まず重要な前提として、この本が「ISO 22301 による認証取得のためだけの本ではない」という点は強調しておきたいと思います。

日本における非常に残念な誤解のひとつが、「マネジメントシステム規格は認証取得のためだけに使われるものだ」というような思い込みです。実際には、規格では国際的に合意された用語の定義や、取り組み方の枠組みなどが提供されており、認証取得するか否かにかかわらず、広く活用されるべきものです(実際に諸外国ではそのように活用されています)。

ところが日本では、前述のような誤解が根強く残っているために、認証取得を目指さない人や組織は規格を読まないし、規格に関連する参考書も読まない、という状況が続いています。

この問題については下の動画でも語っておりますので、お時間がありましたらご視聴いただければ幸いです(写真をクリックすると YouTube のサイトが開きます)。

さて、前置きが長くなりましたが、今回紹介させていただく本は、JIS(日本産業規格)のマネジメントシステム規格に合わせて、日本規格協会から出版されている一連の書籍群のひとつです。私自身、これ以外にリスクマネジメント(JIS Q 31000)および情報セキュリティ(JIS Q 27001)など、いくつかの書籍を持っていますが、いずれも規格の制定に関わった方々を著者に迎えて作られているので、これらの規格に関わる仕事をする人にとっては必読本となっています。

本稿で紹介させていただく本に関しても、3 名の著者はいずれも JIS Q 22301 素案作成委員会のメンバーであり(委員長は渡辺先生)、また JIS 規格の元となっている ISO 規格を制定するための委員会にも参加されているので、この規格のことを最も熟知されている方々と言えます。

–   –   –   –   –

【書籍情報】

中島一郎・岡部紳一・渡辺研司(2021)『ISO 22301:2019 (JIS Q 22301:2020) 事業継続マネジメントシステム 要求事項の解説』日本規格協会

Amazon リンク

–   –   –   –   –

本書はもともと ISO 22301 の 2012 年版に合わせて出版されていましたが、ISO 22301 が改訂されて 2019 年版に、これを元に制定された JIS Q 22301 も改訂されて 2020 年版となったことを踏まえて、新たに出版されました。

いま私の手元に新旧 2 冊が並んでいますが、本の厚みが概ね 3 割増くらいになっています(価格は約 4 割増)。

(左が旧版、右が新版)

本来、規格というものは、規格本文だけ読めば内容を正しく理解できるように書かれているべきだと思いますが、実際にはなかなか難しいものがあります。しかも、もともと英語で書かれている ISO 規格を JIS 化する際に、和訳によって理解しにくくなっている部分もあります(これは規格の翻訳の質が低いという意味ではなく、翻訳によって意味やニュアンスなどが伝わりにくい部分もあるので、意味が 100% 伝わる翻訳が不可能だという意味です)。

本書では、規格の開発に関わっていた著者らが、そのような部分を(ある程度の背景事情も含めて)丁寧に解説してくださっているので、本来この規格が何を求めているのかを理解する上で非常に有用です。

そして、「本来この規格が何を求めているのか」≒「効果的に事業継続マネジメントに取り組むためには何が必要か」という関係が成り立ちますので、BCMS の認証取得を目指すかどうかは関係なく、事業継続マネジメントに取り組む全ての方々にとって、本書は間違いなく役に立ちます。

また、第 4 章は「ISO 22301 についての Q&A」となっており、日本で多くの方々が抱いていると思われる 16 の疑問に対して、19 ページを割いて回答されています。これらも事業継続マネジメントに対する理解を深める上で大変有用だと思います。企業をはじめとして多くの皆様に活用していただきたい書籍です。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCI 日本支部 2021 年度第 1 回定例会

このエントリーをはてなブックマークに追加

私が事務局を務めております BCI の日本支部で、7 月 7 日に今年度第 1 回の定例会を開催しましたが、その開催報告が BCI の Web サイトに掲載されました。

下記 URL にて、どなたでもご覧になれます。
https://www.thebci.org/news/bci-2021-1.html

説明に使用したスライド(PowerPoint)もダウンロードできます。

会合の様子を録画した動画もご覧いただけますが、動画にアクセスする際に氏名とメールアドレスを入力する必要がありますので、ご注意ください(BCI 会員でなくてもご覧になれます)。

今回の会合での主な話題は次の 2 つです。

  • CBCI 試験の受験方法に関する説明
  • 自治体における演習の実践事例

これらのうち、演習の実践事例に関しては、私自身が担当させていただいたコンサルティング案件における事例から、具体的な演習手法とその実施結果を共有させていただきました。

また、演習に関しては参加者どうしで活発な情報共有や質疑応答などがありました。動画では私以外の参加者の発言はカットさせていただきましたが、発言内容の要点は開催報告に記述させていただきましたので、ご参照いただければ幸いです。

 

なお、今年度から参加者の皆様に発言していただく時間を増やしたため、開催報告の文字数が多くなり、プレーンテキストだとかなり読みにくくなってしまいました。次回以降は書式を整えて PDF で掲載してもらった方が良いかなと考えています。

 

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCMS 准審査員(Associate Auditor)の資格を取得しました

このエントリーをはてなブックマークに追加

御報告を失念しておりましたが、2021 年 5 月に BCMS 准審査員(Associate Auditor)の資格を取得しました。

BSI グループジャパン様の ISO 22301 審査員研修を受講させていただいて、受講後の修了試験に合格し、IRCA に Associate Auditor として登録されました

国内の BCMS 認証取得組織数がまだ 100 に満たない状況ですので、審査員として活動する機会はかなり限定的だと思われますが、これから認証取得を目指す組織に対しては、審査員としての視点も含めて助言をさせていただくことができます。

また、ISO 規格に基づく認証取得を目指さない場合でも、規格で示されている枠組みや方法論を利用することによって、より効果的に(楽に)事業継続マネジメントに取り組めるという面もあります。

今後は、様々な組織に対するコンサルティングの中で、審査員としてのノウハウも生かしていきたいと思います。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ランサムウェアには本当に身代金を払わない方がいいのか

このエントリーをはてなブックマークに追加

本稿は、最近『リスク対策.com』の連載記事を執筆するために、ランサムウェアに関する資料をいくつか読んで学んだ結果をまとめたものです。私自身の専門分野から若干外れますが、興味深いデータがいくつかあったので、こちらにまとめておきたいと思います。

ランサムウェアとはマルウェアの一種で、コンピューターの操作をロックしたりデータを暗号化してデータへのアクセスができないようにし、これらの解除と引き換えに身代金を要求するものです。2017 年ごろから被害例が急増し、世界的に注目されるようになりました。

JPCERT コーディネーションセンター(JPCERT/CC)は、次のとおり「ランサムウエア対策特設サイト」を設けていますが、こちらではランサムウェアに感染した場合の対処法として、身代金を支払わずにデータの復旧を行うことを推奨しています。

JPCERT/CC「ランサムウエア対策特設サイト」
https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

そうは言っても、データのバックアップがとられていなかった場合など、身代金を支払ってでも何とかデータを取り戻したいと思われるかもしれません。そのような判断をする際に知っておくべきデータがあります。

米国を本拠地として調査やマーケティング、出版などを手がける CyberEdge Group が 2020 年 6 月に発表した「2020 Cyberthreat Defense Report」(注 1)によると、身代金を支払った場合のうち 33.1% は、支払ったにもかかわらずデータを取り戻せなかったそうです。

また、IoT ネットワークのセキュリティー対策などを専門とする Nozomi Networks が 2021 年 7 月に発表した「OT/IoT Security Report」(注 2)によると、ランサムウェアの犯行グループに対して身代金を支払った組織のうち、データを完全に復旧できたのはわずか 8% だったそうです。

つまり、身代金を支払ったとしてもデータを取り戻せるとは限らないということです。

また「OT/IoT Security Report」には、身代金を支払った組織の 80% が再びランサムウェア攻撃を受けており、しかもその半数は同じ犯罪グループからの攻撃だったというデータも記載されています。つまり、身代金を支払うことが次のランサムウェア攻撃を誘発するということです。このような観点からも、身代金を支払うべきではないと考えられます。

したがって、やはり JPCERT/CC が推奨しているとおり、身代金を支払わずにデータの復旧を目指すべきだと言えるでしょう。そして、ランサムウェア対策という観点からもデータのバックアップの重要性が増したと考えられます。

もちろんランサムウェアを含むマルウェアの侵入・感染を防止することが第一ですが、犯罪グループの手口は日々進歩していますので、侵入されてしまった場合を想定して準備しておくことが重要です。

–   –   –   –   –

(注 1)次の URL にアクセスして氏名やメールアドレスなどを登録すれば、無償で入手できます。 https://cyber-edge.com/cdr/

(注 2)次の URL にアクセスして氏名やメールアドレスなどを登録すれば、無償で入手できます。 https://www.nozominetworks.com/ot-iot-security-report/

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加