初心者のための情報セキュリティ対策講座:4. 情報セキュリティマネジメントシステム
本記事も含め、初心者のための情報セキュリティ対策講座は「中小規模のITユーザー企業(部門)などで、PCが得意と言う理由で情報セキュリティ担当になった方」などの、「情報セキュリティ対策が必要な事は理解できるけど詳しくは知らない」方に向けてセキュリティ対策の概要を掲載しています。
本シリーズの構成
- 0.情報セキュリティ?
- 1.情報資産の棚卸し
- 2.IT機器の物理・論理構成の把握
- 3.サイバー攻撃対策総論
- 4.情報セキュリティマネジメントシステム(ISMS)(本記事)
この記事の概要
これまでのシリーズで紹介した情報セキュリティの基本、セキュリティ対策を行うための情報資産の把握、サイバー攻撃の概要をから、情報セキュリティ対策の基本方針は計画できる状態になっています。
ですが情報セキュリティに限らず、計画された内容はDo⇒Check⇒Action⇒新たなPlanの「PDCAサイクル」が良好に回ってはじめて効果を発揮します。
この記事では情報セキュリティ対策のPDCAサイクルとして、情報セキュリティマネジメントシステム(ISMS)について紹介します。
情報セキュリティマネジメントシステム(ISMS)
情報セキュリティマネジメントシステム(ISMS: Information Security Management System)は、組織における情報資産のセキュリティを管理するための枠組み。情報セキュリティマネジメントとは、ISMSを策定し、実施すること。
ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることにある。
https://ja.wikipedia.org/wiki/情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステム(ISMS)は、情報資産の利用に関して生じる、情報セキュリティリスクを管理するために使用されるフレームワーク(枠組み)です。 ISMSは、組織が情報資産を保護するために使用する一連の標準、ガイドライン、および詳細な手順を決めることです。
ISMS認証と本記事で取り扱うISMS
ISMSでは第三者の認証機関が認定する適合性評価制度もあり、ISMS認証を受けた組織は国際的に信頼できる手法に基づいた(JIS Q 27001:ISO/IEC 27001)情報セキュリティ対策が実施できている証明にもなります。
ですが、当然認証までのハードルは高く、少なくない費用も必要になります。
ここでは、認証機関の求めるマネジメントシステム(JIS Q 27001:ISO/IEC 27001)ではなく、まず情報セキュリティ対策の第一歩として取り組みやすいISMSを目指します。もちろん、将来的に認証取得も目指せるISMS構築が理想です。
ISMSの構成
たとえ取り組みやすいISMSでも、基本的な構成は認証機関の求めるISMSと大きな違いはありません。情報セキュリティ対策として「機密性」「完全性」「可用性」を確保するための手順や方法をルールとして定め、守られている事を管理し、必要に応じて改善していきます。
組織体制の構築
ISMSの実行には必ず「経営層も関わってトップダウンで指示を出す」事が必要です。また、可能であれば「情報セキュリティ委員会」など、経営層に報告する責任と権限を持つ組織を設立できると理想です。
情報セキュリティポリシーの策定
情報セキュリティポリシーの策定では、内部・外部課題の把握やISMSが適応される範囲などを踏まえて情報資産のセキュリティを確保するための方針を考案し、経営層にも理解・承認してもらいます。
IPA(独立行政法人 情報処理推進機構)では、情報セキュリティポリシーは以下のような3段階が多いとしています。
- 情報セキュリティ基本方針:情報セキュリティの目標を立て、そのために行う行動の宣言。
- 情報セキュリティ対策基準:実施内容を記載した規定。
- 情報セキュリティ実施手順:規定に基づいた具体的な手順を記載したマニュアル。
情報セキュリティポリシーサンプル:https://www.jnsa.org/result/2016/policy/data/policy_gaiyou.pdf
情報セキュリティリスクマネジメント
情報セキュリティリスクマネジメントでは、今までの講座でも紹介した「保有する情報資産」「脅威・脆弱性」を踏まえて情報セキュリティリスクの管理・運用方針を決定します。
最終的には「情報資産の棚卸し」と「想定される脅威・脆弱性」の洗い出しから、保有する情報資産に対するリスクアセスメント(低減・受容・回避・移転)を個別に決定します。
継続的な監視
情報セキュリティポリシー、情報セキュリティリスクマネジメントが具体的に策定された後は、実際に運用を開始します。
運用後は、手順の遵守だけでなく定期的な内部・外部環境と脅威・脆弱性の情報を更新し、必要に応じて修正・変更を加えます。修正・変更の期間は予め決定しておきますが、緊急度によっては臨時の変更を加えることも必要です。
運用に際しては、小さい単位で情報セキュリティの知識を持っているスタッフを配置できると円滑・効率的に改善できます。
必要に応じて外部コンサルタントや専門家に依頼
上記ではごく簡単な説明しか記載しておらず、実際には情報セキュリティポリシーサンプルに掲載されている内容を策定していきます。
ISMSの構築だけでなく実際の実務的な運用方法、場合によっては利害関係のある部署間の調停など、自社内だけでの対応が困難な場合、費用対効果を考えて外部コンサルタントや専門家へ依頼する事も視野に入れることも重要です。
機密性・完全性と可用性のバランス
多くの情報セキュリティ対策では「機密性」「完全性」を確保するための手段が講じられますが、「可用性」の確保も必要です。
また、注意点として「機密性」「完全性」と「可用性」は相反しやすいため、必要以上に「機密性」「完全性」の確保にこだわると「可用性」が低下し、組織内で手順や決まりが守られなくなる可能性も出てきます。
肝心なことは「全員が守ることのできる手順の作成・運用」です。
情報セキュリティに限らず、人為的インシデントの原因には必ず「不遵守」が入ります。もちろん、遵守だけが目的で緩すぎるルールでは本末転倒ですので、最適なバランスを考えた手順作りが大切です。
ディスカッション
コメント一覧
まだ、コメントがありません