セキュリティ用語
みなさんISMSという言葉を聞いたことがありますか?
ISMSとは組織の情報資産のセキュリティを管理するための仕組みのことを言います。
ISMS(アイ・エス・エム・エス)とは情報セキュリティマネジメントシステムを英語で表記したInformation Security Management Systemから頭文字を取った言葉です。
これは一度やって終わりではなく、PDCAサイクルを回し、継続的に管理・改善を行っていくものです。
この中で情報資産の機密性・完全性・可用性を維持し、リスクマネジメントプロセスを正しく適用していくことにより、組織としてリスクを管理しているという信頼を顧客・取引先など、いわゆる利害関係者へ与えることを目的としています。
今回はそんなISMSについて解説をしていきます。
ISMSは、ISO(International Organization for Standardization:国際標準化機構)とIEC(International Electrotechnical Commission;国際電気標準会議)が共同で策定する情報セキュリティ規格群である、ISO/IEC 27000シリーズで規格されています。
日本の場合はISO/IEC 27000シリーズをJIS Q 27000シリーズとして翻訳したものを規格として基準を定めています。
27000シリーズでは、ISMSにおける情報セキュリティの管理・リスク・制御に対するベストプラクティスが示されています。
その中でも、ISO/IEC 27001:2013(JIS Q 27001:2014)は、組織がISMSを確立、導入、運用、監視、レビュー、維持し、継続的改善していくための”要求事項”を規定しています。
組織が情報セキュリティに関する要求事項を満たしていることを認証するものとして、ISMS認証とプライバシーマークの認証があります。
一見似たように感じるこの二つの認証ですが、以下のような違いがあるのでこの機会に知っておきましょう。
ISMS認証は、自社で取り扱う個人情報が従業員情報程度であり、外部から情報処理などで預かる個人情報が多い場合に取得します。
プライバシーマークの場合は、自社で直接取得する顧客の個人情報が多い場合に取得します。
ISMS認証はBtoB、プライバシーマークはBtoCの事業を行っている場合とで別れると覚えておくと良いでしょう。
ISMS認証とプライバシーマークのどちらを取るべきか検討する場合は自社の事業形態がどういったものかを基準に選びましょう。
それではISMS認証を取得するにはどのような取り組みをすれば良いのでしょうか?
ISMS認証を取得する際に最も重要視されるものと言うと情報セキュリティの三大要素を維持できているか、これに尽きます。
情報セキュリティの三大要素とは一体なんでしょうか?
その要素とは
機密性(Confidentiality)
完全性(Integrity)
可用性(Availability)
です。
英語の頭文字を取って、CIAとも呼ばれることもあります。
この三大要素はJIS Q 27000(ISO/IEC 27000)に定義されており、以下のようになっています。
「機密性」・・・情報へのアクセスが許可されている人のみが情報を利用することができる。許可されていない人には情報の閲覧・使用ができないようにする。
「完全性」・・・情報資産が正確であり、改ざんされていない。
「可用性」・・・情報へのアクセスを認可された人・物が要求した時にいつでも使用できるようにする
この3つをバランスよく維持・確保することがISMSの中で最も重要とされています。どれかひとつでも崩れたり、欠けたりすることは許されません。
この三大要素を基本として、運用を行うことでISMSを取得することができることを証明します。
ISMSにマネジメントシステムという言葉は入っていることからもわかるように、ISMSでも情報セキュリティに関するマネジメントシステムを構築することも含まれています。
ISMSは国際規格で評価されるものですが、その中でも最も重要視されているのが「PCDAサイクルを回して継続的改善をし続けること」です。
ISMSではリスクアセスメント、PDCAサイクルのP(Plan)に該当します。
計画したことを継続して実施し、管理していきます。
実施したことに対して、それが有効であったかを評価する必要があります。具体的には、内部監査により確認します。そして、その結果を踏まえ、経営層はマネジメントレビューを定期的に行い、評価し、判断を下します。
パフォーマンス評価の結果、不適合が発生した場合は、是正処置を実行し、改善します。一度の実施ではなく、継続的な改善が必要です。
これはPDCAサイクルを重要視することはISMSだけに限られたことではなく国際規格全てに該当するものです。
PDCAサイクルを円滑に回すことで、情報セキュリティの三大要素を維持することができると考えた方が良いでしょう。
ISMS認証には多くの時間と労力がかかりますが、これを取得することによって、社会的信用度がグンと上がります。
もし、取得を検討する場合は小さなことから見直しながら、取り組んでいきましょう。
世界的にもサイバーセキュリティの重要性がますます高まる中で、近年は外部からのサイバー攻撃による事故が増加しています。特にWebサイトへの不正アクセスによる情報漏えい被害が拡大していることから、「Webセキュリティ」の重要性が高まっています。イニシャルコスト、運用コストを抑えることができ、簡単にWebサイトのセキュリティ対策が出来るクラウド型WAFは、企業にとって有効なセキュリティ対策の1つです。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
https://www.shadan-kun.com/
(2017/10/19 執筆、2019/11/1修正・加筆)
この記事と一緒に読まれています
あなたの企業は大丈夫?中小企業の情報セキュリティ対策の実態とは?-その1-
2019.09.10
セキュリティ対策
あなたの企業は大丈夫?中小企業の情報セキュリティ対策の実態とは?-その2-
2019.09.11
セキュリティ対策
クラウドとオンプレミスの違いとは?メリットとデメリットを知って有効に活用しよう。
2019.06.05
セキュリティ対策
2017.06.19
セキュリティ対策
2020.01.23
用語集