情報を保護するために必要なISMSとは？目的や導入方法を解説

パソコンの普及で業務がシステム化したことにより、企業が取り扱う情報量は膨大になりました。そして、情報漏えいなどの問題で評判を落とす企業も出てきています。こうした時代背景を受けて、情報を保護する仕組みである「ISMS」の重要性は高まってきました。この記事では、ISMSとは何なのか、どのように導入するべきなのかを説明します。

企業が情報を安全に管理しなければいけない理由は、漏えいしたときの被害が甚大になるからです。特に、顧客の個人情報などは悪用される可能性も高く、絶対に外部の目から守り通さなければならないデータです。また、サイバー攻撃によって情報を改ざんしたり、破壊したりしようとするネットユーザーも現れています。彼らの目的は悪戯や政治的主張などさまざまです。いずれにせよ、大量の情報を保管している企業は攻撃者のターゲットになりやすいといえます。

こうした脅威から情報を保護するための仕組みが「ISMS（information security management system）」です。日本語では「情報セキュリティマネジメントシステム」と呼ばれています。企業が取り扱っている情報を安全に管理していくうえで、欠かせない考え方です。

3つの要素がISMSの中心を占めています。第一の要素は「機密性」であり、情報を外部に漏らさないことは絶対条件です。許可を与えていないユーザーが自由に情報を閲覧できないように管理し、企業側からも開示をしません。第二の要素は「完全性」です。正しい形で情報処理が行われるよう、常に意識します。第三者の手によって情報が改ざんされたり破壊されたりすることを徹底的に防ぎます。そして、第三の要素が「可用性」です。管理者から許可されている人間なら、自由に情報へとアクセスできる環境を整えます。

これらの要素を成立させるには、企業内で細かいルールが制定されていなくてはなりません。また、ルールを社内で共有させる取り組みも不可欠です。ISMSは一部のシステム担当者だけが知っていればよい概念ではなく、情報に関わる全社員が覚えておくべきなのです。

特別な資格がなくても企業内でISMSの仕組みを構築することは可能です。ただ、ISMSには認証があります。「国際標準化機構」や「国際電気標準会議」などから認証を受けることで、その企業は情報管理を正しく行っていると公言できます。認証を受けるまでには目的をはっきりさせて仕組みを文書化し、その内容通りに実行しなくてはなりません。そして、審査機関から書類と現場をチェックされます。ISMS認証は企業の社会的信用に大きく関わります。IT業界に限らず、ほとんどの企業には認証のため努力をする価値があるでしょう。

ISMSとは企業ごとに求められる部分が変わる仕組みです。自社に合ったISMSのあり方を知るには、導入事例を参考にしてみましょう。

採用SNSを運営するA社は、情報セキュリティ管理を可視化したいと考えました。これまでもセキュリティ対策を怠ってきたわけではありません。しかし、取引先から見えにくい形だったため、商談が進まないなどの問題に直面していました。そこで、A社では担当者を中心にISMS認証の取得を目標とした仕組みを整え始めます。まず、クラウドサービスのアクセス制限などを見直し、パスワードや共通アカウントについてのルールを作りました。

また、自宅作業におけるパソコンの使用方法も改善していきます。ウイルス対策やハードディスクの暗号化を義務付け、社内で支給されているパソコンと同等の安全性を確保するよう社員を指導しました。そのほか、データ化した顧客の名刺についても専用の管理ボックスを設置します。社員ごとに管理していた状況が、一括管理できるようになりました。これらの取り組みが実り、2019年７月にA社はISMS/ISO27001認証を取得しています。

ISMS導入では、支援ツールを利用する方法もあります。ISMSに必要な機能が備わっており、パッケージによってはカスタマイズも可能です。導入を決めてから実行できるまでの期間が短いのも支援ツールの魅力だといえます。

情報通信ネットワーク事業B社は2004年にISMS認証を取得しました。しかし、認証基準が移行したことや業務効率化への意識などから、改めてISMSを見直し始めます。その結果、情報管理の有効性を高めたいとの思い、支援ツールの導入を決意しました。支援ツールではシステム内で行われた作業同士を紐づけしたり、リスクを特定、分析したりすることが可能です。さらに、不審なアクションの脅威度を数値化してくれるなどのメリットもあり、情報セキュリティが大きく高まりました。また、内部監査に関する資料作成、承認作業もツールによってワークフロー化します。その結果、作業が楽になっただけでなく、監査の進捗状況をすぐ把握できるようになりました。

まず、「自社分析」を必ず行ってからISMS導入に踏み切りましょう。自社分析とは、情報セキュリティに関わる環境を正しく見極めていくプロセスです。このとき、自社の情報セキュリティの脆弱性を探す作業も大事です。ただ、同じくらい取引先からの期待を把握することも重要だといえます。なぜなら、ISMS導入には世間からの信頼を高めるという大きな目的もあるからです。ISMSの内容が取引先の期待に沿うものでなければ、導入の前後で自社への評価は大きく変わりません。特に、リスク管理への期待値は正確に把握するべきです。取引先の望んだ管理体制が敷かれていないと発覚したとき、厳しい批判にさらされる恐れが生まれます。

情報セキュリティだけに注目してISMSを導入してしまうと、ルールが複雑化する可能性も出てきます。もちろん、ISMSに本気で取り組みたいならある程度のルールを決めることは欠かせません。しかし、ルールを覚えるのに必死で作業効率が落ちてしまうと、企業の生産性に悪影響を及ぼします。また、従業員にも繰り返し教育を施さなければならなくなり、不満の原因となります。ISMSは従業員が受け入れやすい内容にすることが大前提です。導入前の問題点を明確化し、ピンポイントで改善に向かう取り組みが理想的です。

ISMSを社内に浸透させていくには教育の精度を高めることが大切です。ただ、集合教育にこだわって効率性を落としている企業も少なくありません。大勢に向かって同じ内容を教えていると、仕事の都合などで参加できなかった従業員はISMSを理解できなくなってしまいます。また、疑問点が生じた時点で質問しにくい雰囲気があるなど、担当者は集合教育のデメリットにも注目しておきましょう。社風によってはeラーニングで教育するなど、柔軟な対応が求められます。

また、教育を実施して終わりではなく効果測定まで力を注ぎます。定期的に従業員の理解度を確かめるテストを行うなどの方法が一般的です。そのほか、従業員にあえて不審なメールを送って開封率を見ている企業もあります。測定結果が芳しくなかった場合、教育カリキュラムを修正していくことが肝心です。

情報セキュリティ管理は、全ての企業が向き合うべき課題です。ISMSを導入して、漏えいやサイバー攻撃などのリスクに対策を立てることが大事です。また、ISMSは世間からの評価にも大きく関係します。取引先や顧客が自社に求める期待を察知し、それに応えられるだけの仕組みを構築しましょう。情報を運用する以上、誰からも信用される体制づくりは企業に不可欠な目標です。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。