ポイント

●情報セキュリティ・マネジメントとは,組織の情報セキュリティ対策を統括的,かつ継続的に実施することである。
●ISMS(information security management system)とは,情報セキュリティ・マネジメントを実施する際の手順を規定したもの,あるいは規格に沿って組織ごとにカスタマイズしたマネジメント・プランのことである。
●ISMSを規定している文書には,ISO/IEC27001(国際標準), JIS Q 27001(日本工業規格)などがある。

※これらは各規約で定義されている文言とは異なります

 組織が活動を続けていくためには,活動に関するさまざまな要素を統括的な視点で評価し,継続して管理(=マネジメント)していく必要があります。同様に,情報セキュリティを確保する際にも,組織の情報セキュリティに関する要素を統括的な視点で評価し,対策を講じ,継続的に管理していく必要があります。今回は,情報セキュリティ・マネジメントについて勉強します。

情報セキュリティ・マネジメントとは(1) ~ 統括的な視点 ~

 情報を守るのは大変です。反対に,情報を流出させるのは簡単です。高いセキュリティ・レベルを確保しようとして資金や技術を投入しても,たった一人のセキュリティ意識が低い社員が情報の取り扱いを誤まったら,情報は簡単に流出してしまいます。

 情報セキュリティを確保することをイメージするとき,「桶の理論」あるいは「the strength of a chain is in the weakest link(鎖の強度は最も弱い環で決まる)」という言葉が良く使われます。図1のような絵と説明を見たことがある人も多いでしょう。

図1●組織の情報セキュリティを考える際によく登場する「桶の理論」
図1●組織の情報セキュリティを考える際によく登場する「桶の理論」

 この図は,組織の情報セキュリティを確保するための要素が色々とある中で,一番低いレベルが組織全体のレベルになってしまうことを表しています。

 組織の情報セキュリティを確保することを考える際には,バランスも大事です。すでに確保できているところにいくら対策を講じても全体のセキュリティ・レベルは向上しません。組織の情報セキュリティに関する要素を統括的な視点で分析し,脆弱な部分を適切に見つけて対策を講じなければならないわけです。

情報セキュリティ・マネジメントとは(2) ~ 継続性 ~

 組織の活動が継続するならば,情報セキュリティの確保も継続して実施する必要があります。組織で利用している多くの情報資産には,追加・修正・削除が加わります。また,保持している情報も固定的ではなく,セキュリティ的な性質は流動的です。

 さらに,時間経過と共にセキュリティの「常識」も変化します。例えば,10年前のコンピュータに比べると現在のコンピュータの計算能力は飛躍的に向上しています。10年前に安全とされていた暗号方式は,現在でも安全であるとは限りません。したがって,「情報セキュリティ対策は一度実施すればそれでおしまい」というわけではなく,定期的に見直し,管理していく必要があります。

 ということで,「情報セキュリティ・マネジメント」を具体的に言い換えると「組織の情報セキュリティ対策を統括的,かつ継続的に実施すること」となります。

ISMSに関する文書とISMS適合性評価制度

 ISMS(information security management system)は,情報セキュリティ・マネジメントを実施するために「どのようにアプローチすれば良いのか」「どのように進めていけばよいのか」ということを規格化・モデル化したものです。また,このモデルを基に,組織に適用できるようにカスタマイズしたマネジメント・プランをISMSと呼ぶ場合もあります。

 ISMS関連の文書で代表的なものとしては,国際標準である「ISO/IEC27001:2005」,その日本版に相当する「JIS Q 27001:2006(情報セキュリティ・マネジメントシステム-要求事項)」,また,国際標準「ISO/IEC17799:2005」,その日本版である,「JIS Q 27002:2006(情報セキュリティ・マネジメントの実践のための規範)」などがあります(図2)。

 ほかには規格ではありませんが,情報セキュリティ・マネジメントを実践するのに役立つ資料として,JIPDEC(財団法人 日本情報処理開発協会)が発行している「ISMSユーザーズガイド」という文書があります。複数の国際標準や国内規格を参照して作られており,情報セキュリティ・マネジメント全般に関して詳細に書かれています。

図2●ISMSに関連する代表的な規格,文書
図2●ISMSに関連する代表的な規格,文書

参考:国際標準とJIS規格は日本規格協会で入手できます(有料:価格は規格により異なります)。ISMSユーザーズガイドは,JIPDEC情報マネジメントシステム推進センターより無料で入手できます(PDF版)。またJIS/TR/TSは日本工業標準調査会(JISC)のデータベース検索から無料でPDF閲覧(保存・印刷は不可)が可能です。

 そして,企業あるいは組織が,規格通りに情報セキュリティ・マネジメントを実施しているかを評価する制度が「ISMS適合性評価制度」です。一般に「ISMSを取得する」というと,ISMS適合性評価制度に合格することを意味します。現在日本で実施されているISMS適合性評価制度は,「JIS Q 27001:2006」に沿って情報セキュリティ・マネジメントが実施されているかが評価されます

 次回は,情報セキュリティ・マネジメント実施手順の概要を勉強します。

    参考文献:
  • ISO/IEC27001:2005
  • ISO/IEC17799:2005
  • JIS Q 27001:2006(情報セキュリティ・マネジメントシステム-要求事項)
  • JIS Q 27002:2006(情報セキュリティ・マネジメントの実践のための規範)
  • ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応-(JIPDEC:財団法人 日本情報処理開発協会))

■追記履歴
JIS規格の入手方法として「またJIS/TR/TSは日本工業標準調査会(JISC)のデータベース検索から無料でPDF閲覧(保存・印刷は不可)が可能です。」の一文を追記しました。 [2007/06/13 13:30]