お知らせ
- 「ITpro Smart」リリース!
- 書籍「IT提案戦術」5月21日発売!
- 電子ブック新刊!「説得・交渉術」など
情報セキュリティ入門
情報セキュリティ・マネジメントとISMS
組織が活動を続けていくためには,活動に関するさまざまな要素を統括的な視点で評価し,継続して管理(=マネジメント)していく必要があります。同様に,情報セキュリティを確保する際にも,組織の情報セキュリティに関する要素を統括的な視点で評価し,対策を講じ,継続的に管理していく必要があります。今回は,情報セキュリティ・マネジメントについて勉強します。 情報セキュリティ・マネジメントとは(1) 〜 統括的な視点 〜情報を守るのは大変です。反対に,情報を流出させるのは簡単です。高いセキュリティ・レベルを確保しようとして資金や技術を投入しても,たった一人のセキュリティ意識が低い社員が情報の取り扱いを誤まったら,情報は簡単に流出してしまいます。 情報セキュリティを確保することをイメージするとき,「桶の理論」あるいは「the strength of a chain is in the weakest link(鎖の強度は最も弱い環で決まる)」という言葉が良く使われます。図1のような絵と説明を見たことがある人も多いでしょう。
この図は,組織の情報セキュリティを確保するための要素が色々とある中で,一番低いレベルが組織全体のレベルになってしまうことを表しています。 組織の情報セキュリティを確保することを考える際には,バランスも大事です。すでに確保できているところにいくら対策を講じても全体のセキュリティ・レベルは向上しません。組織の情報セキュリティに関する要素を統括的な視点で分析し,脆弱な部分を適切に見つけて対策を講じなければならないわけです。 情報セキュリティ・マネジメントとは(2) 〜 継続性 〜組織の活動が継続するならば,情報セキュリティの確保も継続して実施する必要があります。組織で利用している多くの情報資産には,追加・修正・削除が加わります。また,保持している情報も固定的ではなく,セキュリティ的な性質は流動的です。 さらに,時間経過と共にセキュリティの「常識」も変化します。例えば,10年前のコンピュータに比べると現在のコンピュータの計算能力は飛躍的に向上しています。10年前に安全とされていた暗号方式は,現在でも安全であるとは限りません。したがって,「情報セキュリティ対策は一度実施すればそれでおしまい」というわけではなく,定期的に見直し,管理していく必要があります。 ということで,「情報セキュリティ・マネジメント」を具体的に言い換えると「組織の情報セキュリティ対策を統括的,かつ継続的に実施すること」となります。 ISMSに関する文書とISMS適合性評価制度ISMS(information security management system)は,情報セキュリティ・マネジメントを実施するために「どのようにアプローチすれば良いのか」「どのように進めていけばよいのか」ということを規格化・モデル化したものです。また,このモデルを基に,組織に適用できるようにカスタマイズしたマネジメント・プランをISMSと呼ぶ場合もあります。 ISMS関連の文書で代表的なものとしては,国際標準である「ISO/IEC27001:2005」,その日本版に相当する「JIS Q 27001:2006(情報セキュリティ・マネジメントシステム-要求事項)」,また,国際標準「ISO/IEC17799:2005」,その日本版である,「JIS Q 27002:2006(情報セキュリティ・マネジメントの実践のための規範)」などがあります(図2)。 ほかには規格ではありませんが,情報セキュリティ・マネジメントを実践するのに役立つ資料として,JIPDEC(財団法人 日本情報処理開発協会)が発行している「ISMSユーザーズガイド」という文書があります。複数の国際標準や国内規格を参照して作られており,情報セキュリティ・マネジメント全般に関して詳細に書かれています。
そして,企業あるいは組織が,規格通りに情報セキュリティ・マネジメントを実施しているかを評価する制度が「ISMS適合性評価制度」です。一般に「ISMSを取得する」というと,ISMS適合性評価制度に合格することを意味します。現在日本で実施されているISMS適合性評価制度は,「JIS Q 27001:2006」に沿って情報セキュリティ・マネジメントが実施されているかが評価されます※。 次回は,情報セキュリティ・マネジメント実施手順の概要を勉強します。
連載新着連載目次へ >>
|
