期待されている「ISMS適合性評価制度」
情報セキュリティへの取り組みの歴史はわが国でも古く、昭和56年から独自に情報処理サービス業に対し、事業所の設備を中心とする認定制度が設けられていた。この制度は、「情報処理サービス業情報システム安全対策実施事業所認定制度」(以下、安対制度という)と呼ばれ、旧通商産業省(現経済産業省)の大臣認定制度(図6)として、20年間に約200社の適合証を登録していた。
安対制度設立の目的としては、
- 情報システムの機密性、保全性、可用性を確保すること
- 自然災害、機器の障害、故意、過失のリスクを未然に防止すること
- 障害発生時の影響を最小化、および回復の迅速化を図ること
であり、認定のための基準は、
- 設置基準(100項目)
例:建物は落雷の被害を受ける恐れのない場所に設けること - 技術基準(26項目)
例:データおよびプログラムを復旧する機能を設けること - 運用基準(66項目)
例:データなどのバックアップを行うこと
といった構成であった。
しかし、この制度は、近年のインターネットの急速な普及を背景に、グローバルなネットビジネスが展開されボーダレスの商取引が急発展していることに伴い、諸外国からも信頼を得られるよう、情報セキュリティレベルを国際的な標準に準拠させていく必要性が高まった。その結果、20年来続いていた制度は平成13年3月に廃止され、新たにISMS適合性評価制度が創設された。従来の安対制度では、設備などの物理的な対策に比較的重点を置いた認証基準であったが、ISMS適合性評価制度は、設備・運用面をバランスよく盛り込み、ISMSの観点からの管理策を付加した日本の風土に見合った認証基準を用いている。
この制度を評価するISMS認証基準は、国際標準ISO/IEC 17799:2000やJIS X5080:2002 、上記のBS7799 Part2:1999を参考として作成したものである。基本的には、BS7799 Part2:1999と同等で、将来的には両者の相互認証も期待されている。
両者の差としては、人事採用に関連した詳細管理策に若干の違いが見られる。BS7799では、採用前に身元調査をしなければならないと記述されているが、ISMS認証基準では、採用する人員の資質や職能を明確にすることとなっており、日本風土における身元調査が困難なことを踏まえての配慮が施されている。このほかにも、BS7799では、1つであった詳細管理策をその意味合いから2分割した詳細管理策もあるため、詳細管理策の個数でいえば、BS7799が127に対して、134個になっている。とはいえ、本質的な違いはないといえる。
ISMS適合性評価制度は、民間ベースによる第三者認証制度である。これは、本制度をより広く普及させようという姿勢の表れでもある。
ISMS適合性評価制度は2002年4月から本格運用が開始され、対象範囲を従来の安対制度に準じて「情報処理サービス事業者※」を中心としていたものから、徐々にその対象を拡大しようとしている。
※情報処理サービス業=他人の需要に応じて情報処理を行う事業:法律弟90号
ISMS認定基準によるISMS構築スキーム
ISMS認証基準のポイントは、企業組織の情報の資産価値に見合った対策を施すために、作成したセキュリティポリシーを基にPDCA(Plan、Do、Check、Act)によるサイクルを継続的に繰り返し、情報セキュリティ向上を図ることにある。このようなポイントやISMS認証基準を理解するために、ISMSガイド(Ver.1.0)が用意されている。
ISMSガイド
ISMSガイドでは、ISMS適合性評価制度の円滑な実施を促すために、審査についてのさまざまなポイントについてISMS認証基準に準じて解説している。
このガイドは、審査登録機関の審査員がISMS適合性評価制度の審査業務を実施するうえで、参考となることを想定しているが、受審する事業者にとっても参考となる資料である。ガイドは、「?基本編」と「?事例編」の2部構成となっている。「?基本編」は、審査に当たり、事業者および審査員が担う役割をまとめている。具体的には、情報資産の洗い出しとリスク評価、審査上のポイントと管理策の例、参考文献・法令など・用語の説明などである。これは、前述のPD3000シリーズと同等の役割を担っている。
「?事例編」は、ケーススタディとして架空の事業者を設定し審査までの一連のISMS構築における取り組みをストーリー的に解説し、審査のポイントを押さえながら、審査員および事業者においてもその場の雰囲気を実感してもらおうとしている。財団法人日本情報処理開発協会(JIPDEC)から入手可能なので参照されたい。
このガイドは、ISMS認証基準で定められているISMS構築作業におけるマネジメントの枠組みの確立について、BS7799と同様、6つのステップ(図7)の要求事項について説明している。
ISMS適合性評価制度において、JIPDECが指定された認定機関として独立した位置付けとなり、制度を推進している。JIPDECは「ISO/IEC Guide 61(JIS Z 9361)」に基づく体制を整えており、審査登録機関は、「ISO/IEC Guide 62(JIS Z 9362)」指定基準に準用し、ISMS認証基準に基づく審査を進めている。
図8にJIPDECを中心とした認証審査の流れを示す。
審査登録機関、審査員および研修機関の基準は「ISMS制度 基準集(Ver.1.0)」を参照するとよい。
| 名称 | 内容 |
|---|---|
| ISMS審査登録機関認定基準 | 審査登録機関の認定審査および登録を行う際の認定基準 |
| ISMS審査登録機関認定の手順 | 審査登録機関が認定を受けるための手順と、認定を申請する機関および認定された機関の権利と義務について規定したもの |
| ISMS審査員研修機関認定基準 | 審査員向けの研修を行う機関の認定審査および登録を行う際の認定基準 |
| ISMS審査員研修コース基準 | 審査員研修コースの内容について、その要求事項などを定めた基準 |
| ISMS審査員研修機関認定の手順 | ISMS審査員研修機関が認定を受けるための手順と、認定を申請する機関および認定された機関の権利と義務について規定したもの |
| ISMS審査員の資格基準 | 各審査員(審査員補、審査員、主任審査員)についての資格要件を規定したもの |
| ISMS審査員登録の手順 | 各審査員の資格要件に基づいて評価登録する際の手順を規定したもの |
ISMS適合性評価制度の認証審査は、見積もり、認証契約の締結後、(1)初回審査(2)認証(3)継続審査(更新審査)といったプロセスを実施する。不適合でなければ審査登録機関は、認証を登録し、事業者に登録書を発行する。登録有効機期間は3年間で、認証を維持するためには、1年未満のサイクルで維持審査を実施し、3年以降認証を継続する場合、更新審査を行う。
(1)初回審査
| 目的 | ISMS認証基準およびシステムの範囲に適用される要求事項を満たしていることを確認する |
|---|---|
| 審査内容 | 計画され文書化されたシステムの内容や実施された活動およびその記録を評価し、適合していることを確認する |
| 不適合について | 不適合であると評価されたときはそのことを報告する |
Stage 1:文書審査
ISMSがその目的に沿って計画され、文書化されていることの確認
| 目的 | 審査側は、情報セキュリティポリシーやISMSの目的に沿ってISMSが計画されていることを理解し、組織の実地審査(Stage 2)受審について準備状況を確認する |
|---|---|
| 実地審査(Stage 2)で、焦点を絞る事項を明確にする | |
| 対象 | リスクアセスメントの結果とその方法 |
| リスクマネジメントへのアプローチ | |
| 要求される保証の度合い | |
| 情報セキュリティポリシーとISMSの構造と手順など |
Stage 2:実地審査
| 目的 | 受審事業者が、そのセキュリティポリシー、目的、手順を確実に順守していること、および組織がISMS認証基準および関連する文書に適合しており、組織のセキュリティポリシー目的を達成していることを確認する |
|---|---|
| 対象 | リスクアセスメントとISMSの計画とフレームワーク |
| 適用宣言書、情報セキュリティポリシーおよびセキュリティ目的 | |
| 情報セキュリティレビューやマネジメントレビュー、マネジメントの責任 | |
| 情報セキュリティポリシー、リスクアセスメントの結果など |
Stage 3:フォローアップ
| 不適合事項が指摘された場合、フォローアップが必要となる | |
| 処置については終了会議や報告書に提示される | |
| 不適合事項への対応状況を確認するための追加審査や是正計画の審査あるいは維持審査でのレビューなどがある |
(2)認証
| 審査登録機関は審査の結果をレビューし、機関として認証を登録するとともに認証書(登録書)を発行する | |
| 認証登録は、初回審査から3年間有効 | |
| 認証書に記載される事項は、適合性評価の基準となったISMS基準、認証範囲、対象となる事業所など | |
| 認証書には、審査登録機関の認証マークとJIPDEC認定マークが付与される |
(3)維持審査/更新審査
| 認証を維持するために1年未満のサイクルで維持審査を実施する | ||
| 維持審査 | 前回指摘事項などの是正、改善状況の確認、基準への適応状況、維持状況の確認、ISMSの有効性の確認 | |
| 更新審査 | 認証を継続する場合は3年目に実施する | |
必要に応じて、予備審査を受けることも可能である。予備審査は任意であり、審査登録機関によって取り扱いが異なる。予備審査では、
- ISMS認証基準の要求事項に基づくレビュー
- 初回審査までに準備すべき事項の明確化
- ISMSの範囲などについて審査側と受信側との合意
などが検討される。
さて、冒頭にも述べたが、ISMSの認証取得はゴールではない。あくまでも、ISMSの継続的な運用における過程の1つでしかない。認証取得後、不正アクセスやコンピュータウイルス、入力ミスの被害を受けないというわけではない。むしろ、万が一、セキュリティ危機の事態が生じた場合でも柔軟に対応できる体制があり、事故を調査し、適切な管理策を施していけることがISMSの本来の強みなのである。
「第3回」へ
著者紹介
駒瀬 彰彦(こませ あきひこ)
セキュリティ・ポリシー事業部 取締役事業部長 シニアコンサルタント。ISMS適合性評価制度 技術専門部会 主査。英国BSi(British Standards Institution)認証BS7799スペシャリスト。財団法人インターネット協会 セキュリティ研究部会 副部会長。2003年4月より立教大学大学院ビジネスデザイン研究科 非常勤講師。
暗号技術を用いた機密情報保護、認証システムの設計、開発などを担当。また、ネットワーク・セキュリティ・コンサルティングに従事。現在、セキュリティポリシー構築支援ツールである「M@gicPolicy」の開発やリスクアセスメント・リスクマネジメントのための「RAソフトウェアツール」の日本語化やISMS構築のためのコンサルティング業務や情報セキュリティ監査に携わっている。
Copyright © ITmedia, Inc. All Rights Reserved.