第1回 ISMSで仕事をラクにしよう!
松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/5/18
「情報セキュリティマネジメントシステム」という言葉を聞くだけで拒否反応を示してしまうエンジニアも多いのではないだろうか。しかし、エンジニアが考えている筋道とISMSの示す方向が同じだったり、エンジニアの気がついていないようなポイントをISMSが語っていることもある。「実は身近なISMS」を仕事のツールにするためのちょっとしたTipsを紹介する(編集部)
いまさら聞けない「ISMS」
皆さんは「情報セキュリティマネジメントシステム(ISMS)」をどのように説明しますか? 「情報が漏えいしないようにアクセス制御などの社内ルールを策定すること」「フォルダやネットワークのドメインごとのアクセス制御の設定を厳しくすること」のように、組織が具体的な管理策を実施することだけをイメージして説明しているのではないでしょうか。
ISMSの全体像をまとめていうと、
- 組織が必要な情報セキュリティの活動や管理策を計画する
- 計画どおりに導入および実施する
- 実施したままにせずにうまく機能しているかどうかを点検する
- その結果から必要な改善を行っていく
ということを継続的に行う仕組みのことです。個々の管理策の詳細な取り組みも必要ですが、組織として情報セキュリティに取り組み、その管理活動が絵に描いたもちにならぬよう、点検し、改善していくことを繰り返し行うことです。
イメージしやすいように、1つの管理策を軸に、計画(Plan)、実施(Do)、検証(Check)、改善(Act)のPDCA順に説明していきます。
●計画
組織の情報セキュリティに関するリスクを調べるために、リスクアセスメントします。その結果、組織が受容できる範囲を超えたリスクに対して、例えば「クリアデスク・クリアスクリーン方針」が実施されていないことが分かり、情報漏えいや盗難が発生する可能性が高いと判断します。
この管理策は、書類および媒体を机上に放置したままにしないこと、およびPCなどの画面に情報を残したまま離席しないことです。「少し一服してくるか」とか「1時間ほど客先に行くだけだからいいだろう」ということで放置された書類などが帰ってきたらなくなっていた、ということが起きないようにするための管理策です。
このリスクを受容のレベルにまで低減するために、リスク対応計画にて、組織に導入するための計画を立てます。
●導入および実施
リスク対応計画に沿って、管理策を組織に導入および実施します。従業員に対しては、情報セキュリティの必要性を認識してもらうための教育を実施します。
●検証
リスク対応計画に沿って導入および実施する際、ルールが厳しすぎて業務が滞ってしまう、または管理が弱すぎて盗難されてしまうことがないかを点検します。また、実施している管理目的から逸脱していないか独立した視点で点検してもらうために、内部監査でも点検します。
●改善
点検した結果、例えば「管理が弱すぎて盗難されてしまう」ことが分かったら、ルールを変更し、その変更を社内に通知し、実施します。この場合、事象は発生していないが、発生防止のための予防処置のプロセスを用います。
このように、ISMSのすべての活動は、PDCAを回す、といわれるように、計画−実施−検証−改善のサイクルを実施することで、今日よりも明日、来月、来年というように日々その仕組みが良くなるために活動していくことです。
いま、ISMSが「再度」注目される理由
2008年度(2009年3月)の決算期に合わせ、内部統制の監査報告書を作成する企業は、IT内部統制において情報セキュリティを導入しなければならない状況です。また、企業情報および国家の機密情報が他国へ漏えいするような事件が相次いだことにより、情報セキュリティは個人情報を守るだけでは不十分であることに気付き始めたのではないでしょうか。
それを現す事例として、昨今の企業や団体の動きでは、大手企業の委託・請負先企業の業務の継続ならびに入札要件にISMSが挙がるようになっています。
これらの状況から、情報全般を保護するためのマネジメントシステムとして、ISMSが再度脚光を浴びています。「再度」と表現したのは、経済産業省(旧通商産業省)が「情報システム安全対策実施事業所認定制度」を2001年3月31日に廃止し、その代わりの新しい制度として、「ISMS適合性評価制度」を2001年4月の開始時期に脚光浴びたからです。
1/3 |
 |
| Index | |
| ISMSで仕事をラクにしよう! | |
 |
Page1 いまさら聞けない「ISMS」 いま、ISMSが「再度」注目される理由 |
| Page2 ISMSで決められていること 「付属書A」はヒントの宝庫 |
|
| Page3 モバイルPCの使用についてISMSを考えてみる ISMSを知り、有効活用しよう |
|
 |
ISMSで考える運用管理のヒント 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
