第1回 ISMSで仕事をラクにしよう!


松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/5/18


 モバイルPCの使用についてISMSを考えてみる

 例えば、予防処置を例に挙げてみましょう。ここでいう予防処置とは、ISMSのルールに適合している管理策を日々実施していて問題は起きていない状況で、他社や他部門、関連会社で発生した情報セキュリティインシデントから、当該組織にてその必要性を判断し、再発防止策を実施することです。

 モデルケースをこのように考えます。ある企業では自らの組織にて、社外においても業務のため必要と判断した従業員には、モバイルPCを貸与していました。しかし、これらの従業員の利便性を優位に考えていたため、当該組織で導入を許可していないフリーウェアを、これらモバイルPCに容易にインストールできるようになっていました。

 しかし、昨今の情報共有ソフトウェアによる情報漏えいの事件が相次いでいることを、ISMS委員会のメンバーのAさんは、ニュースで大々的に報道していることを知りました。

 これまでのリスクアセスメントの結果は、このような事象は起こり得ないだろうと考えられ、リスクは受容レベルに収まっていました。しかし、この報道されている事件を考慮するとリスク受容レベルを超えてしまうであろうと、AさんはISMS委員会にて、この事象の改善の提案をしました。

 ISMS委員会で協議した結果、世論の風評リスクなども考慮すると、このリスクは当該組織への影響は大きいと考え、業務上の必要性に応じたソフトウェア以外のインストールができないようにするために予防処置を実施することを決めました。

 この場合、例えば、以下のような管理策が想定できます。

  • これらモバイルPCのソフトウェアのインベントリチェックを実施し、当該組織でインストールを許可したソフトウェアだけがインストールされているか確認します。許可したソフトウェア以外がインストールされているPCからは、そのソフトウェアの削除依頼と、完全に削除できたかどうか、再度インベントリチェックします(付属書A.15.1.2)

  • インストールの制限を掛けるためにも、利用者のIDでは、ソフトウェアがインストールできない権限に変更します(付属書A.11.2.4)

  • 万が一、情報共有ソフトウェアから情報漏えいが起きた場合にこれを追跡できるように、これらソフトウェアが使用するポート番号で既知のものは、送信元、送信先が分かるように、その際のログを取得することにします(付属書A.10.10.1)。また、定期的に漏えいが発生していないか、そのログをレビューします(付属書A.10.10.2)。

  • 予防として、情報共有ソフトウェアが利用するポート番号へのアクセスを禁止します。ただし、そのソフトウェアが使用するポート番号が業務で使用しているポート番号と同じ場合は除きます(付属書A.11.4.6)

 ほかにも、どのような管理策が、このリスクを低減するために必要か、考えてみてください。

 ここで例示した予防処置も、ISMSのルールと同じように導入したままにせず、計画にて決定した時期に、その処置が有効かどうかを判断します。

 ISMSを知り、有効活用しよう

 このように書きますと、皆さまがお仕事をされるときに、名称は違うにせよ、プロセスは似ていると思いませんでしたか。例えば、ある情報システムにおいてバグが発見されたが、その障害は発生していない状況において、予防処置を行うプロセスは、変更管理のプロセスと類似しているのではないでしょうか。

 このことから分かるように、ISMSの導入は、新規に導入するものだけでなく、これまで実施していたプロセスをそのまま使用したり、プロセスを改善して実施することがあります。

 このような目で見れば、ISMSは身近なツールであり、今後実施する仕事においてもヒントを与えてくれるでしょう。

【コラム:ISMSとプライバシーマーク、どちらを取得すべき?】

 情報の保護というと、真っ先に「プライバシーマーク」を思い浮かべるのではないかと思います。個人情報保護にフォーカスしたプライバシーマークとの違いは、やはり個人情報だけにフォーカスしているのか、それとも情報全般を考慮しているのか、という点です。また、プライバシーマークの規格には「3.4.3 適正管理」としか要求されていない管理策の内容が、ISMSではどんな管理策を導入すればよいかが分かりやすくなっている点も大きな違いです。

 ISMSとプライバシーマークの大きな違いといえば、事業継続管理があるかどうかではないでしょうか。ISMSでは、情報セキュリティの面において事業継続管理を要求していますが、プライバシーマークではルールや報告ルート、管理体制、苦情対応窓口などが要求されているにとどまっています。

 では、どちらの規格を取得したらよいのでしょうか。

 これは経営陣の判断や顧客要求事項にて判断することになるのではないでしょうか。企業が持つべき情報のほとんどが個人情報である場合は、プライバシーマークを選択するのが良いでしょう。ただし、顧客や取引先が要求していることが情報全般の保護というのであれば、ISMSを選択することが多いのではないでしょうか。

 例えば、個人情報保護の規定はあるのに、企業の重要な情報を保護するための規定が無い場合、さまざまな情報を扱っている「現場」では、実際の担当者が判断する際の基準がなく、勝手な判断が起こりえると想定できます。このような判断の「ブレ」をなくすためにも、ISMSを導入された方が、企業の情報セキュリティに関する規定の統一にも役立つと考えます。


3/3
 

Index
ISMSで仕事をラクにしよう!
  Page1
いまさら聞けない「ISMS」
いま、ISMSが「再度」注目される理由
  Page2
ISMSで決められていること
「付属書A」はヒントの宝庫
Page3
モバイルPCの使用についてISMSを考えてみる
ISMSを知り、有効活用しよう


Profile
松下 勉(まつした つとむ)

テュフズードジャパン株式会社

マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)

これまで、ネットワークインフラ構築・サーバ構築などのネットワークエンジニア、ネットワークセキュリティ診断・情報セキュリティ監査・情報セキュリティポリシー策定・ISMS認証支援・プライバシーマーク認証支援などの情報セキュリティコンサルタントを経て、第三者認証機関の審査員となる。

ISMSで考える運用管理のヒント 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH