連載	中小企業に効くクスリ（2）

ゼロから分かる中小企業の情報セキュリティ対策法

エフィジェント
赤秀 有為

2005/8/27

-	ISMS認証基準におけるISMS

■ISMSのセキュリティ3大要素

　ISMS認証基準では、情報セキュリティの3大要素として「機密性」「完全性」「可用性」を挙げている。

機密性 各情報資産に対して権限者を明確に区別し、権限者のみが与えられた範囲内で活動（読み・書き・実行など）できるようにする。 完全性 データ発生から処理されるまでに行う工程（入力・編集・送信・保存・参照・削除など）にて、欠落や重複、改ざんなどのトラブルなく、データの正当性・正確性・網羅性・一貫性を維持する。 可用性 頻繁なシステムダウンやレスポンス遅延なく、情報システムが必要なときに必要な情報を提供できる状態を維持する。

情報セキュリティの3大要素

　そこでISMSとは「情報資産に対して 機密性・完全性・可用性を確保・継続維持すること」を目的とした仕組みなのだということになる。

■ISMSの継続的PDCAサイクル

　この仕組みの根幹が継続的なPDCAサイクルである。ISMS認証基準のPDCAサイクルの特徴は「スパイラルアップ」、すなわちPDCAプロセスを繰り返す中で、自社の情報セキュリティを徐々にレベルアップさせていくといったスパイラルな取り組みを目指すことにある。

Plan（計画） ・情報セキュリティマネジメント推進計画の立案 ・リスク分析、リスクマネジメントの実施 ・情報セキュリティポリシーの策定など Do（実施） ・情報セキュリティポリシーに基づく対策の実施・運用 ・情報セキュリティに関する教育の実施など Check（点検） ・情報セキュリティポリシー順守状況の評価 ・情報セキュリティポリシー適切性の監査など Action（処置） ・情報セキュリティポリシーの見直し ・問題個所の是正・改善など

図4　ISMS認証基準におけるPDCAサイクル

　ISMS認証基準には、多数の要求事項が定義されている。詳細事項の適応に関して、認証取得を目指す場合は正式なリスクアセスメントに基づいて適応除外項目を導き出すのだが、独自指針として使用する場合も自社にとって優先度の高い要求事項（トラブル発生時の被害の大きさ×トラブルの発生確率）を選び出し、まずはそこから始めるのがよいだろう。そしてPDCAサイクルを繰り返し回していく中で、段階的に適応事項を増やしていくのである。

-	中小企業向けISMS実践のポイント

　これまで、現状のセキュリティ情勢の下で求められるセキュリティ対策のアプローチとして、「ISMS構築・運用」が有効であることを述べてきた。具体的な実践に当たっては各種専門書などを参照してほしいが、最後に成功に向けたポイントをアドバイスする。

■ポイント1：社長や経営陣の積極的参加

　ISMS運用においては、一般社員に対して新たな運用ルールを強いるなど、いままでの業務のやり方に対して少なからず影響を与えることになる。そのため、セキュリティ担当者の呼び掛けだけでは、一般社員がついてくるとは限らない。社長や経営陣による積極的参加ならびにトップダウンでの指示──すなわち強制力が必要になってくる（ISMS認証基準Ver.2でもトップの関与が必要とされている）。

■ポイント2：一般社員の意識・スキルに合わせた計画

　セキュリティ担当者と一般社員とでは、セキュリティ意識・スキルに大きな乖離（かいり）があることは少なくない。一般社員がISMS運用を無理なく実施できるよう、一般社員のセキュリティ意識やスキルを十分に把握し、そのレベルに合わせた計画を立てる必要がある。

　レベル以上に、多くの運用ルールを要求すると計画倒れに終わってしまう。レベルに応じて、段階的に要求を増やしていくのがコツである。セキュリティ意識が極度に欠落している場合は、最初は運用ルールを設けずに、セキュリティ勉強会などの教育・啓蒙活動からスタートしてもよい。

■ポイント3：既存サンプルの活用

　初めてISMSを計画する場合、情報セキュリティポリシーなどの各種資料を準備するのに苦労する。ここは予算と手間を節約し、Webなどで公開されている既存サンプルをカスタマイズして、自社用に活用するのがよいだろう。

	リンク
		情報セキュリティポリシー・サンプル（日本ネットワークセキュリティ協会）

■ポイント4：全体最適視点での予算投下

　ISMS運用をするに当たって、途中で予算が欠乏し頓挫するといったことを避けねばならない。計画工程に予算を使い過ぎて、実施工程ではその計画が取りやめになるといった例は、実は少なくないようだ。全体最適の視点で各工程の予算配分計画を立て、プロジェクトを実施していくことを勧める。

3/3

index 連載：中小企業に効くクスリ（2） 　ゼロから分かる中小企業の情報セキュリティ対策法 　 Page 1 情勢分析──脅威の多様化と対策レベルの格差 　−情勢1：多様化するセキュリティ脅威 　−情勢2：セキュリティレベルが取引先の選別条件に 　 Page 2 対策の方向性──マネジメント志向と取り組み宣言 　−情勢1に対する方向性 　−情勢2に対する方向性 情報セキュリティ・マネジメントシステムの確立、運用 Page 3 ISMS認証基準におけるISMS 　−ISMSのセキュリティ3大要素 　−ISMSの継続的PDCAサイクル 中小企業におけるISMS実践のポイント 　−ポイント1：社長や経営陣の積極的参加 　−ポイント2：一般社員の意識・スキルに合わせた計画 　−ポイント3：既存サンプルの活用 　−ポイント4：全体最適視点での予算投下

この記事に対するご意見をお寄せください

managemail@atmarkit.co.jp

■要約 今日、“フィッシング詐欺”や“SQLインジェクション”など、新しいセキュリティ脅威が続々と出現し、多様化が進んでいる。また、セキュリティの重要性を認識し対策に取り組んでいる政府や大手企業では、情報セキュリティレベルによって、ビジネスパートナーを選別する動きが高まっている。 こうした情勢を前提として、求められるセキュリティ対策の方向性を整理すると、場当たり的ではない体系だったセキュリティ対策と、その姿勢を外部に宣言ないし提示できるようにしておくことが重要だ。 これを満たす対策として、情報セキュリティ・マネジメントシステム（ISMS）の確立、継続的運用がある。ISMS認証基準などを独自基準として、自社にとって優先度の高い要求事項を選択し、段階的に取り組むというアプローチがよい。 成功のポイントは、「社長や経営陣の積極的参加」「一般社員の意識・スキルに合わせた計画」「既存サンプルの活用」「全体最適視点での予算投下」である。

▲記事の先頭<Page1>に戻る

profile

赤秀 有為（あかひで ゆうい） エフィジェント有限会社 代表取締役社長。慶應義塾大学卒。ロータス社にてNotes/Dominoを用いたWebシステム開発に従事。その後、サン・マイクロシステムズ社にてオープン系システムのITテクニカルコンサルティング、ベリングポイント社にてIT投資対効果算定などのITビジネスコンサルティング活動に従事。現在、エフィジェント社にて社長業とともにビジネスとテクノロジ両面からのIT化最適解を追求するコンサルティング活動を行う。 ご意見、ご質問などは、yakahide@effigent.jpまで。

「中小企業に効くクスリ」

■記事の「要約」がメールで読めます■ 記事の「要約」を毎週水曜日にメールでお届けしています。 下の「＠IT情報マネジメント メールマガジン」からお申し込みください。 サンプルを見る

＠IT情報マネジメント メールマガジン　情報マネージャのための情報源（無料）