効果的な管理を実現するセキュリティガイドラインとは
【連載】
情報セキュリティマネジメントシステム基礎講座

第2回 認証取得のためのISMSガイド

駒瀬彰彦
アズジェント
2002/8/9

---

　情報セキュリティマネジメントシステム（ISMS）が適切に構築されているか否かを評価する制度が制定されている。国内においては、「ISMS適合性評価制度」と「BS7799」の認証制度である。これらの紹介と認証を取得するために有用なガイドである「ISMSガイド」（ISMS適合性評価制度）と「PD3000シリーズ」（BS7799の認証制度）について紹介する。

ISMS構築は防衛目的だけではない

　「第1回 ISMSの基盤となるISO/IEC 17799とJIS X5080」では、「ISO/IEC 17799」や「JIS X5080」といったBS 7799をベースにしたISMSの概要を説明した。ISMS導入の目的は、情報セキュリティの向上を図ることはもちろん、継続的にセキュリティを改善、維持していくことを可能とする組織体制づくりやリスク管理に基づく運用面でのセキュリティ強化であり、ひいては、コーポレートガバナンス（企業統治）を確立することである。

　ISMSを構築することは、何も防衛目的だけではなく、情報の完全性や可用性の向上と維持という観点から信頼性やサービス品質の向上につながるという利点があり、企業戦略のうえで欠かせない重要なファクタである。このことを認識し、ビジネスのリスクを最小化し、そのリターンを最大限にしていく一連の統制がISMSなのである。

　企業や組織が構築したISMSを第三者によって偏見なく公平に審査される認証制度がある。認証取得自体、ISMSの構築・運用という過程の副産物であり、ゴールというわけではないが、認証を取得することは、企業（組織）内・外の両面から大きな効果が得られると考えられている。

なぜ、認証を取得するのか？

　具体的に期待される効果としては、

企業（組織）内	・本質的な情報セキュリティの向上
	・説明責任（アカウンタビリティ）の明確化
	・安全な情報の共有化
	・職場の情報整備による業務の効率化
企業（組織）外	・企業（組織）価値の向上
	・運用基準を明確化することによるサービス品質の向上
	・信頼性のアピール
	・同業他社に対する優位性の確保

が考えられる。

　特に、認証取得から得られる信頼性をアピールすればパートナー企業や顧客に対して、商取引やサービス提供のうえで大きな効果があり、ほかの未取得の企業との差別化にもつながる。また、認証取得後も、その有効期限が切れるまでにサーベイランス審査（維持審査）が年に一度、定期的にあり、認証を維持するには、継続的に審査をクリアしなければならないことから、前述したISMSの継続的な取り組みの後押しにもなる。

BS7799の認証取得に向けて

　さて、国内においては、BS7799（Part2）の認証制度とISMS適合性評価制度がある。まず、BS7799（Part2）の認証制度について紹介する。

　BS7799の認証を取得するには、BS7799　Part2に記載されている仕様を満たさなければならない。BS7799は、2部構成で、Part1は前回紹介した「ISO/IEC 17799」のことである。Part2は、まだ国際標準化（ISO化）されていないが、ISMSの認証基準仕様について記載されている。

　国際標準化は今後の課題にせよ、すでに多くの国々の企業や組織が認証を取得している（図1）。

図1 BS7799の各国における取得状況

　BS7799 Part2：情報セキュリティ管理システム仕様（Part2:Specification for information security management systems ）の第3章において、ISMSの要求事項として、ISMSのフレームワーク（枠組み）に関する要求事項と、その実施に関する要求事項が記載されている。これらの要求事項を満足することが認証取得の必須条件となる。

　具体的には、企業または組織固有のISMSを確立し維持するための実施に関する要求事項には次の項目について文書化を行うことが定められている。

• 保護すべき情報資産
• リスクマネジメントに対する企業または組織の取り組み方法
• 管理目的および管理策の内容
• 保護すべき情報資産に要求される保証の度合い

　これらの事項を明文化することにより、企業または組織のISMSが効果的であり、セキュリティの状態が維持されることを証明することが可能になるわけである。

　また、「フレームワークの確立」に関するISMSの要求事項は、以下の6ステップで、

1. 情報セキュリティポリシーの策定
2. ISMSの適用範囲の決定
3. リスクアセスメント
4. リスクマネジメント
5. 管理目的・管理策の選択
6. 適用宣言書の作成

と定められている。フレームワークの確立に当たり、その手順の概要は図2のように示されている。

図2 BS7799 Part2マネジメントの枠組みの確立

　この中で、特に“5.管理目的・管理策の選択”で留意する点は、 ISMSを導入する企業が、BS7799 Part2に記載されている詳細管理策を安易に選択すればよいわけではないということである。もちろん、これら管理策は一般的に有効であると認められたものであり、規格化に関与した企業や組織、専門家による長年の知見による最適慣行であるといえる。しかし、規格には情報技術分野における目覚ましい技術、慣行の発展を考慮し、これらの管理策だけでなく、よりよい管理策を取り入れるべきだとしている。

　また、過剰な管理や人員、投資などのリソースの無駄を避けるためにも、どの管理策を選択するべきかは、要求されるセキュリティ要件やビジネス要件、上記3、4にあるリスクアセスメント、リスクマネジメントなどを通じて決定することが肝要であるとしている。換言すれば、認証取得審査の際は、ある情報資産に対して、どのようなリスクが想定され、それに対して適切な管理策が選択され、実装・運用されているかを客観的に審査されるのである。

　しかし、これらの詳細は、BS7799 Part2を参照しただけでは、認証のための要求事項や記載されている詳細管理策の行間から読み取ることは困難であり、すぐにはポイントがつかめないであろう。ポイントをつかむには、トレーニングを受講したり、専門家に相談することが望ましい（参照：セキュリティポリシーアライアンス）。また、ISMS導入のために PD3000 シリーズというガイドブックシリーズも用意されている。これは、ISMSの導入を検討している企業ばかりでなく、審査員やコンサルタントの方にも有用なので紹介する。

BS7799認証に向けたガイドライン：PD 3000シリーズ

　BS7799ガイドラインおよびBS7799の付録であるPD3000シリーズというガイドは、以下の6ガイドから構成されており、BS7799をベースにセキュリティポリシーを策定する際やリスクアセスメントを行ううえで有用である。

名称	内容
DISC PD 3000	情報セキュリティ管理序文
DISC PD 3001	BS7799 認証の準備
DISC PD 3002	BS7799 リスクアセスメントおよびリスクマネジメントへのガイド
DISC PD 3003	BS7799 の監査の準備は出来ていますか？
DISC PD 3004	BS7799 監査へのガイド
DISC PD 3005	BS7799 管理策選択のガイド

　PD3000シリーズは、BSI-DISC委員会から発刊されている。DISCは、BSI（英国規格協会）内に設立された機関であり、さまざまな英国規格に関する出版物やガイドを提供しており、BS7799関連のガイドなどの発刊や開発にも携わる。本シリーズは、財団法人日本規格協会から対訳版が購入可能である。残念なことに分かりやすく翻訳されていないので、オリジナル（英語版）を読むことをお勧めする。

• PD3000：情報セキュリティ管理序文（Information Security Management：An Introduction）
  
  PD3000は認証取得のためのガイドの序文に当たり、認証を取得することによるメリットなどの概要が記載されている。また、認証を取得するための一連の取り組みをカバーしているので、認証取得のために何をしなければならないかということを大ざっぱに把握することができる。
  
  
• PD3001：BS7799認証の準備 （Preparing For BS7799 Certification）
  
  PD3001は、認証取得を目的としたISMSの構築と運用の手法を解説するために設計されたガイドである。BS7799 Part1（ISO/IEC17799）およびPart2を網羅的に説明し、おのおのの用語定義を含めた解説を記載している。前述のフレームワーク確立のためのISMS要求事項である6ステップの手順に関しても説明がされている。また、審査時に必要なドキュメントの例として、
  
  ・ 情報セキュリティポリシー宣言書の例
  ・ 適用宣言書の記入例
  
  などもサンプルとして記載されている。
  
  
• PD3002：BS7799リスクアセスメントおよびリスクマネジメントへのガイド （Guide to BS7799 Risk Assessment and Risk Management）
  
  PD3002は、適切な管理策を選択するために情報資産のリスクを明らかにすることを目的としたリスクアセスメントおよびリスクマネジメント手法のガイドである。
  
  このガイドは、リスクアセスメントおよびリスクマネジメントの総合的な手順、選択肢について、基本的な考え方を提供している。
  
  

  ※リスクアセスメントやリスクマネジメントに関する詳細は、次回（第3回）で紹介する予定だ。

  
  
• PD3003：BS7799の監査の準備はできていますか？ （Are you ready for a BS7799 Audit?）
  
  PD3003は、予備認証評価を実施するためのガイドで、管理要求事項に関するチェックリストが用意されており、企業（組織）が実装したセキュリティ管理策の管理、運用状態を把握することを目的としている。この手法はギャップ分析とも呼ばれている。
  
  ギャップ分析の手法とは、BS7799 Part2の詳細管理策127項目と現状を比較して、そのギャップ（乖離）を理解しようとすることである。このガイドでは、図3のようなチェックリストを用いている。質問に対する回答は「はい」「部分的」「いいえ」「適応外」などから選択する。必要に応じて、回答理由などのコメントを記入する。
  
  「はい」という回答に関しては、ギャップが存在しないわけであるが、「部分的」「いいえ」に関しては、そのギャップに関する理由付けをし、何らかの対策が必要であることを認知しておく。

図3 PD3003：質問事項に対する回答サンプル

• PD3004：BS7799監査へのガイド（Guide to BS7799 Auditing）
  
  PD3004は、審査員が企業（組織）を適切に評価することを目的とした審査の要求事項を解説したガイドである。また、審査員だけではなく、事業者がISMSを構築する際および内部監査人がISMSの評価を実施する際にも有用なガイドとなっている。
  
  審査のために、審査員がBS7799 Part2の詳細管理策を理解し、審査の際に確認する必要がある要求事項の解説が記載され、
  
  ・ BS7799 Part2の詳細管理策：目的および概要
  ・ 詳細管理策に対して、審査員が確認すべき要求事項およびその解説
  
  を補足している。
  
  特に、本ガイドで強調していることは、審査員が確認すべきものは、詳細管理策を選択しているか否かではなく、詳細管理策がリスクアセスメントをベースに選択され、定期的に見直されているかについて、それらの記録となるものを評価または審査することである、とある。
  
  
• PD3005：BS7799管理策選択のガイド （Guide on the selection of BS7799 controls）
  
  PD3005は、一般水準のセキュリティを達成することを目的とした管理目的および管理策の選択について解説したガイドである。
  
  ガイドでは、ベースラインアプローチと呼ばれる手法を用いており、詳細に情報資産のリスクを把握したうえで、個々のリスクに対して管理策を選択するのではなく、一般的に広く認知されている管理策を選択するという手法を紹介している。具体的には、図4、図5のようなリストが記載されている。このリストは、
  
  ・ セキュリティ要求事項に対しての詳細管理策の選択（図4）
  

図4 PD3005：管理目的および管理策の選択

・ セキュリティの懸念に対しての詳細管理策の選択（図5）

図5 PD3005：管理目的および管理策の選択

というように、セキュリティ要求やセキュリティにかかわる懸念事項（脆弱性）に対して有用と思われる一般的な詳細管理策（ベースライン）を列挙している。利用者はこのリストを参照して、管理策を選択することができる。

　これらのPD3000シリーズのガイドに従い、ISMSを構築および運用していくわけだが、当初は専門家やコンサルタントの協力を得た方が無難であろう。実際、認証を取得した企業の多くは、専門家がISMSの構築を支援しているようだ。

※PD3000シリーズは、今秋ごろ改訂版がBSI-DISCから発刊される予定である。

　わが国におけるISMSの認証制度は、BS7799認証制度のほかにISMS適合性評価制度がある。次に、この制度について説明していく。

「第1回」へ

「期待されている『ISMS適合性評価制度』」

　

index

第1回 ISMSの基盤となるISO/IEC 17799とJIS X5080

第2回 認証取得のためのISMSガイド

第3回 企業のセキュリティリスクを査定するガイドGMITS

第4回 ISMS構築で重要なリスクアセスメントの手法

第5回 評価されたリスクへの管理策の選択

第6回 情報セキュリティ監査の重要性

第7回 期待が高まる「情報セキュリティ監査制度」

第8回 セキュリティ監査人に必須の実施・報告ガイドライン

第9回 情報セキュリティ監査の実施手順

最終回 情報セキュリティ監査に必須の報告基準ガイドライン

参照サイト
	日本情報処理開発協会（JIPDEC）
	ISO/IEC JTC1/SC27
	JISC（日本工業標準調査会）
	経済産業省 商務情報政策局 情報セキュリティ政策室
	情報処理進行事業協会 セキュリティ評価・認証

関連記事
	開発者が押さえておくべきセキュリティ標準規格動向
	連載 実践！情報セキュリティポリシー運用
	電子メールセキュリティポリシー導入の必要性
	自主性が要求されるセキュリティ対策の新ガイドライン
	企業IT管理者を対象としたセキュリティ研究会が発足
	書評 情報セキュリティポリシー策定に役立つ4冊!

連載 情報セキュリティマネジメントシステム基礎講座

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）