第1回 ISMSで仕事をラクにしよう!


松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/5/18
「情報セキュリティマネジメントシステム」という言葉を聞くだけで拒否反応を示してしまうエンジニアも多いのではないだろうか。しかし、エンジニアが考えている筋道とISMSの示す方向が同じだったり、エンジニアの気がついていないようなポイントをISMSが語っていることもある。「実は身近なISMS」を仕事のツールにするためのちょっとしたTipsを紹介する(編集部)


 いまさら聞けない「ISMS」

 皆さんは「情報セキュリティマネジメントシステム(ISMS)」をどのように説明しますか? 「情報が漏えいしないようにアクセス制御などの社内ルールを策定すること」「フォルダやネットワークのドメインごとのアクセス制御の設定を厳しくすること」のように、組織が具体的な管理策を実施することだけをイメージして説明しているのではないでしょうか。

 ISMSの全体像をまとめていうと、

  • 組織が必要な情報セキュリティの活動や管理策を計画する
  • 計画どおりに導入および実施する
  • 実施したままにせずにうまく機能しているかどうかを点検する
  • その結果から必要な改善を行っていく

ということを継続的に行う仕組みのことです。個々の管理策の詳細な取り組みも必要ですが、組織として情報セキュリティに取り組み、その管理活動が絵に描いたもちにならぬよう、点検し、改善していくことを繰り返し行うことです。

 イメージしやすいように、1つの管理策を軸に、計画(Plan)、実施(Do)、検証(Check)、改善(Act)のPDCA順に説明していきます。

●計画

 組織の情報セキュリティに関するリスクを調べるために、リスクアセスメントします。その結果、組織が受容できる範囲を超えたリスクに対して、例えば「クリアデスク・クリアスクリーン方針」が実施されていないことが分かり、情報漏えいや盗難が発生する可能性が高いと判断します。

 この管理策は、書類および媒体を机上に放置したままにしないこと、およびPCなどの画面に情報を残したまま離席しないことです。「少し一服してくるか」とか「1時間ほど客先に行くだけだからいいだろう」ということで放置された書類などが帰ってきたらなくなっていた、ということが起きないようにするための管理策です。

 このリスクを受容のレベルにまで低減するために、リスク対応計画にて、組織に導入するための計画を立てます。

●導入および実施

 リスク対応計画に沿って、管理策を組織に導入および実施します。従業員に対しては、情報セキュリティの必要性を認識してもらうための教育を実施します。

●検証

 リスク対応計画に沿って導入および実施する際、ルールが厳しすぎて業務が滞ってしまう、または管理が弱すぎて盗難されてしまうことがないかを点検します。また、実施している管理目的から逸脱していないか独立した視点で点検してもらうために、内部監査でも点検します。

●改善

 点検した結果、例えば「管理が弱すぎて盗難されてしまう」ことが分かったら、ルールを変更し、その変更を社内に通知し、実施します。この場合、事象は発生していないが、発生防止のための予防処置のプロセスを用います。

 このように、ISMSのすべての活動は、PDCAを回す、といわれるように、計画−実施−検証−改善のサイクルを実施することで、今日よりも明日、来月、来年というように日々その仕組みが良くなるために活動していくことです。

 いま、ISMSが「再度」注目される理由

 2008年度(2009年3月)の決算期に合わせ、内部統制の監査報告書を作成する企業は、IT内部統制において情報セキュリティを導入しなければならない状況です。また、企業情報および国家の機密情報が他国へ漏えいするような事件が相次いだことにより、情報セキュリティは個人情報を守るだけでは不十分であることに気付き始めたのではないでしょうか。

 それを現す事例として、昨今の企業や団体の動きでは、大手企業の委託・請負先企業の業務の継続ならびに入札要件にISMSが挙がるようになっています。

 これらの状況から、情報全般を保護するためのマネジメントシステムとして、ISMSが再度脚光を浴びています。「再度」と表現したのは、経済産業省(旧通商産業省)が「情報システム安全対策実施事業所認定制度」を2001年3月31日に廃止し、その代わりの新しい制度として、「ISMS適合性評価制度」を2001年4月の開始時期に脚光浴びたからです。

1/3

Index
ISMSで仕事をラクにしよう!
Page1
いまさら聞けない「ISMS」
いま、ISMSが「再度」注目される理由
  Page2
ISMSで決められていること
「付属書A」はヒントの宝庫
  Page3
モバイルPCの使用についてISMSを考えてみる
ISMSを知り、有効活用しよう


ISMSで考える運用管理のヒント 連載インデックス

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの? (2017/6/21)
    さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱(ぜいじゃく)性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた
  • リクルートのCSIRTが、マルウェア対策の一部を内製化した理由 (2017/6/19)
     本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピューターインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする
  • 「WannaCry」の次は「SambaCry」? (2017/6/14)
    2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ちきりとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン(TL)を賑わしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。
  • 「WannaCry」にどう対処する、猛威を振るった「ランサムウェア」を知る記事12選 (2017/5/30)
     2017年5月12日からランサムウェア「WannaCry」が大きな話題になった。これをきっかけにランサムウェア対策を講じることになった企業も多いのではないだろうか。本稿では、ランサムウェアに関する記事をピックアップ。今後のセキュリティ対策の参考にしてみてはいかがだろうか
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH