近年は大企業でもシステム障害や情報漏えいなどの不祥事が相次いでおり、セキュリティ体制の再構築を検討中の企業も多いのではないでしょうか。そこで本記事ではセキュアな情報管理を実現する情報セキュリティマネージメント(ISMS)の基本と、その具体的な対策法について紹介します。
情報セキュリティマネージメントとは
まず、情報セキュリティマネージメントとは、企業ないしは組織が情報セキュリティの保全に体系的に取り組むことを意味します。「ISMS(Information Security Management System)」と呼ばれることもあり、企業がそれをしっかり実践していることを示すISMS認証「ISO27001」が国際規格として存在します。
ISMSにおいて重要なのは、各社がそれぞれの環境に合わせたセキュリティプランを主体的に策定し、計画的かつ最適化されたシステム運用を行うことです。そして、ISMSが目指す安全基準としては、次の3要素が挙げられます。
- 機密性:情報が漏れないようにする
- 完全性:情報が改ざんされたりしないようにする
- 可用性:情報が使いたいときに使える状態にする
「セキュリティ」というとサイバー犯罪など悪意ある攻撃への対処を想定しがちです。しかし、実際にはその範囲は幅広く、コンプライアンスの不徹底による外部・内部での情報漏えいや、バックアップの未実施やシステムの不整備などによって、「必要なときに必要な人が必要な情報にアクセスできないこと」もリスクの1つとして考えなければいけません。
情報セキュリティマネージメントの必要性
ISMSを実施する必要性ないしはメリットは多岐に渡ります。まず、自社セキュリティの実態把握と効果的な改善が可能になります。その結果、社内外からの不正アクセス対策や、従業員のITリテラシーの向上などが期待できるでしょう。
そして、そのようにセキュアな配慮が行き届いていることは企業としての社会的信用にもつながります。実際、内閣官房に属する内閣サイバーセキュリティセンターは、「政府機関等の対策基準策定のためのガイドライン(平成30年度版)」において、外部委託する際の審査基準として、ISO27001などの認証制度を活用することを提唱しています。それゆえ、ISMSに取り組むことで、直接ビジネスチャンスに結び付くこともあるのです。
情報セキュリティマネージメントに欠かせない情報セキュリティポリシーとは
ISMSの第一歩は、情報セキュリティポリシーを策定することです。情報セキュリティポリシーとは、企業において実施するISMSの原則や行動指針を意味します。
これを社の統一指針として作っておかないと、ISMSを全社的に統一できず、適切な管理が不可能になります。それゆえ、情報セキュリティポリシーは組織全員が共有できるようにしっかり文書として定め、それを全社的な共通ルールとして意志統一しなければなりません。
情報セキュリティポリシーの内容
情報セキュリティポリシーの一般的構成は、「基本方針」、「対策基準」、「実施手順」の3つです。
まず、基本方針では、「なぜ情報セキュリティが重要なのか」「どのような方針の下でそれを考えるのか」「顧客情報をどのような方針で取り扱うのか」といった基本理念や宣言が記載されます。次いで、対策基準では、基本方針を実践するための実際の規則が示されます。そして最後の実施手順が、それぞれの対策基準ごとに実施すべきISMSの具体的内容です。
なお、日本ネットワークセキュリティ協会(JNSA)が情報セキュリティポリシーのサンプルを提供しているので、策定の際はそちらを参考にするようおすすめします。
情報セキュリティポリシーの策定手順
情報セキュリティポリシーは、企業の業態・規模、策定の目的、予算、期間などによって最適解が大きく変わります。それゆえ、策定の際には外部のコンサルタントなどにも相談しつつ、自社に適したISMSとは何か、当該企業が主体的に考えなければなりません。総務省の「国民のための情報セキュリティサイト」の中にある「情報セキュリティポリシーの策定」によると、主に以下の手順で進めていきます。
- ポリシー策定の責任者や担当者の決定
- ポリシーの目的や情報資産の対象範囲、期間、役割分担などの決定
- 策定スケジュールの決定
- 基本方針の策定
- 情報資産の洗い出し、リスク分析および対策
- 対策基準と実施内容の策定
情報セキュリティマネージメントの実施
ポリシーの策定が終わったら、それに基づいて実際にISMSを実施していきます。実施に当たっては、PDCAサイクルを回していくのが有効でしょう。一定期間ごとに、ISMSが実態に沿った内容になっているか評価ないしは再検討をして、改善を図ることが大切です。また、自社の現状や新たなセキュリティリスク、新法令の施行など環境変化に合わせて定期的に最適化していくことも欠かせません。
情報セキュリティマネージメントの運用ポイント
ISMSを成功させるためには、以下に挙げるポイントが重要になります。
役員レベルの人員を責任者に置く
ISMSにおいて重要なことは、「自社の仕事に精通した役員レベルの人員を、責任者に置くこと」です。
例えばポリシー策定の際には、技術的な施策とは別に、「自社にとって大切な情報とは何なのか」「それをどのような理念・方針の下で守っていくのか」という企業全体の方向性に関わる判断が必要になるからです。そのため、システム部門の担当者など現場レベルの人員を責任者にするのは適切ではありません。ISMS責任者には、経営権限を持った役員レベルが適任でしょう。
ITツールを導入して運用負担を軽減する
ISMSを人力だけで達成しようとすれば、その運用・維持には大変な労力が必要になります。それゆえ、ISMSを実施する際には、情報管理などを効率化するITツールを導入することで効率化し、担当者の負担を減らすことが大切です。ITツールの中には業界特化型のものもあるので、自社の業態に合った製品を選びましょう。
セキュリティを強化するにはQuestのソリューション
ISMSに役立つツールとしておすすめなのが、Questの提供するITソリューションです。Questは1987年の創業以来、30年以上に渡って約100か国13万社以上にIT支援を行ってきた確かな実績を持つ企業です。
QuestのセキュアなITソリューションは、「コンプライアンスの簡素化」「ネットワーク・データ・アプリケーションの保護」「IDおよびアクセス管理戦略」などを効率的に行い、ユーザー企業のISMSを強力に支援します。ISMSに取り組む際は導入をご検討ください。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
情報セキュリティマネージメントとは、企業が情報セキュリティの保全に計画的に取り組むことを意味します。そのためには、まず、基本方針、対策基準、実施手順を含んだ統一的なポリシーを策定し、ITツールなどを活用しながら社を挙げて対策に取り組む必要があります。本記事を参考に、ぜひISMSを推進してください。
