情報セキュリティマネジメントシステム

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

情報セキュリティマネジメントシステム(じょうほうセキュリティマネジメントシステム、ISMS: Information Security Management System)は、組織(企業、部、課など)における情報セキュリティを管理するための仕組み。情報セキュリティ管理システムともいう。組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善することが、情報セキュリティマネジメントシステムの基本コンセプトである[1]

ISMSの構築のしかたと認定の基準は、国際規格 (ISO) や日本工業規格 (JIS) になっている。 JIS Q 27001 (ISO/IEC 27001) では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを奨励している。

マネジメント[編集]

各組織の情報資産のリスク(紛失、漏洩、改ざんなど)は様々であり、対策も様々である。各組織のISMSでは、(個々のリスクごとの技術的な対策を定めるだけではなく、)組織自体によるリスク評価に基づいて必要なセキュリティレベルを決め、プランをもち、資源を配分して、システムを運用することを定める。

通常のISMSでは、情報セキュリティ基本方針を基にして、次のPDCAサイクルを繰り返す。

  • Plan: 情報セキュリティ対策の具体的計画・目標を策定する。
  • Do: 計画に基づいて対策の導入・運用を行う。
  • Check: 実施した結果の監視・見直しを行う。
  • Act: 経営陣による改善・処置を行う。

計画・目標の策定 (Plan)[編集]

ISMSの適用範囲を定義し、情報セキュリティ基本方針を策定する(策定にあたっては、「情報セキュリティポリシーに関するガイドライン[2](平成12年)が参考になる)。組織によっては、「情報セキュリティ対策基準」や「情報セキュリティ実施手順」などを作成することもある。

導入・運用 (Do)[編集]

具体的には、まず、組織の情報資産を洗い出し、各情報資産に対するリスクを分析して評価し、リスクを軽減するなどの対策を行うことによって、組織の情報セキュリティを高める。

情報資産は、次の切り口で洗い出す。

  • 直接的情報資産:データベース、データファイル、手順書、監査証跡など
  • ソフトウェア資産:業務用ソフトウェア、システムソフトウェア、開発用ツールなど
  • 物理的資産:コンピュータ装置、通信装置、記録媒体など
  • サービス資産:ユーティリティ(空調、電源、照明)など
  • 人的資産:資格、技能、経験など
  • 無形資産:組織の評判、イメージなど

これらの情報資産について価値(主に失われたり流出したりしたときの影響度)と、脅威の発生する可能性を基準として、リスクを評価する。そして、リスクが許容限度以上のものについて、情報セキュリティ対策を実施する。

ISMSでは、通常はリスクをゼロにすることは求めていない。セキュリティ対策にはコストがかかるので、組織として許容できる範囲のリスクかどうかの判断を経営陣が行ったうえで、限度以上のリスクについて許容範囲までのリスク軽減の対策を講じる(または、リスクの回避、転嫁、受容をする)。そして、対策が実行されているのを管理することが求められる(次節)。

全従業者に対する情報セキュリティ基本方針の教育や、対策基準の教育も、導入・運用に含まれる重要な要素になる。

導入・運用にあたっては、残留リスクとして何がどの程度あるかを経営陣が承認する。特に重要なのは、この選択について「適用宣言書」で明確に公表することにある。

監視・見直し (Check)[編集]

ISMSが適切に実施されているかどうかについて監視する。たとえば、監査(内部監査、外部監査など)を行う。また、適切な期間[3]ごとに基本方針とISMS全体の評価をし、見直しをする。

改善・処置 (Act)[編集]

見直しの結果に基づいて、ISMSを改善する処置をとる。これには、資金・時間などの資源を伴うので、通常の組織では経営陣の権限と協力が必要になる。

ISMSの導入当初から高度のセキュリティを求める必要はなく、組織で実施可能なセキュリティレベルを設定し、そのセキュリティレベルを改善していけばよい。また、情報資産は増減し、脆弱性や脅威は刻々と変化していくので、実情に合わせて改善していかなければ、システムが陳腐化してしまう。

標準化の流れ[編集]

BSI(英国規格協会)によって1995年に規定された英国規格 BS 7799が基となって、ISMSの構築のしかたの標準化が進んだ。BS 7799は、Part 1 (BS 7799-1) とPart 2 (BS 7799-2) の2部構成になった。Part 1には情報セキュリティ管理を実施するに際しての規約の標準が、Part 2にはISMSの認定の基準となる要求仕様が書かれていた。日本の「ISMS認証基準」はPart 2を基に策定された(これは現在 JIS Q 27001 になっている)。

BS 7799は、国際規格になった。BS 7799-1は、2000年にISO/IEC 17799となり(これに伴ってBS 7799-1はBS ISO/IEC 27002となった)、2007年にはISO/IEC 27002:2005と改称された。BS 7799-2も、2005年にISO/IEC 27001となっている。

それらは翻訳されて、日本工業規格にもなっている。2006年に、ISO/IEC 27001はJIS Q 27001として、ISO/IEC 27002はJIS Q 27002として策定された。

規格の対応関係
英国規格 国際規格 日本工業規格 備考
BS 7799-2 ISO/IEC 27001 JIS Q 27001 ISMS 要求事項
BS 7799-1
   ↓
BS ISO/IEC 27002
ISO/IEC 17799
    ↓
ISO/IEC 27002
JIS X 5080
   ↓
JIS Q 27002
ISM 実践のための規範

これらのほかにも、関連する規格として ISO/IEC 27000, 27003~27006, 27011 があり、さらにいくつかの部が準備中である(ISO/IEC 27000 シリーズ)。

過去の経緯[編集]

情報処理サービス業に対し、コンピュータシステムの安全対策が十分かどうかを認定する制度として、旧通商産業省の「情報システム安全対策実施事業所認定制度」(以下、安対制度という)があった。安対制度では主に施設・設備等の物理的な対策に重点がおかれ、対象業種はデータセンターをもった情報処理業であった。安対制度は、2000年7月に通商産業省から公表された「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づき、(財)日本情報処理開発協会 (JIPDEC) で開始した民間主導による第三者認証制度であった。

以下の理由により、安対制度はISMS認証基準へと発展的に解消されている。

  • 情報処理の発展に伴い、情報セキュリティは情報処理業だけではなく、あらゆる業種が対象となる。
  • 国の制度から民間の制度への移行(規制緩和)。
  • 情報セキュリティ管理システムに対する国際規格および日本工業規格の制定。

脚注[編集]

  1. ^ JIS Q 13335-1(情報通信技術セキュリティのマネジメント ― 第1部:情報通信技術のセキュリティマネジメントのための概念及びモデル)。ISO/IEC 13335-1 と同等。
  2. ^ 情報セキュリティポリシーに関するガイドライン 内閣 情報セキュリティ対策推進会議決定(平成12年)- 内閣が各省庁に宛てたものであるが、民間でも使える。」
  3. ^ 1例として、たとえば2年ごと。

関連項目[編集]

外部リンク[編集]