「Pマーク取得祭り」の次に来るもの：これがなければ始まらない？ ISO27001取得への道（2/3 ページ）

[富永康信（ロビンソン），ITmedia]

シンプルなルールでも十分

　以上の情報漏えい事件の事例を見ると、情報セキュリティの維持がいかに困難かが分かる。もはや“明日は我が身”、これらのリスクを回避するためには、情報セキュリティ体制を構築することが必須となる。この体制を築けば、情報漏えいの未然防止や不正アクセスなどからの組織的対応力が向上するとともに、他社との差別化による受注増大、ひいては対外的な信頼性向上によるビジネスチャンスの拡大へとつながるというわけだ（図1）。

図1●情報セキュリティ体制を構築するメリット（出典：トーマツ環境品質研究所）

　システム管理者の立場としては、組織的で計画的な管理体制が維持されることでセキュリティ基盤が確立し、社内のセキュリティに対する意識改革も行われるのであれば、歓迎すべきことである。

　「情報を守るためには、もはや技術要素だけは不十分。情報セキュリティへの体系的な取り組みの必要性が日々叫ばれる中、情報セキュリティマネジメントの強化に乗り出す企業が増えている」と話すのは、トーマツ 環境品質研究所情報セキュリティコンサルティンググループマネジャーの平山直紀氏だ。同社では、ISO取得支援やCSR（Corporate Social Responsibility）コンサルティングを行っている。

　例えば、官庁の入札要件に、Pマークや情報セキュリティのマネジメントシステム（ISMS *1）の認証取得が条件となりつつあり、その流れは一般企業間の商取引条件にも拡大し、情報セキュリティ体制の構築状況を問い合わせるケースが増えてきたという。

「情報セキュリティ対策は、シンプルなルールでも効果が認められれば十分」と語るトーマツの平山氏

　平山氏は、「情報セキュリティとは、企業として『守りたい情報』と『何から守りたいのか』を特定し、『必要な対策を取る』こと」と述べる。その具体的定義としては、（1）機密性（許可された人しか見ることができない）、（2）可用性（情報を使いたいときに使える）、（3）完全性（改ざんなどからの保護）の3つを維持することだと指摘する。

---

*1　ISMS（Information Security Management System）：英国規格協会（BSI）によって定められた情報セキュリティ管理規格「BS7799」をベースとして、日本に持ち込まれてISMSと呼ばれるようになった。なお、2007年11月19日までにISOの新規格に移行予定。