第13回 マネジメントから見た情報セキュリティ：知ってるつもり？「セキュリティの常識」を再確認（2/2 ページ）

[烏山雄大（三井物産セキュアディレクション），ITmedia]

　ISMS認証基準の基となったのは、英国規格のBS7799である。BS7799は2部構成となっており、Part1は情報セキュリティの実践のための規範(ベストプラクティス）、Part2は情報セキュリティマネジメントシステムの仕様（認証基準）について定めている。

　日本のISMS認証基準は、BS7799 Part2を基に互換性を持って作られており、最新規格はISMS認証基準Ver2.0となっている。これはBS7799-2：2002をベースとして、JIS X5080で使われている用語を利用して日本語化したものである。ちなみに、BS7799 Part1はISO/IEC17799として国際規格化されており、その日本語規格がJIS X5080（日本工業標準調査会の「JIS検索」を選択して検索を行ってほしい）となっている。

　ISMS認証基準は、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善すること」を主要なコンセプトに、実現のため以下のPDCA（Plan-Do-Check-Act）からなるフェーズを実践し、マネジメントシステムの有効性をスパイラルアップで、構築していくことを要求している。PDCAサイクルは、どのようなマネジメントシステムでも利用できる一般的な考え方で、多くのマネジメントシステムで採用されているものだ。

Plan：達成すべき情報セキュリティの目標、計画を策定する
Do：目標に基づき導入した人的／技術的対策を実施・運用する
Check：実施・運用状況を監視し、内容の不備・運用上の問題点・難易度の高さなどを確認する
Act：内容の見直しを行い、改善を実行する

図2■ISMSにおけるPDCAサイクル例

　また、BS7799-2：2002へ規格改定された際、「経営層のマネジメントシステムへの積極的関与」「情報セキュリティの確保・向上に関する責任の明確化」「マネジメントシステムの継続的改善」の3点を意識した改定がなされており、組織全体が関与する形で1つのマネジメントシステムを構築していくのが特徴といえる。ISMSでは、以下の9ステップを通じてマネジメントシステムのフレームワーク構築することが一般的である。

図3■ISMSにおけるマネジメントシステムのフレームワーク構築ステップ（詳しくは、JIPDECのISMSユーザーズガイド）

　資格の取得を目的としていない組織でも、これらマネジメント規格を用いて自組織の体制・対策に不足している事を見出すことは非常に有用だ。一度JIS Q15001(日本工業標準調査会の「JIS検索」を選択して検索を行ってほしい）、ISMS認証基準Ver2.0に目を通しておくことをお勧めしたい。

マネジメントの新動向

　ここからはマネジメントシステム規格の動向について触れたい。

　現在、ISO/IEC17799の改定が進められている。今年の秋頃までには改定規格として登場してくると思われる。大きな変更としては「情報セキュリティに関する事件／事故のマネジメント（Information securityincident management）」に関する節が追加されていることである。ここでは、事件／事故／問題点の報告手順、報告された事件／事故／問題点の取扱いおよび改善に関する手順が記されている。

　それ以外にもいくつかのポイントがあるが、以下の内容がより明確化され、ISMSの改善に影響を与える事項の把握・管理が重要視されている。

• 従業員の採用、雇用中、退職後の管理
• 外部委託業者等第三者の行動に関するリスク管理
• パッチの管理を含む脆弱性情報の管理

　ISO/IEC17799の改定は、ISMS認証基準の適用管理策の改定という形で、ISMS認証取得事業者に影響を与えると考えられる。注目しておく必要があるだろう。さらに、BS7799のPart2をベースとしたISO文書の策定も進んでいる。こちらは、まだ協議部会(ISO/IEC JTC1/SC27)で検討が重ねられている段階で、ISO化は早くとも2007年になると思われる。

個人情報保護法の厳罰化

　セキュリティマネジメントが注目されるきっかけとなった個人情報保護法に関しても動きがある。今国会での成立を目指して自民党から以下の内容の改正案が提出される予定なのである。

1. 5000人以上の個人情報を扱う企業と委託先の従業員や元従業員が、業務で知り得た個人データをみだりに他人に知らせたり、不当な目的に利用したりすることを禁じる
2. 個人データを不正な利益を図る目的で第三者に提供した場合、情報を提供した従業員に対して１年以下の懲役または50万円以下の罰金を科す

　故意に情報を漏えいさせた人物に対する罰則が盛り込まれ、より漏えいに対する抑止力を強化する内容となっている。こちらの動向にも注目が必要である。

---

　マネジメントシステムは、技術的対策の有効性を高め、よりレベルの高い情報セキュリティを実現するための重要な考え方である。これらは読者の組織の情報セキュリティに必ず良い影響を与えると信じている。認証の取得の有無に関わらず、一度自らの組織に当てはめて内容を検討することをお勧めする。