ISMSを実現する手段として注目を集めているのが、「ISO/IEC27001」(以下、ISO27001)と呼ばれる情報セキュリティの国際規格だ。2005年10月に発行され、これを基にした国内規格として日本語化した「JIS Q 27001」が2006年5月20日に発行された。
ISO27001は、ハードウェア/ソフトウェアの技術的な規格ではなく、企業の情報セキュリティ管理の共通基盤を提供し、企業間の取引を信頼できるものとするISMSの第三者適合性評価制度として、一時の取得フィーバーが沈静化した感のあるPマークに代わって人気が高まっている。
審査に合格した企業は、社内の情報セキュリティに関する意識改革や業務プロセスの改善を実現するとともに、取引先企業に対して情報セキュリティマネジメントシステムの世界標準に準拠する企業として自社をアピールできるメリットもある。
ISO27001(JIS Q27001) | プライバシーマーク(2006年度版) | |
---|---|---|
概要 | 顧客に対して情報セキュリティをしっかりと管理できる企業であることを知らせるための審査規格 | 個人情報保護を適切に行っている企業が評価/認定され、Pマークを付与される制度 |
対象 | マネジメントシステム(情報資産) | マネジメントシステム(個人情報) |
発行時期 | 2005年10月 | 2006年5月 |
JIS化 | 2006年5月 | 2006年5月 |
審査の適用規格 | ISO27001(JIS Q27001) | JIS Q15001 |
主幹団体 | (財)日本情報処理開発協会(JIPDEC) | (財)日本情報処理開発協会(JIPDEC) |
審査会社数 | 23社 | 11社 |
国内取得件数 | 2241件(2007年6月29日現在) | 7756件(2007年6月25日現在) |
グローバル取得件数 | 3350件(2007年3月現在、BS7799含む) | ― |
主な取得業種 | 金融業、IT関連、印刷会社など | IT関連、人材派遣、学習塾など |
(参考:トーマツ環境品質研究所) |
ISO27001の情報セキュリティマネジメントシステムでは、まずリスクを洗い出す作業から始まる。リスクの分析/評価を行い、そのリスクに対してどのような対応を実施すべきなのかを計画、ルールに基づいた運用と対策を実行する(図2)。その実行状況や目標の達成状況がどうか定期的にチェックして、その間の事故や違反を監視するとともに、内部監査でルールも守られているかを確認する。
もし、このチェック段階でルールが守られていない、あるいは対策が不十分の場合、再発を防止する対策を強化する。これが情報セキュリティマネジメントシステムの一連の流れとなる。
では、情報セキュリティの現場サイドでの具体的な対策とは何か? それについて平山氏は、「他社がセキュリティの設備を導入したからといって、それを真似る必要はない。自社の仕組みとして情報が守られ、データの正確性が合理的に保てるのであれば、単純な仕組みでも構わない」と述べる。シンプルなルールの徹底による対策でも、効果が認められればそれで十分ということだ。
大切なのは、対策の数を増やすだけではなく、費用対効果を勘案した企業の合理的な判断であること。例えば、文書の廃棄について、シュレッダーで細かく裁断するのか、文書廃棄箱を設置して専門業者に廃棄を依頼するのか。あるいは、コピーの制限については、カードで制限するのか、コピー機自体を設置しなのか、といった点である。
だが、世の中にはセキュリティツールと呼ばれるものが数限りなく存在する。一体、何が自社に必要なのかを合理的に判断することが情報セキュリティマネジメントでは重要となる。
(後編に続く)
Copyright © ITmedia, Inc. All Rights Reserved.