情報漏えいの抑止につなげる「マネジメントシステム」の意義：認証制度を活用したセキュリティ対策再チェック（2/2 ページ）

[國谷武史，ITmedia]

「マネジメントシステム」の意義

　単に情報を管理すると言っても、どのような仕組みを実現すれば良いのだろうか。その基本的な方法を提示しているのが、情報セキュリティ規格の「情報セキュリティマネジメントシステム」（ISMS）や、セキュリティ認証制度の「プライバシーマーク（Pマーク）制度」だ。

　ISMSはその名称が示すように、セキュリティの観点から情報を適切に管理するシステムであり、具体的には国際規格「ISO/IEC 27000シリーズ」において、その仕組みが規定されている。Pマーク制度は、個人情報の保護を実践する「個人情報保護マネジメントシステム」について規定した「JIS Q15001」に基づいて運用されている制度である。

　ISMSやPマーク制度に基づいた情報管理のための仕組み（マネジメントシステム）を実践している企業や組織に対しては、日本情報処理開発協会（JIPDEC）がその認定を行う（実際の審査などはJIPDECの認定機関が実施）。10月現在でISMSを取得している組織は3600組織以上、Pマークを取得している組織は1万1700組織以上となっている。

　ISMSやPマークが求める「マネジメントシステム」を構築するには、まず企業や組織が持つ情報を「資産」として位置付けることから始まる。資産となる情報は、例えばISMSでは電子的なデータや業務文書、ソフトウェアやハードウェア、人材、評判や信用などと非常に幅広い。Pマークでは顧客情報や従業員、株主、取引先企業などの個人の特定につながる情報が対象になる。

　これらの情報資産について、その価値（重要性）やリスクを評価する。評価した内容に基づき、企業や組織が持つ資源を考慮しながら、情報資産ごとにリスクを軽減するための方針や対策を組み立てていく。こうして準備した仕組みを、「Plan＝対策や計画の策定」「Do=導入と運用」「Check=監視と見直し」「Act=改善・処置」というPDCAサイクルで継続的に実施していく。セキュリティのマネジメントシステムは、最初から完成度を追求していくというよりも、継続的な実践を通じて、その効果を常に検証し、改善を図っていくことで完成度を高めていく点がポイントだ。

　情報漏えい対策でも、まずは情報自体の価値とリスクを評価することから始まる。ある情報が漏えいすることで、企業や組織にどのような影響が生じるかを検討し、情報自体を保護する対策と、その対策の有効性を高める施策を組み合わせる。これらの全体的な取り組みを「マネジメントシステム」として、継続的に実践していく。

マネジメントシステムの形骸化を回避する

　本来、ISMSやPマークといったセキュリティの認証制度は、企業や組織が情報管理を継続的に実施していることを証明するものである。だが実際には、企業間取引の契約や入札などにおいて、認証の取得が条件となる場合があり、セキュリティの強化という目的よりも、ビジネスの必要性から認証を取得しているケースも珍しくない。

　こうした理由で認証を取得した企業や組織の一部には、認証取得後の取り組みが形骸化し、セキュリティのマネジメントシステムが機能しなくなっているところがあると言われる。厳しい経済情勢から予算や人材などの資源が乏しくなり、マネジメントシステムを維持できなくなってしまう場合もあるが、情報管理に対する意識が徐々に希薄化してしまうことが最大の理由である。その結果、こうした企業や組織では、深刻なセキュリティインシデントが発生する危険性が高まる。

　JNSAの調査結果からみられるように、適切な情報の管理に対する社会的な意識が高まりつつある。企業や組織が情報セキュリティを実現していく上で、セキュリティの認証制度が求めるような「マネジメントシステム」の仕組みを上手に活用していくことが近道になるだろう。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら