ゼロから分かる中小企業の情報セキュリティ対策法:中小企業に効くクスリ(2)(3/3 ページ)
ISMS認証基準におけるISMS
ISMSのセキュリティ3大要素
ISMS認証基準では、情報セキュリティの3大要素として「機密性」「完全性」「可用性」を挙げている。
| 機密性 | 各情報資産に対して権限者を明確に区別し、権限者のみが与えられた範囲内で活動(読み・書き・実行など)できるようにする。 |
|---|---|
| 完全性 | データ発生から処理されるまでに行う工程(入力・編集・送信・保存・参照・削除など)にて、欠落や重複、改ざんなどのトラブルなく、データの正当性・正確性・網羅性・一貫性を維持する。 |
| 可用性 | 頻繁なシステムダウンやレスポンス遅延なく、情報システムが必要なときに必要な情報を提供できる状態を維持する。 |
| 情報セキュリティの3大要素 | |
そこでISMSとは「情報資産に対して 機密性・完全性・可用性を確保・継続維持すること」を目的とした仕組みなのだということになる。
ISMSの継続的PDCAサイクル
この仕組みの根幹が継続的なPDCAサイクルである。ISMS認証基準のPDCAサイクルの特徴は「スパイラルアップ」、すなわちPDCAプロセスを繰り返す中で、自社の情報セキュリティを徐々にレベルアップさせていくといったスパイラルな取り組みを目指すことにある。
ISMS認証基準には、多数の要求事項が定義されている。詳細事項の適応に関して、認証取得を目指す場合は正式なリスクアセスメントに基づいて適応除外項目を導き出すのだが、独自指針として使用する場合も自社にとって優先度の高い要求事項(トラブル発生時の被害の大きさ×トラブルの発生確率)を選び出し、まずはそこから始めるのがよいだろう。そしてPDCAサイクルを繰り返し回していく中で、段階的に適応事項を増やしていくのである。
中小企業向けISMS実践のポイント
これまで、現状のセキュリティ情勢の下で求められるセキュリティ対策のアプローチとして、「ISMS構築・運用」が有効であることを述べてきた。具体的な実践に当たっては各種専門書などを参照してほしいが、最後に成功に向けたポイントをアドバイスする。
ポイント1:社長や経営陣の積極的参加
ISMS運用においては、一般社員に対して新たな運用ルールを強いるなど、いままでの業務のやり方に対して少なからず影響を与えることになる。そのため、セキュリティ担当者の呼び掛けだけでは、一般社員がついてくるとは限らない。社長や経営陣による積極的参加ならびにトップダウンでの指示──すなわち強制力が必要になってくる(ISMS認証基準Ver.2でもトップの関与が必要とされている)。
ポイント2:一般社員の意識・スキルに合わせた計画
セキュリティ担当者と一般社員とでは、セキュリティ意識・スキルに大きな乖離(かいり)があることは少なくない。一般社員がISMS運用を無理なく実施できるよう、一般社員のセキュリティ意識やスキルを十分に把握し、そのレベルに合わせた計画を立てる必要がある。
レベル以上に、多くの運用ルールを要求すると計画倒れに終わってしまう。レベルに応じて、段階的に要求を増やしていくのがコツである。セキュリティ意識が極度に欠落している場合は、最初は運用ルールを設けずに、セキュリティ勉強会などの教育・啓蒙活動からスタートしてもよい。
ポイント3:既存サンプルの活用
初めてISMSを計画する場合、情報セキュリティポリシーなどの各種資料を準備するのに苦労する。ここは予算と手間を節約し、Webなどで公開されている既存サンプルをカスタマイズして、自社用に活用するのがよいだろう。
【リンク】
▼情報セキュリティポリシー・サンプル(日本ネットワークセキュリティ協会)
ポイント4:全体最適視点での予算投下
ISMS運用をするに当たって、途中で予算が欠乏し頓挫するといったことを避けねばならない。計画工程に予算を使い過ぎて、実施工程ではその計画が取りやめになるといった例は、実は少なくないようだ。全体最適の視点で各工程の予算配分計画を立て、プロジェクトを実施していくことを勧める。
著者紹介
▼著者名 赤秀 有為(あかひで ゆうい)
エフィジェント有限会社 代表取締役社長。慶應義塾大学卒。ロータス社にてNotes/Dominoを用いたWebシステム開発に従事。その後、サン・マイクロシステムズ社にてオープン系システムのITテクニカルコンサルティング、ベリングポイント社にてIT投資対効果算定などのITビジネスコンサルティング活動に従事。現在、エフィジェント社にて社長業とともにビジネスとテクノロジ両面からのIT化最適解を追求するコンサルティング活動を行う。
ご意見、ご質問などは、yakahide@effigent.jpまで。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Windows 11の永続ライセンスが消えて“毎月課金”になる予感
- 「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- プロンプト作成は「ヒトに残された」仕事か? それともただの「時間の浪費」なのか
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- プログラミング言語「R」に任意コード実行の脆弱性 悪用の可能性あり更新を
ITmediaはアイティメディア株式会社の登録商標です。