ISMS認証基準では、情報セキュリティの3大要素として「機密性」「完全性」「可用性」を挙げている。
機密性 | 各情報資産に対して権限者を明確に区別し、権限者のみが与えられた範囲内で活動(読み・書き・実行など)できるようにする。 |
---|---|
完全性 | データ発生から処理されるまでに行う工程(入力・編集・送信・保存・参照・削除など)にて、欠落や重複、改ざんなどのトラブルなく、データの正当性・正確性・網羅性・一貫性を維持する。 |
可用性 | 頻繁なシステムダウンやレスポンス遅延なく、情報システムが必要なときに必要な情報を提供できる状態を維持する。 |
情報セキュリティの3大要素 |
そこでISMSとは「情報資産に対して 機密性・完全性・可用性を確保・継続維持すること」を目的とした仕組みなのだということになる。
この仕組みの根幹が継続的なPDCAサイクルである。ISMS認証基準のPDCAサイクルの特徴は「スパイラルアップ」、すなわちPDCAプロセスを繰り返す中で、自社の情報セキュリティを徐々にレベルアップさせていくといったスパイラルな取り組みを目指すことにある。
ISMS認証基準には、多数の要求事項が定義されている。詳細事項の適応に関して、認証取得を目指す場合は正式なリスクアセスメントに基づいて適応除外項目を導き出すのだが、独自指針として使用する場合も自社にとって優先度の高い要求事項(トラブル発生時の被害の大きさ×トラブルの発生確率)を選び出し、まずはそこから始めるのがよいだろう。そしてPDCAサイクルを繰り返し回していく中で、段階的に適応事項を増やしていくのである。
これまで、現状のセキュリティ情勢の下で求められるセキュリティ対策のアプローチとして、「ISMS構築・運用」が有効であることを述べてきた。具体的な実践に当たっては各種専門書などを参照してほしいが、最後に成功に向けたポイントをアドバイスする。
ISMS運用においては、一般社員に対して新たな運用ルールを強いるなど、いままでの業務のやり方に対して少なからず影響を与えることになる。そのため、セキュリティ担当者の呼び掛けだけでは、一般社員がついてくるとは限らない。社長や経営陣による積極的参加ならびにトップダウンでの指示──すなわち強制力が必要になってくる(ISMS認証基準Ver.2でもトップの関与が必要とされている)。
セキュリティ担当者と一般社員とでは、セキュリティ意識・スキルに大きな乖離(かいり)があることは少なくない。一般社員がISMS運用を無理なく実施できるよう、一般社員のセキュリティ意識やスキルを十分に把握し、そのレベルに合わせた計画を立てる必要がある。
レベル以上に、多くの運用ルールを要求すると計画倒れに終わってしまう。レベルに応じて、段階的に要求を増やしていくのがコツである。セキュリティ意識が極度に欠落している場合は、最初は運用ルールを設けずに、セキュリティ勉強会などの教育・啓蒙活動からスタートしてもよい。
初めてISMSを計画する場合、情報セキュリティポリシーなどの各種資料を準備するのに苦労する。ここは予算と手間を節約し、Webなどで公開されている既存サンプルをカスタマイズして、自社用に活用するのがよいだろう。
【リンク】
▼情報セキュリティポリシー・サンプル(日本ネットワークセキュリティ協会)
ISMS運用をするに当たって、途中で予算が欠乏し頓挫するといったことを避けねばならない。計画工程に予算を使い過ぎて、実施工程ではその計画が取りやめになるといった例は、実は少なくないようだ。全体最適の視点で各工程の予算配分計画を立て、プロジェクトを実施していくことを勧める。
▼著者名 赤秀 有為(あかひで ゆうい)
エフィジェント有限会社 代表取締役社長。慶應義塾大学卒。ロータス社にてNotes/Dominoを用いたWebシステム開発に従事。その後、サン・マイクロシステムズ社にてオープン系システムのITテクニカルコンサルティング、ベリングポイント社にてIT投資対効果算定などのITビジネスコンサルティング活動に従事。現在、エフィジェント社にて社長業とともにビジネスとテクノロジ両面からのIT化最適解を追求するコンサルティング活動を行う。
ご意見、ご質問などは、yakahide@effigent.jpまで。
Copyright © ITmedia, Inc. All Rights Reserved.