fbpx
  1. ホーム /
  2. セキュリティ /
  3. ISMSとは?ISOの情報セキュリティを管理する仕組みについて
投稿日:

ISMSとは?ISOの情報セキュリティを管理する仕組みについて

blank

ISMSについて知らない方でもISOなら聞いたことがあるでしょう。ISOとは国際的に通用する規格のことで、多くの企業がその価値を高めるために品質や環境の分野でISO規格の認定を取得しています。そしてISMSはISOの情報セキュリティを管理する仕組みを規定した規格です。

多くの企業はITシステムを利用していますが、ITシステムが抱えるセキュリティリスクに対して的確に対処する計画を立案し、その計画を実行できる企業は多くありません。ISMSとはそういった優れた企業を認定する仕組みです。今回ISMSの仕組みと認定に必要な対策について解説します。

ISMSとは

ISMSとはInformation Security Management Systemの略で、これを日本語に翻訳すると情報セキュリティマネジメントシステムです。ISOが制定した国際標準の1つで、企業における情報セキュリティを管理する仕組みを規定しています。

ISOのマネジメントシステムと言えば、工場などの品質管理を認定するQMSがISO9001、企業の環境への取り組みを認定するEMSがISO14001です。そして今回紹介する情報セキュリティを管理する仕組みのISMSはISO27001として規定されています。

まずはISMSのマネジメントシステムとはどのようなものか、認証を受けるメリットについて紹介します。

そもそもISOとは

今回紹介するISMSとは、先ほど紹介したように国際標準であるISOのマネジメントシステムの1つです。そしてISOとは、スイスのジュネーブに本部を置く非政府機関 International Organization for Standardizationの略で、国際的に通用する規格を制定しています。なおISOを採用している国は163カ国もあり、もちろん日本もISOの規格を採用している国の1つです。

ISOの制定した規格の多く、中にはカードのサイズやネジの形などの製品に関する規格もあります。また、今回解説しているISMSのような活動を管理するための仕組みもISOが規定した規格です。そしてこのような規格がマネジメントシステムと呼ばれます。

またISOの制定した規格には番号が決めてあり、例えばマネジメントシステムのうち品質管理に関する規格が9000番台、環境への取り組みに関する規格が14000番台、そして情報セキュリティを管理する仕組みが27000番台です。

マネジメントシステムとは

ISMSのMSとはマネジメントシステムの略ですが、マネジメントシステムとは何でしょうか。

マネジメントシステムとは、企業などで決めた規程や手順と、それを運用するための組織のことを指す言葉です。例えば情報セキュリティを管理する場合、社員が守るべき規定や情報セキュリティを確保するための手順などを決め、その規定や手順を社員全員に守らせます。

とはいえ規定や手順を作ったとしても、全ての社員にそれを理解させ、規定や手順どおりに運用するには、全社として継続的に取り組く必要があります。そのためマネジメントシステムを正しく運用できている企業は多くありません。

マネジメントシステムの認証とは

企業などがマネジメントシステムに取り組んでいるとしても、それがISOの制定したマネジメントシステムに適合しているとは限りません。公平な立場の認証機関が審査し、ISOの制定したマネジメントシステムに適合していることを証明してもらう必要があります。

日本には費用を払えば審査を実施し、その審査に合格すればISOの制定したマネジメントシステムに適合していることを証明してくれる認証機関があります。ISOのマネジメントシステムの認証取得は一流企業であることの証明です。そしてISMSは顧客のデータを預かるIT企業だけでなく、ITシステムを活用する全て企業は取得してほしいマネジメントシステムです。

ISMSにおける情報セキュリティの考え方

ISMSにおける情報セキュリティの考え方とは、ITシステムのリスクを見積もり、そのリスクに継続して適切に対応します。そして、そのように処置するためには、必要なセキュリティレベルを決め、対処する計画を従い、企業の経営資源を適切に配分してシステムを運用しなければなりません。

次からISMSの情報セキュリティの考え方の基本について解説します。

情報セキュリティの3要素

ISMSでは情報セキュリティを、機密性、完全性、可用性の3要素で定義しています。

  • 機密性:認可されていないアクセスから情報が遮断されていること
  • 完全性:情報が完全な状態で保存され、内容が正確であること
  • 可用性:情報資産が必要になったとき、利用できる状態にあること

これらの要素は一度設定したら終わりではありません。テクノロジーの進化や組織改編など必要に応じて見直し、バランス良く改善していかなければなりません。

ISMSのポイントはPDCAサイクル

マネジメントシステムを運用していくには、継続的に改善できる組織でなければなりません。そして継続して改善する仕組みとして採用されるのがPDCAサイクルです。ISMSも社内で1回だけやってみて終わりではありません。社内の情報セキュリティを継続して改善できることが重要です。そのためISMSでもPDCAサイクルを回して継続的に改善する仕組みが求められます。

なおPDCAサイクルとは、計画(Plan)、実行(Do)、評価(Check)、改善(Action)の4つの活動を1つのサイクルとして継続して改善活動するための仕組です。主に工場などの品質管理の活用であるQC活動のツールとして使われてきました。

ISMSが対象となる情報セキュリティとは、社員全員が取り組まなければならず、技術の進歩やビジネス環境の変化などで計画そのものの見直しが必要です。ISMSのためにPDCAサイクルを社内全員で取り組みましょう。

ISMSが評価するのは技術ではなく仕組み

情報セキュリティを含むIT技術は進歩が速く、どの世代の技術を使っているかによって抱えるリスクが違います。企業によっては古い仕組みをいまだに使っており、情報セキュリティのリスクが高い可能性もあります。しかし、ISMSの認証とは情報セキュリティ対策に使っている技術を評価する訳ではありません。リスクを正しく理解し、それを改善する計画を立て、全社で取り組んでいることを評価する仕組みです。

ISMSは計画を立案して、その計画どおりに行動し、その結果を正しく評価しているかをチェックします。計画の中で理想的な情報セキュリティのレベルとの差をベンチマークし、その差を埋めるための行動計画を立案し、この計画通りに行動し、その結果を正しく評価していれば問題ありません。

とはいえ自社の情報セキュリティのレベルを正しくベンチマークすることが重要です。そのうえでPDCAサイクルを回して、継続的にリスクを低減してください。

ISMS認証を取得するには

ISMSにおける情報セキュリティの考え方とは、ITシステムのリスクを見積もり、そのリスクに継続して適切に対応します。そして、そのように処置するためには、必要なセキュリティレベルを決め、対処する計画を従い、企業の経営資源を適切に配分してシステムを運用しなければなりません。

次からISMS認証とはどのようなものか、またどうやって取得するかについて紹介します。

ISMS適合性評価制度とは

ISMS適合性評価制度とは、JIS Q 27001に適合しているか審査し登録する認証機関の審査員が企業などのISMSへの取り組みを審査し、審査に合格すれば認証を与える仕組みです。なお認証機関は情報マネジメントシステム認定センターの認定を受けており、審査に当たる審査員も別途要員認証機関から認定されています。

そしてISMS認証を取得したい企業は、認証機関に審査を申し込み、認証機関の審査を経て、合格と判断されればSMS認証を取得できます。このような認証機関は、情報マネジメントシステム認定センターの公式サイトで公開されているので参照してください。

ISMS認証機関一覧

ISMS取得に必要な作業

パソコンが多くの企業に普及した1990年代からコンピュータウィルスの被害が報告されており、企業を狙ったサイバー攻撃も増えています。そのため多くの企業が情報セキュリティ対策を実施していますが、正しく運用されているとは限りません。

このような企業がISMS認証を目指す場合、多くのドキュメントを整備しなければならず、情報セキュリティに関するルールを全社員に徹底させなければならない、などハードルはかなり高いと考えてください。そしてISMSを取得するために次の準備が必要です。

  • ISO 27001の規格要求事項を理解する。
  • 情報セキュリティに関する目標を設定し、ISMSを推進するための組織を作る。
  • ISMSを運用する仕組みを構築して運用する。
  • 内部監査の仕組みを構築して、活動状況をチェックする。

事前に準備すること

ISMS認証を取得するには、ISMSによる情報セキュリティのマネジメントシステムを実践していなければなりません。従ってまずやるべきことは、ISMSの規約を理解することです。

そしてマネジメントシステムで重要なことは、目標を設定し、現状を把握して、現状を目標に近づけるために必要な処置を実行することです。そのため理想とする目標を設定してください。さらに、その目標に対して現状がどうなっているかを客観的に把握することも必要です。

そのうえで、マネジメントシステムを運用するための組織を作り、誰が担当するかを決めます。なお、ISMSでは次の担当者が必要です。

トップマネジメント 最終的な判断を組織のトップ
最終的な判断を組織のトップ 企業の情報セキュリティ活動を統括し、責任を負う役割
情報セキュリティ担当者 企業の情報セキュリティ活動を担う担当者
システム管理者 社内システムの情報セキュリティに対して責任を負う役割
内部監査員 情報セキュリティマネジメントシステムが適切に機能しているかを判断する社員

認証機関は何をチェックするか

ISMS認証のために準備したとしても、それがISMSの規約に合っているとは限りません。認証機関の審査員といっしょに改善しながら最終的に認証を目指すのが一般的です。では、審査員は何をチェックしているのでしょうか。

審査員が判断に使用するのは、会社の公式な文書に書かれた情報セキュリティに関する内容がISMSのマネジメントシステムの規約に合わせて書かれているかどうかです。文書管理の仕組みに従い、情報セキュリティに関する文書を残す仕組みを作って運用してください。

また社員全員が会社の情報セキュリティ方針を理解し、行動していることも審査対象です。全社員を対象にした情報セキュリティ研修なども企画してください。さらに内部監査の仕組みもチェックされるので、人員の配置や運用ルールなどのドキュメントを整備する必要があります。

無理そうならコンサルティングの利用を

ISMSの認証取得は普通の企業にとって難しいことです。担当者が勉強して取り組んだくらいでは取得できません。ISMSの取得準備で時間がかかるのは、企業の特性に合わせて実現可能なマネジメントシステムの構築です。社内に適任の社員がいない企業では、マネジメントシステムを正しく理解した外部の方から助言が必要なケースもあります。

なおISMS認証機関の中にはコンサルティングを請け負う企業もあり、そのような専門企業から認証に必要なノウハウを教えてもらうことも可能です。ISMS認証が必要な企業はコンサルティングなどの外部の専門家の利用も検討してください。

認証された状態を継続するのが重要

ISMSは認証を取得したら終わりではありません。IT技術は年々進化しており、サイバー攻撃も巧妙になっています。採用したばかりの新しい技術に情報セキュリティのリスクが発生するかもしれません。ISMSとはそのようなリスクに対応するためのマネジメントシステムです。

そのため定期的にISMSに基づいたマネジメントシステムが正しく運用されていることを内部監査や監査機関による定期監査でチェックしていかなければなりません。

ISMSのために作られた組織と定期的な監査を活用し、認証された状態を継続できる仕組みとして運用してください。

終わりに

ISMSとは情報セキュリティマネジメントシステムで、ISMSの認証を取得すればサイバー攻撃などのリスクに社員全員が適切に対応できていることを証明してくれます。そのため顧客の情報を預かるIT企業にとっては必須と言えます。さらに情報セキュリティの全ての企業にとって重要な問題です。それぞれの企業の実態に合わせてISMSを取得するべきでしょう。

とはいえ今回解説したようにISMS認証取得は簡単ではありません。ISMSの考え方を正しく理解し、社内の仕組みを整備して情報セキュリティのリスクに正しく対処できる仕組みを構築したうえで、認証を目指してください。