ISMS(Information Security Management System/情報セキュリティマネジメントシステム)とは?
その概要から取得・運用方法、策定時や審査における注意点について、全11章にわたりご紹介します。
相談無料第三者認証(プライバシーマーク・ISMS等)の取得・運用・更新コンサルティング
この記事の目次
ISMSとは何か
ISMS(情報セキュリティマネジメントシステム)は、情報資産のセキュリティを管理する為の“システム(仕組み)”を取り決め、“実行”していく事を指します。
日本では、ISMSの標準としてISO27001が用いられています。
注1)実際は、ISO27001に日本語版が存在しないため「JISQ27001」が正しいとされています。
ISMSの目的とは
ISMS(ISO27001)を取得・運用していくことで、情報の機密性・完全性・可用性を維持し、リスクマネジメントプロセスを正しく適用していく事により、企業・組織として“リスクを適切に管理している”という「信頼」を、顧客・取引先など利害関係者へ与えることを目的としています。
ISMSの基準となるISO27001とは
ISO27001とは、国際的な“標準”である「国際規格」を策定するための非政府組織ISO(International Organization for Standardization/国際標準化機構)が定めるマネジメントシステム規格の一つです。
ISO27001が目指すもの
先述したとおり、ISO27001はマネジメントシステムの一つであり、情報セキュリティ分野について体系化したものです。
つまり、目指すものは一般的な経営マネジメントと同様「顧客価値の創造」と「永続的発展」の2つとなります。
<さらに詳しい内容はこちらをご覧ください>
▷ISMS(Information Security Management System)とは何か|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
ISMS(ISO27001)とプライバシーマークの違い
情報セキュリティの分野には、ISMS(ISO27001)以外にも様々な規格が存在します。その中でも、混同されやすい規格が「プライバシーマーク」です。
プライバシーマ―クとは
プライバシーマークとは、一定の要件を満たした事業者に対して、JIPDEC(一般財団法人日本情報経済社会推進協会)が使用を許諾する「登録商標」です。
あくまでも“私的な制度”ですので、IPA(情報処理推進機構)やその他経済産業省所管の公的機関とは無関係であり、法的根拠を伴っていません。
一般的に、“個人情報を正しく取り扱う事業者が取得している”というイメージがありますが、プライバシーマークの使用は“JIPDECが定める要件”に準じますので、必ずしも全ての事業者で適切な情報の取り扱いが行われているとは限りません。
プライバシーマークと個人情報保護法の関係
プライバシーマークは、1995年の「EUデータ保護指令」に対して、個人情報保護関連法案策定を急いだ日本政府によって導入が推進された背景があります。
その為、個人情報保護の意味合いが強く、マークの取得にはJSA(一般社団法人日本規格協会)が定める日本工業規格の一つ「JISQ15001」の要件を満たすことが求められます。
ISMS(ISO27001)との違い
体系的に個人情報保護を主とするプライバシーマークに対し、ISMS(ISO27001)は情報資産全般を対象としています。
また、ISMS(ISO27001)は経営マネジメントの一つとして“情報セキュリティ”を取り扱っていますので、継続的に対策を検討するプロセスが発生するという点もプライバシーマークとの違いです。
<さらに詳しい内容はこちらをご覧ください>
▷ISO27001(ISMS)とプライバシーマークの違い|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
自社分析の考え方
ここから、ISMS(ISO27001)取得に向けた具体的取り組みの解説に入ります。
まず初めに取り組むべき項目が“組織及びその状況の把握”、つまり「自社分析」です。これは、前項までに述べている通り、ISMS(ISO27001)が経営マネジメントとしての一規格であることが影響しています。
経営マネジメントの観点から見た情報セキュリティ
第1章「ISO27001が目指すもの」と重複しますが、経営マネジメントの目的は「顧客価値の創造」と「永続的発展」です。情報セキュリティの分野であってもこの目的は変わりません。
つまり、自社はもちろん顧客・取引先全てに対して“安心”を提供し、社会的に必要不可欠な存在となり、信頼を維持することで永続的に発展することを目指しているのです。
分析を基に期待値を把握
ISMS(ISO27001)では、まず自社を取り巻く環境を的確に分析し、利害関係者がどの程度セキュリティ対策に“期待”するかを見極めます。
そして、その期待値を目安とし、現状のリスク・今後予測できるリスクに対して策を講じていくのです。
この自社分析が正しく行われていない場合、利害関係者が求める期待値を見誤り、セキュリティ事故発生時に信頼を損なう恐れがあります。
<さらに詳しい内容はこちらをご覧ください>
▷ISMS構築の第一歩!「自社分析」の考え方について|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
情報セキュリティのリーダーシップ
自社分析の次に検討する事項が「リーダーシップ」についてです。
“リーダーシップ”と聞くと、経営者や責任者など“個人”を思い浮かべるケースが多いかもしれませんが、経営マネジメントの観点で考えた場合は“管理層”が主体となります。
管理層におけるリーダーシップ
ISMS(ISO27001)にありがちなケースとして、「ISO事務局」や「ISO推進室」といった専門部署が設けられることが多くあります。この場合、経営マネジメントを行う管理層とは別の専門部署が取り組むこととなり、要求事項を満たしてはいません。
専門部署は、管理層の方針に従い具体的作業を行うのみとし、リスクアセスメントや対応計画、必要に応じた教育業務は管理層がリーダーシップを発揮し指揮を執らなければなりません。
トップマネジメントのポジション
ISMS(ISO27001)においてのトップマネジメントの役割は、管理層の役割を“支援”することです。
もちろんマネジメントシステムですので、トップの意思を示し方向性を定めることは必要ですが、情報セキュリティのリーダーシップの主体は管理層であり、彼らが担う役割がスムーズに遂行されるよう支援することがトップの役割となります。
<さらに詳しい内容はこちらをご覧ください>
▷ISMS構築「情報セキュリティのリーダーシップ」について|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
情報セキュリティの目的
ISMS(ISO27001)構築・取得・運用に関する相談の内、最も多いものが「どの様な目的を立てれば良いか分からない」といった内容です。これは、目的を“向上させるためのもの”と認識してしまっている為と考えられます。
情報セキュリティにおいて重要な目的とは
情報セキュリティ方針では、マネジメントシステムを確立・実行・維持・改善することを求めています。目的を“向上(改善)”させることのみに限定せず、セキュリティレベルの“維持”を目指すことも立派な目的と言えるのです。
維持することの難しさ
日々新しいサイバー攻撃が誕生する昨今において、セキュリティレベルの維持はそう簡単な事ではありません。
その為、外的要因(新たなウィルスや攻撃)によって、情報セキュリティ目的は更新されていくべきものなのです。
<さらに詳しい内容はこちらをご覧ください>
▷ISMS構築「情報セキュリティの目的」とは|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
情報セキュリティ計画のリスクと機会
次に、ISMS(ISO27001)に関する解説書等での見解が曖昧となっており、誤解が生じやすい「リスクと機会」の項目についてです。
情報セキュリティ計画におけるリスクとは
誤解が生じる原因として、計画に対して起こりうる「リスク」には、“良いもの”と“悪いもの”の二種類があるといった捉え方をしているケースが見受けられます。
企業経営において計画にズレがあった場合、たとえそのズレが短期的に良い結果をもたらしたとしても、長期的に見ると経営事態を脅かす内容だったということは大いに考えられます。黒字倒産などの企業に共通するケースです。
リスクは総じて「リスク」であり、情報セキュリティ計画に対してズレが生じる可能性がある事柄は全て含むという認識を忘れてはいけません。
情報セキュリティ計画における機会とは
「機会」という単語を和訳してしまうと、“Chance”という意味で捉えてしまうことがあります。この場合、正しい解釈ではありませんので注意が必要です。
情報セキュリティ計画における機会とは、SWOT分析で言う「O(Opportunities)」の事を指します。奇跡的に訪れる“Chance(機会)”ではなく、必然的にたどり着く“Opportunities(機会)”なのです。
リスクと機会が示すもの
前項までをまとめると、情報セキュリティ計画のリスクと機会とは下記事項を示します。
- 計画達成に対してのブレ要因
- 計画達成のためにやっておくべき事柄
<さらに詳しい内容はこちらをご覧ください>
▷ISMS構築|情報セキュリティ計画の「リスク」と「機会」|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
情報セキュリティにおけるリスク所有者
情報セキュリティにおいての「リスク所有者」とは、“リスクが顕在化したときに責任を取る人”のことを指します。つまり、第六章で洗い出した「リスク」に対して、責任を負うべき者を明確にしておかなければならないという事です。
リスク所有者の示す意味
規格では、リスク所有者の役割として「ISMSの運用の承認」が定められています。リスクが顕在化した際に責任を取ることになる立場なので当然ですよね。リスク所有者は、日々のリスク分析から、その結果必要な管理策の承認まで責任を持って遂行しなければなりません。
情報資産の管理責任者との違い
ISO27001の和訳版であるJISQ27001では、「多くの場合、リスク所有者は情報資産の管理者と同一である」と明記されていますが、これには例外があります。
個人情報管理やマイナンバー管理を担う部署では、実際に管理を行っているのは従業員であり、彼ら(彼女ら)が情報資産の管理責任者と言えます。しかし、彼ら(彼女ら)はリスク所有者ではありません。総務部長や人事部長といった管理職がそのポジションとなるのです。
<さらに詳しい内容はこちらをご覧ください>
▷ISMS概論|情報セキュリティにおける「リスク所有者」とは|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
情報セキュリティの三大要素
第一章「ISMSの目的」でも少し触れましたが、情報セキュリティには必ず確保しなければならない三大要素が存在します。
情報セキュリティの「機密性」
これは、守るべき情報資産を「漏らさない」「使わせない」ということです。
漏洩ばかりに目を向けがちですが、“使わせない”ことも非常に重要です。例えば、業務中に行われるPCのバックアップやコピーに関して、正しく認可されているものか等、細かな確認が必要となります。
情報セキュリティの「完全性」
これは、守るべき情報資産が「完全である」「不足していない」ということです。
データの改ざん等で情報が完全でない状態を起こさないよう対策が必要です。この完全性の要素は、今後IoT化が進む中で非常に重要なものとなります。自動車の自動運転装置に関するデータが改ざんされることにより、人命に関わるケース等も考えられる為です。
情報セキュリティの「可用性」
これは、守るべき情報資産を「必要な人が必要な時に使える」ということです。
可用性を脅かす存在が近年多発する「ランサムウェア」によるサイバー攻撃です。例えば、病院の患者データ(カルテ)などの情報資産に細工をし、必要な人が使えない状況を発生させます。
どれか一つでも欠けてはいけない
セキュリティの三大要素は、どれか一つでも欠けてはいけません。
“漏洩したら、改ざんされたら、使用できなくなったら”の三方向からリスクを想定し、綿密な対策を練る必要があるのです。
<さらに詳しい内容はこちらをご覧ください>
▷ISMS概論|「情報セキュリティの三大要素」とは|星野靖裕
情報セキュリティにおける管理策
ISO27001では、リスク対応のための管理策をまとめた「適用宣言書」の作成が求められています。
管理策についての誤解があった場合、適用宣言書が正しく作成されず、適切な運用が行われないことも考えられますので、しっかりと理解する事が大切です。
管理策の目的
既に何度も明記していますが、ISMS(ISO27001)の目的は「顧客価値の創造」と「永続的発展」の2点です。管理策の目的もゴールは同じですから、決して「情報資産を漏らさないため」ではないということです。
永続的に発展するためには、たとえ情報が漏れたとしても、利害関係者が許すのであれば目的は達成できるのです。
管理策が目指すもの
では、許されるためには何が必要か?それこそが管理策の存在意義です。許されるためには、対策を行っていたことの証明と、問題の原因究明や新たな対応策の提示が必要です。
この管理策が不足している場合、問題発生により失墜した企業の信頼を取り戻すことは容易ではありません。
管理策も“維持”が大切
サイバー脅威が増加し続けている現在では、管理策の追加が行われるべきですが、一度策定した管理策をそのまま使用し続けている企業も少なくありません。
適用宣言書は最低でもレビューを行う年一度のペースで見直し、ブラッシュアップしていく必要があります。
<さらに詳しい内容はこちらをご覧ください>
▷ISMS構築|最大の課題である「管理策の考え方」について|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
情報セキュリティリスク対応計画
ここから、実際のISMS(ISO27001)運用の部分に入ります。第9章で策定した管理策に対して、実施までの具体的計画が「対応計画」です。
対応計画の注意点
対応計画として良く用いられるのが「社員へのセキュリティ教育」等といった簡単なものです。しかし、これだけでは根本的な解決(目的達成)に有効的に結び付きません。
“対応計画がたくさんあると、ISMS(ISO27001)審査時にマイナス印象になる”との間違った認識がこの様な状況を生み出していると考えられます。
対応計画に盛り込む内容
新しいサイバー驚異が増加している現在では、対応計画は“あって当然”なものです。第5章「情報セキュリティ目的」同様、下記6項目についての計画を行いましょう。
- いつまでにやるか
- 誰がやるか
- 資源は何が必要か(費用も含め)
- 何をもって計画完了と評価するか
- 誰が完了と判断するか
- 計画実施により他の管理策に影響は無いか
<さらに詳しい内容はこちらをご覧ください>
▷ISMS運用|「情報セキュリティリスク対応計画」の考え方|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
内部監査とマネジメントレビュー
最後に、ISMS(ISO27001)運用の定期的確認である「内部監査」と「マネジメントレビュー」についてです。
内部監査とは
内部監査とは、計画通りに運用がなされているかの確認作業です。
この時の注意点が、組織内での地位や人間関係によって、監査内容が左右されてはならないということです。その為には、内部監査を担う部署(担当者)の選出や、監査方法についてきちんと確認する必要があります。
マネジメントレビューとは
内部監査の結果を踏まえ、トップ自らが判断を下す作業が「マネジメントレビュー」です。
情報セキュリティは経営マネジメントの一つであり、担当者に任せきりにするのではなく、トップマネジメントがマネジメントレビューをアウトプットすることで、ISMS(ISO27001)の有効性が保たれるのです。
<さらに詳しい内容はこちらをご覧ください>
▷ISMS運用|「内部監査」と「マネジメントレビュー」について|星野靖裕
▷情報セキュリティ監査パック|星野靖裕
まとめ
今回は、ISMS(ISO27001)の概要やその目的、構築・取得・運用に至るまで、全11章に渡り解説しました。
ISMS(ISO27001)は一度取得してしまえば安心というものではありません。取得時のセキュリティレベルを維持する為、定期的な確認を行い、必要に応じて新たな対策を盛り込み、より強固なものに成長させていくことが重要です。
しかし、コスト、運用、人材などの問題により、ISMS(ISO27001)の取得が難しい50名以下の小規模事業者の方は、当記事執筆の星野が対応させて頂きます「情報セキュリティ監査パック」をご利用ください。現状の把握から対応方法の提案まで、細かく対応させて頂きます。