サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ISMS(Information Security Management System)とは何か



ISMS(Information Security Management System)、日本では一般にISO27001を基準に考えられていますので、この稿でもISO27001でのお話をさせていただきます。

とはいえ、正しくはISO27001に日本語版はありません。ISO27001と名乗れるのは英語・仏語・露語の三言語だと指定されているからです。

ですので、日本語版としては本当はJISQ27001と言います。ただ、日本語以外で説明するとわかりにくくなるでしょうから、英文解釈説明の必要が無い限りは、JISQ27001≒ISO27001で説明させていただきます。

ISO27001について

さて、ではまずISO27001は何のために構築するのでしょうか。そんなもの「情報を守るため」だろう、と思われるかも知れませんが、さにあらず。ISO27001では、序文の概要において、こう目的が定義されています。

リスクマネジメントプロセスを適用することによって情報の機密性,完全性及び可用性を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。

なぜ、こんな書き方になっているのでしょう?

それはリスクマネジメントの考え方では、どんなに頑張っても、想定されるリスクの発生確率を“0”にすることはできない、と見なすからです。

リスク“0”が不可能な理由

例えば、原発事故を例に取ります。

福島では1000年に一度の津波が原因の電源喪失が起き、事故が発生しました。これは当然に想定しておくべきことであり、国民の怒りが集中しました。でも、電源喪失する可能性のあることは、何も津波だけではありません。例えば、ピンポイントで、隕石が原発に当たったらどうでしょう。確率はとてつもなく低いです。でも、“0”ではありませんし、対策のしようがありません。

地球規模・宇宙規模で考えればもっといろいろあります。今まで、経験のない大規模な磁気嵐、スーパープルーム、果ては宇宙人の襲来まで。荒唐無稽とは言えますが、“0”だと証明はできないのです。

つまり、「100%守り切る」と言い切ってしまう事は、嘘にしかならないんですね。「責任を持って守り切る」ならわかりますが。

ISO27001では、「この組織なら、情報を適切に扱ってくれるだろう」と利害関係者に信頼を持ってもらえるようにすることが目的なのです。

ISO27001の本質とは

そもそもISO27001は情報セキュリティ“マネジメントシステム”です。経営が行う“マネジメント”の中の、情報セキュリティを抽出して体系化したに過ぎません。

経営“マネジメント”の目的は、ドラッカーによれば「顧客価値の創造」と「永続的発展」です。情報セキュリティにおける、「顧客価値の創造」と「永続的発展」を目指すベストプラクティス、それがISO27001の本質です。

となると、情報セキュリティ担当者がよく頭を抱える難問、「どこまで対策すればいいの?」も自ずと目安ができてきます。

  • 情報セキュリティにおいて100%は有り得ない
  • 顧客価値の創造と永続的発展が大目的

ここから導き出されることは…「何かあったとき、“ごめんなさい”で許してもらえるか」ということですね。

つまり「周囲の期待」により、そのハードルは変わります。一部上場企業のITベンダーに期待されることと、従業員10人の建設業に期待されることは当然に違うでしょう。それをISO27001では「その組織のニーズに合わせた規模で行うことが期待される」と表現しています。

おわりに

ISO27001の適用方法は100社100様。ポイントは「自分たちの会社であれば、ここまでやっておけばいいだろう」といった主観的判断ではなく、客観的にとらえることにあります。その手順を明確にしたものがISO27001なのです。

規模の大小に関わらず、どんな組織でも使えるから「サイバーセキュリティ経営ガイドライン」等でもISO27001を参考に作られているのですね。

次回は、他の情報セキュリティ規格との比較、特にプライバシーマークとの違いを解説させていただきます。





書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。