ISMS(Information Security Management System)、日本では一般にISO27001を基準に考えられていますので、この稿でもISO27001でのお話をさせていただきます。
とはいえ、正しくはISO27001に日本語版はありません。ISO27001と名乗れるのは英語・仏語・露語の三言語だと指定されているからです。
ですので、日本語版としては本当はJISQ27001と言います。ただ、日本語以外で説明するとわかりにくくなるでしょうから、英文解釈説明の必要が無い限りは、JISQ27001≒ISO27001で説明させていただきます。
ISO27001について
さて、ではまずISO27001は何のために構築するのでしょうか。そんなもの「情報を守るため」だろう、と思われるかも知れませんが、さにあらず。ISO27001では、序文の概要において、こう目的が定義されています。
リスクマネジメントプロセスを適用することによって情報の機密性,完全性及び可用性を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。
なぜ、こんな書き方になっているのでしょう?
それはリスクマネジメントの考え方では、どんなに頑張っても、想定されるリスクの発生確率を“0”にすることはできない、と見なすからです。
リスク“0”が不可能な理由
例えば、原発事故を例に取ります。
福島では1000年に一度の津波が原因の電源喪失が起き、事故が発生しました。これは当然に想定しておくべきことであり、国民の怒りが集中しました。でも、電源喪失する可能性のあることは、何も津波だけではありません。例えば、ピンポイントで、隕石が原発に当たったらどうでしょう。確率はとてつもなく低いです。でも、“0”ではありませんし、対策のしようがありません。
地球規模・宇宙規模で考えればもっといろいろあります。今まで、経験のない大規模な磁気嵐、スーパープルーム、果ては宇宙人の襲来まで。荒唐無稽とは言えますが、“0”だと証明はできないのです。
つまり、「100%守り切る」と言い切ってしまう事は、嘘にしかならないんですね。「責任を持って守り切る」ならわかりますが。
ISO27001では、「この組織なら、情報を適切に扱ってくれるだろう」と利害関係者に信頼を持ってもらえるようにすることが目的なのです。
ISO27001の本質とは
そもそもISO27001は情報セキュリティ“マネジメントシステム”です。経営が行う“マネジメント”の中の、情報セキュリティを抽出して体系化したに過ぎません。
経営“マネジメント”の目的は、ドラッカーによれば「顧客価値の創造」と「永続的発展」です。情報セキュリティにおける、「顧客価値の創造」と「永続的発展」を目指すベストプラクティス、それがISO27001の本質です。
となると、情報セキュリティ担当者がよく頭を抱える難問、「どこまで対策すればいいの?」も自ずと目安ができてきます。
- 情報セキュリティにおいて100%は有り得ない
- 顧客価値の創造と永続的発展が大目的
ここから導き出されることは…「何かあったとき、“ごめんなさい”で許してもらえるか」ということですね。
つまり「周囲の期待」により、そのハードルは変わります。一部上場企業のITベンダーに期待されることと、従業員10人の建設業に期待されることは当然に違うでしょう。それをISO27001では「その組織のニーズに合わせた規模で行うことが期待される」と表現しています。
おわりに
ISO27001の適用方法は100社100様。ポイントは「自分たちの会社であれば、ここまでやっておけばいいだろう」といった主観的判断ではなく、客観的にとらえることにあります。その手順を明確にしたものがISO27001なのです。
規模の大小に関わらず、どんな組織でも使えるから「サイバーセキュリティ経営ガイドライン」等でもISO27001を参考に作られているのですね。
次回は、他の情報セキュリティ規格との比較、特にプライバシーマークとの違いを解説させていただきます。