ISO27001では、リスク対応のための「管理策」をまとめた「適用宣言書」というものを作成することが求められています。ところがこの適用宣言書、きちんと運用されていないところが少なくない…というのが現状です。管理策の考え方への誤解が、適用宣言書、延いてはISO27001の有効性を非常に低下させているのです。
今回は日本のISMSが有効に機能しない最大の要因(と私個人が思う)、「管理策の考え方」について解説します。
管理策の洗い出し手順
始めに、管理策作成の手順について確認しておきましょう。
まずはリスク対応のために、どんな管理策を行うべきかを検討します。…しかし多くの場合、ここで間違えてしまうことがほとんどです。
間違えやすいポイント
ここでの間違いとは、いきなり規格に付いている「附属書A」のリストの採否から始めてしまうことです。
ISO27001規格要求事項の6.1.3cに下記明記があるにも関わらずです。
決定した管理策を附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証する
“何を目的に行うのか”を明確に
本コラムで何度か解説しているように、ISMSは“情報を漏らさない”ための仕組みではありません。企業(組織)が永続的発展をするために“信頼を確保し続ける”ための仕組みです。
問題が発生したら、企業(組織)の存続に関わるような情報資産をまずは明確にし、問題発生率を下げるための策を決めます。これが本来の管理策なのです。
とはいえ、100%守り切る策は存在しません。ですので、この管理策は“ここまでやっていてダメだったならしょうがない”と世間に思ってもらえるレベルのことをやります。
対策を行っていたことを証明する
では具体的に考えてみましょう。
どこかの企業で「情報漏えい事件」が発生したとします。世間の注目を浴びますね。世間はどのような行動をとるでしょうか。漏れた情報をどう管理していたかを調べますよね。当然です。そして、他にも様々な事を調べ始めるでしょう。
- 企業に落ち度は無かったの?
- 他の情報はどう管理されていたの?
- 今回の問題は氷山の一角じゃないの?
この時「え?そんなこともしてなかったの、この会社。」と思われるような事柄がもし見つかってしまったら、事態は一層炎上し、信頼が損なわれてしまいます。このようなことにならない為に、ISO27001の付属書Aは、“このくらいの管理策は決めておいた方がいいですよ”という提案を記しているリストなのです。
しかし附属書Aだけを対応しても、企業(組織)に必要な管理策が不足してしまっている可能性も高いので注意が必要です。
まずは、リスクアセスメントで“守らなきゃいけない”とした情報資産が、世間が納得できるレベルで管理されていることが最優先なのです。
管理策の追加
次に、管理策の追加について説明します。
管理策は“一度決めたら終わり”ではありません。世の中の状況は変わるからです。特にサイバーセキュリティの分野では毎日と言っていいほど、新しい攻撃や脆弱性が見つかっていますので、それらの対応が必要となります。
信頼性を維持し続けること
ここでも、“信頼を与えること”がISMSの目的ということを忘れてはいけません。
取引先の立場で考えてみれば「新しい攻撃が見つかったけど、貴方の会社は大丈夫?」と考えるのが普通ですよね。その時、「大丈夫です。〇〇〇という対策を採っています(採る予定です)」と応えられなければ、取引を前に不安を感じてしまうでしょう。
そのためには、新しい攻撃や脆弱性が見つかった際には、「自分たちのシステムは大丈夫なのか」といったリスクアセスメントを実施し、ケースに応じて管理策の変更や追加が必要となってきます。
脅威は増加し続けている
しかし実際は、管理策の変更や追加を行えていない企業(組織)が多いのです。
しかし、現行のISO27001が発表されたのは2013年ですから、現在までに3年が経っています。その間、新しい攻撃や脆弱性が無かったはずはありません。最初の構築段階で「管理策の追加」は有ってしかるべき事項なのです。
- SNSの利用問題
- 標的型攻撃対策
- ランサムウェア対策
- スマホアプリ問題
2013年以降に話題となった上記問題が原因となった情報セキュリティインシデントは、一体どのような管理策で対応を行っていたのでしょうか。
情報セキュリティ分野で事業を行う企業(組織)であれば、管理策の変更や追加は、常に行われ続けるものです。何年も適用宣言書の版が変わっていないのであれば、それは“有効なISMS運用をしていない会社”と宣言しているも同然なのです。
この点に気が付いていないISMS認証企業が実に多いことが大問題です。正しくISMS運用を行っている企業であれば、このご時世、レビュー時の年一度程度は適用宣言書が改版されていて然るべきと言えます。
管理策の内容の理解
最後に管理策の内容についてですが、これに関しても“そもそも論”であり「ISO27001附属書Aの各項目の意図を理解していますか?」というお話です。
理解を誤ったマイナンバーの事例
例えば、記憶に新しいところで「マイナンバーカード発行システム」がトラブルを起こしました。
担当組織は、“中継サーバのバグ”との発表を行いましたが、本当の原因は、附属書A.14.1.3の「アプリケーションサービスのトランザクションの保護」が出来ていなかったためです。
トランザクションの保護とは
オンラインシステムに於いては、処理の中断ということが起こり得ます。回線の切断、停電、プログラムのバグ等、様々な理由が考えられます。ですが、処理の途中で止まってしまったら、データはどうなるでしょう。処理途中のデータ構成のまま、残ってしまう可能性がありますね。
そうならないために、途中で止まってしまったら、それまでの処理を無しとして、一旦元に戻る仕組みを作っておきます。これがトランザクションの保護です。
基本理解さえも満たしていなかった
トランザクションの保護は、オンラインシステムを一度でもマトモに構築したことがある者にとっては基本的な要件です。マイナンバーカード発行システムではこの基本要件さえも理解出来ていないことが露呈されたのです。
しかし、ISMS取得企業の担当者や、コンサルタント、又はISMS審査員ですら、この内容を理解していない者も存在します。このような状況では正しいISMS運用など望むべくもありません。
※誤解の無いように書いておきますが、審査員は附属書Aの内容を全て理解することは実は求められていません。ただ、理解出来ないものがあるなら、技術専門家の意見を聴くように規定されています。
まとめ
このように、ISMSの管理策及び適用宣言書を有効に使用するには、「正しい手順」と「正しい理解」が必要です。逆に言えば、正しい手順と正しい理解で取り組めば、技術的セキュリティレベルが格段に上がるということです。
ISMSを運用する側も、ISMSを評価する側も、管理策と適用宣言書の意義を正しく理解し、評価するようにしてください。それが国内ISMSの有効活用の大きな一歩となります。
次回は、管理策同様、ISMSの有効な運用に欠かせない「情報セキュリティリスク対応計画の考え方」を解説させていただきます。
<参考>