情報セキュリティマネジメントとは

 情報セキュリティマネジメントとは、組織の機密情報や貴重な情報資産を不正なアクセス、不正な使用、不正な公開、不正な中断、不正な変更または不正な破壊から保護するプロセスです。これには、情報の機密性、完全性、および可用性を確保するための一連の包括的なポリシー、手順、および慣行の開発、実装、および管理が含まれます。

セキュリティのCIA

 情報セキュリティで情報資産を守る観点として情報の機密性(Confidentiality)、完全性(integrity)、および可用性(availability)の3つがあり、それぞれの英語の頭文字をとってセキュリティのCIAと呼びます。

機密性

 情報資産のアクセス権のことです。情報資産に開示範囲を設定し、それに沿ったアクセス権の実装をすることが情報セキュリティマネジメントでは不可欠です。個人情報は社外に漏れないようにする、人事情報は人事関係者以外が閲覧できないようにする、など、この観点は読者の皆様にもわかりやすい概念ではないでしょうか。

完全性

 これは情報資産が改ざんされていない正しい情報であることを保証する観点です。経理不正を防止するために会計システムの情報が改ざんされないようにする、または改ざんされたことが直ちに判明する仕組みを導入するなど、情報資産を守るためには重要な観点となります。マイナンバーカードではデジタル署名という技術を使って情報の改ざんを検知する仕組みが実装されています。

可用性

 情報資産がいつでも使える状態を保持することです。可用性の例としてはクラウドサービスがサービス提供時間内に間断なく使えるようにする。
情報資産を格納しているハードディスクのバックアップを取得し、ハードディスクが故障した際に元のデータを復元し、継続利用ができるようにする。
などが考えられます。

情報セキュリティマネジメントシステム(ISMS)

ISMSとは個別の問題ごとの技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することです。

 ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにあります。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要です。ここで言う「マネジメント構造全体」とは企業経営そのものを指します。つまり、ISMSは情報システム部門や監査部門だけの営みではなく、経営が主導し組織全体で取り組むべき営みであると言えます。

ISMSの営み

 ISMSではどのような営みを行うのでしょうか。少しブレークダウンして見ていきましょう。

(注意)
 以下のISMSの営みをブレークダウンしたものは、セキュリティに詳しくない方にもわかりやすいように私見を交えて作成しました。ISMSの教科書等に書かれているものを若干違いがあるかもしれませんが、大筋はあっているはずです。

ISMSの営み(簡略版)

セキュリティ方針の決定

 経営者が社内外に向けて当社の情報セキュリティに対する考え方を決めて宣言します。
 社外向けには「セキュリティ基本方針」等の名称でホームページに掲載するケースが多く、社内向けには「情報セキュリティ方針」等という規定に類する書類として社員に周知するケースが多いです。
 方針はそれほど頻繁に変わるものではありませんので、3年程度ごとに見直すことになります。

情報資産の洗い出し

 守るべき情報資産を特定し、これに属性を付与する営みです。
 【属性の例】
  ・重要度:CIAの観点で情報資産の重要度を特定します。
  ・アクセス権:閲覧可、変更可の属性を社内外/組織/役職等のグループごとに付与します。
  ・個人情報の有無:個人情報の有無を特定しておくことは、個人情報保護法遵守のために重要な属性です。

リスク評価

 まず洗い出し情報資産に対するリスクを洗い出します。
 【リスクの例】
  ・インターネットに接続するパソコンがウイルスやマルウェアに侵される
  ・持ち出しているパソコンの盗難、紛失
  ・人事情報が一般社員に閲覧される

 洗い出したリスクの発生確率と発生した際のインパクトを数値化し、情報資産の重要度と紐づけてリスク値とします。
 それぞれどのような値を設定したらよいか、と思われると思いますが、今はこの概念のみ覚えてください。
 つまり、発生率が高いリスクでも情報資産としての重要度がそれほどでもなければリスク値は低くなり、発生率の低いリスクでも資産の重要度とリスクが顕在したときのインパクトが高ければ、リスク値は高くなります。読者の皆様も肌感覚としてご理解いただけるのではないでしょうか。

リスクに対する管理策を検討

 管理策とはリスクを低減または無効化するための具体的な方法のことを指します。
 たとえば先ほどのリスクに対する管理策の案として次のようなものが考えられます。

 管理策を検討する際に重要となるのが、費用対効果です。管理策の費用とリスク値を勘案し、適切な管理策を打つことが求められます。

 情報資産の洗い出しからリスクに対する管理策の検討までの営みは、できれば半期に一度程度実施することをお勧めします。

インシデント報告

 以下は日々の業務遂行の中で実施するISMSの営みです。

 情報セキュリティのインシデントが発生したら、インシデントを速やかに経営に報告し、インシデントの記録をとります。

リスクおよび管理策の見直し

 インシデントの内容を精査し真のリスクを見抜くことが重要になってきます。そのリスクがリスク評価の際に見落としたものがあれば、あらたなリスクおよびその管理策として検討します。
 今までの例を引いてインシデントの発生と、シンデントから見抜いた真のリスクおよびその管理策を以下にまとめました。

 このように発生したインシデントを分析し、追加のリスク、管理策にフィードバックしていくことがISMSの中でいちばん重要となる営
みでございます。

 以上にように情報セキュリティマネジメントとISMSを概要レベルで見ていきましたが、これらを体系化し、国際標準化したものがISO27001です。
 次回はISO27001についてお話します。