はじめに
Pマークをご存じでしょうか。
Pマーク(プライバシーマーク)は、個人情報保護の仕組みが整備され正しく運用されていることを認証する制度です。日本工業規格JISQ15001:2017(個人情報保護マネジメントシステム−要求事項)で要求事項が定義され、当社はもちろん、多くの企業が個人情報の保護対策として取得に取り組んでいます。
では、ISMSはいかがでしょうか。
ISMS(情報セキュリティマネジメントシステム)は、情報セキュリティを管理する仕組みが整備され、正しく運用されていることを認証する制度です。国際規格ISO/IEC27001/JISQ27001(情報セキュリティマネジメントシステム-要求事項)で要求事項が定義されています。Pマークが個人情報保護に特化しているのに対し、ISMSは実施すべきセキュリティ施策が幅広く定義されています。この対応範囲が広いことが内容を分かりにくくし、認知されにくい状況になっているかと思われます。(※)
富士ソフトはいち早くISMSに注目し、ISMS認証を取得しました。さらに、お客様向けにアセスメントやISMS認証取得支援のサービスを提供しています。私はISMS及びISMS-CLS認証の審査員ですので、ISO/IEC27001のスペシャリストとして、お客様に審査員の視点でアドバイスしています。
今回のコラムでは、ISMSの概要や認証の仕組みをご紹介します
※一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
情報セキュリティと認証制度に関する調査報告書 2020年6月
https://isms.jp/enquete/2019/report2019.pdf
ISMSとは何か?
ISMSは、IS(情報セキュリティ)の施策を設定すること、それぞれのセキュリティ施策を適切に維持運用管理することの2つを意味しています。
では、情報セキュリティとは何でしょう。OECD(経済協力開発機構)が策定した情報システムのセキュリティに関するガイドライン※では、「情報セキュリティとは、企業や団体の情報システムやその情報システムを使って作成・蓄積された情報を健全かつ正確に運用するため、情報の機密性、完全性及び可用性を維持すること」とされています。(https://isms.jp/isms/index.html)つまり、この3つの要素においてバランスが取れた状態で管理されることが求められます。
・機密性(confidentiality)…許可された人のみが情報にアクセスできること
・完全性(integrity)…情報が破壊や改ざん、削除されずに状態を維持されること
・可用性(availability)…許可された人が必要な時にいつでも情報にアクセスできること
※OECD「情報システム及びネットワークのセキュリティのためのガイドライン:
セキュリティ文化の普及に向けて」 2002年8月
https://www.ipa.go.jp/security/fy14/reports/oecd/handout.pdf
マネジメントシステムは、情報セキュリティの方針及び目標を定め、その目標を達成するために組織を適切に指揮・管理するための仕組みです。つまり、規定や手順、ルールのことを指しており、目標達成のための仕組みは企業や組織で自由に設定することができます。
ISMS認証取得を目指そう!
では、情報セキュリティの経営上の重要性についてはいかがでしょう、「重要」と考えている人はどの位いると思いますか。
先述のISMS-ACの調査によると、全体の約6割の方が「重要」または「やや重要」と答えています。当社でもセキュリティ関連の問い合わせが増えていますが、その中でも「自社でセキュリティ対策を実施してみたがこれで十分なのかどうか第三者視点で確認して欲しい」という依頼が増えています。
なぜ自社のセキュリティ施策が「不十分なのではないか」と考えるのでしょうか。
「セキュリティ対策に漏れが無いだろうか」、「他社と比べて同水準以上の対策ができているだろうか」などと不安になってしまうようです。
では、セキュリティはどこまで対策すれば問題がないと言えるのでしょうか。
「どこまで対策しても問題ないとは言い切れない」がその答えです。それは、セキュリティが日進月歩の世界だからです。今日、万全の対策を講じたとしても、明日にはその対策を上回るサイバー攻撃を受けたり、セキュリティ事故を起こしたりする可能性があるからです。しかし、今日の万全のセキュリティ対策は無駄ではありません。それによってセキュリティリスクが確実に低減されていくからです。
マネジメントシステムつまり情報セキュリティに対する仕組みは、企業や組織ごとに自由に設定できます。しかし、各社、各組織毎の基準やルールでバラバラに設定、管理すると、社会全体としての情報セキュリティを維持することが難しくなってしまいます。
そこで必要となるのが標準化です。
ISMSは、一般財団法人日本情報経済社会推進協会(JIPDEC)の行うISMS適合性評価制度により、基準をクリアした場合にISMS認証が与えられます。つまり、ISMS認証を取得するということは、情報セキュリティを確保する仕組みとして一定の基準を満たしている証明になるのです。きちんとセキュリティ対策をしていることで、お客様や取引先からの信頼を得やすくなるのではないでしょうか。また企業内でも、情報を取り扱う手順やルール、組織内での役割や責任権限を明確化しますので、セキュリティレベルの向上が期待できます。
もし、セキュリティ対策に不安を感じているのであれば、ISMS認証取得を検討してみてはいかがでしょうか。
JISQ 27001の要求事項
JISQ27001は、情報セキュリティに不可欠なISMS固有の要求事項が定められています。どの組織も必ず適用が必要な要求事項と、事業の特性により除外が可能な事項で構成されています。あらゆる組織に適用可能な基準として作成されているのが特長です。
当社では、ISMS認証取得支援を行う際に、企業や組織の現状把握のためにアセスメントを実施します。アセスメントもISMS認証業務の一環だと考えます。
昨今、政府情報システムのためのセキュリティ評価制度(ISMAP)が話題になっています。ISMAPも当社の認証サポート対象となっていますが、こちらは別の機会にご紹介します。
ISMS認証取得の流れ
最後に、ISMS認証取得の方法についてお話しします。
ISMS認証の流れは、以下の3つのフェーズに分かれます。
1.ISMSの構築
適用範囲の決定、情報資産の洗い出し、リスクアセスメント、ISMS文書の構築
2.ISMSの運用
ISMSに沿った運用、社内教育、内部監査、マネジメントレビュー
3.ISMSの審査
第一段階審査、第二段階審査
当社などが提供するISMS認証取得支援サービスをご利用いただくことで、効率的に迅速な認証取得が可能です。当社はISO/IEC27001のスペシャリストがアセスメントを実施し、審査員の視点でお客様にアドバイス、ISMS認証取得を支援いたします。
ISMS認証は取得して終了ではありません。1年ごとにサーベイランス審査、3年目には更新審査があります。認証取得を継続することで、組織としてのセキュリティレベルの向上が見込めます。
たった1つのセキュリティ事故で、企業としての信頼と安心、積み重ねた実績を失わない様に、セキュリティ対策を講じることが大事です。ぜひ、長期的な視点での導入の検討をお勧めします。
富士ソフトのセキュリティソリューションについて、詳しくはこちら
