フィッシングメールやコンピュータへのウィルス感染が会社で起こると、企業情報や顧客情報が流出し、多大な損害が発生する可能性があります。社内のセキュリティ対策を進めようとしても「何から始めたらいいかわからない」「セキュリティ対策のメリットは?」と思うのではないでしょうか。
この記事では、ISMSと呼ばれるセキュリティ対策について概要と導入するメリットをお伝えします。
ISMSとは「Information Security Management System」の略で、情報セキュリティのリスクを管理する仕組みのことです。
最初に、ISMSとは何か、概要を説明します。
ISMSは情報セキュリティ管理の仕組みのことです。
ISMSが注目されている理由は、企業や個人に対して、インターネットを介した攻撃が急増しているからです。
これに対して、適切に対処していかないと、情報流出や企業活動の継続ができないなどの大きな問題につながります。
ISMSはセキュリティ脅威に対する、管理体制の枠組みの事です。
セキュリティソフトをインストールすれば良いということではなく、「そもそもどんなセキュリティがあるの?」というところから考えていくのがISMSです。
ISMSの取り組みが行われ、基準をクリアしているかを判断し、満たしていれば、ISMS認証が取得できます。
この認証基準は、ISO/IEC27001という国際規格として定められています。
一般的にISMSに取り組む・導入するという場合には、ISMS認証を取得することを意味します。
情報セキュリティを守っていくためには、3つの要素を守ることが重要です。
3要素は「機密性(Confidentiality)」「安全性(Integrity)」「可用性(Availability)」であり、3つの頭文字をとって、「CIA」と言われています。
3要素をまとめると次のようになります。
3要素 |
説明 |
技術例 |
機密性 |
アクセス許可された人だけが情報資産を閲覧・利用できるようにし、許可がない人は閲覧できなくすること。 |
・アクセス制限 ・パスワード認証 |
安全性 |
情報が最新で正確であるように保護すること。不正な改ざんをされないようにする。 |
・デジタル署名 ・改ざん防止・検出対策 |
可用性 |
情報が必要な時に、利用者が安全にアクセス・使用できること。 |
・電源対策 ・システムの二重化 |
情報セキュリティ対策としての具体的な取り組みを紹介します。
セキュリティ対策はイメージがわきにくいので、まずは取り組み内容を知って、イメージできるようになりましょう。
まずやることは、セキュリティリスクを洗い出すことです。
扱っている情報資産に対して、どういうリスクがあるかを洗い出しましょう。リスクがわからなければ、対策が取れないからです。
続いて洗い出したリスクに対して対応する優先順位を決めます。
リスクの数が多ければ、全てに対策を施すのは難しいですし、リスクが高いものは早めに対応していくことが求められます。
順番が決まったら、リスク回避するための対策を検討します。
対策によっては未然に防ぐことを目的にするものもあれば、発生してしまった場合にすぐに対応できるための対策など、リスクの性質によって様々です。
ISMS認証を取得するメリットについて紹介していきます。
自社の状況と照らし合わせて、認証取得がメリットになるか、イメージしてみると良いでしょう。
ISMS認証を取得する過程で、社内のセキュリティレベルが高くなることがメリットの1つです。
セキュリティリスクを洗い出す過程で、どんなことがリスクになるのかを知ることができますし、対策を検討する中で、適切な対処方法を身につけることができます。
メンバーのセキュリティに関する知識や興味が向上し、普段の業務でもセキュリティリスクに対して意識がいくようになります。
このようなメンバーが増えていくことは、会社にとっても継続的なセキュリティレベルの向上につながっていくことでしょう。
ISMS認証は、取引先や顧客に対して、信頼が上がる要因になります。
ISMS認証の取得は、セキュリティに関する、取り組みレベルが高いことの証です。
近年、個人情報や企業・顧客情報の扱いは厳しくなる傾向になっていますし、今後もその傾向は強くなる一方でしょう。その情報を正しく扱うことは企業として、大切なことです。
既存顧客・新規顧客、どちらと取引をしていく場合でも、強みになることは間違いありません。
普段の業務効率が改善されることもメリットです。セキュリティを上げるには、業務をシンプルにする必要があります。複雑であれば、そこがセキュリティリスクになったり、セキュリティ事故発生時に対応が遅れたりしてしまいます。
セキュリティ対策を検討していく中で、日常業務を見直すきっかけともなり、業務改善につながることは良くあることです。
最後に、ISMS認証を取得するまでに行う代表的なステップを解説します。
ISMS認証取得には、事務的な手続きもありますが、今回はその手順は省略し、ISMS認証のためのメインの取り組みである、セキュリティ対策に関することを中心にお伝えします。
なお、詳細な情報はISO27001の文章を確認してください。
最初のステップは、ゴールと計画を立てることです。
ISMS認証取得は、1人で取り組むわけではありません。組織で取り組む必要があります。
そのためにも、ゴールと計画を作成し、会社全体の認識を合わせる必要があります。
続いて立てた計画を達成するための体制をつくりましょう。
例えば、次のような役割のメンバーが必要です。
・リーディングをしていく人
・ISMSを取得するための事務手続きをする人
・リスク対策を検討する人
体制は適材適所で配置すると良いでしょう。リスク対策を検討するには、専門知識も必要であるため、コンサルを入れることもあります。
続いてリスクアセスメントを実施していきます。
アセスメントが「ものごとを客観的に評価・分析すること」という意味なので、リスクアセスメントとは、リスクを客観的に分析していくことです。
ここが一番大変ですが、重要となり、ISMSとしても根幹となるところですので、しっかりやりましょう。
リスクを洗い出して、そのリスクが発生した場合の脅威や、対処方法を検討していきます。
1人でやるのでなく、チームでブレストを実施するなどして、できる限りリスクと対策を出し切りましょう。
リスクアセスメントで分析・議論した内容に応じて、セキュリティルールを策定しましょう。
ルールに落とし込み、誰もが実行しやすい指針とすることが大切です。
とはいえ、ルール策定だけでは、一部のメンバーまでにしか浸透しません。社員全員がルールを守れるように、教育していくことが重要です。研修やE-Learningなどを実施して、セキュリティ対策に取り組む意義を伝え、ルールを守っていくことを浸透させていきましょう。
ここまで来たら、実際に運用を開始して、定期的なモニタリングを実施します。
運用をしてみたら、改善点が見つかる事はよくあることです。
PDCAのサイクルを意識して、ブラッシュアップしていきましょう。
時間経過とともに、セキュリティリスクや新しい攻撃も増えてきます。それに対応していくことも継続的にセキュリティを高めていくためには重要なことです。
今回の記事では、ISMSとは情報セキュリティ管理システムのことで、ISMSの概要やメリットを紹介しました。ISMS認証を取得すれば、顧客からの信頼がアップするだけでなく、社内のセキュリティレベルが高くなるメリットもあります。
今回紹介した手順を参考にISMS導入を検討してみてはいかがでしょうか。