国際規格ISOで定義されている情報セキュリティ
情報セキュリティとは、文字通り情報に関連するセキュリティで、情報分野のセキュリティ、情報資産のセキュリティという意味になります。
一般的には、「個人・組織において情報や情報システムを意図通り制御できること」になります。情報や情報システムを 情報資産ともいいます。また、情報セキュリティはISOで定義されていることから、「機密性・完全性・可用性を保証・維持すること」と要約されます。
3大要素
情報セキュリティとは、機密性、完全性、可用性の3大要素を維持していくことです。
- 機密性・・許可された者のみデータ・情報にアクセスできること
- 完全性・・データ・情報が完全であること
- 可用性・・必要なときに必要なデータ・情報が使える、機器を使用できること
3大要素は、バランスよく維持していくというのが大切になってきます。
例えば、個人情報などの機密性を重視するなら ネットワークから遮断して管理すればよいということになるのですが、現在のシステムではそれはできないこともあります。例えば、ネットショップなどでは顧客情報とホームページが連動していないと ネットショップというサービスそのものが提供できないことにもなります。
また、情報システムなどで認証を複雑にすると、実際の作業や運用に入るまで時間がかかり現実的ではないこともあります。
そのため機密性を保ちつつ、完全性や可用性を維持するというようなバランスが必要となってきます。
脅威
機密性、完全性、可用性に対する脅威には、大きく分けて3つのものがあります。
- 技術的脅威
- 人的脅威
- 物理的脅威
技術的脅威とは、マルウェアや不正アクセスなどプログラムによって起こるもの。フィッシング詐欺、標的型攻撃、Dos攻撃など。
人的脅威とは、内部における操作ミス、情報漏洩、ソーシャルエンジニアリング、ソフトウェアやシステムの脆弱性をそのままにしておくなど組織内でのセキュリティモラルの欠落など人が直接的な原因となるもの。
物理的脅威とは、地震、落雷、洪水などの自然災害、機器の寿命や故障、侵入者による破壊など。コンピューターやシステムが物理的に破損して使えなくなることなどがあります。。
リスクとインシデント
何らかの問題が発生する可能性をリスクといい、発生した事案をインシデントといいます。発生前がリスク、発生後がインシデントとなります。
何らかの問題というのは、例えば、情報漏洩、不正アクセス、ランサムウェア、ホームページの改ざん、サーバーの停止、故障によるデータ消失など様々なものがあります。
代表的なインシデントは、情報漏洩であり機密性が損なわれるものとなります。インシデントは、機密性・完全性・可用性のいずれかが損なわれることであり、分類することができます。
リスクは発生する可能性、インシデントは発生後の影響など事案ごとに異なるため、事前にリスクがどこにあるのかを見つけ リスクそのものを小さくしたり排除することを検討する リスクマネジメントが行われるのが一般的です。リスクマネジメントには、リスク回避、リスク低減、リスク移転などがあります。
情報セキュリティマネジメントシステム
ISOは、ISO/IEC27000シリーズとして、情報セキュリティマネジメントシステム ISMSを提唱しています。
一般的にセキュリティ対策や情報セキュリティは、このISMSに沿ったかたちで解説されたり運用されたりすることが多くなっています。
中心に据えられているの、「機密性・完全性・可用性の維持」であり、用語の定義、組織の在り方、系統だてて情報セキュリティ対策を行う手法などで構成されています。
ISOの国際規格であるマネジメントシステム(管理手法・システム)には、他にも品質マネジメントシステム(ISO9000)、環境マネジメントシステム(ISO14001)などがありますが、ISMSも ISO27001として認証制度があり、国内では 日本情報経済社会推進協会 JIPDECが第三者機関となり、ISMS適合性評価制度を設けています。
情報セキュリティポリシー
ISMSに沿い一番はじめにすべきことは、情報セキュリティに対する考え方や取り組みを明文化・文書化し、社内・組織内にルールやマニュアルを浸透させることです。
情報セキュリティポリシーは、以下の2つもので構成されます。
- 基本方針・・・企業・組織としての基本方針
- 対策基準・・・対策や基準の策定
実際の運用は実施手順を作成して進めていきます。また万が一 インシデントが発生したときの対応策・マニュアルも重要になります。
会社・組織内での情報セキュリティの責任者は、情報セキュリティポリシーを策定する会社の経営陣になります。経営者・経営陣から始めるという トップダウンの取り組みが必要です。
PDCAサイクル
ISMSでは、PDCAサイクルを用いることが推奨されています。PDCAサイクルとは以下の流れになります。
- Plan・・計画。情報セキュリティポリシーの策定
- Do・・実施。実際の業務や運用、周知や教育
- Check・・評価。「Do」の結果を一定期間後 確認・監査。
- Act・・改善・修正。
Checは、内部・外部などの人や組織による確認・監査になります。定期的に行う場合や抜き打ちで行う場合などがあります。
PDCAサイクルは、一度行えばいいというわけではなく 定期的に繰り返していくことが必要になります。
ISMS認証とプライバシーマーク
情報セキュリティに関連する認証制度として、ISMS認証とプライバシーマークがあります。
ISMS認証は ISMS適合性評価制度のことで情報セキュリティの適切な運用ができている法人・組織に対して認証されます。公官庁や教育機関も対象となります。プライバシーマークは、個人情報の取り扱いが適切である法人・事業所に認定されます。
ともに審査があり、認定している機関はJIPDEC 日本情報経済社会推進協会になります。認定されると、名刺やホームページなどでロゴマークを使用することもできます。
現在登録されている法人・組織は ISMS認証が約4,500社、プライバシーマークが約14,000社になります。
今後 企業・法人・事業所などでは、情報セキュリティの運用を適切に行なっていくために、ISMS認証やプライバシーマーク取得を考えるというのもひとつの方法です。
認証にむけて、社内・組織内の情報セキュリティを構築していく機会にもなり、組織内のセキュリティ意識を高めていくことにも繋がります。認証されれば、内外に情報セキュリティに対する取り組みをアピールすることができます。
中小企業・小規模事業者
ISMSは、大企業なども想定して情報セキュリティのガイドラインを提唱しているため、中小企業や小規模事業者では対応できないと考えられる箇所も多少あります。
例えば、情報統括責任者 CIO、情報セキュリティ最高責任者 CISOなどがあります。
ただ本質的なところに着目するのであれば、組織内で誰が情報セキュリティを統括するのか、問題が生じたときに誰が原因究明や外部への対応を行うのかなど、責任や役割の明確化が重要であるということができます。
小規模な法人・事業所では、ISMS認証やプライバシーマーク取得とまでいかなくても、ISMSの基本的な概念を取り入れて、情報セキュリティを構築していくのが一般的となりつつあると考えられます。