情報セキュリティマネジメントシステム(ISMS)とは?概念や認証取得のメリット・デメリット
目次[非表示]
情報セキュリティマネジメントシステム(ISMS)とは
ISMSは Information Security Management System の略で、情報セキュリティマネジメントシステムと言われます。
情報セキュリティ(Information Security)は、情報の機密性、完全性および可用性を維持すること、と定義されています。つまり、必要なときに正しい情報を正しい人のみが利用できるよう、情報そのものやその情報を扱うシステムの安全を守ることです。
例えばPCを保護するためにウイルス対策ソフトを導入するなどは代表的な情報セキュリティ対策ですが、技術的な対策ばかりではなく、社員にセキュリティ教育を施したり、オフィスの入退室管理を行うことも情報セキュリティ対策のうちに含まれます。
マネジメントシステム(Management System)とは、組織がある目標に向かうプロセスを確立するための体系的な仕組み(システム)です。一般にマネジメントシステムにおいては、組織のトップがその目標に責任を持ち、必要な業務プロセスを設計して文書化し、組織全体でその活動を計画・実施し管理することが必要となります。また、そうした活動の有効性を評価し、改善につなげることも重要だとされています。
つまりISMSとは、組織における情報の安全性を維持するための運用や管理の仕組み、ということになります。ISMSでは、組織の情報セキュリティポリシーを定め、セキュリティに対するリスクを評価し、必要な情報セキュリティ対策を導入・運用することが求められます。
情報セキュリティで重要な3つの要素(機密性、完全性、可用性)とは
情報セキュリティで重要な3つの要素、機密性、完全性、可用性について改めて説明します。これらは英語の頭文字をとってまとめてCIAとも呼ばれます。
機密性(きみつせい/Confidentiality)
機密性とは、情報が認可されていない個人やシステムに対して開示されないことを保証する特性のことです。アクセス制御やパスワードによって秘密を守ることで、機密性を確保できます。
完全性(かんぜんせい/Integrity)
完全性とは、情報が正確・完全であり、不正に改ざんされていないことを保証する特性のことです。重要なデータが失われないようバックアップしたり、データの改ざんを防ぐ対策をすることで、完全性を確保します。
可用性(かようせい/Availability)
可用性とは、情報が必要なときに適切にアクセスし利用できることを保証する特性のことです。情報を提供するシステムが停止しないよう冗長化することなどが、可用性の確保につながります。
これら3つの要素は、情報セキュリティの基本的な目標であり、ISMSの設計と運用においても重要な考え方となります。なお、これらに加えて、情報セキュリティの要素に真正性、責任追跡性、否認防止、信頼性といった特性を含めることもあります。
情報セキュリティマネジメントシステム(ISMS)で作成する必要のある文書の一覧
ISMSの構築においては、組織の情報セキュリティに対する方針や管理規程などを文書化する必要があります。一般的には以下のように階層立ててISMS文書を作成し、ISO/IEC 27001 で定義される要求事項が網羅できるよう各文書を作成します。
基本方針
基本方針は、組織のトップレベルで定められるISMSについての方針や目標を示す文書です。例えば、「情報セキュリティ基本方針」は、情報セキュリティマネジメントにおける方針を記載した文書で、経営陣が承認し従業員や組織外のステークホルダーなどに周知される文書です。こうした基本方針の文書に従い、下位の文書を策定します。
管理規程
管理規程は、ISMSの各項目における全般的な規範や要件を記述する文書です。主に情報セキュリティの管理策に関する文書とマネジメントシステムを運用・管理するための文書に大別され、その規則や定義、判断基準を示す文書のことです。
情報セキュリティの管理策に関する文書としては、「情報セキュリティ対策規程」や「情報資産管理規程」、「委託先管理規程」などがあります。マネジメントシステムを運用・管理するための文書としては、「ISMS文書管理規程」や「ISMS内部監査規程」、「マネジメントレビュー規程」などが該当します。
管理手順
管理手順は、各管理規程に関する実際の運用手順やプロセスを示す文書です。運用担当者向けに具体的なタスクや手順が記載されたものです。規程に対応した形で「委託先管理手順書」「セキュリティリスク評価手順書」「インシデント対応手順書」などがあります。いわゆる業務マニュアルもここに該当するでしょう。
様式/記録
様式/記録は、ISMS実施の計画・結果や組織の情報セキュリティの現状を記録する文書です。「セキュリティ教育計画書」「情報資産台帳」「内部監査報告書」などがありますが、いずれも組織の実態を把握するのに重要であり、文書の種類も多岐に渡ります。
これらの文書を適切に整備することで、ISMSの運用と改善がスムーズに行えます。
ISMS認証とは
ISMS認証とは、組織の情報セキュリティマネジメントシステムが国際標準(ISO/IEC 27001)に適合していることを認証する制度です。ISMS認証を取得することで、組織の構築したISMSが国際基準に基づいて適切に運用・管理されていることを組織の内外に示すことができます。
ISMS認証は、第三者のISMS認証機関が公平な立場から審査を行ない証明します。日本にも20を超えるISMS認証機関がありますが、その認証機関の認定は一般社団法人情報マネジメントシステム認定センター(略称:ISMS-AC)が行なっています。
ISMS認証のメリット・デメリット
ISMSの構築やISMS認証の取得のメリット・デメリットをまとめてみます。
ISMS認証のメリット
- 信頼性と信用向上: ISMSを構築しISMS認証を取得することで、組織は情報セキュリティに対する取り組みを示し、顧客や取引先などのステークホルダーからの信用を高めることができます。ISO/IEC 27001にも、「ISMSは、リスクマネジメントプロセスを適用することによって(中略)リスクを適切に管理しているという信頼を利害関係者に与える。」と記載されています。
- 組織のセキュリティレベルの向上: ISMSの導入と認証を通じて、セキュリティ管理策を実施することで、組織のセキュリティレベルを向上させるとともに、組織全体のセキュリティに対する意識を高めることができます。
- ビジネス機会の拡大: 自治体や企業によっては、ISMS認証等のセキュリティに関する第三者認証を取得していることが取引を行う上での必須条件とされる場合があります。また、ISMS認証の取得によって、取引先からのセキュリティチェックが省略されることも期待できます。
ISMS認証のデメリット
- ISMS導入には費用と時間がかかる:ISMSの導入や認証の取得には費用と時間がかかります。導入から認証の取得までには1年ほどかかることを見込んでおくのが良いでしょう。費用については認証の審査費用だけではなく、ISMSの導入にともなうコンサルティングやツール導入の費用も見込む必要があります。また、ISMS認証は1年ごとの維持審査、3年ごとの更新審査があり、都度対応のコストがかかることも考慮する必要があります。
- ISMS維持のための業務負担がある: ISMS文書の作成や運用のため、体制を維持し続ける必要があるほか、ISMSの導入の仕方によっては、業務プロセスが煩雑になることで組織全体の業務負担が増える可能性があります。
- 完全なセキュリティを保証しない:ISMSの認証は、情報セキュリティの対策レベルを保証するものではありません。また、ISMSの要求事項であるISOのマネジメントシステム規格は5年ごとに見直すというルールがあり、最新のセキュリティリスクトレンドを反映していない可能性があります。
ISMS認証をとっていれば情報セキュリティ対策は万全なのか
ISMS認証は、組織の情報セキュリティマネジメントシステムが国際標準に適合していることを認証する制度です。情報セキュリティを維持管理するための仕組み自体を認証するものであり、一定の情報セキュリティ対策ができていることを認証するものではありません。このため、組織にとって必要な情報セキュリティ対策の検討を行うことなくISMS認証を取得することも不可能ではありません。
また、ISMS認証ではその適用範囲を会社全体ではなく特定の部署に限定することも可能です。ISMS認証を取得・維持していると思ったら取引先の部署ではその運用がなされていなかった、ということも起こりえます。
このため、ISMS認証を取得していたとしても、情報セキュリティ対策が十分であることは保証されません。取引先がISMS認証を取得していたとしても、ISMSの適用範囲や実際のセキュリティ対策状況を確認することが必要だと考えられます。
(編集:Assured編集部)