情報セキュリティマネジメント試験」、この試験は「セキュリティの担保された管理体制を構築できるか」を問う現場の管理者を対象とした試験です。
今回紹介する「ISMS」はその「情報セキュリティマネジメント」に関する国際標準規格で、企業ないしは集団の、情報セキュリティに対する管理体制(システム)が一定の要求を満たしていることを証明する規格の1つです。

ただし、「一定の要求」といっても、ISMSには「こうしなければならない」「こういう制度がなければならない」というルールが厳格に定められているわけではありません。むしろ「自社にとってあるべき正しい姿とは?」を模索し続ける姿勢が重要視されます。

ISMSについて考え、議論を深めることは、セキュリティ担当者だけでなく社内全体のセキュリティ意識の向上にとても役立ちます。しかしそれは、ISMSに対する正しい知見があってこそできることです。
本稿ではISMSに関してよくある誤解をQ&A形式で紹介しますので、正しい知識を手に入れて「現状のセキュリティ体制は万全か」「これからどのような施策を打っていくべきなのか」を考えてみてください。

目次

1.そもそもISMSとは?
2.プライバシーマークとISMSの違いを理解しよう
3.ISMSについて、誤解していませんか?
4.セキュリティを担保する担当であるために

そもそもISMSとは?

ISMSとはInformation Security Management System(情報セキュリティマネジメントシステム)の頭文字をとったものです。
企業における情報セキュリティに対する管理体制が、国際規格の一つである【ISO27001】の要求にしっかり応えている、と判断された場合に認証が与えられます。ただし要求と言っても
– 社内のセキュリティポリシーの策定
– セキュリティ担当者の策定
– リスクに対する対処法の策定
– 策定事項の文書化
– 管理体制の監査
など、取り立てて特別なものがあるわけではありません。むしろ、企業になくてはならない普遍的なものばかりです。

その理由は、ISMSの運用方針にあります。
ISMSが重視するのは、情報セキュリティの基本である「機密性」「完全性」「可用性」がしっかりと担保されているかどうかであり、細かい事項が満たされていることよりも、これら3つがバランスよく担保されていることの方が重要なのです。

また、常により良い状態を目指してPDCAサイクルを回していくこともとても重要です。情報セキュリティに完璧はありません、ISMSはこのことを理解し、セキュリティの管理体制を改善し続ける姿勢も求めています。

プライバシーマークとISMSの違いを理解しよう

ISMSに関してよくある質問ことの一つに、「国内規格であるプライバシーマークとはどう違うのか?」というものがあります。

両者の一番の相違点は、対象範囲の違いです。
プライバシーマークは、会社が保有する個人情報とそれに類するものが対象ですが、ISMSは、会社が保有している個人情報はもちろん、各種データやプログラムなど、すべての情報資産が対象になっています。

対象範囲が広い分、ISMSの難易度の方が高そうだと思ってしまうかもしれませんが、実際のところは、「規定の細かさ」や「厳しさ」はプライバシーマークの方が複雑です。
「社外の機関によって策定された標準のルール通りに運用されているか」を重視するプライバシーマークと、「その会社にとって適切な管理体制を構築すること」に主眼が置かれているISMS。両者は設計思想の時点で別物だと言えるかもしれません。

ISMSについて、誤解していませんか?

ここからはISMSに関する疑問を、Q&A形式で紹介していきます。
なお、ISMSの考え方は、盤石な情報セキュリティの管理体制を構築する上でとても参考になります。これからISMSを取得しようと考えている方はもちろん、現時点ではISMSを取得するつもりのない方も、ぜひ参考にしてみてください。

プライバシーマークを取得しているから大丈夫?

Q:すでにプライバシーマークを取得しているから、わざわざISMSを取得しなくても問題ない?
A:セキュリティに完全はありません。プライバシーマークの取得に満足するのではなく、より盤石な管理体制を構築するための努力を怠らないようにしましょう

ISMSには「本当にリスクがないか」「インシデントが発生するとしたらどのような事態が想定されるか」「インシデントが発生した際の対処法は?」など、不測の事態をしっかりと想定することが求められています。
悪意ある攻撃は日々多様化しており、今この瞬間に新しい攻撃手法が発明されているといっても過言ではありません。
今日の安全は明日の安全ではなく、セキュリティ担当者である以上、1つの認証に満足することなく常に最善を目指さなければならない、ということを胸に刻んでおいてください。

専任の担当者がとにかく頑張ればいい?

Q:ISMSの取得を目指そうと思っているけど、あくまでも中心はセキュリティ担当者で、経営層まで巻き込む必要はない?
A:ISMSは、会社あるいは事業所全体を挙げて取り組むべきものです。そうでないと、本当に自社に合った管理体制は構築できません

ISMSの取得を目指すということは、管理体制を変えることとほとんど同義であり、そのため会社全体に少なくない量、小さくない規模の変更点が発生するはずです。それをセキュリティ担当者だけで決めるのは不可能だと思われます。

また、決められたとしても現場の理解が追い付かなければ、それは押しつけに過ぎません。まずはトップが方針を決め、その方針に基づいてセキュリティ担当者が制度を作っていく。経営層から現場まで、全員が主体的に関わりあいながら議論を深めることで、ようやく自社にあった管理体制を構築していくことができるといえます。

機密も権限もランク分けは多くないとダメですか

Q:ISMS認証を取得するためには、情報に対してどの程度権限をランク分けすればいいのかわからない。ISMSにとって、ランクは多い程望ましいって本当?
A:細かすぎるランク分けはデータの可用性を損ないます。自社に適切なランク分けを探りましょう

ISMSの骨子は、情報の「機密性」「完全性」「可用性」にあることを思い出して下さい。
複雑に分けすぎた影響で、どの情報に誰がアクセスできるのか不明だとか、アクセスする上で煩雑な手続きが必要な状態だとかは、明らかに「可用性」を損なっています。会社の規模にもよるので一概には言えませんが、ランク分けは目の届く範囲内で行うべきです。

とはいえ、多層のランク分けが絶対的に悪い、というわけではありません。管理さえしっかりできていれば、機密性の観点からランクは多い方が安全だからです。
このさじ加減は、実際に試してみるしかありません。PDCAサイクルを回して、絶えず自社に沿った管理体制になるようブラッシュアップしていけば、自ずとふさわしいランク分けも見えてくるでしょう。

どこからどこまでが「完全」なの?

Q:そもそも完全性とは?何が達成されていれば「完全性が担保されている」状態?
A:「完全性が担保されている状態」とは、公開状態、あるいは配信状態にある情報が、製作者の意図通りの、あるべき正しい姿にあることを指します

完全性に対する考え方は少々複雑ですが、特にウェブ界隈においては、公開されている環境下における情報を制作者の意図した通りに運用できていれば、完全性が保たれていると言えます。
たとえばウェブサイトを公開した際、何らかの原因で想定外のテキストが表示されていたら、意図通りではない(バグが存在している)ので「完全性が担保されている」とは言い難い状況です。
また、悪意ある攻撃による改ざんや削除などを受けた場合はもちろん、それらの行為に対して、十分な対策が練られていない場合も、リスク管理という点から「完全性が担保されている」とはいえないでしょう。

ただ、気に留めておきたいのが、完全性は「公開、あるいは配信状態にあるデータ」に強く求められるという点です。完全性の必要加減を取り違えてしまうと、
「開発用の環境にも支障が出てしまった」「社内の簡単なテストをするのに何重もの決裁が必要になった」というように、必要以上に可用性を損なってしまう可能性があります。「完全性はどこに求められるべきなのか」を明確にしてから、管理体制を構築するようにしましょう。

ガチガチに硬い管理が求められているって本当?

Q:ISMSを取得したら、入退室や作業ログ、作業風景なども管理しないといけない?
A:監査のためにある程度のデータを保存する必要はありますが、すべてを残さないといけないわけではありません。ISMSに必要なのは、「自社に適切な管理体制」に必要となるデータだけです

コンピュータへの物理施錠や入退室記録の保存など、細かい点においても行動規範が規定されているプライバシーマークと違い、ISMSが重視しているのは「その会社にとって適切な管理体制になっているか」です。
常にPDCAを回しながら、自社にとって適切なデータを取捨選択していきましょう。

新しいセキュリティツールを導入しなければならないの?

Q:ISMSを念頭にセキュリティポリシーなどを策定したけど、それらを担保するための新しいセキュリティツールは必要?
A:自社にとって適切な管理体制を構築するのが大目標。そこに沿わないツールは必要ありません

繰り返しになりますが、ISMSが重視しているのはその会社にとって適切な管理体制が構築できているかどうかです。
余計なツールを入れたことでかえって運用が煩雑になるのであれば、可用性の点からマイナス評価の対象にもなりかねません。
もっとも、追加ツールを導入すること自体が悪いわけではありませんので、自社にとって何が必要なのかをしっかりと見極めるようにしてください。
※もちろん、基本的なセキュリティソフトも入れなくていい、というわけではありません。

業務にセキュリティへの取り組みを増やさなければならないの?

Q:ISMSを取得できても、それを維持するための業務量が膨大になりそう。正直、手が回らないのでは?
A:ISMSは通常の業務の範囲内で管理できる体制づくりを推奨しています。一部社員に過度の負担を強いるような管理体制は、ISMSの要求を満たしているとは言えません

ISMS取得を目指すからと言って、現場のセキュリティレベルを不必要に引き上げる必要はありません。ISMSが求めているのは、通常の業務の範囲内で、情報の「機密性」「完全性」「可用性」が担保できる体制作りです。
厳しすぎるルールによる管理は、むしろISMSの本分からはずれています。だからといって最低限のセキュリティレベルに満たない場合はそれ以前の問題ですので、程よいレベルを見極めることが大切です。

めでたくISMSの認証がとれた。あとは次の審査までゆっくりしていいんだよね?

Q:努力の甲斐あってISMS認証が取れた!次のミニテストまで休憩していても良い?
A:ISMSの考え方で重要なのは、PDCAサイクルを回し続けることです。次回審査時にはもっといい管理体制が構築できているように、努力を重ねましょう

ISMSの素晴らしいところは、「絶えず自社に沿った管理体制を目指して改善を続けなければならない」という考え方です。
この考え方を実践できていれば、実際に効果的な管理体制が構築できるだけでなく、セキュリティに対する会社全体のモチベーションも自然と高まっていきます。「審査の時だけ頑張ればいいや」という態度では、せっかくの認証も持ち腐れですし、審査時に強く指摘されることでしょう。

もう認証はいらないから無視していいんだよね?

Q:ISMSは面倒くさそうだからいらない!認証を目指さないのなら、情報セキュリティに関する施策は必要ないよね?
A:ISMSの認証を目指す中でやることは、業務の改善と情報の保全です。認証を目指す・目指さないにかかわらず、会社にとって必要なものになります。ISMSを意識しすぎて、本質を見失わないようにしてください

確かにISMSの認証を得るためには、多少なりとも、現場から経営層まで負担が伴います。しかし、その過程で行われているのは、業務改善や効率化、情報資産の保全という、会社が絶対に取り組まなければいけないことです。セキュリティ担当者であるならば、自分の専門分野であるセキュリティに関しては、常に効率化・高度化を求めてPDCAを回すよう心がけましょう。

※一部の公的機関や企業などではISMS認証を入札の条件にしているところもあります。認証を目指すか目指さないかを判断することは、自社の売上増減につながる場合があるのでよく考えたほうが良いです。

セキュリティを担保する担当であるために

今回の記事でISMSについて詳しく知り、自社の情報セキュリティの管理体制についてあらためて考え始めた方が増えることを期待しています。

認証の「取得」が目的になってしまうと、往々にしていつの間にか本来とは別のゴールにたどり着いてしまいがちです。また、場合によってはコンサルタントにISMSの取得を依頼した結果、ルールでがんじがらめにされた管理体制を作られてしまう場合もありえます。

ISMS認証は確かに大量の書類作成や制度策定など手間のかかるものではありますが、誰かに流されるのではなく、ご自身の目で「自社にとって適切な形」がどんなものなのかを考えるようにしてください。
コンサルタントに手伝ってもらいながら策定するとしても、当事者意識をしっかりと持って取り組みましょう。

また、目指す・目指さないにかかわらず、セキュリティ担当者であるならばISMSについて一通りの勉強はしておくべきです。本稿で触れたように、ISMSの考え方の根幹は、セキュリティ分野はもちろん、それ以外の業務でも通用するものばかりです。勉強したことを他の社員にも共有することで、会社全体のセキュリティ意識も高まっていくでしょう。