情報化推進レター

早稲田大学の学生・教職員の皆様に情報化推進計画のお知らせを配信させていただきます 。

特集

情報セキュリティマネジメントシステム(ISMS)について

メディアネットワークセンター  伊藤敦

0.はじめに

メディアネットワークセンター(以下、MNC)は、2007年1月情報セキュリティマネジメントシステムに関する国際規格(ISO/IEC 27001:2005)及び 国内規格(JIS Q 27001:2006)の認証を審査機関から受けました。

今回、この情報セキュリティマネジメントシステム(ISMS)とは何か、何を行うのかを説明します。

1.情報セキュリティとは?

まずは、情報セキュリティとは何か、について説明します。簡単に言えば、様々な「脅威」によって生じる事件・事故から「情報資産」を守ることです。ちなみに、「情報資産」とは、「情報と情報システム及びそれらを維持及び保護するために必要なもの」です。 具体的には、以下のようなものが該当します。

情報 文書(紙)、電子文書、情報システム内のデータ、手書き情報、会話情報
ソフトウェア OS、アプリケーションソフトウェア、開発ツール
ハードウエア コンピュータ(サーバ、PC、周辺機器)、ネットワーク機器、記録媒体 (CD、DVD、USBメモリ)、OA機器、UPS、建物
サービス ASPサービス、通信サービス、空調、電源

では、「脅威」とは何か? ITセキュリティのマネジメント手法を示すガイドラインであるJIS Q 13335-1:2006 では、以下のように定義しています。

「システム又は組織に損害を与える可能性があるインシデントの潜在的な原因」

従って、ウィルスやらシステムへの侵入といった、情報システムに対する脅威として一般的に思われているもの以外に、地震・台風・落雷といった自然災害や、火事や停電といった人為的な災害、盗難などの犯罪、さらに、保守や操作時のミスといったものも脅威に含まれます。

さて、それでは、情報資産をどのような事件・事故から守るのでしょうか? 今回、認証を取得したJIS Q 27001:2006では、情報セキュリティを、次のように定義しています。 「情報の機密性、完全性及び可用性を維持すること」つまり、情報(情報資産)の持つ3つの特性(機密性、完全性、可用性) が損なわれるような事件・事故から守ることになります。

ちなみに、機密性、完全性、可用性とは、JIS Q 13335-1:2006によると以下のように定義されています。

機密性 認可されていない個人、エンティティ又はプロセスに対して、 情報を使用不可又は非公開にする特性(Confidentiality)
完全性 資産の正確さ及び完全さを保護する特性(Integrity)
可用性 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性(Availability)

言い換えれば、以下のようなことになります。

機密性 許可されなければ、使えない、見えない
完全性 改ざんできない
可用性 必要な時に、使える、見ることができる

それでは、これらの特性が損なわれる事件・事故とは、どのようなものなのでしょうか。例を挙げれば、次のようになるでしょう。

機密性 情報漏えい
完全性 情報改ざん
可用性 サービス利用不能事故

もっとも、それぞれの特性が損なわれた時の影響は、情報資産によって異なります。個人情報等の機微な情報に関しては、機密性や完全性が損なわれた時の影響は非常に大きいです。しかし、一般向けのパンフレットやWeb ページのコンテンツなどの公開情報では、完全性が損なわれると影響が大きいですが、機密性が損なわれても、仮に影響があったとしても、限定的なものになるでしょう。つまり、以下のように言えます。

機微な情報 機密性が重要
公開情報 完全性が重要

そのため、情報セキュリティでは、個々の情報資産の持つ3つの 特性を、その重要度に応じて、さまざまな脅威による事件・事故から守っていくことになります。

2.ISMSとは

ISMSとは、Information Security Management System(情報セキュリティマネジメントシステム) の略ですが、では、これは一体どういうもので、情報セキュリティとどのような関係にあるのでしょうか? JIS Q 27001:2006では、情報セキュリティマネジメントシステムを以下のように定義しています。

「マネジメントシステム全体の中で、事業リスクに対する取り組み方に基づいて、情報セキュリティの確立、導入、運用、監視、レビュー、 維持及び改善を担う部分。」

言い換えれば、情報セキュリティに関して、方針及び目的を定めて、 組織的に、リスクマネジメント・維持・管理・評価・改善などに取り組むための仕組みです。

では、何故、ISMSが必要なのでしょうか? 情報セキュリティの性質上、情報資産に関わるもの全員が、その資産の情報セキュリティに関わることになります。そのため、情報セキュリティを維持するためには、 明確な方針及び目的を定めて、組織的に情報セキュリティに取り組む仕組みが必要になります。

また、ITの進歩や情報の利用形態の変化といった情報環境の変化に伴い、情報セキュリティ対策の対象である情報資産や脅威は変化していきます。セキュリティ技術も、それに伴って、進歩・変化していきます。その結果、既存の情報セキュリティ対策は、そのままでは、不適切な、効果的でないものになってしまいます。従って、情報セキュリティの品質を維持し、また、向上させていくためには、定期的に情報資産のリスク分析・評価を行い、情報セキュリティ対策の有効性を評価し、必要であれば改善していくといった仕組みが必要になります。 ISMS(JIS Q 27001:2006)では、"Plan-Do-Check-Act(計画-実行-点 検-処置)"(PDCA)モデルを採用しています。それによって、情報セキュリティ活動全般に関して、「計画」、「実行」、「点検」、 処置(改善)」、そして、また「計画」といったように、PDCAのプロセスを繰り返すことにより、その品質の維持・向上がなされることに なります。

3.具体的には何をするのか?

それでは、ISMSを構築・運用するためには、具体的に何をすればよいのかというと、それは、以下の図2のようになります。

図1 ISMS解説図

図のように、年度計画策定や内部監査といった各プロセスは、それぞれ、年度計画策定はP(Plan)、内部監査はC(Check) といったようにPDCAのサイ クルのそれぞれのフェーズに該当します。もっとも、それぞれのプロセスの内部にもPDCAに該当するようなプロセスがあるでしょうし、その方が望ましいでしょう。

ISMSの構築及びPDCAの1サイクルの運用を行うと、今度は、次年度に向けて、基本方針やドキュメント類の見直しを行い、年度計画を策定、といったように新たなPDCAのサイクルが始まります。ISMSでは、このように、 PDCAのサイクルを何度も繰り返すことによって、情報セキュリティを維持・ 向上していきます。

4.おわりに

MNCでは、ISMSの導入にあたり、2005年12月から準備を進め、前述の ISMS構築作業を行い、昨年10月より運用を開始しました。入退室、文書の保管・ラベリング、持込のものも含めた媒体(特にUSBメモリ)の管理等、見直しの必要な事項が数多くあることが、準備の段階や、現場を内部監査した際にも明らかになり、運用を行いながら、それらの1つ1つに対応していきました。いまだに対応中のものもあります。

今回構築したISMSに関しては、審査機関による文書審査(11月)、現場審査(12月) を経て、前述のように今年1月に国際・国内規格の認証を受けました。 現在、情報セキュリティのさらなる向上を目指して、来年度の情報セキュリティ目標及び計画の策定を行っていきます。

参考文献
「情報セキュリティマネジメントシステム」.日本規格協会編. 対訳
東京, 日本規格協会,2006.10 ISO/IEC 27001:2005(JIS Q 27001:2006)
「詳解 情報セキュリティマネジメントシステム-要求事項」平野芳行・吉田健一郎 共著
東京, 日本規格協会, 2006.9 ISO/IEC 27001:2005(JIS Q 27001:2006))
Copyright(C)Media Network Center, Waseda University. All rights reserved.