情報セキュリティマネジメントシステム

仕事で使用している特定の携帯電話があると想像してみてください。その端末には、支払いに使うクレジットカード情報、財務状況を確認するための銀行情報、取引先に関する重要な詳細情報、利用しているサービスのログイン情報、そして事業の中核に関わる多くの機密性の高い独自データが保存されています。

多くの人と同様に携帯電話を常に持ち歩いている場合、いつか紛失したり盗難に遭ったりする可能性があります。そのような状況が発生した場合、端末に保存されている情報はどうなるでしょうか。自分自身のプライバシーと情報セキュリティをどのように保護しますか。取引先の情報を保護するにはどうすればよいでしょうか。

これらの問いに対する答えは、情報セキュリティマネジメントシステム（ISMS）を確立することです。ISMSとは、企業の機密情報を保護し、情報の破壊や不正な第三者への流出を防ぐために設計された一連のポリシー、手順、プロトコルです。本記事では、ISMSについて詳しく解説します。ISMSとは何か、情報セキュリティの歴史、そして組織の重要データを保護するためにISMSを導入する際のベストプラクティスについて説明します。

情報セキュリティマネジメントシステムとは

情報セキュリティマネジメントシステム（ISMS）とは、組織が自社の情報資産および管理責任を負うその他の情報資産を保護するために導入する一連の管理策です。独自のISMSを設計・導入する組織は、データ侵害の発生可能性を低減する方法、データ侵害が発生した場合の責任を限定する方法、データセキュリティ上の問題による影響を軽減するその他の方法を見いだすことができます。効果的なISMSを構成する主な要素は次のとおりです。

ISMSはデータセキュリティを管理するためのシステム

確立されたISMSは、組織のデータセキュリティ保護に役立つものとして選定されたポリシー、手順、プロセス、ワークフローを管理します。組織がポリシーを定めた後は、その効果を実現するために組織全体で実装し、運用する必要があります。組織はPDCA（Plan、Do、Check、Act）サイクルによってポリシーを管理し、手順を定期的に見直して必要に応じて調整します。

ISMSに公式な文書化要件はありませんが、ISMSをプロセスアプローチで管理するためのポリシーと手順、および企業のデータセキュリティ目標を推進するために実装されたポリシー、手順、プロセス、ワークフロー、管理策を文書化することが一般的です。

ISMSではすべてのデータを同じように扱うわけではない

ISMSは、組織がデータをどのように保護すべきかを定めるものですが、すべての組織データをまったく同じ方法で扱う必要はありません。組織は日々、さまざまな種類のデータを作成、記録、交換しています。前述の例として、企業の財務記録、組織が使用するサービスのログイン情報と詳細、クライアントや顧客のプロフィールと情報、法人クレジットカードや銀行情報などがあります。さらに、メール、レポート、在庫データ、設備データ、機器のサービス記録などもあります。

すべての組織データを同じセキュリティレベルで保護する必要はなく、特定の種類のデータを保護することには財務面および生産性面のコストが伴います。たとえば、組織がメールログインに二要素認証を必須にした場合、従業員はメールを確認するたびに追加で2分の生産性を失う可能性があります。それだけの価値があるかどうかは、組織のリーダーが自らのリスク評価を通じて判断することです。

ISMSへの準拠は導入を成功させるうえで不可欠

ISMSを作成してどこかのフォルダーに保存しておくだけでは、組織の情報セキュリティ向上にはつながりません。データ侵害から組織を守るのは、ポリシーを効果的に実施し、情報セキュリティを組織文化に組み込むことです。ISMSの確立と維持は重要な第一歩ですが、データを適切に保護するには、従業員にISMSについて教育し、組織の日常的なプロセスや活動にコンプライアンスを組み込むことが優先事項となります。

ISMSは静的ではなく動的なシステム

ISMSは常に変化する生きたシステムであり、静的ではなく動的です。情報セキュリティ規格であるISO 27001では、PDCAサイクルがISMSに適用されています。企業はISMSを確立し（計画）、ISMSを実装・運用し（実行）、ISMSを監視・レビューし（確認）、ISMSを維持・改善する（改善）必要があります。ISMSは、変化する情報セキュリティ環境やデータセキュリティの新たなベストプラクティスを反映するために、定期的に見直し、更新する必要があります。

効果的なISMSはリスクベースである

組織のデータをセキュリティ侵害から絶対的に保護することは、おそらく不可能であると理解することが重要です。十分な時間とリソースを持つ窃盗犯やハッカーは、最終的には実装されたセキュリティ対策を突破する方法を見つける可能性が高いでしょう。高度ではないセキュリティシステムに対するサイバー攻撃は、1人で数時間あれば完了する場合があります。一方で、厳重に保護されたサーバーへのアクセスには、訓練を受けたセキュリティ専門家のチームでも数週間かかることがあります。

組織は、どの資産を最も厳重に保護すべきかを判断するリスク評価を実施し、それらの資産の保護に向けてリソースを効果的に配分する必要があります。リスクベースのISMSでは、資産保護にリソースを配分する際に、さまざまな種類の情報資産における相対的なリスクを考慮します。

組織がデータを保護すべき理由

ISMSについて詳しく理解したところで、組織がISMSを確立してデータを保護することがなぜ重要なのかを理解し、その価値を認識する必要があります。組織がデータ保護のためにISMSを確立すべき主な理由は次のとおりです。

ISMSは大規模なデータセキュリティ管理に役立つ

紛失や盗難の可能性がある業務用携帯電話という最初の例に戻ると、1台の端末が不正な第三者の手に渡らないよう保護することは比較的容易です。しかし、組織に100人の従業員、85台のデスクトップコンピューター、20台のノートPC、40台の携帯電話、サーバールーム、そしてすべての重要文書を保管するクラウドベースのリポジトリがある場合はどうなるでしょうか。この段階では、データ量が多くネットワークも大規模であるため、情報セキュリティを大規模に管理する必要があります。不適切に構成された古いウイルス対策プログラムを搭載した1台の端末が、ネットワークを危険にさらす脆弱性になる可能性があります。ISMSは、悪意のある攻撃から各エンドポイントを保護する管理策を提供し、システム全体を保護します。

データ侵害には非常に大きなコストがかかる

多数の顧客データが盗まれるデータ侵害を経験したことがない場合でも、発生時には極めて大きなコストがかかることを知っておく必要があります。IBMの支援を受けてPonemon Instituteが実施した2017 Cost of Data Breach Studyでは、2017年のデータ侵害1件あたりの平均コストは362万米ドルと算出されました。Equifaxのデータ侵害により同社の株価が20%下落し、1か月以内に30件以上の集団訴訟が提起されたことを耳にしたことがあるかもしれません。インターネット大手のYahooも、30億人すべてのユーザーのアカウント情報が侵害される重大なセキュリティ侵害を受けました。その影響として、連邦当局による3,500万米ドルの罰金、8,000万米ドルの法的和解金、買収価値の3億5,000万米ドルの減額が発生しました。

さらに、データが侵害されたことを顧客に通知する費用、侵害につながった脆弱性を修正するためにセキュリティ専門家を招く費用、その他の罰則、制裁金、影響を受けた人々への補償金も発生します。

組織はISO 27001認証を取得できる

国際標準化機構（ISO）は、組織向けの規格とベストプラクティスを公開する世界的な機関です。2005年、ISOは正式名称をISO/IEC 27001:2005とする文書を公開し、情報セキュリティマネジメントシステムの国際標準を定めました。これらの最新の情報セキュリティ規格に準拠してISMSを構築した組織は、情報資産を保護するための適切なシステムを確立していることを顧客やパートナーに示す認証を取得できます。

ISO 27001認証は組織にビジネス上の優位性をもたらし、情報セキュリティマネジメントに関する最新のベストプラクティスに準拠していることを示すことができます。

組織でISMSを導入する方法

組織は、ISMSを導入し、ISO 27001への準拠を達成し、情報資産のセキュリティを確保することで大きなメリットを得られます。ただし、ISMSのメリットを最大限に引き出すには、綿密な導入プロセスとトレーニングが必要です。組織でISMSの導入を開始する方法は次のとおりです。

ステップ1：資産の特定と評価

ISMS導入の最初のステップは、保護すべき資産を特定し、組織にとっての相対的価値を判断することです。リスクベースのISMSでは、さまざまな種類のデータやデバイスの相対的重要性を考慮し、それに応じて保護することを忘れてはなりません。このステップでは、組織は文書からデータを収集し、事業に不可欠なIT資産と組織にとっての相対的重要性を特定します。

組織は、各IT資産を機密性、完全性、可用性という3つの個別の側面で評価する機密度ステートメント（SoS）を作成する必要があります。

• 機密性 - 情報にアクセスできるのは権限を持つ人物のみに限定されるようにすること
• 完全性 - 保護対象の情報が正確かつ完全であり、情報および処理方法が保護されるようにすること
• 可用性 - 必要なときに、権限を持つ人物が保護対象の情報や資産にアクセスできるようにすること

組織は、資産を保護することと、業務遂行のためにデータを必要とする権限を持つ人物がアクセスできるようにすることのバランスを取る必要があります。

ステップ2：詳細なリスク評価を実施する

資産の特定と評価が完了し、組織がSoSを策定したら、ISMSの作成に役立つ詳細なリスク評価を実施します。リスク評価分析には、IT資産をどのように保護すべきかを判断するための4つの重要なステップが含まれます。

1. 脅威 - 組織は、資産の意図的または偶発的な誤用、損失、損傷につながる可能性のある望ましくない事象を文書化することで、資産に対する脅威を分析する必要があります。
2. 脆弱性 - 脅威とは何が起こり得るかを具体的に示したものであり、脆弱性とは、分析の最初の部分で特定された脅威に対してIT資産がどの程度影響を受けやすいかを測るものです。ここで、さまざまな種類の資産を区別し始めます。悪意のあるソフトウェア攻撃はサーバー、ノートPC、電話にとって脅威ですが、ここでは、電話はリモートで使用され、複数の外部ネットワークに接続される可能性があるため、社内に設置され24時間監視されるサーバーよりも脅威に対して脆弱である、と示すことができます。
3. 影響と発生可能性 - 組織は、特定の種類の侵害が発生する可能性と、各種データ侵害から生じ得る潜在的被害の大きさを評価できるようになります。組織は費用対効果分析を用いて、最も深刻な被害をもたらす可能性がある侵害に対し、最も強力なセキュリティ対策を重点的に講じることができます。
4. 軽減 - 最後に、組織はISMS内のポリシーと手順を通じて、認識された脅威、脆弱性、影響を最小限に抑える方法を提案します。

ステップ3：ISMSを確立する

組織が保護すべき資産を特定し、完全なリスク評価を実施したら、ISMSを構成する実際のポリシーと手順の作成に進むことができます。情報セキュリティマネジメントのベストプラクティスに関する認証を取得したい場合、組織はISO 27001に準拠してISMSを確立する必要があります。

セキュリティが確保されていない業務用携帯電話という最初の例に戻ると、電話を紛失したり盗難に遭ったりした場合に、電話内の情報を適切に保護するために組織はどのような手順を取れるでしょうか。リスクの軽減に役立つ実装可能なポリシー例を以下に示します。

• 紛失または盗難に遭った電話は、8時間以内にIT部門へ報告しなければなりません。電話の所在が分からない場合は、直ちにIT部門に連絡してください。
• IT部門は、会社所有のすべての電話をリモートで追跡し、データを消去できる機能を備えていなければなりません。
• 会社の電話は、割り当てられた使用者に対応する生体認証パスワードで保護する必要があります。電話のロック解除には、指紋、網膜スキャン、または顔認識技術を使用しなければなりません。
• 会社の電話には安全な腰装着型ホルスターを支給し、使用していないときは身に着けて固定することで、従業員が資産を紛失しないよう促します。

この一連のポリシーと手順により、電話の紛失に起因するデータ侵害の発生可能性を最小限に抑えることができます。生体認証パスワードの要件により、電話への不正アクセスに必要な技術的難易度が大幅に高まり、報告要件によって電話の使用者に追加の説明責任が生じます。また、IT部門は紛失が報告された電話から機密データを削除できます。

まとめ

ISMSは、意図的または偶発的な誤用、損失、損傷から企業の情報資産をどのように保護するかを定める一連のポリシーと手順です。ISMSの確立は、組織のデータ資産を保護し、データ侵害による法的・財務的影響から自組織を守るための重要なステップです。組織は、ISMSのグローバル標準に準拠することでISO 27001認証を取得できます。ISMSの導入には、組織が資産を特定・評価し、リスク評価を実施し、確立したポリシーと手順を文書化することが必要です。従業員が機密データを取り扱う際にISMSに準拠することを確実にするため、トレーニングプログラムが必要です。

ISMSは、組織のデータセキュリティニーズを満たすリスクベースのISMSへ継続的に改善することを目標に、PDCAサイクルに従って維持し、定期的に見直す必要があります。