ISMSとは、企業などの組織が情報を適切に管理し、機密を守るための枠組みである。コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針や、それに基づいた具体的な計画、計画の実施・運用、さらにその後の一定期間の後の方針・計画の見直しまでトータルなリスクマネジメント体系である。
1999年にイギリス規格協会(BSI)が策定した「BS7799」を、翌2000年国際標準化機構(ISO)により「ISO/IEC 17799」として国際標準化された。国内では同規格に沿ったガイドラインが「JIS X 5080」として標準化されている。
これに対して日本では、財団法人 日本情報処理開発協会(JIPDEC)が企業のISMSがISO/IEC 17799に準拠していることを認証する「ISMS適合性評価制度」を運用している。
近年、不正アクセスやコンピュータウイルス、情報漏洩などに関する事件の多発から、企業の情報管理に対する関心も高まり、ISMS認証を受ける企業が増加している。個人情報の漏洩事件や不正アクセス、新種のコンピュータウイルス出現など、今企業全体、組織全体の統合的な情報セキュリティへの取り組みが急務となっている。
また、来年4月に個人情報保護法の完全施行が行われるが、個人情報の保護だけではなく、企業の事業活動全般に関して、情報セキュリティが求められるようになるつつある。
情報セキュリティマネジメント体制の確立
情報セキュリティマネジメント体制の確立は、全社の経営課題である。しかし、情報セキュリティマネジメントシステムには、業種業態でさまざまな形があるため、公的ガイドラインやISMS適合性評価制度などの認証水準に準拠しながら、<自社に適したISMS>を構築する必要がある。
とくに、印刷業では個人情報の取り扱いもあるが、それ以上に顧客から預かった情報が数多くある。このため情報の取り扱いには非常に注意を要する業種でもある。写真画像や商品仕様、価格など多くの情報に対して不正アクセスを防ぐ手段はいろいろと考える必要がある。このためにはISMS取得というトリガーによりセキュリティを考えていくのもひとつの方法である。
これからのキーワードは、コンプライアンス「法令遵守」、コーポレートガバナンス「企業統治」といった事を基本として、セキュリティマネジメントを考える必要がある。
今後企業情報を預かるという視点では、ISMS取得を義務つける顧客の出現も起こり得るため、今からそのための調査や検討は進めていく時代である。
セキュリティマネジメント導入への準備
このためには、企業のセキュリティマネジメントの導入担当者もコンサルタント任せではなく、必要な知識を身につけ解決策を検討する必要がある。
基本的には、ISMSとは何かがある(ページ先頭を参照)。またシステム化には投資を考える必要があるが、プライバシーマークやISMS取得を目指す上でセキュリティマネジメントへの投資には、損害の数値化を行うことで損害を最小限に押さえるためのセキュリティの検討が必要要素としてある。
情報資産に求められるトータルセキュリティ対策を考えていく上で、今どのような仕組みが利用できるのかもある。セキュアデータセンターとは何か。社内で実現できることとできないことは何か。目的や自社の都合でどのような仕組みが利用できるのかは把握する必要がある。
また今話題になりつつあるドキュメントなどの情報資産へのアクセス管理をどう行うのかも決める必要がある。(ポリシーエンフォースメント/各種アクセス管理技術)
今後必須となるネットワークの活用では、社内情報のアクセス制御は必須であり、そのため今注目される技術にSSL-VPNがある。セキュリティマネジメントにおいては、ルール作りだけではなくシステムで管理することも必要であり、そのためには今このような技術利用はどこまで利用できるのかなどは、基本的に知っておくべき事柄でもある。
JAGATでは関連セミナー「セキュリティマネジメントのキーワード」でこのようなテーマを取り上げる。
2004/09/16 00:00:00