ISO取得・コンサルティングサービス 帝国データバンクネットコミュニケーション
ISO27001、ISO9001、ISO14001、プライバシーマーク等のご取得は、
株式会社帝国データバンクネットコミュニケーションにお任せください。
帝国データバンクネットコミュニケーション
岡崎 弘明
前回、ISO27001(ISMS :Information Security Management System)のあらましについて述べたが、今回は実際の構築についてである。
認証取得を目的とすれば、当然ISO27001規格の要求事項に沿って構築していかねばならない。規格には、以下の流れが記してある。
〈ISMS構築の流れ〉
- フェーズ1
- ISMS適用範囲を決定
- ISMS基本方針の策定
- フェーズ2
- リスクアセスメントの方針策定
- リスクの特定、識別
- リスクの分析、評価
- リスクへの対応
- 実施すべき管理策の選択
- フェーズ3
- 残留リスクの承認
- ISMS導入・運用の許可
- 適用宣言書の作成
フェーズ1.「ISMSの適用範囲と基本方針」
すべての事業、すべての組織、すべての拠点を対象に、会社全体でISMSを進めることが理想ではあるが、事業部や事業所単位など範囲を限定して、情報セキュリティが最も求められているところから導入しても良い。まずはその適用範囲を決定しなければならない。その際、事業・組織・所在地・資産・技術の特徴の見地等から範囲と境界を定義する。
続いて、基本方針の策定である。なんのためにISMSを導入するのか、その目的と、会社としての取り組み姿勢や基本的な行動の指針などについて記載する。マネジメントシステムの根幹部分であり、これを元にして構築を進めていくことになる。よって、この基本方針は経営陣によって承諾され、発行される必要がある。また、可能な限り、全社員に配布して理解させることが肝要である。そのため文書は平易で分かりやすいものが望ましい。
フェーズ2.「リスクアセスメントに基づいて管理策を選択」
ISMS構築の要(かなめ)となるのが、リスクアセスメントであるが、非常に手間のかかる作業となる可能性がある。やり方を間違えると、何か月もかかってしまい、気づくとすでに内容が陳腐化し始めていたという笑えない事態に陥ることさえありうる。なるべくコンパクトに効率よく遂行していかないといけないが、網羅性も求められる。リスクアセスメントの流れは以下となる。
〈リスクアセスメントの流れ〉
- 情報資産の洗い出しと評価
- 脅威/ぜい弱性分析
まずは、セキュリティの対象となる情報は、いったいどのようなものがあるのかを知ることである(情報資産の洗い出し)。守るべきものは何かを把握するプロセスであり、これが分からないことには対策の立てようがない。
洗い出しは、ISMSの適用範囲に存在するすべての情報資産が対象となる。それも、書類やデジタルデータだけでなく、ハード/ソフトウエア、システム、利用しているサービスなど、事業活動に影響のあるものすべてとなり、この作業で漏れた情報資産に関しては、ISMSの対象外となってしまう。洗い出された情報資産は、その名称と内容(用途)、それに保管形態、保管場所、保管期間、管理責任者、利用者の範囲、廃棄方法などを付す。
続いて情報資産の重要度を数値化する作業(評価)だが、以下の観点でそれぞれ点数付けをしていくのが一般的である。
〈情報資産の評価基準(一例)〉
| 機密性 | 情報の機密性であり、「極秘情報」、「社外秘情報」、「公開情報」などの段階分けをし、例えば3点、2点、1点などと評価する。 |
|---|---|
| 完全性 | これは、情報の内容が改ざんされたとした場合の影響度を評価するものである。「影響が深刻・甚大」、「影響が大きい」、「影響が少ない」などの段階分けをし、これも3点、2点、1点などと評価する。 |
| 可用性 | これは、その情報が使えなくなった場合の影響度を評価するものであり、たとえば、「絶対に許容されない」、「1日程度の利用停止は許容」、「1週間程度の利用停止は許容」などのクラス分けを行い、3点、2点、1点などと評価する。これは、その情報が使えなくなった場合の影響度を評価するものであり、たとえば、「絶対に許容されない」、「1日程度の利用停止は許容」、「1週間程度の利用停止は許容」などのクラス分けを行い、3点、2点、1点などと評価する。 |
下表は、情報資産の評価の例である。
| 情報資産 | 機密性 | 完全性 | 可用性 | 合計※ |
|---|---|---|---|---|
| 顧客情報 | 3点 | 3点 | 3点 | 9点 |
| 在庫情報 | 2点 | 3点 | 2点 | 7点 |
機密性、完全性、可用性のそれぞれの点数の合計*が、情報資産自体の評価となる(点数が高いほど、重要)。こうして情報資産の重要度が評価されることにより、どこまで保護するかが、定量的・総合的に判断できるようになる。
*合計は足し算でもかけ算でも良い。
情報資産の洗い出しと評価に続いて、脅威・ぜい弱性の分析となる。それぞれの情報が、どんな脅威(敵)にさらされていて、それらに対しどの程度の対策がなされているのか(ぜい弱性)を検討していく。これすなわち、敵を知り、己を知るという行為である。
脅威とは、守るべき情報資産をおびやかす様々な出来事の発生であり、地震や火災などの天災、盗難や改ざんなどの犯罪、破損・紛失などの事故、人的なミスなどがあげられる。大きく分けると以下の4つに分類される。
〈脅威の種類〉
- 物理的脅威(自然災害、物理的故障、損傷など)
- 論理的脅威(ネットワークのダウン、アタック攻撃、コンピュータウイルスなど)
- 人的脅威(情報持ち出し、操作ミスなど)
- 法的脅威(法律や契約書などによる縛り)
「脅威分析」は、洗い出された情報資産それぞれについて、上記のような脅威を想定し、発生の可能性を「大」、「中」、「小」で点数化していく(例えば可能性「大」が3点、「中」が2点、「小」が1点など)。あるいは発生した際の影響度で評価しても良いし、発生可能性と影響度とを合わせて評価しても良い。
続いては、「ぜい弱性の分析」となる。脅威が大きくても、ぜい弱性が低ければ(適切な対策が実施されていれば)、深刻な問題にはならない可能性がある。ぜい弱性を低減すれば、脅威の発生を抑止し、結果的にリスクを減少させることになる。ぜい弱性の例として以下のものがあげられる。
〈ぜい弱性の例〉
- 施錠されていない書類棚
- 適切でないパスワード権限
- 不充分なセキュリティ教育
- 不安定な電圧
- IT担当者の不在
- ファイアウォールの未設置 など
具体的な作業としては、評価した脅威のそれぞれについて、ぜい弱性を検討し、評価することである。例えば、「まったく対策がなされていない」を「高」レベル、「対策の追加など改善の余地がある」を「中」レベル、「適切な対策が講じられ、安全である」を「低」レベルなどとし、それぞれ3点、2点、1点などと評価する。
ここまで述べた「情報資産の評価」と、「脅威分析」ならびに「ぜい弱性分析」のそれぞれの点数をかけ合わせることにより、情報資産個々のリスク値が導き出される。
リスク値=「情報資産の価値」×「脅威」×「ぜい弱性」
これで、社内における情報それぞれのリスクが点数という形で可視化され、どこまで対策をとるべきか、どういった対策を立てるべきかが具体的に分かるようになるのである。
営業時間/平日9:00〜17:00
Copyright (c) TEIKOKU DATABANK Netcommunication, Ltd.