ISMSとは? その仕組みを5分でわかりやすく解説!

キュービストのこと,思わずシェアしたくなる話
2017.06.13

 ISMS (「あい・えす・えむ・えす」と読みます)という言葉を耳にしたことはあるでしょうか。意味はよくわからなくても、言葉ぐらいはニュース等で目にしたことはあるのではないでしょうか。

 ISMSとは、情報セキュリティを管理する仕組みのことで、情報セキュリティマネジメントシステムを英語で書いた「Information Security Management System」の頭文字を使った略称です。
 と、こんな紋切り型の説明をされてもISMSの謎は深まるばかりでしょう。ただでさえややこしいい「情報セキュリティ」に「マネジメントシステム」という聞きなれない言葉がくっついているので、難しく感じるのも当然かと思います。そこで今回は「ISMS」すなわち「情報セキュリティマネジメントシステム」とは何なのか、できるだけわかりやすく解説します。

 実は当社も2016年にISMSの認証を取得したばかり。ゲームメーカー様から大切な情報をお預かりする立場ですから、会社全体で取りくんだわけですが、その体験談も合わせてお話しできればと思います。では最初に、「情報セキュリティ」とは何なのかというところから見ていきましょう。

そもそも「情報セキュリティ」って何?

 まず「情報セキュリティマネジメントシステム」の前半部分“情報セキュリティ”の意味を確認していきましょう。
 情報セキュリティと聞くと何を思い浮かべますか? パソコンにパスワードを設定したり、情報をパスワードで暗号化したり、高度な認証技術を使ったりすることではないでしょうか。もちろんそれらは大切な情報セキュリティ対策です。でも実は情報セキュリティはそれだけではありません。

 情報セキュリティは、情報の「機密性」「完全性」「可用性」を確保することと定義されています。また聞きなれない言葉が3つもでてきましたが安心してください。ひとつひとつの言葉の意味はとても簡単です。例えばゲーム会社様の情報セキュリティは次のようになります。

【機密性】 ゲームの仕様書やプログラムコードが漏えいしないようにすること
【完全性】 ゲームの公式WEBサイトが改ざんされる、または削除されないようにすること
【可用性】 ゲームの仕様書や開発用のパソコンが使いたいときにすぐに使えるようにすること

 情報セキュリティは「機密性」や「完全性」を追求するあまり「可用性」が損なわれても、「可用性」を優先しすぎて「機密性」や「完全性」が確保できなくなってもいけないのです。言いかえれば、この3つをバランスよく対策することが「情報セキュリティ」ではもっとも大切です。

 ISMS(情報セキュリティマネジメントシステム)が達成すべきところも「情報の機密性、完全性及び可用性をバランスよく維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある」とされています。
 さて、会社などの組織で情報セキュリティを「バランス良く維持・改善し続ける」にはどうしたらよいでしょうか? そこで登場するのが「情報セキュリティマネジメントシステム」の後半部分“マネジメントシステム”なのです。

マネジメントシステムとは「仕組み」のこと

 マネジメントシステムは「システム」と名前がついているので、パソコンのソフトウェアと思われるかもしれませんが、そうではありません。マネジメントシステムとは、「組織が目標を達成するための仕組み」のことです。(組織はいろいろありますが、ここでは「会社」を思い浮かべてください)
 この「仕組み(マネジメントシステム)」には、セキュリティ方針やルールマニュアル、計画書などの文章や、情報セキュリティ会議や情報セキュリティ教育、内部監査など、組織が目標を達成するためのモノや活動すべてが含まれます。例えば「ソフトウェアのアップデートを確実に実施すること」というルールがあったとして、そのルール自体も、アップデートを実施するという活動も「仕組み(マネジメントシステム)」の一部です。

 あたりまえですが目標は会社ごとに違いますので、情報セキュリティの目標も会社ごとさまざまなものが掲げられます。当然その目標を達成するための仕組み(マネジメントシステム)も、会社ごとに自由に構築することができます。
 しかし、マネジメントシステムをゼロから構築することは大変ですし、マネジメントシステムの作りが会社ごとにバラバラでは、会社間のコミュニケーションもやりづらくなります。そこでマネジメントシステムを構築する基準として役立つのが、国際標準化機構が発行する「国際規格」です。

ISMS(情報セキュリティマネジメントシステム)の国際規格

 テレビCMや会社の看板などで「ISO9001認証を取得しました」のようなお知らせを見かけたことはありませんか? これは品質に関するマネジメントシステムの国際規格のことなのですが、ISMS(情報セキュリティマネジメントシステム)もこの仲間で「ISO27001」という国際規格です(番号の先頭についている「ISO」は、国際標準化機構の略称です。よく「ISMS」と混同してしまうので注意してくださいね)。
 また、ISMS国際規格の表示方法は色々あるのですが、次はどれも同じことだと思って問題ありません。どれも ISMS(情報セキュリティマネジメントシステム)のことを示しています。
   ・ISMS
   ・ISO/IEC 27001:2013
   ・JIS Q 27001:2014

国際規格にはさまざまなルール「要求事項」がある

 国際標準化機構が発行する国際規格には、マネジメントシステムを構築するにあたって、さまざまなルールが定められています。ISMS(情報セキュリティマネジメントシステム)の国際規格では、

「情報セキュリティ方針を定め周知しなさい」
「ISMSを運営する責任者や担当者を決めなさい」
「リスクアセスメントの手順を定め実施しなさい」
「リスクに対応する手順を定め実施しなさい」
「ISMSに関する文書化して適切に管理しなさい」
「内部監査の手順を定め実施しなさい」

……などなどたくさんのルールがあり、これらを「要求事項」とよびます。
 また、この要求事項を実現するために、114もある管理策(一般にはセキュリティ対策と言われます)の具体的な手順を定め、すべてを確実に実施することも必要です。

 この国際規格のなかでも特に重視されているのが「PDCAサイクルを回して継続的改善をし続けること」です。これは ISMS 以外の国際規格でも必ず「要求事項」となっています。
 裏を返せば「PDCAサイクルを回せていない」「継続的改善ができていない」ことは国際規格には準拠していないということです。

まとめ

・ISMSとは「情報セキュリティの目標を達成するための仕組み(マネジメントシステム)」
・ISMSを構築するのにあたって国際標準化機構が発行する「国際規格」が役に立つ
・国際規格に準拠し、認証機関に認められれば ISMSの認証を取得することができる

 さて、これでISMSのだいたいのところはご理解いただけたと思いますが、今回は残念ながらここまで。
 次回「ISMSとは?キュービストが認証取得するまでの体験記をご紹介します」は当社が実際にISMSの認証を取得した体験談を中心に進めていきます。
 ISMSの認証を取得するのはいいけれど、認証取得までどんな流れなのか? 手間はどれぐらいかかるのか? そして費用は? わからないことばかりでもう一歩が踏み出せない担当者の方々は必見です。次回もどうぞご期待ください。

関連記事

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です