見出し画像

情報セキュリティマネジメント(ISMS)について解説

エンジニアブログ by DENKOSHA

最初に

前回の記事で、情報セキュリティマネジメントシステム(ISMS)を効果的に実施する上での基盤となるISO規格について詳しく解説しました。ISO規格は、世界共通の基準を提供し、組織が情報セキュリティを管理し、向上させるための枠組みを構築するのに役立ちます。
特にISO/IEC 27001規格は、情報セキュリティマネジメントシステムにおける要求事項を定めたものであり、組織が情報セキュリティリスクを適切に管理し、情報の機密性、完全性、可用性を維持することが出来ているかを確認する要求事項になります。
ISO規格に関してより深く知りたい方は、**前回の記事をご覧ください。**そこでは、ISO規格が何であるか、なぜ情報セキュリティの文脈で重要なのか、そしてどのようにして組織がこれらの基準に準拠することができるのかについて、具体的なガイドラインとともに詳細に説明しています。
情報セキュリティの管理と持続的な改善に関心がある方、またはISO規格による認証を目指している組織の担当者は、ISMSの実装においてISO規格がどのように役立つかを理解するために、前回の記事をご覧ください。

ISMS(情報セキュリティマネジメントシステム)とは

ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織が保有する情報資産のセキュリティを確保するための体系的なアプローチです。リスクアセスメントに基づいて、情報の価値に見合った適切な管理策を計画、実施、監視、見直し、そして継続的な改善を行う仕組みです。
ISMSの目的は、情報セキュリティのリスクを適切に管理し、情報資産を保護することにあります。これにより、情報の機密性、完全性、可用性を保証します。また、ISMSは組織が情報セキュリティに関する法的要件、規制要件、契約上の義務を満たすのを支援する役割も果たします。
国際標準化機構(ISO)が発行するISO/IEC 27001は、ISMSに関する国際的な標準であり、組織がこの標準に従ってISMSを設計、実施、運用、監視、保守、見直し、改善するための要求事項を提供します。ISO/IEC 27001の認証を取得することによって、組織は外部に対してその情報セキュリティ管理の取り組みを示すことができます。

機密性・可用性・完全性とは?

上記の説明にて、機密性・可用性・完全性という単語が出てきましたが、こちらはISMSでとても重要な単語になります。
機密性、可用性、完全性は、情報セキュリティの管理において非常に重要な3つの基本的な属性であり、一般に「CIAトライアド」として知られています。これらは、ISMS(情報セキュリティマネジメントシステム)を理解し、適切に実装する上で、基礎となる概念です。
機密性(Confidentiality): 情報が承認されたユーザーやプロセスにのみアクセスされ、開示されることを保証する属性です。つまり、権限のない人物による情報へのアクセスや開示を防ぐことを指します。例えば、パスワードの保護や暗号化技術の利用がこの属性を守るための手段となります。
可用性(Availability): 必要な時に、承認されたユーザーが情報や関連する資産にアクセスできることを保証する属性です。これは、システムや情報が適切なパフォーマンスで動作し、必要な時に利用可能であることを意味します。バックアップや冗長性の確保が、可用性を維持するために重要な手段です。
完全性(Integrity): 情報が正確で完全であり、権限のあるユーザーまたはプロセスによってのみ変更されることを保証する属性です。情報やシステムが不正な変更、削除、損傷から保護されていることを意味し、データの整合性を維持することが目的です。データのチェックサムやデジタル署名が完全性を保つための技術的な手段となります。
これら3つの属性を守ることは、情報セキュリティの目標を達成し、組織の情報資産を保護する上で不可欠です。ISMSの設計と実装において、機密性、可用性、完全性を確保するためのリスク管理プロセスとコントロールが重要な役割を果たします。

ISO/IEC 27001:2022の構成

ISO/IEC 27001:2022は、情報セキュリティマネジメントシステム(ISMS)の要求事項を定めた国際規格です。この規格は、組織が情報セキュリティのリスクを管理し、情報の機密性、完全性、及び可用性を保護するためのフレームワークを提供します。ISO/IEC 27001は、組織が情報セキュリティマネジメントプラクティスを確立、実装、維持、および継続的に改善するための基準となります。
ISO/IEC 27001:2022の構成は以下の通りとなっています。

  1. 適用範囲 - 規格が対象とする範囲を定義します。

  2. 規範参照 - この規格が参照する他の規格について述べます。

  3. 用語と定義 - 情報セキュリティマネジメントに関連する主要な用語の定義を提供します。

  4. 組織の状況 - 組織が外部および内部の文脈を理解し、利害関係者の要求を特定する必要があります。

  5. リーダーシップ - 経営者の責任、ポリシーの確立、組織内の役割、責任、権限の割り当てに関する要求事項。

  6. 計画 - 情報セキュリティリスクの評価とリスク対応の計画に関する要求事項。

  7. サポート - 資源、人員の能力、意識、コミュニケーション、文書化された情報の管理に関する要求事項。

  8. 運用 - リスク評価とリスク対処計画の実施に関する要求事項。

  9. パフォーマンス評価 - 監視、測定、分析、評価、内部監査、マネジメントレビューに関する要求事項。

  10. 改善 - 不適合と是正措置、継続的改善に関する要求事項。

上記の要求事項は必ず適用させる必要があり、ISMSはこの要求事項と、組織が導入するかを決定する要求事項(付属書Aの情報セキュリティ管理策)で構成されています。
要求事項とは、満たされるべき条件のことを言います。この要求事項が満たせているか、満たせていないかで、ISMSが正当に構築できているかが決まります。
各要求事項の詳しい説明は、別記事にてそれぞれ紹介していきます。

ISMSのPDCAサイクル

前項にてISMSの要求事項について紹介していきましたが、これらの要求事項をPDCAサイクルを使ってその企業に適した状態に常に更新していくのが重要です。

ISMSのPDCAサイクルを図で示すとこのようになります。
機密性・可用性・完全性を柱とし、各要求事項の計画を立てて、運用して、レビューをして、維持改善をする流れが大切になってきます。
しっかりと企業の問題を把握し、自分たちの管理策が要求事項を満たしたうえかつ、自分たちの企業のセキュリティ問題にあっているのかをレビューし、合っていない場合は改善し、また計画し、運用…のサイクルをしっかりと回せるかが重要になってきます。

まとめ

この記事ではISMSの基礎的な部分、基礎的な進め方について説明していきました。
ISMSはリスクアセスメントに基づいて、情報の価値に見合った適切な管理策を計画、実施、監視、見直し、そして継続的な改善を行う仕組みであり、機密性、完全性、可用性を導守することが大切です。
要求事項を構成する際も、PDCAサイクルを意識し、常に企業のセキュリティ問題にあった状態に更新していくことが重要です。
次回以降の記事では、審査の流れや用語解説、各項の要求事項の解説をしていこうと思います。

お知らせ

電巧社ではセキュリティ分野専門のブログも公開しています。ゼロトラストセキュリティを始めとした、ランサムウェアへの対処法等を紹介しています。こちらもよろしくお願いします。