公開日: |更新日:
ISMSとは「Information Security Management System(情報セキュリティマネジメント)」の略称のこと。情報セキュリティを管理している仕組み・認定規格のことを言います。
この用語は「情報セキュリティ」と「マネジメント」の2部分に分けられており、情報セキュリティでは情報の機密性や完全性を維持し、マネジメント分野では方針・目標を定めます。
国際標準化機構(ISO)や国際電気標準会議、日本工業規格などの規格とは少し違って、明確な評価基準があるわけではありません。組織における情報セキュリティの管理・向上のための継続的な活動をまとめたものを言います。
ISMSでは、情報セキュリティを構成する要素を主に3つに分け、構成されています。データがいつでも正しく利用でき、不必要な人物にはアクセスできないような状態を維持することが、以下の3要素の目的です。
許可されていない個人やプロセスに対しては、情報を開示しないという要素です。例えばファイルやフォルダなどにパスワードをかけたり、特定のユーザーにのみファイルの権限を与えたりといった対策がこれにあたります。
システムとしての正確さや完全さの特性を言います。例えばファイルを書き込む際に、最新のデータと古いデータを取り違えてしまうと、システムや情報としての正確さが失われてしまいます。バージョンの管理を徹底したり、常に誤作動が起きないように対策を練ったりすることが、可用性にあたります。
必要なときに必要なデータにアクセス・利用できる状態を維持することを言います。許可された人のみがアクセス使用を許された状態が保たれていることや、ハードディスクが健康な状態で、いつでも正確にファイルにアクセスできる状態が可用性の特性です。
ISMS(情報セキュリティ)を保つためには、リスクをあらかじめ定義しておくことが大切。リスクが生じる場合には、必ずそこに「脅威」と「脆弱性」が存在します。例えばシステムに侵入しようとするマルウェアが脅威、マルウェアを検知するセキュリティソフトの穴が脆弱性にあたります。
すでに存在している脆弱性に対してセキュリティレベルを引き上げたり、脅威を回避するために普段の業務を別の方法に切り替えたりなど…リスクを定義することで、リスクを管理・コントロールする方針が立てやすくなります。
ISMSの認証を取得するためには、情報資産の洗い出しやリスクアセスメント、リスク対応策の選定、必要文書の記録・作成、従業員教育、内部監査…といった様々な取り組みが必要です。ISMSの規格文言自体は抽象的な記載となっているため、審査までに何をすれば良いのかわからない場合には、専門のコンサルタントなどに依頼しましょう。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
