企業においてITシステムやネットワークが不可欠になった現代では、情報セキュリティが重要となっているでしょう。
情報セキュリティのマネジメントシステムをISMSといい、要求事項を定めた規格のことをISO/IEC 27001というのです。
ISMSやISO/IEC 27001とは具体的にどのようなものか、解説します。
ISMSとは?
近年、社会インフラとしてITシステムやネットワークなどが不可欠となっていますが、一方で不正アクセスやランサムウェアなどの被害や影響なども多発しているのです。
多くの脅威があるITシステムを運用するためには、脅威に対する適切なリスクアセスメントを実施し、総合的なセキュリティを確保する必要があります。
セキュリティ確保するために重要なのがISMSの構築、運用ですが、ISMSとはどのようなものでしょうか?
ISMSは情報セキュリティマネジメントシステムのことで、個別の問題の技術対策や組織のマネジメントに必要となります。
リスクアセスメントに応じて必要となるセキュリティレベルを決定して プランを立て、資源を配分してシステムを運用するのが、ISMSです。
ISMSによって、情報のリスクマネジメントを適切に行っていると利害関係者に信頼を与えることができます。
信頼を与えるためには、ISMSを組織のプロセスやマネジメント構造に組み込んでしまうことが重要となるでしょう。
ISO/IEC 27001とは?
ISO/IEC 27001というのは、ISMS(情報セキュリティマネジメントシステム) の国際規格のことをいいます。
情報セキュリティの3つの要素が管理され、利害関係者に信頼を与えるための枠組みを示しているのです。
情報セキュリティの3要素は、「Confidentiality(機密性)」、「Integrity(完全性)」、「Availability(可用性)」の3つに分けられます。
機密性というのは、使用許可を得なければ対象となる情報にアクセスできないようにすることです。
機密性の高い情報といえば、企業であれば顧客の個人情報や新製品の開発情報などが当てはまります。
情報へのアクセスは、社内ネットワークや端末などのアクセスを制限し、特別に許可されたIDカードが必要になるなどの対策を行うでしょう。
一般的には、アクセスの際に特別なIDやパスワードが必要となるよう設定しますが、設定されていれば機密性が保たれるというわけではありません。
IDやパスワードをわかりやすいものにしていたり、長い期間変更していなかったりした場合は、結局誰でもアクセスできる状態にあるのと変わらないのです。
かといって、あまり複雑にしすぎると今度は必要なときにアクセスしようとしても時間がかかってしまいます。
IDやパスワードは適宜変更しなければならないのですが、あまり複雑にしすぎて利便性が失われるようなことにはならないよう気を付けたいところです。
また、外部から不正にアクセスして情報を盗み出そうというハッキング被害にあわないように、ファイヤーウォールなどにも気を配る必要もあります。
完全性というのは、機密性を確保したアクセス権限が適切だということを保証することです。
以前であれば、ハッキング被害といえば個人情報や機密情報にアクセスして情報を奪うことが多かったのですが、最近では内容を改ざんするという手口も増えています。
データを改ざんして企業の信用を損なうなどの目的があり、情報を盗み出すよりも発覚しにくいため、主に嫌がらせとして行われているのです。
悪意ある外部犯だけではなく、火事や落雷などの災害によってデータが壊れたり、失われたりする可能性もあり、企業としては大ダメージを受けてしまいます。
システムにそもそもバグがある場合などもデータをおかしくする可能性があり、データの完全性を損なう原因となるでしょう。
データの完全性を確保するためには、データに対するアクセス権限を適切にコントロールして、アクセスログをチェックできるようにする必要があります。
また、データが損なわれた時に備えてバックアップを厳重にし、データを暗号化して転送・保管できるようにしておくべきでしょう。
前述した機密性にも通じるところがありますが、機密性が保たれてこそ完全性も確保できることになります。
最近ではデータの暗号化や転送しての保管について、ブロックチェーン技術に注目されているのです。
可用性というのは、情報のセキュリティを保つと同時に必要時にはすぐアクセスできるようにしておくことをいいます。
セキュリティを厳重にしたために、データにアクセスできるのが申請してから12時間後になる、というのではそのデータが使いづらくなるでしょう。
バックアップの保管なら問題はないかもしれませんが、元となるデータについてはすぐにアクセスできる環境をキープしておかなければいけません。
可用性を整えるためには、データが保管されているサーバーが稼働し続けられるように対策しておくことや、システムを二重にするなどの対策が必要となるのです。
バックアップについても、データ破損時にはすぐにアクセスできる環境が望ましいなど、機密性と完全性が保たれていることが前提となります。
情報セキュリティの活用方法
情報セキュリティについて考えるときは、ヒューマンエラーを中心として考えるだけでは十分とは言えないでしょう。
情報は、たとえ盗まれていなくても改ざんされることもあり、また天災など人の力が及ばないことで破損する可能性もあります。
また、昨今では個人情報流出などのニュースが多いことで漏洩リスクにばかり気が回ることもありますが、情報はしまい込んでいても価値はないのです。
情報は活用して、データの分析をして営業へと利用することで、本来の価値を発揮することができます。
利用者データを集めてしまい込んでも意味はなく、データを分析してユーザー層を把握し、さらに増やすアプローチ方法を考え、新商品に繋げてこそ価値があるのです。
現在、パソコンを始めとしてIT技術は急速に進歩していて、今となっては経営戦略上なくてはならないものといえます。
しかし、急速に発展した弊害として情報セキュリティが追い付いていないケースもあるでしょう。
正しく情報セキュリティを保ち続けるためには、上記の3つの要素を念頭に置いてセキュリティシステムを構築していかなければいけません。
まとめ
近年重要視されているのがISMS(情報セキュリティマネジメントシステム)で、ITシステムやネットワークが広く普及した昨今では不可欠なものといえるでしょう。
ISMSの国際規格をISO/IEC 27001といい、情報セキュリティの3要素である機密性、完全性、可用性について管理し、利害関係者に信頼を与えるための枠組みを示しています。
情報は活用してこそ意味が生じるため、情報セキュリティを保ちつつしっかりと活用することが大切です。
