組織としてセキュリティに取り組む　ISMS とはなにか

ISMS（Information Security Management System / 情報セキュリティマネジメントシステム）とは、多面的な脅威から組織の情報資産を保護することを目的とした仕組みのことを指します。

適切に ISMS の構築や運用を実施することで、組織における保護すべき情報資産が明らかになり、それに対する適切な対策の確保、維持、管理が可能となります。

本記事では、ISMS の概要を解説していきます。

ISMSとは

ISMS とは、企業や組織の情報セキュリティを管理する仕組みのことです。

情報セキュリティに関するガイドラインや規格は、NIST CSF やサイバーセキュリティ経営ガイドラインや CSC20 などがありますが、ISMS は技術的な対策や人的・組織的対策についても言及されており網羅的に定義されていることが特徴です。

ISMSでは、情報セキュリティは「機密性」「完全性」「可用性」を確保することで実現できると定義されています。

上記の 3 つは「情報セキュリティの 3 要件」と呼ばれ、組織が保護すべき対象と定めた情報資産がそれらの要件を維持することが求められます。

ISMS が目指す姿は、上記 3 要件を維持することができるように、人的脅威・物理的脅威・技術的脅威に対して適切な対策の実施と運用、見直しが組織的に継続して行われるようになることです。

ISMS が適切に運用されることにより、組織はリスクを適切に管理しているという信頼を関係者に与えることができます。

国際規格と ISMS 適合性評価制度

情報セキュリティを確保する施策には、一般的にセキュリティ方針やルールマニュアル、情報セキュリティ教育、内部監査、技術的な対策など、多岐にわたるモノや活動が含まれます。

それらセキュリティ管理施策は、事業や情報資産の特性、現在の対策状況など、組織によって異なってきます。
そのため、ゼロベースで組織的にセキュリティの確保に取り組もうとした場合、組織ごとに実施内容やレベルが異なり、適切に対策が行われていると判断することは困難です。

また、そのような状況において、第三者に対して適切に情報セキュリティ対策が行われていることを説明することはさらに困難を極めることでしょう。

こういった課題に対して、国際標準化機構は ISO 27001 としてセキュリティに対する取り組みである ISMS を国際的に標準化しています。

ISO 27001 は ISMS 規格として世界中で評価されている規格です。
日本国内では ISO 27001 と同等の要件で JIS Q 27001 という JIS 規格として策定されています。

これに準拠した情報セキュリティに対する取り組みを行うことで、上述したセキュリティ管理施策が組織ごとにばらつくといったような問題は軽減され、管理施策の内容や網羅性などについて一定のレベルを確保できるようになると言えます。

一方で、ISO27001 ならびに JIS Q 27001 はあくまでも標準規格であることから、実際のセキュリティ管理施策における対象や方法といった在り方は組織によって異なってきます。
そのため、国際標準に準拠したからといって、それが妥当であるか判断することは自他共に難しいと言えます。

企業が出すお知らせなどで「ISMS 認証を取得しました」といった文章を見かけたことがある方も少なくないと思います。
この ISMS 認証 とは、ISMS 適合性評価制度のもと、自組織のセキュリティ管理施策が JIS Q 27001 に準拠していることを第三者である外部機関から審査の上で証明してもらう仕組みです。

この認証を取得することで、上述したような「第三者に対してセキュリティ対策が適切なレベルであることを説明することが困難」といった課題解消が容易になると言えるでしょう。

ISMS 認証は、セキュリティ管理がなされているという保証になるため、顧客からの信頼性の向上に繋げることができます。

ISMS と Pマーク（プライバシーマーク）との違い

ISMS と似たものに「Pマーク」（プライバシーマーク）というものがあります。

Pマークは、一般財団法人日本情報経済社会推進協会が認定をおこなっている、個人情報の保護を目的とした日本の認証制度です。
プライバシーマーク制度と呼ばれることもあります。

Pマークと ISMS では、扱う情報の範囲と目的が異なります。

Pマークは個人情報保護法が発端となっており、個人情報の持ち主のプライバシーを保護するという思想です。

一方、ISMS は組織が保有している情報資産それぞれに、どのような脅威 が存在しており、脆弱性があるのかを認識したうえでリスクを算出・軽減するための対策が目的となっています。

Pマークは、あくまでも顧客の個人情報を守るためのものですが、ISMS は自社の情報資産を守るための仕組みであり、その延長線上に顧客の個人情報の保護も含まれているという構造になっています。

また、Pマークは個人情報保護法をベースとして生まれた規格なので、国際規格に準拠しているわけではありません。
Pマークが適用されるのは日本国内のみとなっているので注意が必要です。

このように、ISMS と Pマークはまったく違う認証制度です。

近年では、両方の認証を取得する企業も少なくありませんが、一般的には、BtoC などの顧客の個人情報を多く取得している企業については Pマーク、BtoB などの外部からの情報処理により個人情報を預かるケースの多い企業については ISMS の認証取得を目指されることが多いようです。

個人情報に限らず、企業が保有するさまざまな情報資産を適切に管理したいという目的であれば、網羅的にセキュリティを担保できる ISMS がよいでしょう。

さいごに

ISMS は組織としてのセキュリティ管理体制を構築する上で大きな効果が期待できるシステムです。

また過去に当ブログでも紹介したように、サイバーセキュリティに特化したフレームワーク NIST CSF の導入を検討する上でも、ISMS の管理項目が CSF にマッピングされているなど、そのベースラインとして活用できることも期待できます。

まずは、自組織におけるセキュリティの管理体制を確認し、必要に応じて ISMS の導入や認証の取得を検討することをおすすめします。

近年、サイバー攻撃の手法も多様化、高度化し、個人情報の流出や不正利用などの大きな事故が後を断ちません。
リスクを適切にコントロールするためにも、情報セキュリティマネジメントへの理解を深め、セキュリティを担保していく工夫を継続的に実施していきましょう。

さいごになりますが、yamory はオープンソースソフトウェアの脆弱性と、その脆弱性に関連する攻撃情報のモニタリングをすることができる脆弱性管理ツールです。

多くのフレームワークやガイドラインで求められている脆弱性管理を、Web アプリケーションなどの開発段階から簡単にご支援できるソリューションです。

お使いの Web アプリケーションで危険となりうる脆弱性を自動的に検出できるため、よりセキュアなシステム構築の助けになるかと思います。
無料でトライアルもできますので、ぜひ一度お試しください。