社団法人中小企業診断協会東京支部 中央支会
Search
Mail Magazine
詳しくはこちら
専門家コラム 情報セキュリティ対策と認証基準(2006年2月)
平井 哲生

<情報セキュリティ対策と認証基準>
1.はじめに
ここ数年、企業の活動に大きな影響を及ぼす個人情報の漏えい等、情報セキュリティに関する事件や事故が後を絶ちません。また平成17年4月に「個人情報の保護に関する法律(個人情報保護法)」が全面施行されたことを受け、情報セキュリティに対する社会の関心が高まっています。
企業が事業活動を継続するには、情報セキュリティに対する正しい認識と積極的な取り組みが益々重要な状況になっています。


2.情報セキュリティ対策の進め方
では、企業が情報セキュリティ対策を推し進めるためには、どのようなことを検討すればよいのでしょうか。高度な技術を駆使した情報セキュリティ対策製品を導入しますか、同業他社と同じ対応をしていれば大丈夫ですか...

hirai200602_1.jpg

情報セキュリティ対策に取り組むにあたって、(1)企業が保有する情報資産(電子情報や情報システムに限ったものではなく、事業活動で利用・保有する有形・無形の情報資産です)には、どのようなものがあるのか、(2)その情報資産には、どのような脅威が存在していて、障害や事故等が発生した場合にどのような影響を受ける可能性があるのか、(3)その情報資産は事業活動を継続する上でどのくらい重要なものなのか等を検討していきます。
検討にあたり、以下のような整理をすると捉えやすくなります。
・ 施設や設備等に関する物理的・環境的な要素
・ 情報システムやネットワーク技術に関する技術的な要素
・ 組織の管理・監視体制や業務運用方法、職員の意識等に関する人的な要素

検討の結果は、企業によって、また同じ企業であっても検討の時期によって、違った結果になることでしょう。
企業にとって適切で有効な情報セキュリティ対策を実施するには、こうした検討結果を踏まえた対応が必要になります。情報セキュリティ対策として、費用をかけてどこまでリスクを低減するのか、あるいはリスクを受容するのか、業務の安全性と効率性についてどこに妥協点を見出すのか等を調整するため、トップマネジメントの参画が求められ、重要な意味を持ってきます。
さらには、こうした段階を経て、企業の情報セキュリティに対する取組姿勢、指針を反映した情報セキュリティポリシーを文書化していくことになります。

情報セキュリティは、ネットワークシステムに関する脆弱性が毎日のように報告されているように、その状況は、日々変化しています。情報セキュリティ対策は、こうした日々変化する脅威に対して、継続的に見直しを行うことが必要になります。従って、「ここまで対応すれば、もう大丈夫。」というものではありません。
そのためには、組織的に継続して見直しを行う「情報セキュリティマネジメントシステム」(ISMS)を確立することが求められます。情報セキュリティマネジメントシステムは、PDCA(Plan-Do-Check-Act)サイクルを実施することで情報セキュリティレベルを向上させていきます。


3.情報セキュリティマネジメントシステム(ISMS)
情報漏えい等の情報セキュリティに関する事件や事故が発生した場合、損害賠償をはじめとする多額の補償費用が企業の経営を圧迫するばかりでなく、社会的信用が失墜して顧客が減少する等、企業の継続性、競争優位性の確保に大きな影響を及ぼす事態になります。
情報セキュリティマネジメントシステム(ISMS)は、こうしたリスクに対応するとともに、マネジメントシステムとして、効果的かつ効率的に情報セキュリティ対策を実施することができる仕組みです。

ISMSには、英国のBS7799-2と(財)日本情報処理開発協会(JIPDEC)が発行するISMS認証基準という認証規格があります。これらのマネジメントシステムは、情報セキュリティを確実にする具体的な管理策(10セクション127詳細管理策がリストアップされています)について網羅しており、また、ISO9001やISO14001等のマネジメントシステム規格でも見られるようなマネジメントサイクルにより、情報セキュリティを維持することを目指しています。

ISMS認証基準の構成は以下のようになっています。
s-hirai200602-3.jpg

ISMS認証基準は、認証取得後も審査機関による年1回もしくは2回の定期審査、3年に1回の更新審査を受審し、ISMS認証基準の要件を満たしていることがチェックされます。


4.ISMS認証取得状況
ISMS認証取得事業者数は、認証制度開始から約3年半が経過した2006年1月23日現在で1,284事業者となっています。また、この1年程で取得事業者数が大きく伸びています。
認証制度が始った当初は、情報処理サービス関係の認証取得事業者が多くありましたが、最近では製造、流通、金融、医療、建築、不動産、出版、広告、人材派遣等、業種に関係なく、また中小企業の認証取得も増えてきています。


5.認証基準の今後の動向
ISMS認証基準は、国際規格化(ISO/IEC 27001:2005;2005年10月15日に発行)及びJIS化(JIS Q 27001;規格番号は想定)に伴い、現在のISMS認証基準(Ver.2.0)による認証は、JIS Q 27001(ISO/IEC 27001)による認証に移行します。今回の対応により、管理策の有効性の効果測定に関する事項が加わる等、内容が一部変更されています。

認証基準の国際規格化に伴い、認証取得事業者は、企業の競争優位性を確保し、顧客に対して信頼感をさらにアピールできることになるでしょう。


■ 平井 哲生(ひらい てつお)
中小企業診断士、ITコーディネータ、情報セキュリティアドミニストレータ 他
大手金融グループの情報サービス会社に勤務。情報セキュリティ監査やISMS認証取得支援等、情報セキュリティを中心としたコンサルティング業務に従事。

Copyright All rights reserved (C)1997-2010 社団法人中小企業診断協会東京支部中央支会
このページのトップへ