ISMS(情報セキュリティマネジメントシステム)とは

1. ISMSとは

近年、ITシステムやネットワークは社会インフラとして不可欠なものとなっているが、一方で標的型攻撃やランサムウェアなどによる被害・影響も多発している。こうした中、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。

ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。

2. 情報セキュリティの3要素

ISMSでは、情報セキュリティの主な3要素について次のように定義している。

注記:真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。

※エンティティは、“実体”、“主体”などともいう。情報セキュリティの文脈においては、情報を使用する組織及び人、情報を扱う設備、ソフトウェア及び物理的媒体などを意味する。

(JIS Q 27000:2014より引用)

3. JIS Q 27001:2014とは

JIS Q 27001:2014の概要

JIS Q 27001(ISO/IEC 27001)は、ISMSの要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されている。

ISMSの確立及び実施について、それをどのように実現するかという方法ではなく、組織が何を行うべきかを主として記述している。この規格は以下のために用いることができる。

● 組織のマネジメント及び業務プロセスを取り巻くリスクの変化への対応
JIS Q 27001では、組織は、自らのニーズ及び目的、情報セキュリティ要求事項、組織が用いているプロセス、並びに組織の規模及び構造を考慮して、ISMSの確立及び実施を行う。これは、多くの情報を取り扱うようになっている、現代の組織のマネジメント及び業務プロセスを取り巻くリスクの変化に対応できるように、組織基盤を構築する抜本的な業務改革をする目的に適している。

● 情報セキュリティ要求事項を満たす組織の能力を内外で評価するための基準
JIS Q 27001は、情報セキュリティ要求事項を満たす組織の能力を、パフォーマンス評価及び内部監査などにより、組織の内部で評価する基準としても、第二者監査・第三者監査といわれる、外部関係者が評価するための基準としても用いることができる。

JIS Q 27001:2014の構成

JIS Q 27001:2014は、ISOのマネジメントシステム規格(MSS)の共通要素 ※ を適用して開発されたマネジメントシステム規格となっており、その上で、情報セキュリティに不可欠なISMS固有の要求事項が規定されている。

そのため、以下の通り、本文はMSS共通の構成となっている。

※ 2012年5月に発行された「ISO/IEC 専門業務用指針 第1部 統合版ISO補足指針」の「附属書SL(規定)マネジメントシステム規格の提案」に規定されている、「合意形成され、統一された、上位構造、共通の中核となるテキスト、並びに共通用語及び中核となる定義」である。これを示すことによって、マネジメントシステム規格(MSS:Management System Standards)の一貫性及び整合性を向上させることがその狙いである。なお、今後すべてのMSSはこの附属書SLを適用することになった。

JIS Q 27001:2014の適用

JIS Q 27001:2014は、どのような組織であっても必ず適用させる事が必要な要求事項(本文)と、事業の特性により適用除外が可能である要求事項(附属書Aの管理策)で構成されており、広く利用可能な基準としてあらゆる組織に適用できるよう配慮されている。

リスクを内包した情報及び情報に関連する資産を保護するには、それらがもつ価値や脅威、ぜい弱性などのリスクの源を明らかにし、リスクの大小を判別して適切な対策を講じなければならない。安易な適用除外または理由の明確でない適用は、マネジメントシステムの一貫性に大きな影響を与えるためである。

適用理由が特定されていることの明示とともに、以下に例示するような「除外の原則」を定め、ある要求事項について条件が全て満たされる場合にのみ適用を除外するなど適切な判断が求められる。

■ ISMSの能力、責任に影響を及ぼさないこと
■ 情報セキュリティ目的と相反しないこと
■ 関連法規や規制に関する要求事項でないこと
このような適用理由、及び適用除外の理由は、適用宣言書に記載することが求められる。
適用宣言書とは、ISMSに関連してその組織が適用する管理目的及び管理策を記述した、文書化された情報である。適用宣言書には、適用した結果とその理由、適用しない場合にもその理由を明記する。また、組織で必要と判断した管理策が、附属書Aの詳細管理策の項目には無く、他の任意の情報源の中から独自に追加した場合は、その内容と理由についても記述する。

このようにして作成された適用宣言書は、組織がISMSを確立、実施、運用、継続的に改善するために適用した情報セキュリティ管理策を表明するものであり、特定の利害関係者に開示又は交換することによって、ISOという共通言語に基づいたセキュリティレベルの確認ができ、情報セキュリティを維持しているという信頼の保持にもつながる。

●参考資料:
  ISMS適合性評価制度の概要(パンフレット)
  ISMSやISMSに関する認定・認証(「ISMS認証を受けるには~申請から認証取得までの流れ~」他)について説明しています。