日本においては2003年に「ISMS認証基準」として取り入れられました。もともとは英国の情報セキュリティ認証基準規格「BS7799-2」がベースとなっています。「BS7799-2」は、2005年に「ISO/IEC 27001:2005」として国際規格となりました。そして2006年、「ISO/IEC 27001:2005」は日本工業規格に取り入れられ、「JIS Q 27001:2006」となりました。
「ISO/IEC 27001:2005」は2013年10月に2013年度版に改定されました。2014年4月にはJISにも組み込まれ「JIS Q 27001:2014」となりました。国際基準(ISO)の更新に合わせてJISも更新されるという動きになっています。
近年、情報通信システムが広く普及し、社会のネットワーク化が大きく進展しました。利用者の利便性が向上した一方、コンピュータウィルスや不正アクセス等による業務の中断や、故意・不注意による情報漏洩など、情報セキュリティに関する様々な事件・事故も報告されるようになりました。情報セキュリティ事故は取引先や顧客にも被害を及ぼし、当事者の社会的信用を大きく下げる原因となります。こうした危険は、情報システムに依存する割合が高まるにつれ、以前にも増して大きなものとなっています。
そこで様々な危険(リスク)を予見し、事件・事故を未然に防ぐ対策が必要になってきます。企業単位で有効な取り組みのひとつが「ISMS認証を取得する」ということです。
「個人情報取扱事業」「情報ネットワーク運営事業」と「電子取引関係事業」においては、約9割の企業がISMS認証取得は不可欠と考えています(弊社調べ)。
国や自治体及び企業の取引においても、各種認定制度や入札条件などでISMSの認証取得を条件にしている例が増えています。こうした必要性の裏返しともいえますが、認証取得によるメリットをまとめると以下のようになります。
ISMS認証取得のメリット
・顧客や取引先に対して、情報セキュリティに対する安全性をアピールできる
・電子商取引への参加の条件整備を行うことで、事業競争力強化につながる
ISMSにおける対策は 企業が持つ「情報資産」を対象に行います。「情報資産」とは、経営機密情報、企業ノウハウ、製品情報などを指します。対策のポイントは、「情報資産」が外部からさらされる「脅威」と、もともと内包している「脆弱性」とのバランスをコントロールすることにあります。
「脅威」とは外部からの不正アクセスによる改ざん・流出、システムの突然のダウン、意図的な外部漏洩、災害による喪失などのことです。
「脆弱性」とは、情報へのアクセス管理不備、インターネットからのアクセスの容易性、防災対策の不備などのことです。
情報資産(Asset)とは
業務を継続していく上で必要な価値を持つ有形・無形の資産をいう
【情報資産の例】
顧客・従業員情報、PC・サーバの中の電子ファイル、電子メール、契約書、アクセスログ、各種マニュアル
【ハードウエア資産】
PC・サーバ、ネットワークインフラ、記録媒体など
【ソフトウェア資産】
業務ソフトウェア、システムソフトウェア(OS) 、開発用ツールなど
【サービス資産】
空調、電源、照明など(※コンピュータは一定の温度の環境でしか安定稼動しない。ユーティリティも資産と考える)
【人的資産】
資格、技能、ノウハウなど
【無形の資産】
組織の評判、イメージ、ストーリーなど(※インターネットでは悪い評判はごく短時間で広がる)
情報セキュリティの要件をシンプルに述べると「適切な利用環境を維持しながら、犯罪や災害から情報を保護すること」となります。OECD(経済協力開発機構)が策定したガイドラインでは、「情報の機密性、完全性、可用性を確保し、維持すること」と定義されており、一般にこの定義が広く利用されています。
「機密性」および「完全性」は"情報を守る"という点に力点がおかれています。一方、「可用性」は、情報を適切に利用できる環境の重要性に注目しています。つまり、情報セキュリティマネジメントを構築する際には、この3つのバランスを意識しながらそれぞれに対策を
講じることが重要となります。
情報セキュリティを構成する3つの要素
定義 | 意 味 |
機密性 | アクセスが許可された者だけが情報にアクセスできることを保証すること。言い換えると、許可されていない者は情報にアクセスできない、あるいは書き込みや実行ができないなど、権限にしたがって情報が適切に保護されることを指す。
|
完全性 | 情報の正確性と完全性を常に維持することを指す。許可されていない利用者、または内部利用者による改ざんなどが行われないようにすることがこれに該当する。 |
可用性 | 許可されている利用者から、情報へのアクセス要求があった場合、情報へのアクセスが可能であることをいう。つまり、利用者が情報を利用したいと考えた際に、確実に情報を利用できる環境を備えていることを指す。 |
しばしばISMSと並んで語られる制度に「個人情報保護」や「プライバシーマーク」というものがあります。両者は情報保護の考え方において共通する要素を持ちますが、基本的には異なるものです。
「個人情報保護」や「プライバシーマーク」は情報資産のうち個人情報に特化した保護とセキュリティが対象です。また、主に個人向けのビジネスを営む企業を対象にしています。
一方ISMSは、個人情報のみならず情報資産と情報セキュリティ対策全般を扱います。ISMSは主に企業向けのビジネスを営む企業を対象にしています。
プライバシーマーク(国内標準) | ISMS(国際標準) |
自社で保有する個人情報のみが対象で、主にB to C(企業体個人の取引)が中心 |
対象が情報全般のセキュリティに関わるため、B to B(企業間取引)が中心 |
認証取得範囲は「企業」と決められている |
「部署」「事業所」「工場」レベルで選定が可能 |
JIS Q 15001に基づいて運用される |
ISMS適合性評価制度に基づいて運用される |