ISMS（情報セキュリティマネジメントシステム）への道　前編

皆さんこんにちは。日立情報通信エンジニアリングの井原と申します。私は入社してハード開発から事業の立ち上げなどを経験してきました。その中で最近取り組んで勉強になったISMS（情報セキュリティマネジメントシステム）の経験を紹介したいと思います。

簡単にISMSについて説明しましょう。ISMSとは「Information Security Management System」の略称で企業・組織の情報を守るための情報セキュリティマネジメントシステムです。情報セキュリティについてはおそらくあらゆる企業・組織で取り組まれていると思いますが、お客さまの大切な情報を正しく管理する仕組みがあり、また正しく運用されていることが重要になっています。

容易に情報を持ち出せて、飲み会で泥酔して紛失した事故は今も後を絶ちません。お客さまから預かった情報を厳密に管理し漏えい事故を起こさない運用をしていますよ、ということを証明するのがISMSになります。またISMS認証は第3者の認証が必要でISO27001で規格化されています。

情報セキュリティと聞くとみなさんは何を思い浮かべますか？社外秘の文書はパスワードをつけないといけないとか、アクセス権が制限されたサーバーにしか資料を置かないとか、OneDriveやSharePointにファイルを置くようにすればいいとか思いますよね？

それも入りますが、すべてではありません。
ISMSでは秘密情報を機密性、可用性、完全性をバランスよく保ち管理することが求められています。
パスワードで保護して知っている人しか使えないようにすることは機密性と可用性を満足していますが、完全性は別の管理が必要です。アクセス権が制限されたサーバーにしか資料を置いていないのも機密性と可用性はありますが、機密性はあともう少しです。完全性も不足しています。

そうなると完全性って何？って思いますよね？実は私も完全性を求めることがこんなに大変なことになるとは思っていませんでした。

例をあげましょう。秘密情報が入った設計書を作りました。そのレビューのためにパスワードをつけてメールを配布しました。受け取った方はメールをダウンロードして修正箇所にコメントをいれて再度返信してくれました。さて、この時の問題点はわかりますか？

完全性とは秘密情報が改変されない、削除されない、増えないことを確保することです。
言葉を変えると来歴管理がされていて、原本管理がされていて、複写配布管理がされていることになります。上記の例ではメールに添付することが複写になります。メールを送るとそれが配布となります。設計書を秘密情報がはいったドキュメントとした場合、それを原本管理として登録し、複写管理およびその配布管理として誰それにいつ何をおくったかの管理簿をつくって登録しなければいけません。そして送られた側ではその資料を秘密情報として登録し、原本管理をしてそれを返信した場合は複写、配布管理として管理簿に登録が必要になります。しかもそれぞれ登録時に責任者の承認が必要になります。
面倒だから添付は削除しちゃえ！って思いますよね。それちゃんと管理簿に原本を削除した、というのを残してますか？

どうでしょう。普段関係する情報セキュリティとは違うことが少しはわかってもらえたと思います。それに対してどう対応したかは次の機会にお話しします。

弊社のカスタマサポートセンタはISMSの国際規格ISO27001を取得しています。もちろん上記も対応済みですので安心して仕事をまかせてください。