ISMS（情報セキュリティマネジメントシステム）への道　後編

皆さんこんにちは。日立情報通信エンジニアリングの井原と申します。私は入社してハード開発から事業の立ち上げなどを経験してきました。その中でISMS（情報セキュリティマネジメントシステム）の経験を紹介したいと思います。
前回ISMS（情報セキュリティマネジメントシステム）への道　前編ではISMSで定義されている機密性、可用性、完全性の中で完全性の難しさを説明しました。今回はその難しさにどう対応したのかを紹介したいと思います。

秘密情報の拡散は特に悪意がなくても普段の業務をしているだけで発生します。これを防ぐためにいろいろと取り組みを試したので同じ苦労をされる方の参考になればと思い説明します。

秘密情報が入ったドキュメントの取り扱いは面倒ですが、完全性を担保するには容易に改変できなくてコピーできなくて印刷できなければいいことになります。Acrobat®は改変と印刷が出来ないですがコピーを防ぐことはできないのでもう一つ足りていませんが要件の2つは解決できると考えました。当時はまだ普通の秘匿されたサーバーにファイルを置いているだけでした。これだと機密性と可用性はある程度取れるのですが、フィルの改変もコピーも印刷も削除も出来てしまうので完全性を満足しません。ただ、Acrobatを使うことで改変と印刷は防ぐことができます。早速この運用をしましたが、、、秘密情報がはいったドキュメントが多すぎてレビューをするたびにpdf化したのですが、都度pdf化すること、またpdf化で秘密情報の複写配布が発生するのでその管理工数が膨大になりました。そのためpdf化の対応は途中で断念しました。当時は社内サーバーで運用するしかなかったため、ワードやエクセルファイルはパスワード程度に抑えて徹底的に運用でカバーすることで対応しました。前編で例にあげたメール送信の問題は、メールに資料をつける運用をやめてアクセス管理されたサーバーに資料を置き、そのリンクを通知することを徹底しました。

運用に頼ると担当者が忘れる、知らないと守れません。それを回避するために下記を実施しています。
１）共通：セキュリティ情報が入ったファイルは原本管理簿に登録。複写、配布の都度
　　　　　複写配布管理簿に記載。現品も管理簿を作成して持出か否かを管理。
　　　　　持出時は持出証で管理。
　　　　　新規プロジェクトメンバには導入時に教育を実施後アクセス権を付与
２）毎月：原本管理等の管理台帳棚卸による増減の確認と現品チェック
３）毎期：セキュリティ教育と誓約書サインによる意識付け
４）毎年：内部監査＋第三者監査

何かかっこいいソフトウェアがあって。。。と期待された方すみません。とても泥臭いです。地道に意識づけしてチェックしてもらい内容を日々確認して。。。ということで実現しています。多分世の中でこの意識が進めば対応ソフトも出てくるのではないかと期待しています。今だとSharePointを使えば閲覧のみでダウンロードを防止できていろいろと工夫出来る気がします。実際に削除や変更したこともログも残りますので完全性の確認には有効です。

ただし、いくらツールを作っても悪意があると防げませんし、悪意がなくとも意識がなければ情報セキュリティは守れません。例えば手元にあるスマートフォンで写真をとってSNSにあげれば簡単にセキュリティ情報を漏らすことができます。実はこの漏洩はシステムで防ぎようがありません。結局は各人の意識づけに戻ってきます。常にセキュリティを意識させて守らせることをやり続けるしかないです。ISMSでは意識付けもインシデント対応も含まれており規定されています。どうでしょうか？結構大変なことだと思いませんか？

弊社のカスタマサポートセンタではISMSの国際規格ISO27001取得しています。もちろん上記も対応済みですので安心してお任せください。