社会人が学ぶべき情報セキュリティ②
みなさんは、どれくらいセキュリティについて関心でしょうか。
情報セキュリティについて
コンピュータの中のデータも立派なデータです。
これが流出してしまうと企業損失や顧客信頼度低下につながります。
例えば、ショッピングサイトから顧客情報が盗まれたらどうでしょうか?
実際の世界で、住所が悪い人にわたってしまいます。
そのせいで、個人情報がばれたら?
誰かが守ればいいんだ。ではなく
もれなく、全員で守るべきものなのです。
このご時世は、セキュリティが重要視されると考えられます。
理由として、IoT化
なんでもネットワークにつながってしまいます。
あなたのスマホが遠隔操作によって操られたら?
恋人に変なメッセージを送信したり
同期されているクレジットカードを悪用されたり?
色々、セキュリティについて
みなさんが守るべきことが多いのです。
情報セキュリティは
守るための仕組みを作ることが重要です。
その仕組みはISMS(情報セキュリティマネジメントシステム)が存在しております。
ISMSとは
情報セキュリティマネジメントシステム(じょうほうセキュリティマネジメントシステム、ISMS: Information Security Management System)は、組織における情報資産のセキュリティを管理するための枠組み。情報セキュリティマネジメントとは、ISMSを策定し、実施すること。
ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることにある。
ISMSの標準がISO 27001およびそれと同等なJIS Q 27001に規定されているので、本稿では2016年現在におけるこれらの標準の最新版であるISO/IEC 27001:2013(JIS Q 27001:2014と同等)を基に、ISMSを説明する。
社会人が学ばなければいけない情報セキュリティ
会社ではどうでしょうか
組織の管理下で働く人が持たなければならない認識があります。
1.情報セキュリティ方針
2.情報セキュリティパフォーマンスの向上によって得られる利益を含む、ISMSの有効性に対する自らの貢献
3.ISMS要求事故に適合しないことの意味
(JIS Q27001)
情報セキュリティ方針を守るという認識を、組織の全員に持たせることが大切です。
<JIS Q 27001:2014の概要>
JIS Q 27001(ISO/IEC 27001)は、ISMSの要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されている。ISMSの確立及び実施について、それをどのように実現するかという方法ではなく、組織が何を行うべきかを主として記述している。この規格は以下のために用いることができる。
● 組織のマネジメント及び業務プロセスを取り巻くリスクの変化への対応
JIS Q 27001では、組織は、自らのニーズ及び目的、情報セキュリティ要求事項、組織が用いているプロセス、並びに組織の規模及び構造を考慮して、ISMSの確立及び実施を行う。これは、多くの情報を取り扱うようになっている、現代の組織のマネジメント及び業務プロセスを取り巻くリスクの変化に対応できるように、組織基盤を構築する抜本的な業務改革をする目的に適している。● 情報セキュリティ要求事項を満たす組織の能力を内外で評価するための基準
JIS Q 27001は、情報セキュリティ要求事項を満たす組織の能力を、パフォーマンス評価及び内部監査などにより、組織の内部で評価する基準としても、第二者監査・第三者監査といわれる、外部関係者が評価するための基準としても用いることができる。
「サイバーセキュリティ経営ガイドライン」とは?
「サイバーセキュリティ経営ガイドライン」は、主に経営者やCISO(最高情報セキュリティ責任者)など向けに書かれているもので、経営におけるサイバーセキュリティ経営の原則およびCISOなどに指示すべき重要項目について記載されています。【CISO等に指示すべき「重要10項目」】
1 サイバーセキュリティリスクへの対応について、組織の内外に示すための方針(セキュリティポリシー)を策定すること。
2 方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者をつなぐ仲介者としてのCISO等からなる適切な管理体制を構築すること。その中で、責任を明確化すること。
3 経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへの対処に向けた計画を策定すること。
4 計画が確実に実施され、改善が図られるよう、PDCAを実施すること。また、対策状況については、CISO等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべく適切に開示すること。
5 系列企業やサプライチェーンのビジネスパートナーを含め、自社同様にPDCAの運用を含むサイバーセキュリティ対策を行わせること。
6 PDCAの運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な予算の確保や人材育成など資源の確保について検討すること。
7 ITシステムの運用について、自社の技術力や効率性などの観点から自組織で対応する部分と他組織に委託する部分の適切な切り分けをすること。また、他組織に委託する場合においても、委託先への攻撃を想定したサイバーセキュリティの確保を確認すること。
8 攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状況を自社の対策に反映すること。また、可能な限り、自社への攻撃情報を公的な情報共有活動に提供するなどにより、同様の被害が社会全体に広がることの未然防止に貢献すること。
9 サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRT(サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかるインシデントに対処するための組織)の整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的な演習を実施すること。
10 サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情報項目の整理をするとともに、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと。
引用:「サイバーセキュリティ経営ガイドライン」(経済産業省、IPA)
まとめ
・ISMSとは「情報セキュリティの目標を達成するための仕組み(マネジメントシステム)」
・誰かが知っておくべきではなく、全員が知る必要がある事