ビジネスに欠かせない情報の守り手!インシデントセキュリティとISO27001の魅力解説
目次
1.ISMS(Information Security Management System)とは
2.ISO 27001の基本事項
3.インシデントとは?
4.インシデント対応の重要性
5.ISO 27001とインシデントの関連性
6.ISO 27001を取得するとどのようなインシデント対応ができるのか
7.ISO 27001の導入目的
8.ISMSの主要な要求事項
9.インシデント対応プロセスとISMSの統合
10.まとめ
企業経営においては、人・物・金の三本柱が重要とされてきましたが、現代社会においては、情報も重要な要素です。
情報を迅速に得ることはもちろん、保有している情報を適切に管理して守っていくことが求められます。
顧客情報をはじめ、企業機密など事業を運営していくうえで流出などのリスクから保護していくうえで、どんな対策を講じていくべきでしょうか。
この記事では、情報を守るうえ注目したいインシデントセキュリティとISO27001(ISMS)について解説していきます。
1.ISMS(Information Security Management System)とは
ISO27001(ISMS)に出てくるISMS、Information Security Management Systemについて、まず解説していきます。
Information Security Management Systemは、日本語で簡単に訳すと、情報の安全を管理する体制のことですが、ISMSの場合は一定の基準を満たし、認証機関の審査で認められた情報セキュリティマネジメントシステムの国際規格を意味します。
2.ISO 27001の基本事項
ISO27001(ISMS)は、国際的なルールで情報の安全を守るための取り決めです。
これは情報が秘密で、正確で、必要な時に使えるようにするための取り決めです。
組織がこのルールに従ってしっかりと情報管理の体制を整え、外部の機関による審査をクリアすると、ISO27001の認定を受けることができます。
これによって、情報への不正アクセスや漏洩から守り、情報が信頼できるものとなります。
3.インシデントとは?
ここでいうインシデントとは、情報セキュリティインシデントのことです。
事業運営において情報の安全を脅かす事故や事件のことを意味します。
従業員などによる情報流出や漏洩をはじめ、外部からのハッキングやウイルス攻撃、地震や火災などによる情報の消失など物理的な被害も情報セキュリティインシデントに該当します。
4.インシデント対応の重要性
インシデント対応が適切に行えない、迅速に対応できない場合、被害が拡大し、企業の信頼喪失や損失といった損害が生じるため、インシデント対応は重要です。
たとえば、ハッキングなどにより情報流出が生じた場合、被害の拡大防止措置、インシデント発生の公表と謝罪、流出した情報を使った不正利用など、二次被害の防止を図ることが必要です。
そのうえで、情報流出の対象者に文書などを通じて個別に謝罪したり、慰謝料や謝罪の粗品を発送したり、情報を不正利用されて損害が生じた場合には損害賠償などもしなくてはなりません。
その一方で、インシデントの原因の調査と特定、同じインシデントを繰り返さないための対策の構築と実行も必須です。
5.ISO 27001とインシデントの関連性
ISO27001におけるインシデントは、情報セキュリティインシデントの中でも、事業運営を脅かすことや情報セキュリティを脅かす可能性が高く、損害を与える可能性が高いものが該当します。
たとえば、個人情報の大量流失や流出した内容が住所やクレジットカード番号など、個人の身の安全や財産の安全、プライバシーなどを脅かすのに直結するような情報の流出が当てはまります。
6.ISO 27001を取得すると可能になるインシデント対応
ISO 27001を取得することで、組織は情報セキュリティインシデントに対して迅速で効果的な対応が可能になります。以下は、ISO 27001の取得によるインシデント対応の利点です。
●迅速な対応手順の確立
ISO 27001ではインシデント対応手順が要求されます。組織は事前に対応手順を確立して おき、インシデントが発生した場合には即座に実行できるようになります。
●情報の迅速な共有
ISO 27001では、発生したインシデントについての情報を内外に速やかに共有する仕組み が求められます。これによって、他の組織や関係者にも早く対応状況を伝え、連携が可能 となります。
●対応能力の向上
ISO 27001の取得には情報セキュリティに関する従業員の教育も含まれます。組織内の 人々がインシデントにどのように対応すべきかを理解しやすくなり、対応力が向上しま す。
●事後対応の効果的な実施
ISO 27001ではインシデントの事後処理や被害の拡大を防ぐための対策が要求されます。 組織はインシデントの原因を調査し、同じ問題が再発しないような対策を講じることが期 待されます。
●外部からの信頼向上
ISO 27001の認定は外部からの信頼を得る手段となります。組織が情報セキュリティに対 して優れた取り組みを行っていると示され、顧客や取引先などからの信頼が高まります。
ISO 27001の導入により、これらの要素が組織全体の情報セキュリティに貢献し、インシデントへの適切な対応が可能になります。
7.ISO 27001の導入目的
ISO27001を導入することで、取引先や顧客の信頼を得ることができ、事業の成長にも役立ちます。
従業員教育や管理体制、情報セキュリティ体制も強化されるので、インシデントの未然防止にもつながるのがメリットです。
インシデントの未然防止も導入する目的の一つです。
インシデントが発生すると対応に追われ、対応費用や損害賠償、謝罪などが必要となります。
信頼の喪失により、取引減少による損害の発生や最悪の場合、倒産などのリスクも生じかねません。
ISO 27001を導入して情報セキュリティ体制を構築することで、事業運営上のリスクや損害も防ぐことが可能であり、導入目的になります。
8.ISMSの主要な要求事項
インシデント発生による損害や信頼の喪失などを防ぐために、ISMSの構築にあたって、どのような事項が要求されるのでしょうか。
組織は、組織の状況や利害関係者のニーズを理解したうえで、ISMSを確立し、実施、維持を行い、継続的な改善が求められます。
トップマネジメントは情報セキュリティ方針を確立し、組織内にしっかりと伝達し、ISMSが有効に機能するようリーダーシップを図らなくてはなりません。
情報セキュリティ上のリスクに対処する計画を立てるために、情報セキュリティリスクアセスメントのプロセスを定め、リスクを分析することが必要です。
分析したリスクに対応する管理策を検討し、対応計画を策定しなくてはなりません。
ISMSの実施に必要な資源を確保するために、ISMSの維持・改善に必要な教育を実施し、ISMSに関するコミュニケーションのプロセスを定め、ISMSの規格が要求する文書を作成して管理することも必要です。
リスクアセスメントやリスク対応計画を実施して、適切にISMSの運用を行い、その結果を文書化しなければなりません。
そのうえで、ISMSのパフォーマンスとISMSの有効性を評価し、内部監査プログラムを計画して、実施することが必要です。
トップマネジメントはISMSに関するマネジメントレビューを実施し、必要な是正処置を報告し、継続的な改善を行う決定をしなくてはなりません。
9.インシデント対応プロセスとISMSの統合
ISMSはマネジメントシステムを指しており、その中にインシデント対応プロセスが含まれているとスムーズな運営ができます。
ISO27001の認証を受けることで、規格の要求事項を満たした情報セキュリティ体制を構築できるため、インシデント対応プロセスとISMSの統合につながります。
10.まとめ
近年、インシデントセキュリティとISO27001(ISMS)の重要性が高まっています。
インシデントセキュリティに適切かつ迅速に対応するためにも、ISO27001(ISMS)の取得を通じて管理体制や対応プロセスを構築することがおすすめです。
