 |
|
| ISMSからみる情報セキュリティ対策 |
第3回:ISMSの必要性とその効果
著者:みずほ情報総研 青木 淳 2005/10/4
|
|
|
| 1 2 3 4 次のページ
|
|
| ISMS認証取得の必要性と効果
|
第1回でも説明したように、情報セキュリティに関する事件・事故は多発しており、それらが企業に与える影響は非常に大きい。このような状況の中で、企業は個人情報保護法の施行もあって、それなりに情報セキュリティに対する組織や仕組みを構築して対応してきているが、それでも事件・事故は増えている。
この原因としては、企業の情報セキュリティ体制はまだまだ不十分であり、仕組みとしても外部からの脅威を想定したものが多く、セキュリティに対する投資目的が不明確なケースも多いと考えられる。更に、ITの進歩が我々の想定をはるか超えたスピードで進んでおり、これまでの組織や仕組みだとうまく対応できなくなってきていると思われる。
こうした中で留意すべき点は、企業の内部者による漏洩などの不正行為への対策である。不正行為の大半は社員・外部委託会社・ベンダーなどの内部勤務者・退職者などによるものである。こうした内部者による犯行を前提として、情報セキュリティ対策を構築すると、徹底しすぎによる重装備で高コストなものになりがちになり、運用がまわらなくなる可能性も高い。
内部者の犯行は発生すると大変な事態になるが、発生確率は低いのでバランスを考慮して対策を検討するとよい。例えば、発生確率を下げるためには次のような対策を実施する。
- 社員や外部社員が頻繁に行き来する場所には経理関連などの重要な情報は放置しない
- 隔離されたサーバ室で外部業者が作業を行うときは必ず社員が立ち会う
- 複数システムのサーバが設置されている場合はラックに収納して施錠する
表1:内部犯行の防衛策
このような簡単なことでも、情報セキュリティに関する事件・事故の発生率を下げることができる。
|
| ISMS認証取得の意義
|
しかしながら、情報セキュリティ対策を部署ごとにばらばらで実施するのでは効果があまり得られない。そこで、企業の情報セキュリティ管理体制を適切に確保する方法の1つとして、個々の部署が情報セキュリティを個別に対応・維持していくのではなく、経営層が定めた「情報セキュリティ基本方針」にしたがうことが考えられる。そこで、以下のような体制を構築できるISMSが注目されている。
- 企業全体が1つの仕組みで、情報資産を洗いだして情報資産ごとにリスクを評価する
- それらのリスクを低減させるための対策を立案して実施する
- さらに、それらの対策について定期的および継続的に監視していく
表2:ISMSが注目される理由
ISMSでは企業における適切な情報セキュリティ管理体制として、図1に示すような体制の構築を求めている。
図1:ISMSが求めていること
(画像をクリックすると別ウィンドウに拡大表示します)
それでは次項より、ISMSを構築することによる効果について説明する。
|
1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
