TOPプロジェクト管理> ISMS認証取得の効果と影響




ISMSからみる情報セキュリティ対策
ISMSからみる情報セキュリティ対策

第3回:ISMSの必要性とその効果
著者:みずほ情報総研  青木 淳   2005/10/4
前のページ  1  2   3  4  次のページ
ISMS認証取得の効果と影響

   ISMSを構築して運用することにより、企業の情報セキュリティ管理体制が強化され、情報漏洩などの脅威が発生する可能性は低減されると思われる。しかしながら、ISMSを構築して運用するとそれなりのコストがかかり、コストにみあった効果を得られなければ導入しても意味がない。ここでは、ISMSを導入することによって得られる効果と影響について整理する。
企業内部におけるISMS構築全般の効果

   ISMSを構築すること自体によって得られる効果について整理する。


情報セキュリティの実態の明確化

   ISMSでは、企業の情報セキュリティ管理の実態把握と、自社内情報資産を明確にしてリスク評価を行うことが構築の第一歩となっている。ISMSを導入していない企業の多くは、事件や事故などが発生してはじめて、システムや部署ごとに情報セキュリティ対策の実態を把握して、リスク評価を実施していた。

   こうした情報セキュリティ対策の実態の把握はISMS構築時だけではなく、ISMS運用の際に、マネジメントサイクルの中で定期的に実施される。したがって、その時点の企業を取り巻く情報セキュリティ環境に対する企業の課題を明確にし、全社的な取組みが実現できる。


情報セキュリティ対策の課題の明確化

   ISMSでは自社内の情報資産を明確にした後、それらの情報資産に対してどのようなリスクがあるのかを評価し、課題を明確にする「リスクアセスメント」の実施が義務づけられている。

   リスクアセスメントでは、情報資産に対するリスク分析からそのリスクの評価を行い、適正な対策を検討していく。リスク分析では情報資産にとって発生しては困る事象(脅威)と固有の弱点(脆弱性)を明確にすることで表3のことを分析する。脆弱性と脅威には因果関係があり、いわば表裏一体の関係である。

  • どのような脅威が存在するのか
  • その脅威はどの程度発生する可能性があるのか
  • また脅威が顕在化したときにどの程度の影響を受けるのか

表3:脅威と脆弱性の分析項目

   例えば「部屋のドアや窓に鍵がついていない」という脆弱性があれば、「盗難」という脅威が発生する可能性が高まり、「重要な電子情報アクセスする際に、適切なアクセスコントロールがない」という脆弱性があれば、「なりすまし/改竄/情報漏洩」といった脅威が発生する可能性が高まる。

   リスク評価では、リスク分析で算定したリスクをリスク評価基準と比較し、リスクの重大さを決定する。その後、リスクの重大さにあわせて、情報資産を効率的に保護する対策を実施していくことになる。つまり、どのリスクから手を打てば良いかの優先順位をつけるということである。

   これまでは、情報セキュリティに対する課題やその対策も、場当たり的な対処となるケースが多かったと思われるが、こうしたリスクアセスメントを実施することで、情報セキュリティに対する課題の明確化から対処すべき課題の優先順位が明確になり、企業として適切な情報セキュリティ対策を実施することができる。

   また、このような体系的な手法で情報資産に対するリスクを明確化することで、経営層に対しても、自社内の情報セキュリティに対する課題をアピールすることができ、現場担当者がスムーズに情報セキュリティ対策を実施できる。


情報セキュリティ対策の計画的実施

   ISMSでは、リスクアセスメントを実施した後、その優先順位に基づいてセキュリティ対策を実施することになる。その実施にあたっては、「リスク対応計画」を策定して実施する。情報セキュリティ対策も通常のシステム構築のように、計画を立案して実施していくことなるので、その管理も適切に行われていく。


情報セキュリティに関する事件、事故に対する迅速な対応

   ISMSでは、情報セキュリティに関する事件・事故については、すばやく正確に報告することが求められている。当然このような対応を実施するには、情報セキュリティに関する事件・事故に関する対応手順も、規程などで明確に定める必要があると共に、情報セキュリティに対する社員の意識も高くなければならない。

   ISMSでは、社員に対して情報セキュリティに関する責任を明確にし、適切な教育を実施することも求めており、これらの対策を実施することによって、社員の意識も大きく変わることが想定される。

前のページ  1  2   3  4  次のページ


みずほ情報総研株式会社 青木 淳<
著者プロフィール
みずほ情報総研株式会社  青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。


INDEX
第3回:ISMSの必要性とその効果
  ISMS認証取得の必要性と効果
ISMS認証取得の効果と影響
  企業内におけるISMSの物理的な対策による効果
  顧客、株主、取引先などの利害関係者への対外的なアピール