情報セキュリティコラム
経済産業省では情報セキュリティガバナンスを、「情報資産に係るリスクの管理を狙いとして、情報セキュリティに関わる意識、取組及びそれらに基づく業務活動を組織内に徹底させるための仕組み(経営者が方針を決定し、組織内の状況をモニタリングする仕組み及び利害関係者に対する開示と利害関係者による評価の仕組み)を構築・運用する取り組み」と定義しています。
簡単に要約しますと以下の4点となります。
上記の定義から情報セキュリティガバナンスには以下のような構成要素があります。
情報セキュリティを維持するための方針、規程、手順書・マニュアルの体系。情報セキュリティガバナンスのコアとなる要素である。
情報セキュリティポリシーを実装・運用するために各部署にセキュリティ担当者を配置し、担当者を委員とした情報セキュリティ委員会を設置して、CISOが委員長として采配を振るう。
情報セキュリティポリシーを具現化し、日々の運用・管理を行うためのプロセスのことで、手順書・マニュアルに沿った活動を言う。
情報セキュリティを維持するために手作業だけでは処理が追いつかず、作業漏れも発生してしまう。日々の運用・管理のためにはシステムを導入して自動化することが必要である。
企業における情報セキュリティを維持・運用していくための枠組みが情報セキュリティガバナンスであり、情報セキュリティガバナンスのコアは情報セキュリティポリシーです。
情報セキュリティポリシーを整備することが情報セキュリティの維持・運用には必須となります。
情報セキュリティポリシーについては、いくつかモデルと言える規格が存在するが、一番普及し採用されているのはISO/IEC27001です。ISMSとも呼ばれます。
ISO/IEC27001には認証の仕組みがあり、日本は認証を取得している企業・組織が世界中で最も多く、実質的に情報セキュリティポリシーの標準になっています。
ISO/IEC27001は、情報セキュリティマネジメントシステムの国際規格です。
もともとは英国の情報セキュリティマネジメント規格だったBS7799をもとにISO化したもので、当初ISO/IEC17799と呼ばれていたが、後にISO/IEC27001に名称を変更しました。
最初のバージョンはISO/IEC27001:2005で、2回のバージョンアップを経て、現在はISO/IEC27001:2022が最新版となっています。
ISO/IEC27001の構成は以下の10領域となっています。
バージョンアップによって若干記載内容は追加されてきていますが、大きくは変化していません。
ISO/IEC27001を情報セキュリティポリシー体系の観点から見た場合、情報セキュリティ方針と個別領域のセキュリティ規程はあるが、一部を除いて手順書・マニュアルレベルまでは記載されてはいません。
ISO/IEC27001認証のチェックシートとも言える適用宣言書の項目を見ても記載されているのは、多くはセキュリティ規程の要件までです。
これは、情報セキュリテイマネジメント規格として汎用性を保つためだと思われますが、実際の手順や実装までチェックされないことで、情報セキュリティポリシーを制定して、認証を取得しても、実態は情報セキュリティを維持運用できていないケースが出てきます。
特に、官公庁の入札や取引先からの要請のために認証を取得しているようなケースでは、実態として情報セキュリティは維持運用されていないことが散見されます。
ISO/IEC27001は汎用的であることで、特定の業種や特定領域向けにカスタマイズされた派生規格が発生しています。
ドイツ自動車工業会が策定してEU地域で標準のセキュリティマネジメント規格として認証も行われています。日本の自動車メーカーや部品メーカーも認証を取得することを要請されています。
日本国内の官公庁向けクラウドサービスで採用されているセキュリティマネジメント規格であり、官公庁向けのクラウドサービスでは認証を取得することが条件になっています。また、ISO/IEC27001の追加規格としてクラウドサービス向けのISO/IEC27017とクラウド個人情報保護のISO/IEC27018規格が存在します。
NISTは米国で技術標準を策定している政府系の機関で、SP800シリーズは連邦政府機関または非連邦政府機関向けに策定している情報セキュリティ系の標準です。
有名な標準としては
などがあります。
NIST SP800-171は連邦政府にシステムや機器を納入している企業が備えるべき情報セキュリティの管理策を記載した標準であるが、連邦政府と関係ない一般の民間企業でも十分参考になる標準となっています。
特にISO/IEC27001が弱いセキュリティ手順や具体的な管理策の部分に言及しており、ISO/IEC27001ベースの情報セキュリティポリシーの補強または置き換えとして使うことができます。
実際に、日本の防衛省ではシステムや機器を納入している企業向けの新セキュリティ基準の枠組みとしてNIST SP800-171を採用しています。
NIST SP800-171では、以下の14領域にわたって管理策が記載されています。
これらの管理策の範囲はISO/IEC27001と対応しており、二つの標準を組み合わせることも可能です。
日本では、ISO/IEC27001が情報セキュリティポリシーの事実上の標準となっているが、手順書・マニュアルレベルの記載が弱いです。
そして情報セキュリティプロセスの定義や情報セキュリティシステムの実装との関連も薄く、情報セキュリティポリシーはできていても、セキュリティインシデントの発生を減らせないという状況があります。
情報セキュリティガバナンスを強化するためには、ISO/IEC27001の弱い部分を独自で補強するか、派生規格を採用するか、またはNIST SP800-171のような新たな標準を組み合わせることが必要です。
そのうえで、情報セキュリティプロセス及び情報セキュリティシステムと密接に結びつけることが必要である。
当社ではISO27001、TISAX、NIST SP800-171などの認証コンサルティングサービスを実施しております。
当社は専門家によるコンサルティングが可能なコンサルティングファームです。
もし何かお悩みでしたらお問い合わせフォームやお電話にてお問い合わせのほどお願い申し上げます。
サービスごとのお問い合わせも可能です。
03-6811-1525