情報セキュリティマネジメントシステム
ISMS(情報セキュリティマネジメントシステム)とは、明確な方針や規定に基づき、情報資産のセキュリティ(機密性・完全性・可用性)を維持・管理するための仕組みです。ISMSに関する国際規格はISO/IEC2700ファミリと呼ばれており、日本でもJIS化すると伴に、ISMS適合性評価制度(JIPDEC)が2001年より運用されています。
ISO/IEC2700ファミリ
ISO/IEC2700ファミリの中で特に重要な規格は以下になります。
- ISO/IEC 27001:情報セキュリティマネジメントシステム要求事項
- ISO/IEC 27002:情報セキュリティ管理策の実践のための規範
ISO/IEC 27001には、組織がISMSを確立・実施し、継続的に改善するための要求事項が規定されています。ISO/IEC 27002には、組織がISMSを実施するためのガイドラインで、管理策が示されています。
ISMS適合性評価制度
ISMS適合性評価制度とは、組織のISMSが、ISO/IEC 27001に適合しているかの認定を行います。作業の流れは以下になります。
- 組織内の適用範囲の決定
- 情報セキュリティ方針(ポリシ)の確立
- リスクアセスメントの方法を決定
- 情報資産、脅威、脆弱性の洗い出し
- リスクレベルの算定
- リスク対応(回避、移転、軽減、受容)の決定
- 管理策の決定
- リスク対応計画と適用宣言書の作成
ISMS適合性評価制度は、半年~1年に1回の頻度で継続審査を受けるとともに、3年に1回は更新審査を受ける必要があります。ISMSは、以下のPDCA(Plan/Do/See/Action)の4つのステップを繰り返しながら継続的に運用することが推奨されています。
情報セキュリティ管理策
情報セキュリティ管理策(ISO/IEC 27002)は、以下の14のカテゴリから構成されます。
| A.5 | 情報セキュリティのための方針群 |
| A.6 | 情報セキュリティのための組織 |
| A.7 | 人的資源のセキュリティ |
| A.8 | 資産の管理 |
| A.9 | アクセス制御 |
| A.10 | 暗号 |
| A.11 | 物理的及び環境的セキュリティ |
| A.12 | 運用のセキュリティ |
| A.13 | 通信のセキュリティ |
| A.14 | システムの取得、開発及び保守 |
| A.15 | 供給者関係 |
| A.16 | 情報セキュリティインシデント管理 |
| A.17 | 事業継続マネジメントにおける情報セキュリティの側面 |
| A.18 | 順守 |
以下、特に技術的対策について以下の述べます。
A.8 資産の管理
組織が持つ情報資産を特定し、重要度に応じてレベル分けし管理します。情報の作成、保管、破棄などのライフサイクルのルールや、USBメモリなどの媒体の取り扱いルールを定めます。
- 資産に対する責任
資産目録の作成、資産の管理責任、資産利用の許容範囲、資産の返却 - 情報分類
情報の分類、情報のラベル分け、資産の取扱いルール - 媒体の取扱い
取外し可能な媒体の管理、媒体の処分、物理的媒体の輸送
A.9 アクセス制御
システムや情報資産への認可されていないアクセスを防止します。アクセス制御は個人が特定できる利用者IDで管理し、操作を記録し、定期的に見直す必要があります。特に、特権的アクセス権は職務上最低限の必要性に基づいて割当てる必要があります。
パスワードは堅牢なものを使用し、また、パスワードに代えて暗号による手段や生体認証なども検討することが重要です。
- アクセス制御に対する業務上の要求事項
アクセス制御方針、ネットワーク及びネットワークサービスへのアクセス - 利用者アクセスの監視
利用者登録及び登録削除、特権的アクセスの管理、利用者の秘密認証情報の管理、利用者アクセス権のレビュー、アクセス権の削除又は修正 - 利用者の責任
秘密認証情報の利用 - システム及びアプリケーションのアクセス制御
情報へのアクセス制限、セキュリティに配慮したログオン手続、パスワード管理システム、特権的なユーティリティプログラムの使用、プログラムソースコードへのアクセス制御
A.10 暗号
情報資産の機密性、完全性を保護するため、暗号を利用します。暗号鍵の管理は、生成、配布、保管、破棄などのライフサイクルでルールを作成します。
- 暗号による管理策
暗号による管理策の利用方針、鍵管理
A.11 物理的及び環境的セキュリティ
セキュリティを保つべき領域を定め、入退室管理を行い部外者の立ち入りを制限します。また、装置に設置については、資産の損傷・盗難・劣化等を考慮します。
- セキュリティを保つべき領域
物理的セキュリティセキュリティ境界、物理的入退管理策、オフィス及び施設のセキュリティ - 装置
装置の設備及び保護、ケーブル配線、装置の保守、クリアデスク・クリアスクリーン
A.12 運用のセキュリティ
マルウェアからの保護、データのバックアップ、ログの取得と管理、技術的脆弱性管理などを実施します。運用の手順書を作成し、責任者を明確にする必要があります。
- 運用の手順及び責任
操作手順書、変更管理、容量・能力の管理、開発環境・試験環境運用環境の分離 - マルウェアからの保護
マルウェアに対する管理策 - バックアップ
情報のバックアップ - ログ取得及び監視
イベントログの取得、ログ情報の保護、実務管理者及び運用担当者の作業ログ、クロックの同期 - 運用ソフトウェアの管理
運用システムに関わるソフトウェアの導入 - 技術的脆弱性管理
技術的脆弱性の管理、ソフトウェアのインストールの制限 - 情報システムの監査
情報システムの監査に対する管理策
A.13 通信のセキュリティ
ネットワークの分離、通信データの暗号化、ログ監視を実施します。
- ネットワークセキュリティ管理
ネットワーク管理策、ネットワークサービスのセキュリティ、ネットワークの分離 - 情報の転送
情報転送の方針及び手順、情報転送に関する合意、電子的メッセージ通信、機密保持契約
A.14 情報セキュリティインシデント管理
セキュリティインシデント発生時に迅速かつ効果的な対応を行うため、管理層の責任と手順を確立する必要があります。インシデントの監視、検知、ログ収集、分析、報告(エスカレーション)などのルールと手順の作成します。
- 情報セキュリティインシデントの管理
責任及び手順、情報セキュリティ事象の報告・評価及び決定、情報セキュリティ弱点の報告、インシデントへの対応、インシデントからの学習、証拠の収集
