情報セキュリティトレンド. 弊社は、お客様に安心してご利用いただくために、関係システムの開発・構築・維持・運営に関わるすべての情報セキュリティの管理を完璧に、また継続的に実施することを目指しております。これらの情報管理、サービスが正しく実践されていることを公の機関によって承認されることにより、お客様からの信頼性がさらに高まるとの認識から、弊社は ISO 27001 と JIS Q 27001 の規格に適合する体制を構築し、認証を取得することができました。. 2005年10月にisms認証基準として国際規格iso/iec 27001:2005が発行され、国内規格jis q 27001:2006が発行されました。 最新の規格番号については 情報マネジメントシステム認定センター をご参照下さい。 情報セキュリティマネジメントシステム(じょうほうセキュリティマネジメントシステム、ISMS: Information Security Management System)は、組織における情報資産のセキュリティを管理するための枠組み。情報セキュリティマネジメントとは、ISMSを策定し、実施すること。[1], ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える[2][3]ことにある。, ISMSの標準がISO 27001およびそれと同等なJIS Q 27001に規定されているので、本稿では2016年現在におけるこれらの標準の最新版であるISO/IEC 27001:2013(JIS Q 27001:2014と同等)を基に、ISMSを説明する。, ISMSを規定したISO/IEC 27001:2013は、ISOのさまざまなマネジメントシステム規格(MSS Management System Standard)の一つであり[4]、MSSの共通化を図った附属書SL[5]に沿って規格化されている。これにより、品質、環境、ITサービス、事業継続のマネジメントシステムを規定したQMS、EMS、ITSMS、BCMSとの整合性が図られている[4]。, また、2013年の改定以降、リスクマネジメントの国際規格であるISO 31000:2009(JIS Q 31000:2010)との整合性も図られている[4]。, ISO/IEC JTC 1 (情報技術)の SC27委員会 (セキュリティ技術副委員会)には、情報セキュリティのためのマネジメントシステム規格の開発を担当する作業グループがあり、そこでISMSの構築のしかたと認定の基準を審議して国際規格 ISO/IEC 27001になり、その翻訳が日本工業規格 (JIS) になっている。SC27は、ISMS関連の国際規格を他にもいくつか標準化しており、それらの規格は、ISMS ファミリ規格と呼ばれる(ファミリ規格の詳細はJIS Q 27000 箇条 0.2 を参照)。, リスクとは、「目的に対する不確かさの影響」[6]を指し、情報セキュリティリスクは、「脅威が情報資産のぜい弱性又は情報資産グループのぜい弱性に付け込み、その結果、組織に損害を与える可能性に伴って生じる[7]。なお、ISMS の文脈においては、情報セキュリティリスクは、「情報セキュリティ目的に対する不確かさの影響」と表現することがある[8]。, なお、情報資産は、ISOの原文では「資産」(asset)だが、誤解を招かぬようJISでは「情報資産」としている[9], リスクを起こす潜在的要因をリスク源といい[10]、その典型例として脅威と脆弱性がある[11]。, 脅威(threat)とは、「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」を指し[12]、脅威は人為的脅威と環境的脅威に分類でき、人為的脅威はさらに意図的脅威(deliberate threat)と偶発的脅威(accidental threat)に分類できる[13]。, 脆弱性(vulnerability)とは、一つ以上の脅威によって付け込まれる可能性のある資産または管理策(後述)の弱点を指す[14]。, ISMSでは、各リスクに対しリスクレベルというリスクの大きさを割り振る。リスクレベルはリスクの起こりやすさと起こった場合の結果によって決定する[15]。リスクレベルの決定法としてJIPDECは資産価値、脅威、脆弱性を数値化し、, 経済的な理由などにより、既知のリスクをすべて取り除くことが現実的でないこともあるので、ISMSでは組織が受容可能なリスクの水準を定め、リスク保有する事を許容している[16][15][17]。, 情報セキュリティ事象(information security event)とは、情報セキュリティ方針への違反若しくは管理策の不具合の可能性,又はセキュリティに関係し得る未知の状況を示す,システム,サービス又はネットワークの状態に関連する事象のことである[18]。, 情報セキュリティインシデント(information security incident)は、望まない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの[19]。, 情報セキュリティインシデント管理(information security incident management)情報セキュリティインシデントを検出し,報告し,評価し,応対し,対処し,更にそこから学習するためのプロセス[20]。, 継続した情報セキュリティの運用を確実にするためのプロセスを情報セキュリティ継続(information security continuity)[21]という。, これらを行うため、ISMSではプロセスアプローチという手法が取られる[28]。プロセスアプローチでは経営活動をインプットをアウトプットに変換するプロセスとみなし[28]、これらのプロセスをシステムとして組織に適応・管理する[28]。, 一方、2005年度版のISO/ETCでは強調されていた[29]PDCAサイクルは2016年時点での最新版である2013年度版では大きく後退しており、ISMSの規格本体であるISO/IEC 27001:2013(JIS Q 27001:2014)にはPDCAに関する記述はない[30]。ISO MSSの共通基盤を与える附属書 SLでも、既存のマネジメントシステム規格で様々なモデルが採用されているという理由でPDCAサイクルなど1つのモデルを採用する事を避けている[31]。, ただし附属書 SL ではPDCA サイクルの概念を受け入れており[31][32]、JIPDECもPDCAサイクルを採用する事でISMSのプロセスが整理されるとしている[30]。, トップマネジメントとは最高位で組織を指揮し、管理する個人または人々の集まりである[33]。トップマネジメントは情報セキュリティ目的(後述)ないしその枠組の提示やISMSの組織プロセスへの統合と必要な資源の提供を行い、ISMSに関して重要性の伝達、成果達成の保証、指揮、支援を行う[34]。, トップマネジメントはISMSがJIS Q 27001:2014の要求事項に適合する事を確実にし、ISMSのパフォーマンスをトップマネジメントに報告する責任及び権限を割り当てねばならない[35]。, そのような責任と権限を保証する具体的な組織体制をJIS Q 27001:2014は明示していないが、JIPDECは一例として、ISMSに関して中心的な役割を担う情報セキュリティ委員会を組織内に設置を推奨している[36]。情報セキュリティ委員会の役割は例えばリスクマネジメントの環境整備、ISMS関連文書の決定、施策の検討と改訂、発生したセキュリティ問題の検討、ISMS運用の評価結果に基づいた改善といった事を行う事である[36]。JIPDECはその他にも情報セキュリティ委員会に位置し、ISMSの構築・運用の実務や部署間の調停を担当する情報セキュリティ策定・運用チーム、専門家・外部コンサルタントの設置を推奨している[36]。, ISMSを実施する組織は、組織の能力に影響を与える内部および外部の課題や[37]、ISMSに関連する利害関係者の情報セキュリティに関する要求事項[38]、他の組織との依存関係[39]などを特定し、これらをもとにしてISMSの適応範囲の境界線や適応可能性を決定する[39]。 その基盤としてリスクを運用管理するための方針,目的,指令,コミットメントなどが含まれる[54]。, 上述の「リスクマネジメントの実践」では、リスクマネジメントプロセス(risk management process)が行われる。具体的には, のサイクルを回し、適時関係者間で必要なコミュニケーション(リスクコミュニケーション)を取る[58]。, リスクマネジメントプロセスの中核となるリスクアセスメント(risk assessment)は以下の3つの作業からなる[59]。, ISMSでは特に情報セキュリティリスクアセスメントに関する指針を定めている。そこで定められている作業は前述の3つを含む以下の9つに分類できる:リスクアセスメントの取組方法の定義、リスク特定、リスク分析、リスク評価、リスク対応、管理策の決定、適応宣言書の作成、情報セキュリティリスク計画書の作成、残留リスクの承認[15][64]。, 「リスクアセスメントの取組方法の定義」では、リスク基準を策定し、情報セキュリティリスクアセスメントの一貫性、妥当性、比較可能性を保証する[15]ためのプロセスを定めて文書化する。 Ø iso/iec 27001及びiso/iec 27002に関する用語につい ては変更なし Ø jis化について: Ø iso/iec 27000:2018(改訂3版)は、jis q 27000:2014として 用語部分のみjis化 Ø 改訂4版は、用語に変更がなかったためjis改訂は行われず Ø 改訂5版のjis化は現在作業中。来年発行予定 一方で、実際の計画の策定などは担当者が考えていくので、こまごまとした計画はトップマネジメントの役割ではありません。, JIS Q 27001:2014では内部監査において、組織は以下の事項を行わなければならないとしています。, 出典:http://kikakurui.com/q/Q27001-2014-01.html, ISMSユーザーズガイドはJIS Q 27001:2014の内容を解説しているものです。 リスク基準は以下の2つを含まねばならない[15]:, 「リスク特定」ではリスクの特定とそのリスク所有者の特定をする必要がある[15]。そのために、資産の洗い出しを行う事で[66]資産目録を作成し[67]、各資産の管理責任者を特定し[68]、各資産の脅威と脆弱性の明確化を行う事が望まれる[69]。, 「リスク分析」ではリスクの起こりやすさと起こった場合の結果を分析し[15]、これらに応じてリスクレベルを決定する[15]。, 「リスク評価」ではリスク分析結果とリスク基準を比較し、リスク対応のための優先付けを行う[15]。JIPDECではリスクレベルとリスク受容基準を数値化した上で両者を比較する方法を例示している[70]。, 「リスク対応」ではリスク受容基準を満たすリスクはリスクを受容するという意思決定[71](リスク受容)を行った上でリスク保有する。それ以外のリスクに関してはリスク対応の選択肢を選定する[15]。リスク対応の選択肢としてJIPDECは、リスクを減らすリスク低減[72]を行うか、リスクに関係する業務や資産を廃止・廃棄する事でリスク回避、契約などで他社とリスクを共有するリスク共有、および事業上の利益を優先してあえてリスクを取るまたは増加させるリスク・テイキングを例示し、リスク共有の方法として資産やセキュリティ対策をアウトソーシングする方法と保険などを利用するリスクファイナンスを例示している[73]。, 「管理策の決定」ではリスク対応で選んだ選択肢に応じてリスクを修正(modify)する対策である[74]管理策((リスク)コントロールとも)を決定する[15]。管理策の具体的な方法はJIS Q 27001:2014の附属書Aに記載されているが、そこに記載されていない管理策を選択してもよい[75]。, 「適用宣言書の作成」では必要な管理策およびそれらの管理策を含めた理由を記載した[15]適用宣言書を作成する。, 「情報セキュリティリスク計画書の作成」では情報セキュリティリスク計画を立てる[15]。JIPDECは情報セキュリティリスク計画としてリスク低減や管理策の実装に関する実行計画を立案し情報セキュリティリスク計画書にまとめる事を推奨している[76]。, 「残留リスクの承認」では情報セキュリティリスク対応計画と受容リスクに関してリスク所有者の承認を得る[15]。, ISMSにおいて参照されることの多いISO/IEC TR 13335-3(JIS TR X 0036-3:2001に対応。有効期限切れ)、およびそれを引き継いだ[77]ISO/IEC 27005では、以下の4種類のリスク分析方法を定義している[78][79][80]:, BSI(英国規格協会)によって1995年に規定された英国規格 BS 7799が基となって、ISMSの構築のしかたの標準化が進んだ。BS 7799は、Part 1 (BS 7799-1) とPart 2 (BS 7799-2) の2部構成になった。Part 1には情報セキュリティ管理を実施するに際しての規約の標準が、Part 2にはISMSの認定の基準となる要求仕様が書かれていた。日本の「ISMS認証基準」はPart 2を基に策定された(これは現在 JIS Q 27001 になっている)。なお、ISMSという用語は、BS 7799から来ている。, BS 7799は、国際規格になった。BS 7799-1は、2000年にISO/IEC 17799となり(これに伴ってBS 7799-1はBS ISO/IEC 27002となった)、2007年にはISO/IEC 27002:2005と改称された。BS 7799-2も、2005年にISO/IEC 27001となっている。, それらは翻訳されて、日本工業規格にもなっている。2006年に、ISO/IEC 27001はJIS Q 27001として、ISO/IEC 27002はJIS Q 27002として策定された。, これらのほかにも、関連する規格として ISO/IEC 27000, 27003~27006, 27011 があり、さらにいくつかの部が準備中である(ISO/IEC 27000 シリーズ)。, 情報処理サービス業に対し、コンピュータシステムの安全対策が十分かどうかを認定する制度として、旧通商産業省の「情報システム安全対策実施事業所認定制度」(以下、安対制度という)があった。安対制度では主に施設・設備等の物理的な対策に重点がおかれ、対象業種はデータセンターをもった情報処理業であった。ISMS適合性評価制度は、2000年7月に通商産業省から公表された「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づき、(財)日本情報処理開発協会 (JIPDEC) で開始した民間主導による第三者認証制度であった。, JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。, JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。, JIS Q 27000:2014 箇条 2.61、JIS Q 27001:2006 箇条 0.2、, JIS Q 27001:2014 箇条 5.1、JIS Q 27002:2014 箇条 5.1。, JIS Q 27000:2014 箇条 2.76、JIS Q 31000:2010 箇条 2.2。, JIS Q 31000:2010 箇条 2.14、2.15、2.24。JIS Q 27000:2014 箇条 2.71。, JIS Q 27000:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語, JIS Q 27001:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項, JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範, 情報技術−セキュリティ技術−情報通信技術セキュリティマネジメント−第 1 部:情報通信技術セキュリティマネジメントの概念及びモデル, ISMSユーザーズガイド- JIS Q 27001:2014(ISO/IEC 270001:2013)対応-, ISMSユーザーズガイド- JIS Q 27001:2014(ISO/IEC 270001:2013)対応--リスクマネジメント編, ISMSユーザーズガイド- JIS Q 27001:2006(ISO/IEC 270001:2005)対応-, ISMSユーザーズガイド- JIS Q 27001:2006(ISO/IEC 270001:2005)対応--リスクマネジメント編, Information Security Management System (ISMS) Overview, https://ja.wikipedia.org/w/index.php?title=情報セキュリティマネジメントシステム&oldid=80328768, 情報セキュリティに関する全ての活動の指針となる,情報セキュリティの定義,目的及び原則, 情報セキュリティマネジメントに関する一般的な責任及び特定の責任の,定められた役割への割当て, 情報処理の発展に伴い、情報セキュリティは情報処理業だけではなく、あらゆる業種が対象となる。.