044-246-0910
平林良人「新・世界標準ISOマネジメント」(2003年)アーカイブ 第28回
3.3 情報セキュリティマネジメントシステム(ISMS:Information Security Management System)規格
3.3.1 ISMSとは
- 1)ISMS構築が求められる背景
- 情報ネットワークはいまや私たちの生活の至る所に存在し、電気やガス、水道や電話などと同様の、誰もが手軽に活用できる「身近な生活インフラ」に成長しようとしている。こうした次世代の情報ネットワークを称して、「ユビキタスネットワーク」という概念が普及しつつある。
- ユビキタス(ubiquitous)とは、もともとラテン語で、「同時にいたるところに存在する」という意味である。ユビキタスネットワークによって、私たちは、パソコン、携帯情報端末、携帯電話などの端末機器を使って、いつでも、どこでも必要な情報にアクセスできることとなる。情報ネットワーク及び情報システムは、情報のもつ価値が重要となった現在極めて重要な社会的インフラストラクチャーである。
- 1990 年代インターネットは飛躍的に発展した。世界のインターネット利用者数は、この数年急激な増加を続けている。別表のように2002年2月現在のインターネット利用者数は約5億4400万人に達している。
- 2001年10月に総務省は「全国ブロードバンド構想」を発表した。「世界最先端のIT国家」の実現に向けて、高速・超高速ネットワークインフラ整備計画を見なおしたものである。別表によると、2005年度までに、少なくとも3000万世帯が高速インターネットアクセス網に、1000万世帯が超高速インターネットアクセス網に常時接続可能な環境整備するとしている。
- 経済社会の世界的な規模での変革の原動力となっているインターネットを用いたオープン環境下のネットワーク・コンピューティングは、高度情報通信社会のインフラとなっている。コンピュータ社会の脆弱性は、従来のメインフレームにおける専用線中心のシステムにおいても問題とされてきた。
- しかし、オープン環境におけるネットワーク・コンピューティングでは、オープンであるがために、第三者が匿名性を確保しつつ低コストで、ネットワークを経由して、情報システムに侵入し、データを改ざん、窃取し、あるいはシステムのサービス妨害を行うという新しい脅威にさらされている。
- この脅威は、経済・社会への信頼の喪失をもたらしかねない問題でもあり、ボーダレスのネットワークであるが故に、国際的信頼の確保という観点も認識しておかなければならない。
- ネットワーク・コンピューティングに対する安全性・信頼性の確保とは、デジタル化された情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の確保である。他方、インターネット社会は、「自由な参加を前提として発展している社会」であり、様々なリスクを前提として自覚と責任の下に利用していくものであるため、ネットワーク・コンピューティングに対するセキュリティは、利用者自らのリスク対策が最も重要であり基本となる。また、対策のための人的・技術的・資金的資源いかに投入するかは、自ずと制約があり経営判断が難しい問題でもある。
- そのため、リスクをいかにマネジメントし、ネットワーク社会の恩恵を最大限享受するかとの関連から効率的かつ総合的なリスク管理・回避策を講ずることが必要である。別表に示された脅威とそれを起因といする脆弱性を分析し、貴重な資源をいかにポリシーを持って配分するかを考え、技術的対策・人的対策・物理的対策を有機的に組み合わせて情報システムの構築・運用を行っていかなければならない。
- 脅威とセキュリティ機能
- 情報セキュリティに対する脅威には様々なものが存在する。IPA(情報処理振興事業協会)「情報セキュリティの現状2000年版」による分類を別表(省略)に示す。
- 情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の構築が求められる背景には、社会情勢及び情報処理システムを取り巻く環境の変化が挙げられる。
- ISMSが求められる社会情勢
- ① 組織の業務内容のソフト化が進み、情報自身が価値を持ち、その重要性が次第に増大している。
- ② インターネットの高度化・コンピュータの小型軽量化に伴い、組織外部からのアクセスの危険性が増している。
- ③ セキュリティ技術の発達に依存するだけでは全ての脅威に対応できないことが次第に認知されるようになってきた。
- ④ 脅威と脆弱性の多様化に伴い、組織的な管理体制を敷かずに網羅的で実効性の高いセキュリティ対策を取ることが困難になってきた。
- ⑤ 国際的にみても、大規模なコンピュータユーザとしての信用力を維持・確保するためにはISMSの構築が必須要件となってきた。
- ⑥ 一般人への情報リテラシーの広がりにより、情報システムにアクセスする知識を持つ者が増加している。
- 2)ISMS規格のねらい
- ISMS規格は、過去10年の議論の経過から生まれてきたが(規格の変遷については次節で説明をする)、規格に狙いは次のようなものである。
- (1)組織内での目的
- ① 情報の漏洩、滅失、改ざん、不正使用といったセキュリティ事故を効果的に防止する。
- ② セキュリティ事故が発生した場合は、その事実をいち早く察知し、適切な対策を講ずることができるようにする。
- ③ 対応策に不備があった場合は、その速やかな改善を可能にする。
- ④ セキュリティ事故の責任を明確にし、関係者全員の情報セキュリティに対する意識を高める。
- ⑤ 情報セキュリティを経営レベルの課題として明確に位置付ける。
- (2)公共的・対外的な目的
- ① 取引先に情報セキュリティに対する取り組み姿勢をアピールする。
- ② 故意のセキュリティ事故を引き起こそうとする外部の人間を牽制する。
- ③ 企業社会の一員としてその地位と責任に応じた対応を取ることでセキュリティ事故の影響拡大防止に貢献する。
<脅威(Threat)> | <セキュリティ機能> |
なりすまし | ユーザ認証 |
機密漏洩、プライバシ | 秘匿(暗号化) |
改ざん | インテグリティチェック |
否認 | 否認防止 |
無制限アクセス | アクセスコントロール |