• ISMSとは、情報資産を保護する「情報セキュリティマネジメントシステム」の略称
  • ISMSでは、可用性、機密性、完全性をバランス良く保つことが望ましい
  • ISMSはファイアウォールのようなハードなものではなく、組織の仕組みの整備というソフトなものである

近年はますますIT化が進んでおり、ヒト・モノ・カネに加えて情報も企業の経営資源とみなされるようになってきました。そんな中で近年日本企業の課題になってきているのが企業の情報セキュリティです。

さて、企業の情報をセキュリティする(守る)仕組みのことをISMSと呼びますが、簡単に説明されてもピンとこない方も多いと思います。——ということで、今回は、ISMSとは何なのかということについて、初めての方でも分かりやすいように解説していきたいと思います。

ISMSとは

ISMSとは、企業・組織の情報を守るためのマネジメントシステムのことで、Information Security Management Systemの略称です。日本語に訳すと「情報セキュリティマネジメントシステム」といいます。

ざっくり結論から述べると、ISMSとは、「企業にとって大事な情報が外部あるいは内部に流出してしまうリスクや、使いやすい状態で管理されることを、ちゃんとした体制を組んで対策していこうとするもの」のことを指します。

「情報が流出してしまうリスク」は非常に様々です。例えば、社員が帰宅途中に立ち寄った居酒屋で会社から持ち出したパソコンを盗まれてしまい、情報が流出することもあるでしょうし、会員ページの脆弱性を突いた攻撃をされてWEBページを通じて情報が流出することもあるでしょう。——こういった問題を、高度なセキュリティ技術や高度なスキルを持った人材に頼らず(※もちろん、必要であれば頼る必要がありますが…)、会社の仕組みや体制を「ちゃんとした状態」にすることで対策していこうというものが、ISMSなのです。

マネジメントシステムとは

さて、ISMSというものを理解するためには、マネジメントシステムについて理解を深める必要があります。——突然ですが、マネジメントシステムとは、一体どのようなものなのでしょうか?

なんだか難しいような気もしますが、マネジメントシステムとは簡単に言えば組織が目的を達成するための仕組みのことです。ここで言う「仕組み」とは、業務マニュアル、会社のルール、事業計画など様々なモノや活動のことを指します。皆さんの身近なもので例えると、営業マンの「売上目標」や「ノルマ」もマネジメントシステムの一つです。営業マン一人ひとりがノルマを達成することができれば、会社の売上を上げることができる「仕組み」になっていますよね?それと同じで、マネジメントシステムは「何らかの目的を達成するためにある組織内部のモノや活動」なのです。

コラム > ISO全般コラム一覧

マネジメントシステムとは?わかりやすく解説

「ISOのマネジメントシステム認証を取得しろと上から言われたけど、そもそもマネジメントシステムってなんだ?」なんてことを考えている方も実は多いのではないでしょうか?品質マネジメントシステム、環境マネジメントシステム、情報セキュリティマネジメ…

ISMSは、「情報セキュリティ」を達成するための「仕組み」

さて、今一度ISMSに話を戻しましょう。上記で説明したマネジメントシステムは、非常に広い範囲の意味を持ったものでした。しかし、マネジメントシステムにも様々な種類のものがあります。——例えば、品質 を向上させ、顧客満足を目指す「品質マネジメントシステム」や、従業員の安全衛生水準を向上させるためにある「労働安全衛生マネジメントシステム」は有名です。

ISMSは、「情報セキュリティマネジメントシステム」ですから、「情報セキュリティ」という企業の目標を達成するためのマネジメントシステムです。——では、「情報セキュリティ」とはどのようなものでしょうか?

「情報セキュリティ」とは

情報セキュリティと聞くと、「パスワードを設定する」とか「ファイアウォールを設置する」といったイメージが強いですよね。——もちろん、こういったセキュリティ対策も非常に重要ですし、外部から不正にアクセスされないように対策を施しておくことは、ISMSでも望ましいとされています。

しかし、単純に「不正アクセスされないこと」だけが情報セキュリティではありません。情報セキュリティでは、以下の3つの要素が重要視されています。

  • 機密性:情報を利用してはいけない人が、利用できない状態
  • 完全性:情報が欠損したり破壊されたりしない状態
  • 可用性:情報を利用しても良い人が利用しやすい状態

機密性 」に関しては、多くの人がイメージする「情報セキュリティ」と同じ意味でしょう。また、「完全性 」についてもある程度理解しやすいですよね。悪意ある攻撃によって、情報が改ざんされたり破壊されたりしないように対策を施しておくべきです。しかし、ISMSでは可用性を欠いてはいけないとされています。これら3つの「情報セキュリティ三大要素」をバランスよく維持し、それぞれを改善していくことがISMSには求められるのです。

コラム > ISO27001コラム一覧

情報セキュリティの三大要素「可用性」「機密性」「完全性」について

情報管理の三原則「機密性」「完全性」「可用性」。これらは情報セキュリティマネジメントシステムにおける基本のキでありますが、ITに深い造詣がなければ難しく聞こえてしまいます。 今回は、これらの情報セキュリティ三大要素についてわかりやすく…

つまり、「情報にアクセスしたい人がアクセスしやすくて、情報にアクセスしてはいけない人がアクセスできなくて、その情報が正しい状態」が情報セキュリティというものなのです。

例えば、ログインパスワードを100桁の英数字で作成したとすると、機密性は保たれるかもしれませんが、可用性という観点で見ると非常に使いにくい仕組みとなるでしょう。これは極端な例ですが、ISMSでは機密性・完全性・可用性のバランスを保つことが最も重要ということがわかって頂けるかと思います。

そして、この機密性、完全性、可用性を維持して改善していく会社組織のルールやマニュアルが情報セキュリティマネジメントシステム(ISMS)というわけです。

ISMSの規格

ISMSにはマネジメントシステム規格 というものがあります。マネジメントシステム規格とは、組織がマネジメントシステムを構築するにあたってのガイドラインのような役割を果たすもので、規格に基づいて構築されたものであるということが特定の第三者機関によって認められると、マネジメントシステム認証というものが利用できるようになります。

ISMSのマネジメントシステム規格として最も有名なものはISO27001 でしょう。ISO 27001は国際標準化機構であるISOが策定したISMS規格で、世界中で評価されている規格です。

コラム > ISO27001コラム一覧

【初心者必見】ISO27001について優しく解説します

情報セキュリティマネジメントシステムの国際認証規格であるISO27001は、IT化が急速に進む現代では重要視されるマネジメントシステム認証の一つです。しかし、マネジメントシステム規格というものは、いささか最初は理解に苦しむもので、「上からI…

まとめ

今回は、「ISMSとは何か」というテーマで解説してきました。このISMSには「マネジメントシステム規格」と呼ばれるものがあり、例えばPマーク、ISO27001という規格がそれに当たります。これらの規格はISMSを構築する上でヒントとなるガイドラインのようなもので、これらを参考に会社のルールを構築していくことは、企業の「情報セキュリティ」という目標を達成するためには一助となります。

こういった規格については他の記事でも解説しておりますので、是非参考にしてみてください。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。