【ISO27002】媒体の取り扱いについて- 取り外し可能媒体の管理

情報セキュリティマネジメントシステムでは、情報を保存・記録する媒体の取り扱いに細心の注意を払う必要があります。ISO27001 の具体的な管理策として策定した ISO 27002でも、この媒体の管理方法について詳しく記載しています。

では、媒体とはどのようなもののことを指し、またどのように管理するべきなのでしょうか？今回は、ISO27002から見る媒体の取り扱い方について解説していきたいと思います。

そもそも媒体とは？

媒体とは、メディアとも呼ばれる何らかの情報を記録・保存するもののことを指します。一般的に「媒体」というと、USBレコーダーやディスクのようなイメージがありますが、メモ用紙やパソコンのハードディスク、データベースなど「媒体」というものは私達の身の回りに様々存在します。

媒体が保有するリスクとは

情報を保存する媒体は、非常に便利なものでありますが、便利であるがゆえにリスクを保有しています。例えばUSBメモリに重要な情報を保存している状態で紛失してしまうと、情報漏えいのリスクにもなりますし、パソコンのような高性能な媒体に依存しすぎていると、情報が破損した場合にその情報を復元できなくなってしまう可能性もあります。

このため、組織は情報を管理するために媒体を管理する必要が出てきます。とりわけ取り外しが可能な媒体に関しては、細心の注意を払って管理する必要があるのです。

以下では、ISO27002に沿って媒体をどのように管理することが望ましいのかということについて解説していきましょう。

取り外し可能媒体の管理

ISO27002では、取り外し可能な媒体（ディスクやUSBメモリなど）に関しては、以下のようなことを考慮する必要があると記載されています。

a)再利用可能な媒体を組織から移動する場合に，その内容が以後不要であるならば，これを復元不能とする。
b)必要かつ実際的な場合には，組織から移動する媒体について，認可を要求する。また，そのような移動について，監査証跡の維持のために記録を保管する。
c)全ての媒体は，製造業者の仕様に従って，安全でセキュリティが保たれた環境 に保管する。
d)データの機密性 又は完全性が重要な考慮事項である場合は，取り外し可能な媒体上のデータを保護するために，暗号技術を用いる。
e)保管されたデータがまだ必要な間に媒体が劣化するリスクを軽減するため，読み出せなくなる前にデータを新しい媒体に移動する。
f)価値の高いデータは，一斉に損傷又は消失するリスクをより低減するために，複数の複製を別の媒体に保管する。
g)データ消失の危険性を小さくするために，取り外し可能な媒体の登録を考慮する。
h)取り外し可能な媒体のドライブは，その利用のための業務上の理由があるときにだけ有効とする。
i)取り外し可能な媒体を用いる必要がある場合，媒体への情報の転送を監視する。
ISO27002

ポイントを抑えると以下のようになります。

• 不要なった時点でその媒体に保存されている情報が復元できないように削除する。
• 移動可能な媒体に情報を記録する場合は、追跡可能な状態を保つ
• 情報の重要度に応じて、バックアップを取っておく（移動媒体だけで管理をしない）
• 取り外し可能媒体はなるべく利用しないようにする（業務上の都合がある場合のみ利用する）
• 媒体への情報転送を監視する

特に最後の項目については要注意が必要です。取り外し可能媒体が利用できる状態というのは、簡単に組織内の情報を外部に持ち出すことができるという状態でもあります。ーーつまり、情報漏えいのリスクが非常に高いということになります。

金融機関などではオフィス内に組織が認可しない記録可能媒体の持ち込みが禁止されていますが、これは顧客情報の流出を防ぐためです。ーーこのように、取り外しが容易に行える媒体であっても、適切に管理しなければリスクが高まるだけになってしまうため注意が必要です。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。