情報セキュリティマネジメントシステムでは、情報を保存・記録する媒体の取り扱いに細心の注意を払う必要があります。ISO27001 の具体的な管理策として策定した ISO 27002でも、この媒体の管理方法について詳しく記載しています。

では、媒体とはどのようなもののことを指し、またどのように管理するべきなのでしょうか?今回は、ISO27002から見る媒体の取り扱い方について解説していきたいと思います。

そもそも媒体とは?

媒体とは、メディアとも呼ばれる何らかの情報を記録・保存するもののことを指します。一般的に「媒体」というと、USBレコーダーやディスクのようなイメージがありますが、メモ用紙やパソコンのハードディスク、データベースなど「媒体」というものは私達の身の回りに様々存在します。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

媒体が保有するリスクとは

情報を保存する媒体は、非常に便利なものでありますが、便利であるがゆえにリスクを保有しています。例えばUSBメモリに重要な情報を保存している状態で紛失してしまうと、情報漏えいのリスクにもなりますし、パソコンのような高性能な媒体に依存しすぎていると、情報が破損した場合にその情報を復元できなくなってしまう可能性もあります。

このため、組織は情報を管理するために媒体を管理する必要が出てきます。とりわけ取り外しが可能な媒体に関しては、細心の注意を払って管理する必要があるのです。

以下では、ISO27002に沿って媒体をどのように管理することが望ましいのかということについて解説していきましょう。

取り外し可能媒体の管理

ISO27002では、取り外し可能な媒体(ディスクやUSBメモリなど)に関しては、以下のようなことを考慮する必要があると記載されています。

a)再利用可能な媒体を組織から移動する場合に,その内容が以後不要であるならば,これを復元不能とする。
b)必要かつ実際的な場合には,組織から移動する媒体について,認可を要求する。また,そのような移動について,監査証跡の維持のために記録を保管する。
c)全ての媒体は,製造業者の仕様に従って,安全でセキュリティが保たれた環境 に保管する。
d)データの機密性 又は完全性が重要な考慮事項である場合は,取り外し可能な媒体上のデータを保護するために,暗号技術を用いる。
e)保管されたデータがまだ必要な間に媒体が劣化するリスクを軽減するため,読み出せなくなる前にデータを新しい媒体に移動する。
f)価値の高いデータは,一斉に損傷又は消失するリスクをより低減するために,複数の複製を別の媒体に保管する。
g)データ消失の危険性を小さくするために,取り外し可能な媒体の登録を考慮する。
h)取り外し可能な媒体のドライブは,その利用のための業務上の理由があるときにだけ有効とする。
i)取り外し可能な媒体を用いる必要がある場合,媒体への情報の転送を監視する。
ISO27002

ポイントを抑えると以下のようになります。

  • 不要なった時点でその媒体に保存されている情報が復元できないように削除する。
  • 移動可能な媒体に情報を記録する場合は、追跡可能な状態を保つ
  • 情報の重要度に応じて、バックアップを取っておく(移動媒体だけで管理をしない)
  • 取り外し可能媒体はなるべく利用しないようにする(業務上の都合がある場合のみ利用する)
  • 媒体への情報転送を監視する

特に最後の項目については要注意が必要です。取り外し可能媒体が利用できる状態というのは、簡単に組織内の情報を外部に持ち出すことができるという状態でもあります。ーーつまり、情報漏えいのリスクが非常に高いということになります。

金融機関などではオフィス内に組織が認可しない記録可能媒体の持ち込みが禁止されていますが、これは顧客情報の流出を防ぐためです。ーーこのように、取り外しが容易に行える媒体であっても、適切に管理しなければリスクが高まるだけになってしまうため注意が必要です。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ