【担当者は知っておきたい】ISO27002における情報セキュリティ

ISO27001 は情報セキュリティマネジメントシステムでありますが、そのマネジメントシステムを導入したからといって適切な管理策を講じなければセキュリティ水準は向上していきません。このため、マネジメントシステムは情報セキュリティ水準を高めるための一つのツールとしてみなすべきでしょう。

さて、では具体的に組織の情報セキュリティ水準を高めていくためには、管理策というものを実行していく必要があります。そんな管理策をとりまとめたISO27002では、様々な「望ましい」管理策が記載されており、これはISO27001を運用していく上でも非常に役に立ちます。今回は、そんなISO27002の中から「通信のセキュリティ」という項目のみに着目して、どのような対策を行っていくべきなのかということについて解説していきたいと思います。

通信のセキュリティとは

通信のセキュリティとは、ネットワーク内における情報の保護やあるいはそのネットワーク自体の保護のための管理策です。ISO27002では様々な要点をまとめてネットワークにおけるセキュリティ管理策のあり方を示してくれています。

以下では、その要点をおさえてどのようにネットワークを運用していくのが望ましいのかということをご紹介していきましょう。

グループに分けて管理する

ネットワーク内に情報セキュリティ上のリスクを脅かす脅威 がある場合は、そのネットワークの利用者をグループ分けしてグループに応じて利用に制限をかけることが望ましいです。これは、可用性、機密性 、 完全性 という情報セキュリティの三大要素を維持しながら管理していくために、他の項目でも推奨されている管理方法です。

例えば役職に応じて不必要な情報にアクセスできないように物理的に制御をかけることで、リスクを低減することが可能になります。また、リスクを低減できるだけでなく、情報インシデントが発生した際にその原因を素早く特定し、迅速に被害の拡大を食い止めることができるようになります。

「必要な人が見やすいように、不必要な人は見られないように」という管理策は様々なフィールドにおいて情報セキュリティ管理策の基本的な方針です。

記録・検知可能な状態を維持する

IT業界は急速なスピードで進化しており、それに応じて脆弱性やセキュリティホール も日々発見されています。ーーこういった世の中的な流れを組むと、情報セキュリティマネジメントシステムは「100%インシデントを防止する」という方針より、「情報インシデントが発生しても被害を最小限に食い止める」という方針のほうが望ましいと考えることができるのです。

このため、情報セキュリティ上のリスクを持ったあるいは影響を及ぼす可能性がある行動は記録し、保管しておくことが望ましいと考えられています。例えば以下のような行動は、取得することも容易でありますし、取得する価値があると考えられます。

• アクセス履歴
• エラーログ
• 更新履歴

ネットワークの分離

情報セキュリティにおいて、可用性や完全性を損なわない程度の物理的分離はリスク分散の手段として有効です。また、場合によっては一括で管理を行うよりも組織単位でネットワークを分けることは管理のしやすさにもつながるでしょう。特に上述のように物理的にグループ分けを行い、アクセスに制限をかけるのであれば、ネットワークを分離することが望ましいといえます。

まとめ

今回は、情報セキュリティマネジメントシステムの具体的管理策を示したISO27002の中からネットワークの管理について解説してきました。この他にもISO27002には様々な管理策に関する望ましい方針について記載されています。ーーもちろん、ISO27002こそがすべての正解であるわけではありませんし、ISO27002に従わなければISO27001の認証を取得することができないというわけではありません。

ただ、リスクアセスメント を行ったり、内部監査を行ったりする際に、ISO27002はヒントになることもあります。つまり、ISMS のクオリティを高めるための参考書のような役割を持っているのです。

ISO27001の認証を取得・運用している企業は是非ISO27002にも目を通してみて、自主的な情報セキュリティの取り組みを行ってみましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。