注目すべき!ISO27002における物理セキュリティとは
企業や組織の情報セキュリティ水準を高めるためのツールであるISMS 。そのISMS規格 であるISO27001 はより優れたマネジメントシステムを構築するために非常に重要な役割を果たします。ーーしかし、優れた監督が率いるチームが試合に勝つことができないのと同じように、優れたマネジメントシステムを導入したからといって、完璧なセキュリティ体制を実現することができるというわけではありません。
ISO 27001を策定した国際標準化機構もこの点については理解しており、ISO27001にて構築されたマネジメントシステムの具体的な管理策をまとめたISO27002で頻繁に「物理的」というキーワードを出してきています。
では、ISO27002における「物理的セキュリティ」とはどのようなものなのでしょうか?
物理的セキュリティとは
物理的セキュリティとは、言葉の通り情報における物理的な方法によるセキュリティ対策のことを指します。この「物理的」という言葉については、IT業界に精通している方ならすんなりと理解することができるかもしれませんが、いささか分かりにくい部分もあるでしょう。
ISO27002では、「物理的な保護」を以下のように表現しています。
物理的な保護は,組織の施設及び情報処理施設の周囲に一つ以上の物理的障壁を設けることで達成することができる。複数の障壁を利用することは,一つの障壁の故障が直ちにセキュリティを損なうことにはならないという,更なる保護をもたらす。
ISO27002
もう少し分かりやすく言うと、物理的セキュリティとは、ハードな要素を持ったセキュリティです。一方これと対照となるのは、ソフトな要素を持ったセキュリティです。
ソフトな要素を持ったセキュリティとは
ソフトな要素を持ったセキュリティとは、例えば以下のようなものを指します。
- 従業員のリテラシー教育
- 記録による管理
- 懲戒ルールなどの規定
こういったセキュリティ対策は、物理的に情報漏えいを防いだり、外部からの攻撃への対策を行ったりしていないことがおわかりいただけると思います。ソフトなセキュリティ対策は、もちろん必要なものであり、こういった管理方法がISMSの本質的な要素ではありますが、これだけでは十分なセキュリティを構築できているとは言えないでしょう。
ハードな要素を持ったセキュリティとは
一方で、ハードな要素を持ったセキュリティは、以下のようなものを指します。
- VPNなどの環境整備
- アプリケーションの脆弱性排除
- オフィスの施錠システムの導入
こういったセキュリティ対策は、物理的に情報漏えいや外部からの攻撃をブロックすることができます。
マネジメントシステムを導入しても物理的なセキュリティが必要な理由
ひょっとすると皆さんは、「ISO27001の厳しい審査をクリアしたマネジメントシステムを構築すれば、盤石なセキュリティ体制を確立することができる」と考えているかもしれません。確かに、マネジメントシステムを構築し、しっかりと運用をしていくことで組織のセキュリティ水準を高めることが結果的に可能になるでしょう。しかし、マネジメントシステムは「情報セキュリティ水準を高める一つのツール」でしかないという点については理解しておきましょう。
情報セキュリティマネジメントシステムは、現在組織にどのようなリスクがあり、そのリスクにどのように対処していけばよいかということを効率的に、理論的に決定するための道具なのです。それ自体が直接的にセキュリティを高めるものではありません。
つまり、ISMSは「対策方法」のヒントを得るツールであって、実際には物理的、あるいは従業員教育などによるソフトなセキュリティ対策が必要になってくるのです。
まとめ
今回は、物理的セキュリティとはどのようなものか、またなぜ物理的セキュリティが必要なのかということについて解説してきました。ISMS果たしかに組織にとってセキュリティ対策を高める助けとなりますが、あくまで道具の一つであると改めて認識して、より高い水準のセキュリティ体制を構築していきましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい