ISO27001における情報セキュリティの考え方
- ISO27001は情報セキュリティにおける組織の合理的な意思決定を支援するツール
- ISO27001を導入したからといって、それだけでセキュリティ水準が向上することはない
- 有効なマネジメントシステムの運用を行って初めてセキュリティを高めることができる
近年はスマートフォンの普及によってIT化がますます進み、それと同時にサイバー犯罪の件数も上昇してきています。また、IT関連の事業を行う企業は、顧客から万全なセキュリティ体制の構築を要求されていることもあるでしょう。
そんな情報セキュリティが重んじられる現代で注目を集めているのがISO27001 です。ISO 27001は情報セキュリティマネジメントシステム(ISMS )の国際 規格 で、世界中で様々な企業が 認証 を取得しています。
さて、マネジメントシステムとは、要するに経営の枠組みのことなのですが、経営の枠組みによってどのように情報セキュリティ水準を高めていくことができるのでしょうか。今回は、ISO27001の情報セキュリティの考え方について解説していきましょう。
ISO27001とは
ISO27001とは、国際標準化機構(ISO)が発行する情報セキュリティマネジメントシステムの規格のことです。ISO27001は企業が情報セキュリティ水準を持続的に改善していくための枠組みを提供しており、この認証を取得することで顧客からの信用を得ることも可能となっています。
マネジメントシステム規格とは聞き慣れない言葉かもしれませんね。マネジメントシステム規格とは要するに経営の枠組みに関するガイドラインのようなものです。つまりISMS規格であるISO27001というのは、情報セキュリティにおける経営の枠組みのガイドラインなのです。
ISO27001はざっくり言うと、組織が直面する、あるいはこれから直面する情報セキュリティ上のリスクを洗い出し、そのリスクを分析。リスクに対して適切な対策を講じ、実行し、その情報セキュリティ活動をレビューすることによって再度計画を練り直す…という一連の流れを合理的な判断の下行えるように整理された枠組みなのです。
要するに、情報セキュリティを組織の仕組みによって改善していくツールなのです。
ISO27001の情報セキュリティに対する考え方
ISO27001は「組織の仕組み」というアプローチによって情報セキュリティ水準を高めていくものです。この考え方は、物理的なセキュリティ対策とは対局に位置するように感じますが、そうではありません。
ここで言う物理的なセキュリティ対策とは、ファイアウォールの設置やウイルスバスターの導入といったハードな対策のことを指しますが、ISO27001はこれらの対策方法を否定もしていなければ、むしろ積極的に実施するほうが良いと考えています。これはISO27002というISO27001の具体的な管理策を示した文書があるため、こちらを一読いただければ理解できるかと思います。
ISO27001は、それ自体がセキュリティを高めるツールとなり得るわけではありません。あくまで「リスクにどのように対応するのか」ということを合理的な判断を行うためのツールなのです。つまり、ISO27001を導入し、「どのように対策を取るか」という組織の決定を行った結果、物理的なセキュリティ対策という方法が取られるわけです。例えるなら、ISO27001は戦略であり、ファイアウォールやセキュリティツールというのは戦術なのです。
ISO27001は合理的な組織の決定を助けるツール
世の中には様々なサイバー事象が発生しており、この全てに網を張って対策していくことはどのような巨大企業であっても不可能に近いでしょう。ISO27001は、これら全てのリスクに対して対策をすべきだと言っているわけではありません。
先程も申し上げた通り、ISO27001は戦略であります。「このリスクは影響範囲が大きいから対策の必要があるが、このリスクは現時点では持っておいても問題がないだろう」――そんな組織の決断を手助けするツールなのです。こういった判断は「経験と勘」によってではなく、「確かなデータをもとにした合理的な判断」によって行われるべきであることは、言うまでもありませんが、この合理的判断を行うための枠組みが情報セキュリティマネジメントシステムであり、ISO27001はそのマネジメントシステムのガイドラインを提供するものなのです。
組織の状況を理解し、情報セキュリティの三大要素である可用性、機密性 、 完全性 を保った上でリスクとどのように付き合っていくのかを合理的に判断しましょう――。これが、ISO27001の情報セキュリティに対する考え方です。
まとめ
今回は、ISO27001の情報セキュリティに対する考え方について解説してきました。ISO27001はあくまでマネジメントシステムであるため、導入したからといって急激にリスクが減るものではありません。しかし運用を行っていくことで組織が合理的に判断する手助けを行うツールとなることでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい