大切なセキュリティ対策の方針について学びます。

勉強のきっかけになった問題

JIS Q 27001では,情報セキュリティは三つの特性を維持するものとして特徴付けられている。それらのうちの二つは機密性と完全性である。残りの一つはどれか。

ア. 安全性
イ. 可用性
ウ. 効率性
エ. 保守性
平成24年春期問42 情報セキュリティの3要素|応用情報技術者試験.com

セキュリティ対策の方針は1つではありません。

情報セキュリティポリシーとは、どんな脅威からどんなふうにシステムを守るか決めた方針です。

情報セキュリティポリシーの策定
(1)組織・体制を確立
(2)基本方針を策定
(3)守るべき情報資産を把握、分類
(4)その情報資産のリスクアセスメントを行い、それにより自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め
(5)それに応じた導入対策(管理策)を取捨選択
(6)対策基準を策定
(7)対策基準の周知徹底
(8)実施手順を策定
www.ipa.go.jp

情報セキュリティとは、機密性・完全性・可用性を維持して改善し続けることです。

組織が保護すべき情報資産について機密性・完全性・可用性(CIA)をバランスよく維持し改善すること。

  • 機密性(Confidentiality):アクセスを認可された者だけが情報に確実にアクセスできること
  • 完全性(Integrity):情報資産が完全な状態で保存され、内容が正確であること
  • 可用性(Availability):情報資産が必要になったとき、利用できる状態にあること

www.dqs-japan.jp

ISMSとは、技術対策だけではなく組織としてセキュリティレベル・プラン・資源配分を決めてシステムを運用していくことです。

Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムと言います。

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
情報セキュリティマネジメントシステム(ISMS)とは

リスクアセスメントとは、リスクを洗い出して撲滅したり低減させていくことです。

IT世界だけのことではありません。

リスクアセスメントは、職場の潜在的な危険性又は有害性を見つけ出し、これを除去、低減するため手法です。
中災防:リスクアセスメントとは なぜリスクアセスメントが必要か

www.kensaibou.or.jp

anzeninfo.mhlw.go.jp

ISMS認証基準には、実施状況の確認や見直しについても定められています。

■第3 ISMS の要求事項
(2)マネジメント枠組みの確立
 各項目について、定期的もしくは必要に応じて見直しすること。
(3)管理策の実施
 管理策を講ずるために採用された手続きについて、第 4 10(2)に従いその有効性を確認すること。
(5)文書管理
 (ア) ISMS 文書の利用者が文書を容易に利用することができる
 (イ) ISMS文書の定期的な見直しを行い、情報セキュリティポリシーに対する準拠性を維持しながら必要に応じて改訂する
 (エ) ISMSを運用するために必要なすべての事業所等において ISMS文書が閲覧可能である
■第4 詳細管理策
(2)セキュリティポリシー遵守状況の確認
 ① すべての手続きが情報セキュリティポリシーに準拠して実行されていることを定期的に見直すこと。
 ② 情報システムが情報セキュリティポリシー及び関連する対策基準や手順書等に準拠していることを定期的に確認すること。

https://isms.jp/doc/ismsreq08.pdf

ISMSの基になっている規格は、国際版がISO/IEC 17799で日本版はJIS X5080です。

これらは異なる2つの基準ではなく、英国規格である「BS7799」という規格を基に策定されており、ISO化された(国際基準化された)ものがISO/IEC17799である。そしてISO/IEC17799が日本語に翻訳され、日本工業規格(JIS化)として策定されたものが、JIS X5080である。
情報セキュリティマネジメントシステム基礎講座(1):ISMSの基盤となるISO/IEC 17799とJIS X5080 - @IT

JIS Q 27002とは、企業などの組織における情報セキュリティマネジメントシステムの仕様を定めた規格です。

国際規格ではISO/IEC 27002になります。
JIS Q 27002において対象としている脅威は、悪い人々からの攻撃だけではありません。

住環境を共有する者(例えば,家族,友人)による,情報又は資源への認可されていないアクセスの脅威

(省略)
潜在的な物理的及び環境的脅威[例えば,盗難,火災,爆発,ばい(煤)煙,水(又は給水の不具合)

(省略)

システムセキュリティ又はサービスに脅威をもたらすおそれのある,潜在的なあい(隘)路(bottlenecks)及び主要な要員への依存度合いを特定し,回避するために,管理者は,この情報を用いることが望ましく,また,適切な処置を立案することが望ましい。
JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範