特集 ISOとは何か 新入社員のためのISOガイド2006
ISO27001の狙い
情報セキュリティとは
情報セキュリティとは、「情報の機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の維持」(ISMS認証基準Ver.2.0)である。この三つをセキュリティの3要素、CIAという。
機密性とは、特定の情報に対して許可された利用者だけがその情報にアクセスできることを保証する、逆にいうと、権限のない者はその情報にアクセス、書き込み、実行ができない状態である。そのためには、個々の権限に応じて情報を適正に保護しなくてはならない。
完全性とは、情報が常に正確で、完全であることをいう。そのためには、権限のない許可されていない利用者によって情報が改ざん、破壊されないように守る必要がある。
可用性とは、情報にアクセスが許可されている利用者がその情報へのアクセスを要求した場合、いつでもアクセスできることをいう。そのためには、適正な要求に対し常に使える状態にしておく環境にする。
個人情報や営業機密の漏洩など、機密性だけにスポットがあたりがちだが、情報や処理方法が正確で完全であり、認可された利用者が必要なときに情報や関連資産にアクセスできることも重要である。
なお、セキュリティの確保された「安全」な状況をセキュアという。
情報セキュリティリスク
リスクの大きさは、以下のような公式で示される。この資産、脅威、ぜい弱性をリスク構成要素という。
『リスク=資産価値×脅威×ぜい弱性』
資産は、組織にとって価値を持つものを意味し、従来は情報資産(Information Asset)と呼ばれていた。ここには情報そのものだけでなく、ハードウェアやソフトウェア、要員、文書までも含まれる。
脅威(threat)は、例えばコンピュータウイルスなど、情報資産に損失を与える要因である。
ぜい弱性(vulnerability)は、脅威の発生を誘引するような資産固有の欠点である。
すなわち、そもそも資産や脅威がなければリスクは存在せず、例え脅威があっても、資産にぜい弱性がなければリスクはない。脅威が資産のぜい弱性を突く時に損失のリスクがあるということである。
ISMS運用の目的
企業が情報セキュリティマネジメントシステムを運用する目的は、企業の情報資産を脅威から守ることであり、その運用を通じて従業員の情報セキュリティ意識を高め、顧客の信頼性を向上させることである。
事実、セキュリティ対策の不備に起因する機密情報や個人情報の漏洩、コンピュータウイルス、不正アクセスやシステムダウンによる事業中断などセキュリティ事故が相次いでいる。そのような中で組織としてISMSを確立することは事業継続上不可欠なリスクマネジメントであり、企業が果たすべき責務である。
ISO27000シリーズ
ISO27000シリーズはISMS要求事項(ISO27001)とその実施をサポートする規格群であり、以下のような構成となっている(ISO27007以降はまだ割り当てられていない)。
■ISO27000シリーズ
<アイソムズ 2006年4月号掲載>
