引き続き、QAエンジニアの私がこの本より、一般の方たち向けにかみ砕いていきます。
ISO/IEC27001:情報セキュリティマネジメントシステム
情報セキュリティとは
◎情報セキュリティとは
ISO/IEC27001:2013:情報セキュリティマネジメントシステムの国際規格
この規格は具体的な仕様まではありません。その代わり、以下のように定義しています。
「情報の機密性、完全性および可用性を維持すること。」(ISO/IEC27001:2018 3.28)
つまり、以下の3点が重要となっています。
- 機密性
- 完全性
- 可用性
◎機密性(=限られた人しか閲覧・編集させない特性)
極秘情報など、閲覧・編集できる人を厳密に管理し、部外者が閲覧・編集できない管理が必要
例:顧客からの個人情報など、漏洩すると損害が大きい情報=機密性が高い
◎完全性(=正確で完全さが要求される特性)
間違い・抜け漏れがないように管理が必要
例:顧客名簿・決算書類など、情報・数値の誤りで損害が大きい情報=完全性が高い
◎可用性(=アクセスおよび使用が可能である特性)
必要な情報を適切に使えるような状態を保つこと
例:ネットワーク機器(LAN・Wi-Fiなど)・操作端末(キーボードなど)が使用できなくなると損害が大きい=可用性が高い
情報資産
◎情報資産の洗い出し
まずは、自分の組織がどんな「情報資産」を持っているか把握すること
情報資産:顧客の個人情報・購入商品・使用状況・クレーム情報など
◎重要な情報資産の特定
情報資産であっても、極秘情報から流出しても問題ないものまであります。
極秘情報:取引先情報・個人情報など
流出問題なし:会社の中長期計画・貸借対照表・損益計算書・会社四季報の掲載内容など
何を「重要な情報資産」とするか3つの要素(機密性・完全性・可用性)から考える必要があります。
リスクアセスメント
◎リスクアセスメントとは
リスクアセスメント=リスクを「評価」すること
「重要な情報資産が大きな脅威に晒されていれば、しっかりと対策をしなければならない」
- 被害度ほぼゼロ⇒対策は必要なし
- 被害度小⇒対象従業員に個別で周知・教育等
- 被害度中⇒対象従業員・対象グループに周知・教育等
- 被害度大⇒対策委員会を設置、対象従業員・対象グループに周知・教育等
- 被害度甚大⇒全従業員対象、対策委員会の設置、全従業員に周知・教育等
だいたいこんな感じだと思いますが、企業によって異なりますので、参考程度に。
◎リスク基準
リスクアセスメントの結果、どこまで許容できるか判断が必要です。例として、
- レベルゼロ:社内外関係なく、誰でも入れるエリア
- レベル低:社内・社内の協力会社までが入れるエリア
- レベル中:社内までが入れるエリア
- レベル高:社内でも、限られた登録者のみ入れるエリア
何でもかんでもレベルを、コストが掛かり、割に合わないこともあります。組織それぞれのコスト事情の捉え方が違うので、自分に合ったリスク基準を決める必要があります。
◎脅威の洗い出し
情報資産はどう盗まれる? その盗まれ方の対策は?
新たな盗まれ方は? その対策は?
日々、盗まれ方も進歩していくため、その対策も進歩させなければなりません。
◎リスクアセスメントの例
重要な情報資産が大きな脅威(盗まれることによる大損失)に当たる場合、十分な対策が必要です。
以下の3点の評価の積で求めます。
- 資産価値:盗まれた場合の損失度合い(機密性・完全性・可用性のうちの最大値)
- 脅威:盗みに来る頻度
- 脆弱性:盗まれやすさ
これにより、資産価値×脅威×脆弱性の数値が大きい箇所から対策を講じる必要があります。
リスク対応と残留リスク
◎リスク対応
リスクアセスメントの結果より、必要な対応を選定することが求められます。
リスク対応の選択肢
- 低減:盗まれないように措置を講じる
- 保有(受容):仕方ないと受入れ、様子を見る
- 回避:手放す
- 共有(移転):責任を別のところに移したり、保険をかける
管理策(ISO/IEC27001):驚異発生・脆弱性を低減すること
◎残留リスクとは
残留リスク:対策しても残るリスク、これ以上対策できないリスク
残留リスクが基準値を超えていないか確認し、基準値を超えていたら対策が必要です。
◎リスク対応計画
リスク対応計画:リスク低減するために計画を立てること
情報資産が盗まれるリスクは、常にあります。しかし、工数などの事情で、全てをすぐに対応することは不可能です。これをリスクの所有者・いつまで・どのように低減するか、予定を立てます。
内部監査・マネジメントレビューなどで進捗を確認します。
ワークショップ③
当書籍に則り、カレー屋さんを例にしたワークショップです。
◎情報資産の洗い出し
盗まれると痛い情報資産
- レシピ
- 顧客名簿・個人情報
- 電子マネーのリーダー・PCなど設備
◎リスクアセスメント
初めに、現状のリスクアセスメントの数値を資産価値×脅威×脆弱性で割り出します。
合格ライン:12以下 に決めます。
各リスクが基準値以下であれば合格、超えていれば不合格・改善必要とします。
◎対策の強化
リスクアセスメントで、不合格・改善必要とした項目を改善します。すぐにできなければ、いつまで・どのように改善するか計画を立てて、運営していきます。
◎企業での導入に向けて
実際は、もっと複雑です。かつ、上長承認なども避けては通れません。
改善するために、定期的に使用できないようにして改善が必要です。定期メンテナンスとも言います。ただし、多くのユーザーが使わないと思われる時間帯を指定して、メンテナンス等を行います。そのために、計画などが必要となってきます。
まずは、情報資産・リスクを可視化することで、危機感を共有できます。優先順位に応じて管理策を導入し、リスク低減します。しかし、情報の盗まれ方は進化します。そのため、盗まれないようにブロックを進化させないといけません。
以上が、ISO/IEC27001になります。ちょっとニュアンス等が違う箇所もあると思いますが、ご了承願います。
コメント