「ISOマネジメントシステムが一番わかる」より8

QA(品質保証)

引き続き、QAエンジニアの私がこの本より、一般の方たち向けにかみ砕いていきます。

ISO/IEC27001:情報セキュリティマネジメントシステム

情報セキュリティとは

◎情報セキュリティとは

ISO/IEC27001:2013:情報セキュリティマネジメントシステムの国際規格

この規格は具体的な仕様まではありません。その代わり、以下のように定義しています。

「情報の機密性、完全性および可用性を維持すること。」(ISO/IEC27001:2018 3.28)

つまり、以下の3点が重要となっています。

  • 機密性
  • 完全性
  • 可用性

機密性(=限られた人しか閲覧・編集させない特性)

極秘情報など、閲覧・編集できる人を厳密に管理し、部外者が閲覧・編集できない管理が必要

例:顧客からの個人情報など、漏洩すると損害が大きい情報=機密性が高い

完全性(=正確で完全さが要求される特性)

間違い・抜け漏れがないように管理が必要

例:顧客名簿・決算書類など、情報・数値の誤り損害が大きい情報=完全性が高い

可用性(=アクセスおよび使用が可能である特性)

必要な情報を適切に使えるような状態を保つこと

例:ネットワーク機器(LAN・Wi-Fiなど)・操作端末(キーボードなど)が使用できなくなる損害が大きい=可用性が高い

情報資産

情報資産の洗い出し

まずは、自分の組織がどんな「情報資産」を持っているか把握すること

情報資産:顧客の個人情報・購入商品・使用状況・クレーム情報など

重要な情報資産の特定

情報資産であっても、極秘情報から流出しても問題ないものまであります。

極秘情報:取引先情報・個人情報など

流出問題なし:会社の中長期計画・貸借対照表・損益計算書・会社四季報の掲載内容など

何を「重要な情報資産」とするか3つの要素(機密性・完全性・可用性)から考える必要があります。

リスクアセスメント

リスクアセスメントとは

リスクアセスメント=リスクを「評価」すること

「重要な情報資産が大きな脅威に晒されていれば、しっかりと対策をしなければならない

  • 被害度ほぼゼロ⇒対策は必要なし
  • 被害度小⇒対象従業員に個別で周知・教育等
  • 被害度中⇒対象従業員・対象グループに周知・教育等
  • 被害度大⇒対策委員会を設置、対象従業員・対象グループに周知・教育等
  • 被害度甚大⇒全従業員対象、対策委員会の設置、全従業員に周知・教育等

だいたいこんな感じだと思いますが、企業によって異なりますので、参考程度に。

◎リスク基準

リスクアセスメントの結果、どこまで許容できるか判断が必要です。例として、

  • レベルゼロ:社内外関係なく、誰でも入れるエリア
  • レベル低:社内・社内の協力会社までが入れるエリア
  • レベル中:社内までが入れるエリア
  • レベル高:社内でも、限られた登録者のみ入れるエリア

何でもかんでもレベルを、コストが掛かり、割に合わないこともあります。組織それぞれのコスト事情の捉え方が違うので、自分に合ったリスク基準を決める必要があります。

◎脅威の洗い出し

情報資産はどう盗まれる? その盗まれ方の対策は?

新たな盗まれ方は? その対策は?

日々、盗まれ方も進歩していくため、その対策も進歩させなければなりません。

◎リスクアセスメントの例

重要な情報資産が大きな脅威(盗まれることによる大損失)に当たる場合、十分な対策が必要です。

以下の3点の評価の積で求めます。

  • 資産価値:盗まれた場合の損失度合い(機密性・完全性・可用性のうちの最大値)
  • 脅威:盗みに来る頻度
  • 脆弱性:盗まれやすさ

これにより、資産価値×脅威×脆弱性の数値が大きい箇所から対策を講じる必要があります。

リスク対応と残留リスク

◎リスク対応

リスクアセスメントの結果より、必要な対応を選定することが求められます。

リスク対応の選択肢

  • 低減:盗まれないように措置を講じる
  • 保有(受容):仕方ないと受入れ、様子を見る
  • 回避:手放す
  • 共有(移転):責任を別のところに移したり、保険をかける

管理策(ISO/IEC27001)驚異発生・脆弱性を低減すること

◎残留リスクとは

残留リスク:対策しても残るリスク、これ以上対策できないリスク

残留リスクが基準値を超えていないか確認し、基準値を超えていたら対策が必要です。

◎リスク対応計画

リスク対応計画:リスク低減するために計画を立てること

情報資産が盗まれるリスクは、常にあります。しかし、工数などの事情で、全てをすぐに対応することは不可能です。これをリスクの所有者・いつまで・どのように低減するか、予定を立てます。

内部監査・マネジメントレビューなどで進捗を確認します。

ワークショップ③

当書籍に則り、カレー屋さんを例にしたワークショップです。

情報資産の洗い出し

盗まれると痛い情報資産

  • レシピ
  • 顧客名簿・個人情報
  • 電子マネーのリーダー・PCなど設備

リスクアセスメント

初めに、現状のリスクアセスメントの数値を資産価値×脅威×脆弱性で割り出します。

合格ライン:12以下 に決めます。

各リスクが基準値以下であれば合格、超えていれば不合格・改善必要とします。

対策の強化

リスクアセスメントで、不合格・改善必要とした項目を改善します。すぐにできなければ、いつまで・どのように改善するか計画を立てて、運営していきます。

◎企業での導入に向けて

実際は、もっと複雑です。かつ、上長承認なども避けては通れません。

改善するために、定期的に使用できないようにして改善が必要です。定期メンテナンスとも言います。ただし、多くのユーザーが使わないと思われる時間帯を指定して、メンテナンス等を行います。そのために、計画などが必要となってきます。

まずは、情報資産・リスクを可視化することで、危機感を共有できます。優先順位に応じて管理策を導入し、リスク低減します。しかし、情報の盗まれ方は進化します。そのため、盗まれないようにブロックを進化させないといけません。

以上が、ISO/IEC27001になります。ちょっとニュアンス等が違う箇所もあると思いますが、ご了承願います。

コメント

タイトルとURLをコピーしました