情報セキュリティマネジメントシステム

情報セキュリティマネジメントシステム（ISMS）とは

情報セキュリティマネジメントシステム（ISMS）は、組織における情報資産を保護し、リスクを適切に管理するための枠組みです。ISMSは、単に技術的な対策だけでなく、組織の体制、方針、プロセス全体を管理対象とします。これにより、組織は情報セキュリティリスクを継続的に評価・対応し、情報資産の機密性、完全性、可用性を維持することが可能になります。

ISMSの目標は、リスクマネジメントプロセスを適用することで、情報の機密性、完全性、可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることです。これは、組織が情報セキュリティに対する責任を果たし、顧客や社会からの信頼を得る上で不可欠です。

ISMSの国際規格として、ISO 27001（日本ではJIS Q 27001として規格化）が広く認知されています。この規格は、ISMSの構築、運用、維持、改善のための要求事項を定めており、組織はこれに従ってISMSを構築・運用することで、情報セキュリティリスクを効果的に管理することができます。

ISMSの国際規格と標準化

ISMSを規定するISO/IEC 27001:2013は、ISOのさまざまなマネジメントシステム規格（MSS）の一つとして、共通化を図った附属書SLに沿って規格化されています。これにより、品質マネジメントシステム（QMS）、環境マネジメントシステム（EMS）など、他のマネジメントシステムとの整合性が確保されています。また、リスクマネジメントの国際規格であるISO 31000との整合性も図られています。

情報セキュリティのためのマネジメントシステム規格の開発は、ISO/IEC JTC 1|ISO_IEC JTC 1（情報技術）のSC27委員会（セキュリティ技術副委員会）の作業グループによって担当されています。このグループがISMSの構築方法や認定基準を審議し、国際規格であるISO/IEC 27001を作成し、日本ではJIS Q 27001として翻訳されています。SC27は、ISMSに関連する多くの国際規格を標準化しており、これらの規格はISMSファミリー規格と呼ばれています。

ISMSにおける重要な用語

ISMSを理解する上で、いくつかの重要な用語があります。

リスク: 「目的に対する不確かさの影響」を指し、情報セキュリティリスクは、脅威が情報資産のぜい弱性を利用して組織に損害を与える可能性を意味します。
情報資産: ISOの原文では「資産」(asset)ですが、JISでは誤解を避けるために「情報資産」としています。
リスク源: リスクを引き起こす潜在的な要因であり、脅威と脆弱性がその典型例です。
脅威: システムや組織に損害を与える可能性のある、望ましくないインシデントの潜在的な原因です。脅威は、人為的脅威（意図的脅威、偶発的脅威）と環境的脅威に分類されます。
脆弱性: 脅威によって利用される可能性のある資産や管理策の弱点です。
リスクレベル: 各リスクの規模を示し、リスクの発生しやすさと発生した場合の結果によって決定します。

情報セキュリティインシデント

情報セキュリティ事象: 情報セキュリティ方針への違反や管理策の不具合の可能性、またはセキュリティに関係し得る未知の状況を示す事象です。
情報セキュリティインシデント: 事業運営を危うくする可能性や情報セキュリティを脅かす可能性が高い、望まないまたは予期しない情報セキュリティ事象です。
情報セキュリティインシデント管理: 情報セキュリティインシデントを検出、報告、評価、対応、対処し、そこから学習するためのプロセスです。
情報セキュリティ継続: 継続した情報セキュリティの運用を確実にするためのプロセスです。

ISMSの実施事項、組織体制、方針

ISMSを実施する組織には、以下が求められます。

ISMSに関する方針を定め、要求事項を満たすことや継続的改善へのコミットメントを示す。
リスクマネジメントなどのISMSに関する計画を策定する。
必要な資源や力量を確保する。
策定した計画を運用する。
ISMSの実施に関するパフォーマンスと有効性を評価する。
不適合が発生した場合に是正措置を行い、ISMSを継続的に改善する。

これらの活動を効果的に行うために、ISMSではプロセスアプローチが採用されます。プロセスアプローチでは、経営活動をインプットをアウトプットに変換するプロセスとみなし、これらのプロセスをシステムとして組織に適応・管理します。

2013年版のISOでは、PDCAサイクル（計画、実行、評価、改善）に関する記述は大きく後退しましたが、JIPDECはPDCAサイクルを採用することでISMSのプロセスが整理されるとしています。

組織体制
トップマネジメントは、ISMSの組織プロセスへの統合、必要な資源の提供、重要性の伝達、成果達成の保証、指揮、支援を行います。トップマネジメントは、ISMSがJIS Q 27001:2014の要求事項に適合することを保証し、ISMSのパフォーマンスをトップマネジメントに報告する責任と権限を割り当てる必要があります。

JIPDECは、ISMSの中心的な役割を担う情報セキュリティ委員会の設置を推奨しています。情報セキュリティ委員会の役割は、リスクマネジメントの環境整備、ISMS関連文書の決定、施策の検討と改訂、セキュリティ問題の検討、ISMS運用の評価結果に基づいた改善です。また、ISMSの構築・運用を担当する情報セキュリティ策定・運用チームや専門家・外部コンサルタントの設置も推奨しています。

情報セキュリティの方針群
ISMSを実施する組織は、内部および外部の課題、利害関係者の情報セキュリティに関する要求事項、他の組織との依存関係を特定し、ISMSの適用範囲を決定します。その後、トップマネジメントは情報セキュリティ方針を定め、資産の情報セキュリティを担保します。この方針は、情報セキュリティに関する全ての活動の指針となり、情報セキュリティの定義、目的、原則、責任の割当て、逸脱や例外を扱うプロセスを含めることが望ましいです。

情報セキュリティ方針は、情報セキュリティ目的やそれを設定するための枠組みを含める必要があります。情報セキュリティ目的は、情報セキュリティ方針との整合性や実行可能な場合の測定可能性が求められます。

情報セキュリティの方針群は、一般的に以下の3段階の階層構造を持つことが多いです。

1. 情報セキュリティ基本方針：情報セキュリティの目標と、目標達成のために組織がとるべき行動を宣言します。
2. 情報セキュリティ対策基準：基本方針に基づいて「何を実施しなければならないか」を記述します。
3. 情報セキュリティ実施手順：対策基準で定めた規則をどのように実施するかを記述します。

リスクマネジメント

ISMSにおけるリスクマネジメントは、JIS Q 31000:2010(ISO 31000:2009)およびJIS Q 0073:2010(ISO Guide73:2009)と整合性が図られています。リスクマネジメントとは、組織を指揮統制するための調整された活動であり、リスクを運用管理するための方針、目的、指令、コミットメントなどの基盤組織内の取り決めを提供するものです。

リスクマネジメントプロセスは以下のステップで構成されます。

1. 組織内外の状況の把握
2. リスクアセスメント
3. リスク対応
4. モニタリングおよびレビュー

リスクアセスメントは、以下の3つの作業から構成されます。

1. リスク特定：リスクの発見、認識、記述
2. リスク分析：リスクの特質を理解し、リスクレベルを理解
3. リスク評価：リスク分析の結果をリスク基準と比較し、リスクが受容可能かどうかを決定

情報セキュリティ リスクアセスメント

ISMSでは、情報セキュリティリスクアセスメントに関して詳細な指針が定められています。具体的には以下の9つの作業が含まれます。

1. リスクアセスメントの取組方法の定義
2. リスク特定
3. リスク分析
4. リスク評価
5. リスク対応
6. 管理策の決定
7. 適用宣言書の作成
8. 情報セキュリティリスク計画書の作成
9. 残留リスクの承認

リスク分析方法

ISMSで参照されるリスク分析方法は、以下の4種類が定義されています。

1. ベースラインアプローチ：既存の標準や基準をベースラインとして策定し、チェックする方法
2. 非形式的アプローチ：熟練者の知識や経験に頼ったアプローチ
3. 詳細リスク分析：情報資産ごとに資産価値、脅威、セキュリティ要件を識別して評価する手法
4. 組み合わせアプローチ：上記の複数を組み合わせた手法

ISMSの標準化の流れ

ISMSの標準化は、1995年に英国規格協会（BSI）によって規定された英国規格BS 7799が基となっています。BS 7799は、Part 1とPart 2の2部構成であり、Part 2がISMSの認定基準となりました。日本の「ISMS認証基準」は、このPart 2を基に策定されました。

BS 7799は国際規格となり、BS 7799-1はISO/IEC 17799、BS 7799-2はISO/IEC 27001となりました。これらの規格は翻訳され、日本産業規格（JIS）としても策定されています。現在では、ISO/IEC 27001がISMSの主要な規格として広く利用されています。

過去の経緯

かつて、情報処理サービス業に対して、コンピュータシステムの安全対策を認定する制度として、旧通商産業省の「情報システム安全対策実施事業所認定制度」（安対制度）がありました。しかし、情報セキュリティは情報処理業だけでなく、あらゆる業種が対象となるようになったこと、国の制度から民間の制度への移行が進んだこと、国際規格および日本産業規格が制定されたことなどから、安対制度はISMS認証基準へと発展的に解消されました。