こんにちは!
アドベントカレンダー9日目は、松永がお届けします。
先月、プレスリリースにて、当社のISMS認証取得を発表しました。
『ISMS(情報セキュリティマネジメントシステム)の国際規格認証を取得しました。』
ISMSは、JIS Q 27001(ISO/IEC 27001)として情報セキュリティマネジメントシステムの国際規格となっています・・・って、ふんふんなるほどね、情報セキュリティね、うん、ISOか。27001か。そうかそうか~。と、なんとく伝わりにくい感がありますので、今日は、ISMS認証取得とはつまりどういうことなのかを説明をしていきたいと思います。
ISMSとは
ISMSは、”Information Security Management System” の略語で、訳すれば「情報セキュリティマネジメントシステム」です。日本語とはいえカタカナばかりで、お、おう、という感じですが、平たく言えば、「情報資産を安全に管理していくための仕組み」です。
脅威は変化していく
情報セキュリティの重要性については、ここで説明するまでもなく、みなさん認識されていると思います。毎日のように情報セキュリティに関する事件は起きてますし、高度な技術を保有しているであろう世界的なIT企業であっても例外ではありません。
こうした脅威が根絶されない理由として、企業の情報資産を狙うサイバー犯罪も、トレンドが毎年変化していることが挙げられます。
以下はIPAにて公開された、『情報セキュリティ10大脅威 2019』です。
(※ https://www.ipa.go.jp/security/vuln/10threats2019.html より引用。)
組織では「サプライチェーンの弱点を悪用した攻撃の高まり」がランクインしました。自社だけ守ればOK、ということはなく、調達から物流や販売など、一連の商流に関係するパートナー企業も含めた対策が必要となっています。
ビジネス環境も変化していく
また、現代社会においては様々な情報がデジタル化され、効率的に収集、保管、活用ができるようになりました。
クラウドサービスの普及によって、旧来は手元にあったデータや業務プロセスが雲の向こうに移行していき、企業の情報資産が物理的には正確な所在もわからない外の世界に存在することも当たり前の時代になってきました。その傾向は年々強くなっています。
脅威だけでなくて、昨今の急激なビジネス環境の変化によって、守るべき資産の対象や、その在り方もどんどん変化しています。
どう対応していくか
なので、情報セキュリティを強化しよう!と、ばーんと大きなIT投資をしても、導入したその瞬間から新たなセキュリティ上の問題に直面する可能性があります。対策を打ったからこれでももう大丈夫、と安心してはダメで、将来発生するであろう新たな脅威に対して対策を講じ続けなければなりません。
ISMSのマネジメントシステムは、企業がこうした情報セキュリティに関する取り組みを、計画し、実行し、評価し、改善を続けるための継続的な仕組みを指します。
ISMSの認定を取得した、というのは、その企業が自身の状況に応じた情報セキュリティマネジメントシステムを保有しており、かつ、その仕組みが適切に運用されていることが認証機関によって確認された、という状況です。
認証登録の有効期限は3年で、継続する場合は更新審査を受けます。また、3年間の有効期限に間でも、定期的に維持審査があります。認証は取ったらおしまいではなく、継続的に活動を進めていくことになります。
ISMSの良いところ
私は、ISMSのこうした仕組みは素晴らしいと思っています。
単発の施策で満足するのではなく、現場からトップマネジメントまでも巻き込み、第三者の審査を継続的に受けながら情報セキュリティを改善し続ける、というのは理想的な姿かと。情報セキュリティにゴールはないからこそ、継続的な努力が必要なのです。
おわりに
エコモットでは、2018年の10月から準備を始め、丸1年かけて認証取得をしました。
最初は自分たちが所有している情報資産の洗い出しから始めました。
とにかく地味な作業です。そこからリスク分析や各種手順書を作成し、一通り完成したら運用を回してセルフチェック。問題点を分析し、社長まで巻き込んでのルール改善。
時間はかかりましたが、自分たちの業務にマッチしたマネジメントシステムが出来上がりました。
今後は、着実に仕組みを成熟させていきたいと思います。