情報システム部門 2021年6月28日

情報セキュリティマネジメントについて考えてみませんか?

私が今学習中の、『IPA情報セキュリティマネジメント試験』ですが、前回の記事ではこの試験が新設された背景などを書きました。

学習を進めていくと、みなさんに伝えたいと思う大切なことがたくさん出てきます。そこで、『情報セキュリティマネジメント』について覚えたことを、みなさんにも紹介していけたら良いなと思いました。

ご興味がある人もない人も、このブログを通して『情報セキュリティマネジメント』はどんな内容なのか頭の中でふんわりイメージが浮かぶと嬉しいです。

安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。

情報セキュリティをすすめる時の考え方

『情報セキュリティ』とは、(情報の保存先である)パソコンやサーバーにある「顧客情報」や「技術情報」などを ”危険がなく安心に管理するために行う対策全般” のことです。

どんな対策をすれば良いのか考えた時、技術的な難しいことをするんだろうな。と思い浮かべがちだと思いますが、技術だけでは対策できません。組織全体で対策を考える必要があるそうです。つまり、お一人お一人の考え方や行動がとても重要になってくる。という事になります。

会社や学校、あらゆる組織で利用されているインターネットですが、組織の全員でルールを決めて、そのルールを守るための仕組みを作ってみはいかがでしょうか。

情報セキュリティの定義

情報セキュリティは、次のように定義されています。

3 用語及び定義
3.28 情報セキュリティ(information security)
情報の機密性(3.10),完全性(3.36)及び可用性(3.7)を維持すること。

出典:日本産業規格 JIS Q 27000:2019

私は初め、機密性、完全性、可用性の維持って何!?と思いました。でも、だんだん読み解いていくと納得することができました。

機密性を維持するには、許可された人以外には情報を見られないように対策をします。情報の暗号化や、情報へアクセスする時にパスワード認証をかけて情報を守ります。

完全性を維持するには、情報を改ざんをされないように対策をします。ホームページの情報などが書き換えられないように(情報の保存先)サーバーにアクセス制限をかけて情報を守ります。

可用性を維持をするには、情報をいつでも見られるように対策をします。サーバーが故障したり、被災をしてデータが確認できなくなる事がないように、サーバーを2重化(冗長化)して情報を守ります。

『情報セキュリティ』の定義を知って、私はちょっと感動してしまいした。普段『情報セキュリティ』と言葉にするものの、本当の意味・内容は理解できていなかったなと感じました…。

少し『情報セキュリティ』の入り口が見えてきた気がします。

情報セキュリティマネジメントシステム

インターネットを安心して利用するためには、ルールを決めてそのルールを守る仕組みを作ったり、『情報セキュリティの定義』にあるように、機密性、完全性、可用性を維持する必要があります。

そうは言っても、具体的にどうすれば良いのでしょうか?

情報セキュリティを組織で取り組ことを『情報セキュリティマネジメント』と言います。(やっと試験名が登場しました)そのための仕組みに『ISMS』情報セキュリティマネジメントシステム(Information Security Manegement System)があります。組織で情報セキュリティの基本方針を決めて、PDCAサイクルを回していきます。

ちょっとむずかしい感じがしてきましたね…。

少し調べてみましたが、ISMSの構築方法や要求事項は、JIS Q 27001(ISO/IEC 27001)に示されているそうです。また、実際に構築した後の実践規範は、JIS Q 27002(ISO/IEC 27002)に示されているそうです。

そうは言っても、いきなり『ISMS』情報セキュリティマネジメントシステムを構築するのはちょっとハードルが高い感じがしてきました。

『情報セキュリティマネジメント』を検討したい方の為に、IPAでは経営者様向けに案内ページがあります。一度目を通してみてはいかがでしょか。『5分でできる!自社診断シート・パンフレット』や『中小企業における組織的な情報セキュリティガイドライン』など無料でできる情報などが掲載されています。

『情報セキュリティマネジメント』の学習はスタートしたばかりですが、インターネットを利用する上での注意点を確認したり、情報を守るための対策を考えたり、色々とやらなくては行けない事が見えてきた気がします。ちょっと大変だなと思いますが、自分なりに考えて安心してインターネットを使っていく方法を見つけてみようと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

サイトの制作も運用も月額定額料金でプロにお任せできるサービスのバナー

この記事をSNSでシェアする!