デジタル時代の到来によって従前よりも「情報」は重視されるようになりました。しかし、情報の重要性が高まるにともない、情報への不正なアクセスの手口は、巧妙かつ複雑化しています。いまや情報をいかに守るかは、企業にとって重要な経営課題といえるでしょう。そのため、情報を守る盾となる「情報セキュリティマネジメント」への取り組みは、年々その重要性が高まっています。
組織的なセキュリティ対策!情報セキュリティマネジメントの概要
情報セキュリティマネジメントとは、体系的な情報セキュリティの管理や運用に、企業や組織で取り組むことを指します。一見すると、多くの企業や組織で行われている、通常の情報機器のセキュリティレベル向上対策と同じように思われるかもしれません。ですが、情報セキュリティマネジメントでは、部署や個人単位ではなく、企業や組織全体でセキュリティレベルの向上を検討し、統一された規格や基準を持った対策を施します。組織全体でセキュリティを管理・運用することで、情報漏洩や改ざんにつながる脆弱性を効率的になくすことが期待できます。
何の役に立つ?情報セキュリティマネジメントの導入事例
情報セキュリティマネジメントは具体的に何に役立つのでしょうか。どのように情報セキュリティマネジメントが利用されているのか、2つの事例を紹介します。
京都銀行の事例
京都に本店をおく地域銀行「京都銀行」では、既に十全ともいえる情報セキュリティ体制を敷いていました。しかし、京都銀行の安全性を証明しステークホルダーに伝えるには「客観的な基準」が必要であると考えます。そこで、京都銀行では情報セキュリティマネジメントの導入を決定しました。一般的に、情報セキュリティマネジメントでは「情報セキュリティマネジメントシステム(ISMS, Information Security Management System)」に沿って枠組みを策定します。
ISMSの標準は「ISO 27001(国際標準化機構の定めた規格)」と「JIS Q 27001(日本産業規格における品質マネジメントシステム)」に規定されているため、客観的評価が可能です。これによって京都銀行は情報セキュリティ体制がいかに堅牢であるかを客観的に示せるようになりました。くわえて金融業界における平均的な情報セキュリティレベルとの比較もできるようになりました。京都銀行における事例では、情報セキュリティマネジメントは「安全性のアピール」に役立ったといえるでしょう。
サントリーシステムテクノロジー株式会社の事例
「サントリーシステムテクノロジー株式会社」では、顧客起点のマーケティングを開始するにあたり、これまで事業所ごとでばらばらであった顧客IDをまとめる事業に着手。その際に、各種コンプライアンスの遵守を適切に行うことを主目的として、情報セキュリティマネジメントのためのシステムを導入しています。これによって、プライバシーやセキュリティに配慮した状態で顧客情報の統合ができるようになり、改正個人情報保護法への対応もしやすくなったそうです。
また、過去のID基盤では継ぎ足しでシステムを運用していたため、作業工程に大きなロスが見られました。ですが、継ぎ足しのシステムや複数のIDが存在することをリスクとみなし、統合したことによって作業工程が簡略化。顧客情報の運用や管理の負担が軽減しました。情報セキュリティマネジメントが「コンプライアンスの遵守」と「作業工程のカット」に役立った事例といえます。
情報セキュリティマネジメントの実施の仕方
情報セキュリティマネジメントを実施するには、以下のような実施サイクル(PDCAサイクル)に沿って行うのが一般的です。
1段階目は「計画(Plan)」です。起業や組織が持つ情報資産を洗い出した上で起こり得るリスクや今後の課題を整理し、セキュリティポリシーを策定します。
セキュリティポリシーには、次の3つの項目を盛り込むようにしてください。まず「セキュリティに関する基本方針」です。情報セキュリティマネジメントを通して、何を達成したいのかを明らかにします。次に「リスクへの対策基準」です。起きてしまったリスクに対してどのように対応するべきか、その基準を決定しておきます。最後に「具体的な対策手順」です。現実的な運用を想定した対策の手順例を示してください。
2段階目は「導入と運用(Do)」です。セキュリティポリシーを文書化したところで、運用されなければ意味がありません。策定したセキュリティポリシーを企業や組織内に周知してください。3段階目は「点検と評価(Check)」です。導入し運用したセキュリティポリシーが実効的であったか調査しましょう。また、正しく運用されているかの点検も必要です。4段階目は「見直しと改善(Act)」です。点検と評価の内容を元に、セキュリティポリシーの問題点と課題を探し出し、改善案を提示します。
実施サイクルでは、以上の4段階を順番に行い、最初の計画(Plan)に戻ります。このようにすることで、実態に沿った情報セキュリティマネジメントが可能となるでしょう。
情報セキュリティマネジメントを実施するためのポイント
情報セキュリティマネジメントは、全社的にセキュリティ対策を施すだけでは、その効果が期待できません。実施するにおいては、以下の2つのポイントを押さえることが大切です。
1つ目は「リスクの分析」です。現在時点における企業や組織が持っているセキュリティリスクを正確に把握しましょう。その上で、リスクに合わせた対策方法を検討してください。例えば、在宅ワークによる顧客情報の社外利用が増えているなら、顧客情報へのアクセス権限や情報の利用場所を制限すれば、セキュリティレベルが向上するでしょう。
2つ目は「全社的なセキュリティ教育」です。セキュリティ上のリスクを減らすには、システムの拡充だけでは足りません。そのシステムを扱う従業員のセキュリティ意識を高めることが必要です。なぜなら、セキュリティ上のリスクにおいてヒューマンエラーは大きな割合を占めているからです。例えば、情報流出の場合、およそ41%(誤表示および誤送信が26%、紛失あるいは誤廃棄が15.1%)がヒューマンエラーであるとされています。
そのため、従業員1人1人がリスクを理解し、自分の事としてセキュリティ対策を実践しなければ、効果的な情報セキュリティマネジメントを実現することは難しいといえるでしょう。従業員のセキュリティ意識を高めるには、全社的なセキュリティの教育が欠かせません。社内研修や講習を頻繁に行うことで、情報セキュリティマネジメントの効果を最大限に高められるでしょう。また、全社的な教育の1つとして、情報セキュリティに関わる資格の取得を従業員に推奨するのも効果的です。
情報セキュリティマネジメントに役立つ資格「情報セキュリティマネジメント資格」
情報セキュリティマネジメントを実施するにおいて、特別な資格は必要ありません。ですが、情報セキュリティに関わる資格があると、効果的に情報セキュリティマネジメントの導入をすすめることが可能となるでしょう。最も代表的といえる資格が「情報セキュリティマネジメント資格」です。
情報セキュリティマネジメント資格は、経済産業大臣が「情報処理の促進に関する法律第29条第1項」に基づいて行う、情報処理技術者試験の一区分にあたる国家資格です。ISMSの策定に関する知識を取得していることを認定します。情報セキュリティ部門での基礎的知識を認定する資格と位置づけられており、情報処理技術者試験でのスキルレベルは2。しかし、試験で問われる情報が特化しているため、スキルレベル3よりも難易度が高い出題がされるケースが見受けられます。
従業員への取得を推奨すれば、社内における情報セキュリティに関する知識や意識を高める切っ掛けとなるでしょう。従業員自身のキャリア獲得の可能性も高まります。試験は春・秋の年二回実施されています。試験時間120分で、試験は多肢選択式です。60%以上の得点を得れば合格となります。取得すれば、大学などで単位として認められることがあるほか、地方・国家公務員の採用条件や階級評価として認められることがあります。
情報セキュリティマネジメントの導入は情報資産を保護するために重要!資格取得も効果的
情報技術の発展が早い現代では、情報セキュリティの確保は喫緊の問題です。情報セキュリティマネジメントの導入は、情報資産を保護し、周囲に安全性をアピールする上で、必須の取り組みといえるでしょう。ただし、実施方法で効果は大きく変わります。リスクの洗い出しやセキュリティ教育といったポイントを疎かにしないことが重要です。また、従業員に情報セキュリティマネジメント資格取得を促すのも効果的です。
この記事を読んだあなたにおすすめ!