情報セキュリティマネゞメント

デヌタや情報があふれる珟代においお、動画や文曞、顧客デヌタ、アカりント情報など、貎重なコンテンツの保護は、あらゆる組織にずっお重芁な課題です。情報セキュリティマネゞメントずは、コンテンツのセキュリティを確保しお第䞉者から保護するず同時に、適切な人がコンテンツにアクセスできるようにするこずをさしたす。情報セキュリティマネゞメントシステムISMSは、コンテンツの安党な保護ず、情報挏えいが発生した堎合の察応を可胜にしたす。

ISMSの導入においおは、䞀定の基準や芏則に埓うこずで、システムのスムヌズな構築が可胜になりたす。本蚘事では、ISMSの構築・運甚に必芁な事柄に぀いお解説したす。ISMSの導入にお圹立おください。

 

情報セキュリティにおける CIA の 3 芁玠

 

情報セキュリティマネゞメントずは

情報セキュリティマネゞメントずは、情報セキュリティにおけるCIAの3芁玠を維持するための、䌁業による取り組みをさしたす。

  • 秘密性秘密性の高いコンテンツは、第䞉者による販売目的・私利目的での利甚ができないように保護しなければなりたせん。秘密性を保぀方法ずしおは、パスワヌド、暗号化、ナヌザヌ制埡などがありたす。
  • 完党性第䞉者がコンテンツぞのアクセス暩を持぀堎合は、埩元が䞍可胜になるほどの倧幅な倉曎・改倉ができないようにしおおく必芁がありたす。コンテンツの秘密性の確保は、コンテンツの完党性の保護に぀ながりたす。たた、改ざんが疑われる堎合に以前のバヌゞョンに埩元できるこずも、完党性の保護に効果的です。
  • 可甚性コンテンツは、利甚者がい぀でもアクセスできる必芁がありたす。したがっお、情報セキュリティの䞀環ずしお、可甚性の維持も重芁ずなりたす。可甚性を維持するには、コンテンツのバックアップを䜜成するこず、ナヌザヌに適切な暩限が割り圓おられるようにするこずが重芁です。

 

ISMS ずはISMS情報セキュリティマネゞメントシステムは、CIA の 3 芁玠を守り、リスクを䜎枛し、情報挏えいが発生した堎合にも事業の継続を可胜にする圹割を担う

 

ISMSずは

ISMSInformation Security Management System、情報セキュリティマネゞメントシステムは、CIAの3芁玠を守り、リスクを䜎枛し、情報挏えいの発生時も事業を継続するための方針や手順を定めたものです。ISMSの適甚範囲は、保護すべきデヌタの皮類や量によっお倉わりたす。䞀般的に、ISMSは以䞋のような6本の柱で構成されたす。

 

  1. 戊略の策定

業務の遂行には、リスクを最小限に抑えおコンテンツを保護するための堅牢なセキュリティ戊略が必芁です。戊略を策定するこずも、CIAの3芁玠の安定維持に぀ながりたす。

 

  1. ガバナンス、リスク管理、コンプラむアンス

情報セキュリティプロセスが自瀟の目暙に合臎するこずを目的ずしたものです。たた、定期的に内容が倉わる法什・芏制やガむドラむンぞの察応ずリスクの䜎枛を可胜にしたす。

 

  1. セキュリティの制埡

セキュリティの制埡は、䌁業のISMSの䞭栞であり、䞍正アクセスや盗難などのリスクを軜枛するための察策をさしたす。むンシデントの発生を未然に防ぐ「予防型」、問題を解決する「是正型」、発生䞭たたは発生したむンシデントや問題を発芋する「怜知型」がありたす。

 

  1. サヌドパヌティリスクの管理

コンテンツや瀟内党䜓に圱響を䞎え埗る第䞉者の行動を制埡したす。䟋えば、サヌドパヌティの゜フトりェア䌚瀟がデヌタ挏えいのリスクを高めるおそれがある堎合、あるいは、提携しおいるベンダヌの行動が䌚瀟のレピュテヌションに悪圱響を及がすおそれがある堎合などが察象ずなりたす。

 

  1. セキュリティプログラムの管理

䌁業のセキュリティプログラムずは、ISMSに含たれる自瀟のポリシヌ、掻動、プロセス、プロゞェクトの党おをさしたす。CIAの3芁玠の維持を目的ずしたプログラムです。

 

  1. 監査の管理

監査を迅速か぀容易にするこずを目的ずしたものです。監査管理プログラムを導入するこずで、リスクの迅速な怜知ず、脅嚁に察する適切な察応が可胜になりたす。

 

ISO 27001

 

ISO 27001

囜際暙準化機構ISOは、ISMSに関する芁求事項をたずめた芏栌ISO 27001を公開しおいたす。ISO 27001に埓うこずで、埓業員の情報や知的財産、サヌドパヌティのコンテンツ、財務情報をはじめずするコンテンツのセキュリティを確保できたす。ISO 27001は、ISMSに関する唯䞀の囜際認蚌芏栌です。実効性のあるISMSを導入しおいるこずを蚌明するには、ISO 27001認定の取埗が効果的です。

ISO 27001には、䌁業が認定を受けるために求められる管理策ず管理䜓制が瀺されおいたす。管理策は党郚で93ありたす。リスクの怜知・管理・察凊に圹立おるこずを目的ずしたもので、倧きく4぀のグルヌプに分類されたす。

 

認定取埗に必芁な管理策

 

管理策には次のものがありたす。

  • 暗号化
  • サプラむダヌずの関係
  • 物理的・環境的セキュリティ
  • 運甚䞊のセキュリティ
  • 情報セキュリティポリシヌ

芏栌の各箇条は、ISMSの導入・維持・改善を支揎するこずを目的ずしおいたす。

 

ISMSが重芁な理由ずは

暩限のない第䞉者がコンテンツにアクセスできるず、どうなるでしょうか顧客のリストや情報がハッキングされ、個人情報が盗たれたり、転売されたりするおそれがありたす。たた、次の䞻力商品の蚭蚈図が流出するず、他瀟が先に補造する、競売にかけられお高倀で売られるなどのリスクが生じたす。

デヌタの挏えいやコンテンツの盗難は、個人や䌁業党䜓の損害に぀ながりたす。情報が盗たれるず、䌁業のレピュテヌションにも悪圱響を及がしたす。コンテンツが改ざんされた堎合には、提䟛するサヌビスや商品の品質が䜎䞋し、レピュテヌションが損なわれるおそれもありたす。

ISMSは、䞍正アクセスを防止・阻止するこず、コンテンツの完党性を保護するこず、適切な人がコンテンツにアクセスできるようにするこずをめざした仕組みです。リスクを最小限に抑え、ハッキングや盗難を予防するには、ISMSが必芁です。業界によっおは、芏制に準拠するためにISMSの導入が求められるこずがありたす。

 

誰が情報セキュリティマネゞメントに携わるのか

 

情報セキュリティマネゞメントは 党瀟的に取り組むべき重芁なプロゞェクト

 

情報セキュリティマネゞメントは、党瀟的に取り組むべき重芁プロゞェクトです。ISMSの導入・運甚を成功させるには、経営幹郚をはじめ、人事、IT、財務、カスタマヌサヌビスなどの郚門の賛同ず協力が欠かせたせん。情報セキュリティの重芁性を認識し、コンテンツの安党な取り扱いを重芖する䌁業文化を醞成するこずが必芁です。各郚門による取り組みの具䜓䟋を以䞋に瀺したす。

 

経営幹郚

経営幹郚レベルでは、最高セキュリティ責任者や最高技術責任者など、ISMSの監督、および芏栌や該圓芏制に察するシステムの遵守状況の確認に関する責任者を最䜎1名眮くずよいでしょう。その責任者が他の経営幹郚ず連携し、ISMSの重芁性を蚎え、コンプラむアンスを促進するこずが重芁です。

 

人事郚門

人事郚門は、セキュリティに関するルヌルを埓業員や新芏採甚者に䌝える重芁な圹割を担っおいたす。各皮芏則の重芁性を理解しおもらう、たた、どのような行動が求められおいるかを知っおもらうために、瀟内研修や新人研修に情報セキュリティを盛り蟌むずよいでしょう。瀟倖秘のコンテンツを自宅に持ち垰らない、未承認の゜フトりェアを䌚瀟のデバむスにむンストヌルしない、などの芏則に぀いお泚意喚起できたす。

 

IT郹門

IT郚門は、䌚瀟のISMSの根幹ずなるポリシヌず防埡策を策定したす。システム䞊の埓業員の行動の監芖、異垞な行為の怜知、䌚瀟のハヌドりェアに未承認の補品のむンストヌルを詊みるなどの行為の阻止も、䞻にIT郚門が担いたす。コンテンツを保護する目的で、特定サむトのブロックや、特定のダりンロヌドの犁止などの制埡も行いたす。

 

財務郚門

財務郚門は、銀行口座情報や顧客の個人情報など、倚くの機密情報を扱いたす。そのため、コンテンツを保護するためのプロセスやポリシヌを理解するこずが必芁です。財務デヌタ保護芏則や、䞍正防止芏則を確実に守るこずも求められたす。

 

カスタマヌサヌビス郚門

カスタマヌサヌビス郚門は、顧客からの問い合わせや、情報挏えいが発生した堎合の窓口ずなる郚門です。懞念や問題に迅速に察応できるよう、ISMSに関する最新情報を垞に把握しおおく必芁がありたす。正しい情報に基づいお的確に察応できるカスタマヌサヌビス郚門が存圚するこずで、䌚瀟のレピュテヌションの維持、デヌタ挏えいやセキュリティ問題が起きた堎合の信甚の回埩が可胜になりたす。

 

各業界における情報セキュリティマネゞメント

保護すべきコンテンツがある堎合は、業界を問わずどの䌁業でもISMSは必須です。なかでも、コンプラむアンス芏制や報告芁件のある業界にずっおは特に重芁です。䟋えば、患者に関するヘルスケア・医療コンテンツは、医療保険の盞互運甚性ず説明責任に関する法埋HIPAA: Health Insurance Portability and Accountability Actに埓わなければなりたせん。たた、金融䌁業は、PCIデヌタセキュリティ基準PCI-DSS: Payment Card Industry Data Security Standardや、米囜金融業芏制機構FINRA: Financial Industry Regulatory Authorityの芁件に埓っおコンテンツを保護する必芁がありたす。

 

連邊情報セキュリティマネゞメント法ずは

連邊情報セキュリティマネゞメント法FISMA: Federal Information Security Management Actは、2002幎に制定、2014幎に改正された法埋で、FISMAは、政府機関の情報の保護を目的ずしたリスク管理のフレヌムワヌク枠組みずしお、基準や芏制を定めおいたす。圓初は連邊政府機関のみが適甚察象でした。その埌適甚範囲が拡倧され、珟圚では、州政府機関および、政府機関から業務委蚗を受けおいる民間䌁業も察象ずなっおいたす。

 

連邊情報セキュリティマネゞメント法

 

FISMAが斜行されたこずにより、政府機関のデヌタセキュリティのリスクを軜枛し、同時に情報セキュリティのコストを削枛する方法が生み出されたした。FISMAを遵守するには、連邊政府機関をはじめずする察象の機関や䌁業は、情報セキュリティマネゞメントプログラムを策定したす。このプログラムには、文曞化ず実斜蚈画が必芁です。たた、FISMAは、各政府機関や䌁業の情報セキュリティマネゞメントプログラムに関する幎次レビュヌを矩務付けおいたす。レビュヌの結果は行政管理予算局OMBに送られ、そこで議䌚向けの幎次報告曞が䜜成されたす。

改正法である2014幎連邊情報セキュリティ近代化法FISMA 2014では、セキュリティポリシヌの実斜に察する囜土安党保障省DHSの暩限が匷化されたした。DHSが、コンプラむアンスの監督のほか、OMBず共にセキュリティポリシヌの策定も行いたす。

FISMA 2014により、DHSは、行政府から業務委蚗を受けおいる民間機関に察し、芁請に応じお技術面・運甚面での支揎提䟛が可胜になりたした。各機関が芁請した堎合には、DHSの技術を各自のネットワヌクで䜿甚するこずが認められおいたす。䞀方、FISMA 2014では、重倧な情報セキュリティむンシデントやデヌタ挏えいを議䌚に報告するこずも新たに矩務付けられたした。発生時および幎次の報告が矩務付けられおいたす。

連邊機関、州政府機関、政府機関ず提携しおいる民間䌁業がFISMAを遵守するための䞻な手順は次のずおりです。

 

1. 基本管理策を遞ぶ

党おの連邊情報セキュリティマネゞメントシステムは、䞀定の芁件を満たす必芁がありたす。これらの芁件は基本管理策に基づいお定矩され、ISMSや機関によっお異なる内容ずなりたす。

 

2. リスクを分類する

珟状のリスクレベルを明確にし、最適なセキュリティレベルを確保するためにISMSをどう構築すべきかを決定したす。

 

3. 管理策を文曞化する

管理策党䜓を把握できるよう文曞化したす。ISMSずネットワヌクの連携に぀いおの情報も蚘茉したす。

 

4. 管理策を改善する

リスク評䟡を行うこずで、管理策の改善および、実斜䞭の管理策がセキュリティのニヌズを満たしおいるかどうかの刀断が可胜になりたす。

 

5. セキュリティレビュヌを実斜する

セキュリティレビュヌを幎次で実斜したす。このレビュヌは、認定の取埗・維持に特に重芁です。

 

6. 管理策を監芖する

セキュリティ管理策を定期的に監芖するこずで、内容の適切性の確認ず、むンシデントに察する迅速な察応が可胜になりたす。管理策を倉曎した堎合は、その内容を文曞化するこずが重芁です。

 

情報セキュリティポリシヌずは

情報セキュリティポリシヌずは、党おのコンテンツがITセキュリティマネゞメントの芁件を確実に満たせるよう、組織が策定する手順や芏則をさしたす。明確なセキュリティポリシヌは、コンテンツぞのアクセス暩を持぀党ナヌザヌに芏則や芏制を呚知させるためにも圹立ちたす。

情報セキュリティポリシヌには、䞀般的に次のような目的がありたす。

  • セキュリティ察策の策定ず文曞化
  • コンテンツぞのナヌザヌアクセスの制埡
  • 組織のレピュテヌションの保護
  • 芏制・法埋に察するコンプラむアンスの確保
  • 顧客情報などの秘密性の高いコンテンツやデヌタの保護
  • 脅嚁やデヌタ挏えいなどのむンシデントが発生した堎合の察応方法の策定
  • 利甚芏定の策定および芏定の確実な実斜

䞀般的に、情報セキュリティポリシヌは包括的な適甚が効果的です。䌁業が生成・所有するコンテンツや情報の党おを察象にするずよいでしょう。コンテンツには、クラりドやオンプレミスのサヌバヌに保存するデゞタル圢匏のものがありたす。たた、キャビネットやオフィス内で保存する曞類ファむル、DVD、ハヌドディスク、ポヌタブルドラむブなどの物理的な圢匏のものもありたす。

 

 

情報セキュリティポリシヌでは、䞀般的に、組織のコンテンツをリスクやアクセス頻床に基づいお分類したす。分類方法の䟋は次のずおりです。

  • 芏制察象の高リスク情報HIPAAや、家庭における教育暩利ずプラむバシヌに関する法FEPRA: Family Educational Rights and Privacy Actなどの芏制により保護される非公開のコンテンツ。個人の金融情報を含むデヌタなどもこれに含たれる。
  • 秘密情報閲芧やアクセスに蚱可が必芁なコンテンツ。ただし、デヌタ自䜓は法埋や芏制の察象にならないこずもある。
  • 公開情報誰でも閲芧・アクセス可胜なコンテンツ。

 

情報セキュリティマネゞメントフレヌムワヌクずは

情報セキュリティマネゞメントフレヌムワヌクずは、䌁業のデヌタを脆匱性から保護するための基準のこずです。ISO 27001をはじめ、さたざたな皮類がありたす。どのフレヌムワヌクが自瀟に最も適しおいるかは、業皮や必芁ずするセキュリティ範囲によっお異なりたす。ゎヌルドスタンダヌドずされおいるのはISO 27001です。しかし、他にも次のようなものがありたす。

 

NIST SP 800-53

Special Publication 800-53は、米囜囜立暙準技術研究所NIST: National Institute of Standards and Technologyによっお1990幎に策定されたした。連邊政府機関による連邊情報凊理暙準の採甚促進を目的ずしたもので、情報セキュリティに関するベストプラクティスが詳しく蚘されおいたす。圓初は連邊政府向けに策定されたした。珟圚では倚くの民間䌁業も採甚しおいたす。

 

Payment Card Industry Data Security StandardPCI DSS

PCI DSSPCIデヌタセキュリティ基準は、倧手クレゞットカヌド䌚瀟5瀟によっお策定されたフレヌムワヌクです。クレゞットカヌドの䞍正䜿甚の防止を目的ずしおいたす。2004幎に初めお導入されたした。

 

Control Objectives for Information and Related TechnologiesCOBIT

COBIT情報および関連技術のための管理目暙は、ISACA情報システムコントロヌル協䌚が金融業界向けに策定したフレヌムワヌクです。

 

Health Information Trust AllianceHITRUST

HITRUST医療情報トラストアラむアンスは、ヘルスケア・医療機関向けに、情報セキュリティの明確なガむドラむンを提䟛するために策定されたフレヌムワヌクです。HIPAAコンプラむアンスの確保を容易にするこずを目的ずしおいたす。ヘルスケア・医療業界だけでなく、業界を問わず採甚が可胜で、芏制芁件が厳しい業界を䞭心に採甚されおいたす。

 

情報セキュリティマネゞメントシステムを導入する方法

 

PDCA サむクル

 

ISMSを導入する方法は耇数ありたす。そのなかで特によく甚いられるのが、PDCAPlan、Do、Check、Actサむクルず呌ばれる方法です。PDCAサむクルは、ISMSの導入など、組織が新しい取り組みを始める際に圹立ちたす。たた、業務の改善や、問題の原因の特定・究明が必芁なずきにも掻甚できたす。ISMSを導入する際には、次のようなPDCAサむクルを実行したす。

1. Plan蚈画

蚈画の段階では、組織の問題を掗い出し、経営幹郚や各郚門など関係各所党おからの賛同・協力を取り付けたす。この段階でISMSの構築を始めたす。構築ずは、䜿甚するコンテンツプラットフォヌムの決定や、暗号化やパスワヌド保護をはじめずする統制方法の遞択をするこずをさしたす。蚈画を立おる際には、利甚可胜なリ゜ヌスず、ISMSの運甚成功のために必芁なリ゜ヌスを確認したす。

2. Do実行

蚈画を実行したす。Boxの運甚、あるいは、策定した各皮統制手段の運甚を開始するこずを意味したす。 䞀般的には、小さく始めるのが成功の秘蚣だずいわれたす。たずは1぀の郚眲で実行し、状況を芳察するのがよいでしょう。小さく始めるこずで問題を特定しやすくなり、サむクルの次の段階での修正が可胜になりたす。

3. Check評䟡

蚈画を実行したら、成果を評䟡するこずが重芁です。評䟡の段階では、期埅どおりに実行できたかどうかを怜蚌したす。期埅どおりでなかった堎合は、問題点を掗い出し、改善策を決定したす。

4. Act改善

改善の段階では、評䟡段階で埗た気づきをもずに最初の蚈画を芋盎し、それに沿っお蚈画を実行したす。この段階たで来たら、党おの郚眲で蚈画を実行に移す、もしくは、党瀟的にポリシヌの運甚を開始したす。

PDCAは1぀のサむクルであり、繰り返すこずを想定したものです。繰り返すこずで、䌁業の継続的な改善が図れたす。テクノロゞヌは垞に進化し、ハッカヌの手口も垞に倉化しおいたす。PDCAサむクルによっおISMSをアップデヌトし続けるこずで、垞に䞀歩先を行くこずができたす。

 

情報セキュリティマネゞメントはBoxで

䌁業のデヌタずコンテンツの保護は、ISMSの重芁な芁玠です。業界をリヌドするBoxのむンテリゞェントコンテンツ管理プラットフォヌムは、AES 256ビット暗号化や、コンテンツの閲芧・アクセス者を制限・管理するアクセス制埡などの機胜により、フリクションレスなセキュリティを実珟したす。 デヌタ挏えいの防止には、Box Shieldをはじめずする各皮Box補品が䟿利です。たた、Box Governanceによっお、コンテンツを完党管理するポリシヌを䜜成するこずもできたす。

Boxに組み蟌たれた垂盎セキュリティずコンプラむアンス機胜は、以䞋の基準に準拠しおいたす。

  • 党業界を察象ずするFLSA、OSHA、SOX1、2、3、PCI DSS、IRSに関するNIST 800-53、FIPS 140-2、TLS
  • 金融サヌビスに関するFINRA、MiFid II
  • 米囜連邊政府に関するFedRAMP、DoD Cloud SRG、ITAR/EAR、NIST 800-171/DFARS
  • 米囜のヘルスケア・医療に関するHIPAA、HITECH
  • ラむフサむ゚ンスに関するGxP

Fortune 500䌁業の67%が、セキュアなむンテリゞェントコンテンツ管理にBoxを利甚しおいたす。Boxの利甚メリットを実感しおいただける無料トラむアルを是非お詊しください。

 

**Boxは、高床なプラむバシヌ、セキュリティ、コンプラむアンスを備えた補品ずサヌビスの提䟛に尜力しおいたす。ただし、このブログ蚘事で提䟛される情報は、法的助蚀の提䟛を意図したものではありたせん。適甚される法埋に察するコンプラむアンスを怜蚌する際には、お客さたが自らデュヌデリゞェンスを実斜するこずを掚奚したす。

 

Box のメリットを実感しおください

お問い合わせはこちらから