情報セキュリティマネジメント

データや情報があふれる現代において、動画や文書、顧客データ、アカウント情報など、貴重なコンテンツの保護は、あらゆる組織にとって重要な課題です。情報セキュリティマネジメントとは、コンテンツのセキュリティを確保して第三者から保護すると同時に、適切な人がコンテンツにアクセスできるようにすることをさします。情報セキュリティマネジメントシステム（ISMS）は、コンテンツの安全な保護と、情報漏えいが発生した場合の対応を可能にします。

ISMSの導入においては、一定の基準や規則に従うことで、システムのスムーズな構築が可能になります。本記事では、ISMSの構築・運用に必要な事柄について解説します。ISMSの導入にお役立てください。

情報セキュリティマネジメントとは？

情報セキュリティマネジメントとは、情報セキュリティにおけるCIAの3要素を維持するための、企業による取り組みをさします。

• 秘密性：秘密性の高いコンテンツは、第三者による販売目的・私利目的での利用ができないように保護しなければなりません。秘密性を保つ方法としては、パスワード、暗号化、ユーザー制御などがあります。
• 完全性：第三者がコンテンツへのアクセス権を持つ場合は、復元が不可能になるほどの大幅な変更・改変ができないようにしておく必要があります。コンテンツの秘密性の確保は、コンテンツの完全性の保護につながります。また、改ざんが疑われる場合に以前のバージョンに復元できることも、完全性の保護に効果的です。
• 可用性：コンテンツは、利用者がいつでもアクセスできる必要があります。したがって、情報セキュリティの一環として、可用性の維持も重要となります。可用性を維持するには、コンテンツのバックアップを作成すること、ユーザーに適切な権限が割り当てられるようにすることが重要です。

ISMSとは？

ISMS（Information Security Management System、情報セキュリティマネジメントシステム）は、CIAの3要素を守り、リスクを低減し、情報漏えいの発生時も事業を継続するための方針や手順を定めたものです。ISMSの適用範囲は、保護すべきデータの種類や量によって変わります。一般的に、ISMSは以下のような6本の柱で構成されます。

1. 戦略の策定

業務の遂行には、リスクを最小限に抑えてコンテンツを保護するための堅牢なセキュリティ戦略が必要です。戦略を策定することも、CIAの3要素の安定維持につながります。

2. ガバナンス、リスク管理、コンプライアンス

情報セキュリティプロセスが自社の目標に合致することを目的としたものです。また、定期的に内容が変わる法令・規制やガイドラインへの対応とリスクの低減を可能にします。

3. セキュリティの制御

セキュリティの制御は、企業のISMSの中核であり、不正アクセスや盗難などのリスクを軽減するための対策をさします。インシデントの発生を未然に防ぐ「予防型」、問題を解決する「是正型」、発生中または発生したインシデントや問題を発見する「検知型」があります。

4. サードパーティリスクの管理

コンテンツや社内全体に影響を与え得る第三者の行動を制御します。例えば、サードパーティのソフトウェア会社がデータ漏えいのリスクを高めるおそれがある場合、あるいは、提携しているベンダーの行動が会社のレピュテーションに悪影響を及ぼすおそれがある場合などが対象となります。

5. セキュリティプログラムの管理

企業のセキュリティプログラムとは、ISMSに含まれる自社のポリシー、活動、プロセス、プロジェクトの全てをさします。CIAの3要素の維持を目的としたプログラムです。

6. 監査の管理

監査を迅速かつ容易にすることを目的としたものです。監査管理プログラムを導入することで、リスクの迅速な検知と、脅威に対する適切な対応が可能になります。

ISO 27001

国際標準化機構（ISO）は、ISMSに関する要求事項をまとめた規格ISO 27001を公開しています。ISO 27001に従うことで、従業員の情報や知的財産、サードパーティのコンテンツ、財務情報をはじめとするコンテンツのセキュリティを確保できます。ISO 27001は、ISMSに関する唯一の国際認証規格です。実効性のあるISMSを導入していることを証明するには、ISO 27001認定の取得が効果的です。

ISO 27001には、企業が認定を受けるために求められる管理策と管理体制が示されています。管理策は全部で93あります。リスクの検知・管理・対処に役立てることを目的としたもので、大きく4つのグループに分類されます。

管理策には次のものがあります。

• 暗号化
• サプライヤーとの関係
• 物理的・環境的セキュリティ
• 運用上のセキュリティ
• 情報セキュリティポリシー

規格の各箇条は、ISMSの導入・維持・改善を支援することを目的としています。

ISMSが重要な理由とは？

権限のない第三者がコンテンツにアクセスできると、どうなるでしょうか？顧客のリストや情報がハッキングされ、個人情報が盗まれたり、転売されたりするおそれがあります。また、次の主力商品の設計図が流出すると、他社が先に製造する、競売にかけられて高値で売られるなどのリスクが生じます。

データの漏えいやコンテンツの盗難は、個人や企業全体の損害につながります。情報が盗まれると、企業のレピュテーションにも悪影響を及ぼします。コンテンツが改ざんされた場合には、提供するサービスや商品の品質が低下し、レピュテーションが損なわれるおそれもあります。

ISMSは、不正アクセスを防止・阻止すること、コンテンツの完全性を保護すること、適切な人がコンテンツにアクセスできるようにすることをめざした仕組みです。リスクを最小限に抑え、ハッキングや盗難を予防するには、ISMSが必要です。業界によっては、規制に準拠するためにISMSの導入が求められることがあります。

誰が情報セキュリティマネジメントに携わるのか？

情報セキュリティマネジメントは、全社的に取り組むべき重要プロジェクトです。ISMSの導入・運用を成功させるには、経営幹部をはじめ、人事、IT、財務、カスタマーサービスなどの部門の賛同と協力が欠かせません。情報セキュリティの重要性を認識し、コンテンツの安全な取り扱いを重視する企業文化を醸成することが必要です。各部門による取り組みの具体例を以下に示します。

経営幹部

経営幹部レベルでは、最高セキュリティ責任者や最高技術責任者など、ISMSの監督、および規格や該当規制に対するシステムの遵守状況の確認に関する責任者を最低1名置くとよいでしょう。その責任者が他の経営幹部と連携し、ISMSの重要性を訴え、コンプライアンスを促進することが重要です。

人事部門

人事部門は、セキュリティに関するルールを従業員や新規採用者に伝える重要な役割を担っています。各種規則の重要性を理解してもらう、また、どのような行動が求められているかを知ってもらうために、社内研修や新人研修に情報セキュリティを盛り込むとよいでしょう。社外秘のコンテンツを自宅に持ち帰らない、未承認のソフトウェアを会社のデバイスにインストールしない、などの規則について注意喚起できます。

IT部門

IT部門は、会社のISMSの根幹となるポリシーと防御策を策定します。システム上の従業員の行動の監視、異常な行為の検知、会社のハードウェアに未承認の製品のインストールを試みるなどの行為の阻止も、主にIT部門が担います。コンテンツを保護する目的で、特定サイトのブロックや、特定のダウンロードの禁止などの制御も行います。

財務部門

財務部門は、銀行口座情報や顧客の個人情報など、多くの機密情報を扱います。そのため、コンテンツを保護するためのプロセスやポリシーを理解することが必要です。財務データ保護規則や、不正防止規則を確実に守ることも求められます。

カスタマーサービス部門

カスタマーサービス部門は、顧客からの問い合わせや、情報漏えいが発生した場合の窓口となる部門です。懸念や問題に迅速に対応できるよう、ISMSに関する最新情報を常に把握しておく必要があります。正しい情報に基づいて的確に対応できるカスタマーサービス部門が存在することで、会社のレピュテーションの維持、データ漏えいやセキュリティ問題が起きた場合の信用の回復が可能になります。

各業界における情報セキュリティマネジメント

保護すべきコンテンツがある場合は、業界を問わずどの企業でもISMSは必須です。なかでも、コンプライアンス規制や報告要件のある業界にとっては特に重要です。例えば、患者に関するヘルスケア・医療コンテンツは、医療保険の相互運用性と説明責任に関する法律（HIPAA: Health Insurance Portability and Accountability Act）に従わなければなりません。また、金融企業は、PCIデータセキュリティ基準（PCI-DSS: Payment Card Industry Data Security Standard）や、米国金融業規制機構（FINRA: Financial Industry Regulatory Authority）の要件に従ってコンテンツを保護する必要があります。

連邦情報セキュリティマネジメント法とは？

連邦情報セキュリティマネジメント法（FISMA: Federal Information Security Management Act）は、2002年に制定、2014年に改正された法律で、FISMAは、政府機関の情報の保護を目的としたリスク管理のフレームワーク（枠組み）として、基準や規制を定めています。当初は連邦政府機関のみが適用対象でした。その後適用範囲が拡大され、現在では、州政府機関および、政府機関から業務委託を受けている民間企業も対象となっています。

FISMAが施行されたことにより、政府機関のデータセキュリティのリスクを軽減し、同時に情報セキュリティのコストを削減する方法が生み出されました。FISMAを遵守するには、連邦政府機関をはじめとする対象の機関や企業は、情報セキュリティマネジメントプログラムを策定します。このプログラムには、文書化と実施計画が必要です。また、FISMAは、各政府機関や企業の情報セキュリティマネジメントプログラムに関する年次レビューを義務付けています。レビューの結果は行政管理予算局（OMB）に送られ、そこで議会向けの年次報告書が作成されます。

改正法である2014年連邦情報セキュリティ近代化法（FISMA 2014）では、セキュリティポリシーの実施に対する国土安全保障省（DHS）の権限が強化されました。DHSが、コンプライアンスの監督のほか、OMBと共にセキュリティポリシーの策定も行います。

FISMA 2014により、DHSは、行政府から業務委託を受けている民間機関に対し、要請に応じて技術面・運用面での支援提供が可能になりました。各機関が要請した場合には、DHSの技術を各自のネットワークで使用することが認められています。一方、FISMA 2014では、重大な情報セキュリティインシデントやデータ漏えいを議会に報告することも新たに義務付けられました。発生時および年次の報告が義務付けられています。

連邦機関、州政府機関、政府機関と提携している民間企業がFISMAを遵守するための主な手順は次のとおりです。

1. 基本管理策を選ぶ

全ての連邦情報セキュリティマネジメントシステムは、一定の要件を満たす必要があります。これらの要件は基本管理策に基づいて定義され、ISMSや機関によって異なる内容となります。

2. リスクを分類する

現状のリスクレベルを明確にし、最適なセキュリティレベルを確保するためにISMSをどう構築すべきかを決定します。

3. 管理策を文書化する

管理策全体を把握できるよう文書化します。ISMSとネットワークの連携についての情報も記載します。

4. 管理策を改善する

リスク評価を行うことで、管理策の改善および、実施中の管理策がセキュリティのニーズを満たしているかどうかの判断が可能になります。

5. セキュリティレビューを実施する

セキュリティレビューを年次で実施します。このレビューは、認定の取得・維持に特に重要です。

6. 管理策を監視する

セキュリティ管理策を定期的に監視することで、内容の適切性の確認と、インシデントに対する迅速な対応が可能になります。管理策を変更した場合は、その内容を文書化することが重要です。

情報セキュリティポリシーとは？

情報セキュリティポリシーとは、全てのコンテンツがITセキュリティマネジメントの要件を確実に満たせるよう、組織が策定する手順や規則をさします。明確なセキュリティポリシーは、コンテンツへのアクセス権を持つ全ユーザーに規則や規制を周知させるためにも役立ちます。

情報セキュリティポリシーには、一般的に次のような目的があります。

• セキュリティ対策の策定と文書化
• コンテンツへのユーザーアクセスの制御
• 組織のレピュテーションの保護
• 規制・法律に対するコンプライアンスの確保
• 顧客情報などの秘密性の高いコンテンツやデータの保護
• 脅威やデータ漏えいなどのインシデントが発生した場合の対応方法の策定
• 利用規定の策定および規定の確実な実施

一般的に、情報セキュリティポリシーは包括的な適用が効果的です。企業が生成・所有するコンテンツや情報の全てを対象にするとよいでしょう。コンテンツには、クラウドやオンプレミスのサーバーに保存するデジタル形式のものがあります。また、キャビネットやオフィス内で保存する書類ファイル、DVD、ハードディスク、ポータブルドライブなどの物理的な形式のものもあります。

情報セキュリティポリシーでは、一般的に、組織のコンテンツをリスクやアクセス頻度に基づいて分類します。分類方法の例は次のとおりです。

• 規制対象の高リスク情報：HIPAAや、家庭における教育権利とプライバシーに関する法（FEPRA: Family Educational Rights and Privacy Act）などの規制により保護される非公開のコンテンツ。個人の金融情報を含むデータなどもこれに含まれる。
• 秘密情報：閲覧やアクセスに許可が必要なコンテンツ。ただし、データ自体は法律や規制の対象にならないこともある。
• 公開情報：誰でも閲覧・アクセス可能なコンテンツ。

情報セキュリティマネジメントフレームワークとは？

情報セキュリティマネジメントフレームワークとは、企業のデータを脆弱性から保護するための基準のことです。ISO 27001をはじめ、さまざまな種類があります。どのフレームワークが自社に最も適しているかは、業種や必要とするセキュリティ範囲によって異なります。ゴールドスタンダードとされているのはISO 27001です。しかし、他にも次のようなものがあります。

NIST SP 800-53

Special Publication 800-53は、米国国立標準技術研究所（NIST: National Institute of Standards and Technology）によって1990年に策定されました。連邦政府機関による連邦情報処理標準の採用促進を目的としたもので、情報セキュリティに関するベストプラクティスが詳しく記されています。当初は連邦政府向けに策定されました。現在では多くの民間企業も採用しています。

Payment Card Industry Data Security Standard（PCI DSS）

PCI DSS（PCIデータセキュリティ基準）は、大手クレジットカード会社5社によって策定されたフレームワークです。クレジットカードの不正使用の防止を目的としています。2004年に初めて導入されました。

Control Objectives for Information and Related Technologies（COBIT）

COBIT（情報および関連技術のための管理目標）は、ISACA（情報システムコントロール協会）が金融業界向けに策定したフレームワークです。

Health Information Trust Alliance（HITRUST）

HITRUST（医療情報トラストアライアンス）は、ヘルスケア・医療機関向けに、情報セキュリティの明確なガイドラインを提供するために策定されたフレームワークです。HIPAAコンプライアンスの確保を容易にすることを目的としています。ヘルスケア・医療業界だけでなく、業界を問わず採用が可能で、規制要件が厳しい業界を中心に採用されています。

情報セキュリティマネジメントシステムを導入する方法

ISMSを導入する方法は複数あります。そのなかで特によく用いられるのが、PDCA（Plan、Do、Check、Act）サイクルと呼ばれる方法です。PDCAサイクルは、ISMSの導入など、組織が新しい取り組みを始める際に役立ちます。また、業務の改善や、問題の原因の特定・究明が必要なときにも活用できます。ISMSを導入する際には、次のようなPDCAサイクルを実行します。

1. Plan（計画）

計画の段階では、組織の問題を洗い出し、経営幹部や各部門など関係各所全てからの賛同・協力を取り付けます。この段階でISMSの構築を始めます。構築とは、使用するコンテンツプラットフォームの決定や、暗号化やパスワード保護をはじめとする統制方法の選択をすることをさします。計画を立てる際には、利用可能なリソースと、ISMSの運用成功のために必要なリソースを確認します。

2. Do（実行）

計画を実行します。策定した各種統制方法（Boxのコンテンツクラウドかもしれません）の運用を開始することを意味します。一般的には、小さく始めるのが成功の秘訣だといわれます。まずは1つの部署で実行し、状況を観察するのがよいでしょう。小さく始めることで問題を特定しやすくなり、サイクルの次の段階での修正が可能になります。

3. Check（評価）

計画を実行したら、成果を評価することが重要です。評価の段階では、期待どおりに実行できたかどうかを検証します。期待どおりでなかった場合は、問題点を洗い出し、改善策を決定します。

4. Act（改善）

改善の段階では、評価段階で得た気づきをもとに最初の計画を見直し、それに沿って計画を実行します。この段階まで来たら、全ての部署で計画を実行に移す、もしくは、全社的にポリシーの運用を開始します。

PDCAは1つのサイクルであり、繰り返すことを想定したものです。繰り返すことで、企業の継続的な改善が図れます。テクノロジーは常に進化し、ハッカーの手口も常に変化しています。PDCAサイクルによってISMSをアップデートし続けることで、常に一歩先を行くことができます。

情報セキュリティマネジメントはBoxで

企業のデータとコンテンツの保護は、ISMSの重要な要素です。Boxのコンテンツクラウドは、AES 256ビット暗号化や、コンテンツの閲覧・アクセス者を制限・管理するアクセス制御などの機能により、フリクションレス（摩擦のない）なセキュリティを実現します。データ漏えいの防止には、Box Shieldをはじめとする各種Box製品が便利です。また、Box Governanceによって、コンテンツを完全管理するポリシーを作成することもできます。

Boxに組み込まれた垂直セキュリティとコンプライアンス機能は、以下の基準に準拠しています。

• 全業界を対象とするFLSA、OSHA、SOX（1、2、3）、PCI DSS、IRSに関するNIST 800-53、FIPS 140-2、TLS
• 金融サービスに関するFINRA、MiFid II
• 米国連邦政府に関するFedRAMP、DoD Cloud SRG、ITAR/EAR、NIST 800-171/DFARS
• 米国のヘルスケア・医療に関するHIPAA、HITECH
• ライフサイエンスに関するGxP

Fortune 500企業の67%が、コンテンツの管理とセキュリティにBoxを利用しています。Boxの利用メリットを実感していただける無料トライアルを是非お試しください。

**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、このブログ記事で提供される情報は、法的助言の提供を意図したものではありません。適用される法律に対するコンプライアンスを検証する際には、お客さまが自らデューデリジェンスを実施することを推奨します。