アカデミック

【初学者向け】情報セキュリティ<マネジメント編>

この記事では,研究のサーベイをまとめていきたいと思います。ただし,全ての論文が網羅されている訳ではありません。また,分かりやすいように多少意訳した部分もあります。ですので,参考程度におさめていただければ幸いです。

間違えている箇所がございましたらご指摘ください。随時更新予定です。他のサーベイまとめ記事はコチラのページをご覧ください。

参考文献は最後に記載してあります。

本記事の内容

大学で学習した「情報セキュリティ」の内容を網羅的にまとめていくものです。目次は以下の記事をご覧ください。

【初学者向け】情報セキュリティ<目次編>この記事では,研究のサーベイをまとめていきたいと思います。ただし,全ての論文が網羅されている訳ではありません。また,分かりやすいように多...

 

マネジメントの必要性

復習にはなりますが,情報セキュリティは以下の三要素+αで成り立っています。

【情報セキュリティの要素】
●機密性
●完全性
●可用性
(●真正性)
(●責任追跡性)
(●否認防止)
(●信頼性)

情報セキュリティのためには,マネジメントが必要不可欠です。その理由は,主に以下の通りです。

●加害行為規制の限界
→法律だけでは悪者をうまく取り締まれない
●組織の責任が重要視されている
→個人の賠償は組織が責任をとる。組織の管理責任に関する法整備が整った。
●事業継続の必要条件
→事業が継続しなくなるのは情報セキュリティが破綻した時

 

ISMS:情報セキュリティマネジメントシステム

マネジメントの手法の中に,ISMS(Information Security Management System)と呼ばれるシステムがあります。これが,情報セキュリティを維持するために作用する組織の一連の要素のことを指しています。ISMSは第三者によって認証を受けることが可能です。

最近では,様々なマネジメントの認証が流行っています。品質マネジメント・環境マネジメント・個人情報マネジメント等です。

 

ISMSでは,以下の流れで情報セキュリティをマネジメントしていこうとしています。

1.組織と現状の理解
2.「情報セキュリティ組織」を作る
→適用範囲の設定
3.ISMS基本方針を文書化する
→ポリシーとの一体化
4.継続的な改善(=PDCAサイクル)

 

情報セキュリティポリシー

情報セキュリティポリシーの目的は,主に2つに分かれます。1つは,「組織と顧客の存続」,もう1つは「個人の権利保護」です。前者は情報セキュリティ(機密性・完全性・可用性)を確保するのに対し,後者は情報主体の権利保護を目的としています。

ポリシーの構造としては,最上位の理念として「基本方針」を定め,その具体的な実現方法として「対策基準」を定めます。

ポリシーを査定するのは基本的に組織のトップであり,PDCAを回させることが重要になります。

 

以下では,情報セキュリティポリシーの策定とPDCAサイクルに関して述べていきます。情報セキュリティポリシーでは,「プロセスアプローチ」と呼ばれる考え方を採用しています。

そのようなプロセスを明確にし、かつ、相互作用させることと合わせて、それらのプロセスをシステムとして組織内に適用し、かつ、運営管理することを”プロセスアプローチ”と呼ぶ。

JIS Q 27001:2005

プロセスというのは,あらゆる活動をインプットとしてアウトプットを得る活動のことを指します。たとえば,チャーハンを作る例で考えると,インプットは各種食材,アウトプットはチャーハンということになり,チャーハンを作ること自体がプロセスということになります。

それでは,プロセスアプローチを情報セキュリティポリシーに適用してみます。入力ち出力は,以下が考えられます。

【入力】
(=ポリシーの要求と期待)
●事業継続
●損害の最小化
●業務効率化とセキュリティ確保のバランス
●幅広い脅威への対応

【出力】
(=管理された情報セキュリティ)
●機密性
●完全性
●可用性

これらのプロセスアプローチの中に,PDCAサイクルが組み込まれます。

【Plan】
●情報セキュリティ組織づくり
●情報資産の整理
●リスク分析
●ポリシーの策定
・人的セキュリティ対策
・物理的セキュリティ対策
・技術的セキュリティ対策
・開発/運用上の対策
・セキュリティ対応計画の策定

【Do】
●教育
●システム構築

【Check】
●ポリシー通りに実務が実行されているかの点検
●コストの見直し

【Act】
●罰則規定の実施
●ポリシーの前提に沿った予防処置

わざわざPDCAを持ち出す意味としては,「ポリシーを作っただけではダメ」という気持ちが込められているものと思われます。

 

まとめ

情報セキュリティのマネジメントついてお伝えしました。個人的に,このような抽象邸でおかたいお話はあまり好きではないです。形骸化しがちですし。しかし,このようなトップダウン的に情報セキュリティの確保を実例に落とし込むことは大切だと思います。そのためにも,私たちは先人が作ってくれた情報セキュリティマネジメントの定石を形骸化させないように努めなくてはなりません。

COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です