情報セキュリティマネジメント
第11章 セキュリティ
情報セキュリティマネジメント
様々な攻撃手法と対策を理解しただけでは意味がない。組織が一体となって、顧客情報や社内情報などの情報資産を保護するために、情報セキュリティ向上を目指してマネジメントを施す必要がある。情報の、気密性、完全性、可用性の3つの要素について解説し、情報セキュリティマネジメントを理解しよう。
情報セキュリティマネジメント
企業自らが情報資産に関するリスクを特定し、分析、評価、対応するための仕組みのことを情報セキュリティマネジメント(ISMS:Information Security Management System)という。
情報セキュリティマネジメントシステムは、情報の機密性、完全性、可用性の3つの性質を維持することを目的としている。
- 機密性:情報が漏洩しない
- 完全性:情報が正確である
- 可用性:情報が必要な時に利用できる
●PDCAサイクル
情報セキュリティマネジメントシステムでは、PDCAサイクルを使った継続的なセキュリティ向上が推奨されています。P:Plan「計画」、D:Do「実行、C:Check「監査」、A:Action「改善」の4つのプロセスをサイクル式で実施する。
| サイクル | 実施内容 |
|---|---|
| P (Plan:計画) | ISMSの確立 |
| D (Do:実行) | ISMSの導入、ISMSの運用 |
| C (Check:点検) | ISMSの監視、ISMSのレビュー |
| A (Action:処置) | ISMSの維持、ISMSの改善 |
ISMSに関する試験問題:ISMSに関する試験問題では、PDCAの実施事項が問題に含まれます。上記の文言でそのまま表現されるので、表の内容は覚えるようにしましょう。
情報セキュリティポリシ
情報セキュリティポリシとは、情報セキュリティに関する取り組みを文書化したもので、基本方針、対象基準、実施手順の3部構成となっています。
企業のトップマネジメント層が策定する。企業全体でのネットワークセキュリティ意識向上に欠かせないものとなっている。
リスクマネジメント
情報システムは多くのリスクを考慮する必要がある。リスクが大きいものほど投資をして、小さいものは投資を控えるなど、戦略的な働きが必要になる。正しい方法でリスクマネジメントをすることで、リスクを最小限に抑えることができる。
リスクマネジメントは以下のプロセスで実施するのが一般的である。
- リスク特定:情報資産関連のリスクを特定する
- リスク分析:発生頻度や影響度を明確にする
- リスク評価:重大性を見極め対応有無を決める
- リスク対応:リスクに対する対応を模索する
リスク特定からリスク評価までのプロセスは、リスクアセスメントと呼ばれる。
リスクへの対応
リスクの代表的な対策を紹介する。
- リスクの低減:リスクの発生率や損失額を許容範囲に収める
- リスクの受容:リスクをそのままにする
- リスクの回避:リスクの原因を排除する
- リスクの移転:リスクを他者と分けたり、第三者に肩代わりしてもらう