人気のタグ
おすすめのサイト
企業ニュース

企業や組織で使われるセキュリティー関連用語「ISMS」とはどんな意味?

2021.03.08

ネットワークインフラの進化とともに重要視されてきたのが、いかに企業や組織の情報を守るかという「情報セキュリティ」の考え方。中でも国際規格である「ISMS」は知名度が高い。

本記事では、企業・組織の運営に欠かせないISMSの基礎知識をわかりやすく解説する。同じ情報セキュリティ関連の用語「Pマーク」との違いも理解しておこう。

ISMSとは

ますは、そもそもISMSとは何の略なのか、どのような意味なのか基本的な部分を解説する。ポイントはISMSは、情報を守るための一つの"仕組み"であるという点だ。

情報セキュリティマネジメントシステムの略

ISMSは「Information Security Management System」の頭文字を取った略語で、日本語では「情報セキュリティマネジメントシステム」と訳される。言い換えれば、情報セキュリティを維持するために必要な"仕組み"のことだ。

これだけだとなかなか理解しづらいが、IS(Information Security)とMS(Management System)の部分に分け、それぞれの意味を考えていくとわかりやすい。

・情報セキュリティ(IS:Information Security)

情報セキュリティは、その名の通り企業や組織の情報を守ること。許可された人だけが情報にアクセスできる「機密性」、情報が改ざんされたり削除されたりしない「完全性」、必要な時に確実にアクセスできる「可用性」の3要素が定義されている。ISMSでは、これら3つの要素をバランス良く対策することが求められている。

【3要素の一例】

機密性:フォルダやファイルにパスワードをかける。
完全性:情報が常に最新に保たれている。
可用性:権限の与えられた人はいつでも情報にアクセスできる。

・マネジメントシステム (MS:Management System)

ISMSにおける「マネジメントシステム」の部分は、組織が情報セキュリティに対し、具体的にどのような取り組みを行っていくかの目標や方針を定め、それを実際に仕組みとして機能させていくこと。ISMS構築後も、それを運用し維持するために「PDCAサイクル(計画→実施→評価→改善)」を意識していく必要がある。

情報セキュリティによるリスク

では、そもそも「情報」にはどのようなリスクがあるのだろうか。考えられるのは、「パソコンの紛失」やランサムウェアなどの「ウイルス」だ。テレワークが普及している今、会社のパソコンを外で使用する人も少なくないはず。そのパソコンが盗まれたり紛失してしまった時、企業の重要な情報が漏洩してしまう恐れがある。また、外部からのウイルスによる情報流出も対策しなければならないリスクの一つだ。企業はこれらのリスクに対し、十分な対策を取ることが求められている。

ISMI認証の取得方法

では、企業・組織はどのようにISMSを構築していけばいいのだろうか。その鍵となるのが、国際規格であるIEC(国際電気標準会議)とISO(国際標準化機構)、そしてJIS(日本産業規格)だ。

ISO/IEC 27001、JIS Q 27001との関連性と要求事項

国際標準化機構が発行する国際規格ISO27001、国際電気標準会議が発行する国際規格IEC27001には、それぞれISMSを構築する上での必須事項が記載されている。その必須事項を「要求事項」と呼び、それらを満たしてはじめてISMS認証の審査を受けられる。ちなみに、日本産業規格の「JIS Q 27001」は、ISO/IEC 27001を日本語訳したものだ。

取得までの道のり

ISMSはまず、先述した要求事項を満たす必要がある。そのためには企業における情報資産とは何かを考えた上で、「具体的なリスク対策案の選定」「社内教育」など、長いプロセスがある。また、認証までの期間は半年以上かかると言われている。

そのため、コンサルタントを介してISMS認証取得を目指す企業が多いようだ。コンサルタントに依頼すると、その分費用はかかるが、「誰が、何を、いつまでに」すればいいのかを明確に示してくれるため、取得までの期間を大幅に短縮できる。

Pマークとの違い

情報セキュリティ関連で、もう一つ有名なのが「Pマーク(プライバシーマーク)」が。これは一般財団法人日本情報経済社会推進協会が認定する制度で、個人情報の保護を目的としたものだ。具体的には、「情報の利用目的の開示」など対個人を対象としている。

また、Pマークは国内のみ有効な規格で、国際規格ではない点がISMSと異なっている。B to C企業など、ユーザーの個人情報を多く取り扱う事業者はPマークを、B to B企業や他社との機密情報等のやり取りが多い場合にはISMSを取得するのが良いだろう。

文/oki

新型コロナウイルス対策、在宅ライフを改善するヒントはこちら

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2021年6月16日(水) 発売

DIME最新号の特別付録は「スマホシアタースタンド」! 特集は「理想のワーケーション」、「eスポーツギア」

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。