第５回　ISMS認証基準ってどんなもの?

　前回まで何度か登場した「ISMS（情報セキュリティマネジメントシステム）適合性評価制度」における「ISMS認証基準」について、今回は少し解説させていただく。

ISMS認証基準はVer.2.0へ

　BS7799part2をもとに、日本の情報セキュリティ標準として制定されたISMS認証基準は、 去る4月21日にVer.2.0が発表された。これは、「時代に適合したものであり続けるために（中略）適宜見直し及び改訂されるものである。」という、（財）日本情報処理開発協会（JIPDEC）の指針に沿って改定されたもので、2001年4月に発表のパイロット版（Ver.0.8）から数えて3代目となる（なお、Ver.2.0の発表に伴い、2002年4月より運用されているVer.1.0は2004年9月30日をもって廃止される予定）。2002年度に本格運用を開始して以来、わずか1年余りの間に、認証取得済み組織の数が130に上ることから考えても、このISMS認証基準が、現在の日本の情報セキュリティマネジメントシステム基準の中心となっているといっても過言ではない。

ISMS認証基準とは?

　それでは、今回のテーマであるISMS認証基準の内容について説明する。

1. 組織は、ISMSを実施するに当たって、PDCA（Plan-Do-Check-Act）サイクル（図1）による、ISMS自体のスパイラルアップ（＝情報セキュリティ対策の継続的な強化）を求められる。これは、Ver.2.0になって、より詳細かつ明確に記述されるようになった点である。

2. ISMS認証基準は、組織全体にも、あるいは組織の一部分だけにも適用できる。また、組織の一部分だけでもこの認証取得が可能である。ちなみに、筆者の勤め先でもすでに認証を取得しているが、その範囲はやはり一部の業務である。ただし、部分的に取得する場合でも、人事や研修あるいは法律の遵守状況等が、詳細管理策の対象に含まれるため、人事や法務部門等の審査への協力が必要となる。
3. ISMS認証基準においては、リスク管理が非常に重要視されている。これは、正確なリスク評価と適切なリスク対応の両方が、ISMSの確立及び運用には不可欠と考えられている証である。リスク評価は、機密性（アクセスを認可された者だけが情報にアクセスできることを確実にすること）、完全性（情報及び処理方法が、正確であること及び完全であることを保護すること）、可用性（認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること）という、3つの観点から行うものとされているが、実際に評価を行う際には、さらにそれぞれの情報の重要性を加味して行う必要がある。
4. ISMS認証基準では、経営陣のISMSに対する関与を必須のものとしている。経営陣による情報セキュリティポリシー（基本方針）の確立、承認、およびISMS全体の見直し等についての仕組みが構築されて初めて、ISMSの運用が成功すると考えている。そして、「経営陣の責任」、「マネジメントレビュー」という、Ver.1.0には存在しなかった2つの章が新たに加えられたために、この点はVer.2.0になってさらに鮮明になっている。言い換えれば、ISMSの運用が適切に行われるためには、経営陣から組織全体に対するトップダウンの意思伝達体制がしっかりできていることが、認証取得の条件だともいえる。
5. ISMS認証基準では、下記（表1）に示した詳細管理項目を挙げている。Ver.1.0からVer.2.0への移行に際して、項目名称が変更されている部分もあるので、並べて表記しておく。

　これらの詳細管理項目は、ISMSの対象となる組織や事業の性質によって、適用できないあるいは関係がないと判断した場合、「適用宣言書」にその旨を記載した上で、適用除外とすることができる。ただし、きちんとしたリスクアセスメントの結果として、適用除外の判断をした場合に限り、適用除外が認められるのであって、経済的あるいは時間的な理由では、認められないことは言うまでもない。

Ver.1.0 Ver.2.0 主な内容 セキュリティポリシー 情報セキュリティ 基本方針 情報セキュリティポリシー（基本方針）は、経営陣によって承認され、全関係者に公表されること、ま た定期的及び必要に応じて、見直されること。 セキュリティ組織 組織のセキュリティ 経営陣の参加による情報セキュリティ委員会を設置し、適切な責任分担を行うこと。 第三者（外部委託先含む）から、情報資産を保護すること。 資産の分類及び管理 資産の分類及び管理 情報資産台帳（目録）を作成、管理すること。 情報資産を重要性により分類し、適切な取扱手順を定めること。 人的セキュリティ 人的セキュリティ 情報セキュリティを職責に含めるとともに、違反者は正式な懲戒プロセスに従って処置すること。 情報セキュリティに関する教育・訓練を行うこと。 物理的及び環境的セキュリティ 物理的及び環境的セキュリティ 情報処理施設を物理的に保護し、適切な入退管理を行うこと。 情報処理装置を環境上の脅威から保護すること。 クリアデスク、クリアスクリーンを実施すること。 通信及び運用管理 通信及び運用管理 操作手順を文書化すること。 セキュリティ事故に対する、責任体制及び手順を定めること。 不正なソフトウェア（ウィルスを含む）から情報資産を保護すること。 ネットワーク・システム・媒体等を適切に管理すること。 アクセス制御 アクセス制御 アクセス制御について、方針を文書化すること。 利用者のアクセス権を適切に管理すること。 利用者は、パスワードを適切に管理すること システムの開発及びメンテナンス システムの開発及び保守 情報システムの導入・変更を行う場合には、セキュリティ要求事項を明確にすること。 必要に応じて暗号化等のセキュリティ対策を行うこと。 事業継続管理 事業継続管理 事業継続に取り組むため管理手続きを整備すること。 事業継続計画を作成し、定期的に見直すこと。 準拠 適合性 各情報システムについて、全ての関連法規・契約上の要求事項を文書化すること。 個人情報を保護すること。 手続きが、情報セキュリティポリシー（基本方針）に適合していることを定期的に見直すこと。
（表１）　ISMS認証基準　詳細管理項目

最後に

　実際にISMS認証を取得するか否かは別として、ISMS認証基準が、組織の情報セキュリティ対策実施の一つの指針となることは確かである。ISMS認証基準の各要求事項を確認し、対応していくだけでも充分役に立つ。ただし、ISMS認証基準には、レベル（度合い）に関する基準はない。どこまでのレベルの対策を実施するかは、各組織が、適切なリスク管理のもと、自分たちで決めなければならない。

　なお、ISMS認証基準（Ver.2.0）の本文をご覧になりたい方は、前出のJIPDECのホームページ（http://www.jipdec.jp/）に全文が掲載されているので、是非参照いただきたい。