サイバーセキュリティは、今となっては特別な言葉ではありません。毎日のように、いろいろなメディアで目にします。きっと皆さんも、サイバーセキュリティの大まかなイメージはつくはずです。しかしながら、「サイバーセキュリティとは何か?」説明を求められると、答えに困りませんか・・・
本コラムでは、あらためてサイバーセキュリティの基本を振り返りながら、計4回にわたってセキュリティ対策の本質への理解を深めていきます。
さらなるステップへ
本テーマの最終回(第4回)では、サイバーセキュリティの基本に続く応用(さらなるステップ)に向け、国際標準の活用を説明します。国際標準について、皆さん非常に難解なイメージを持たれているのではないでしょうか。正直なところ、とてもわかりやすい読み物ではありません。
ただ、物は使いようと言いますか、その特徴を理解すれば、実は多くの企業で利用する価値があります。標準(スタンダード)というだけあって、企業規模の大小や業種業態を問わず、いろいろな会社に広く活用できるのです。
そうした、ちょっと扱いにくそうな国際標準ですが、皆さんに少しでも興味を持っていただけるよう、いくつかポイントを紹介します。
国際標準を知る
デファクトスタンダードという言葉を聞いたことがありますか? 市場競争の中で定着した「事実上の標準」のことです。たとえば、業務用PCのOSであるWindowsや検索エンジンのGoogleなどです。これに対して、国際標準化団体などが内容を取りまとめ、各国の同意を得た「公式な標準」が、デジュールスタンダードです。国際標準は、このデジュールスタンダードに当たります。
そして、世の中にはいろいろな国際標準化団体が存在します。その中でも、一番目にすることが多いのは、略称で「ISO(アイエスオー)」と呼ばれる国際標準化機構(International Organization for Standardization)だと思われます。
たとえば、企業のホームページや会社紹介のパンフレットなどで、「ISO 9001認証取得」といった記載があったりします。ISOに続く数字は規格番号のことで、9001は企業の製品やサービスの品質管理に関する国際標準を示します。ISOでは、工業製品・技術・食品安全・農業・医療などの幅広い分野で、数多く(約2万)の標準(規格)を策定しています。
もちろん、情報セキュリティやサイバーセキュリティについても、ISOの国際標準がいくつか存在します。その中でも、(デジュールスタンダードなのですが)デファクトスタンダードのように活用されているのが、ISO/IEC 27001(情報セキュリティ、サイバーセキュリティ及びプライバシー保護)です。「/IEC(アイイーシー)」の表記は、国際電気標準会議(International Electrotechnical Commission)という別団体との共同規格を表します。
ISO/IEC 27001は、ISMS(Information Security Management System)の略称で呼ばれ、情報セキュリティ管理と対策の拠り所として広く用いられています。今では、「情報セキュリティといえばISMS」といったイメージが、形成されているのです。
その活用方法は
ISMSは、多くの企業で自社の情報セキュリティ管理と対策を行う際に、参考書のように活用されています。自社の情報セキュリティに関する社内規程を考える上で、広く参照されているのです。
ISMS(2022年版)には、附属書Aという部分に93項目の「情報セキュリティ管理策」が載っています。管理策とは、わかりやすく言えば、対策の基本的な要件です。たとえば、マルウェア対策に関するルールを考える際には、「マルウェアに対する保護(箇条8.7)」の内容をベースにするわけです。
ただ、ここで国際標準の特徴をよく理解しておかないと、いったいこれをどのように活かせばいいのか、よくわからない状況に陥ります。
国際標準の内容は、世の中で広く用いることができるよう、原則主義(原理原則)で規定されています。具体的に細かな事項が決められている細則主義とは異なり、より上位の概念で内容を抽象化し、簡潔な文章でまとめられています(著作権の関係から、ここに実際の文章を載せることは控えます)。
しかしながら、それを一読すると、何かふわふわして捉えどころがないようにも感じます。結局のところ、何をどうすればいいのか、はっきりとしないのです。この原則主義が、逆に国際標準を難しくさせています。
細則主義による文章は、かなり長文で読みづらい感じがあるものの、箸の上げ下げまで細かく定められているため、実施すべきことは明確に限定されます。ですが、そうして細部まで狭く定められると、広く活用することが難しくなります。特に中小企業や特定の業種業態では、実施できない例外等がいろいろ出てくるからです。
これに対して、国際標準では原則主義により、「大枠は決めておきましたから、それに従って細かな点をどうするかは、自ら適切に決めてください。」といったスタンスです。具体的にどうするかは、国際標準を利用する側に裁量が委ねられています。
活用のメリット
国際標準であるISMSを活用すると、いったいどんなメリットがあるのでしょう? ここでは、次の3つをとりあげます。
- 抜け漏れの少ない情報セキュリティ管理や対策の実施
ISMSは、企業を取り巻く全般的な情報セキュリティリスクを想定し、体系だった構成でまとめられています。ISMSで規定される管理策(93項目)に対処することで、網羅的なセキュリティ対策につながります。
- 組織体制の強化(継続的な改善の促進)
ISMSには、情報セキュリティを管理する上での、組織的な体制の整備が求められています。セキュリティ委員会や推進チーム、セキュリティ管理者や担当者などの役割・責任を定めます。そして、リスクアセスメントや内部監査、インシデント対応などにより、情報セキュリティ管理や対策の実施状況を評価します。それら一連の活動により、継続的な改善(PDCAサイクル)が図れます。
- 適切な情報セキュリティへの取り組みをアピール
ISMSに沿うことは、一定の水準(国際標準が求める基準)により、情報セキュリティ管理と対策が行われていること意味します。さらに、ISMS認証を取得すれば、独立性・中立性を持つ第三者機関(審査機関)から、ISMSに適合することへのお墨付きが得られます。
外部のステークホルダー(株主や取引先など)に対して、ガバナンスの強化をアピールできるはずです。
おわりに
「いまさら聞けないサイバーセキュリティの基本」と題し、計4回にわたって説明をしました。今一度、サイバーセキュリティ対策の本質について、振り返っていただけたでしょうか。
次回からは、新たなテーマが始まります。どうぞご期待ください。
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/3836d3bb.1376502e.3836d3bc.c353e400/?me_id=1213310&item_id=20737759&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F8206%2F9784798068206_1_3.jpg%3F_ex%3D128x128&s=128x128&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/3836d3bb.1376502e.3836d3bc.c353e400/?me_id=1213310&item_id=20498428&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F1227%2F9784798171227_1_26.jpg%3F_ex%3D128x128&s=128x128&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
