「ISMS規格をわかりやすく解読する」シリーズの19回目は、「A.13運用のセキュリティ」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.13.1ネットワークセキュリティ管理

ここでは、ネットワークについてのセキュリティ管理策が記載されています。まずはじめに、「ネットワークを管理し、制御しなければならない」と書かれています。これはどういうことかというと、現在の社内のネットワークの状況が十分に把握（管理）できている必要があること、および、必要に応じて、そのネットワークを制御できることを求めています。

もう少し具体的に述べると、例えば社内のネットワーク図を作成すること、作成したネットワーク図を定期的に更新すること、ネットワーク機器の管理方法や設定の方法などのマニュアルを作成すること、ネットワーク全体のログを取ること、などの対策が考えられます。

A.13.2情報の転送

現在、通信技術の発達によって、様々な情報の転送手段が生み出されています。一昔前までは、情報を伝える手段といえば、電話やメール、FAXなどに限られていましたが、現在では、LINEやFacebookのメッセージ機能などでやりとりをしたり、クラウドストレージサービスを使ってファイルをやり取りしたりと、様々な方法で情報を転送できます。これらの情報の転送の種類やルールなどを、セキュリティ的な観点からきちんと定めましょうねというのが、この節です。

もちろん、このサービスを使ってるからISMSが取れない！なんてことは規格には書かれていないので、極端な話、どのサービスを利用して情報の転送を行っても良いのですが、ただ、「こういうサービスを使って情報を転送します」という、転送先との合意をとっておく必要はあります。また、このサービスを利用して送信した情報は、第三者に盗まれてしまうことはないか、情報が途中で消えることはないか、などの確認をしておく必要もあります。

一般的な情報の転送手段といえば「メール」ですが、よく議論の対象になるのは、メールで重要なファイルを送るときは、ZIPパスワードを掛けて、そのパスワードを別のメールで送付するという方法です。ISMS的に見れば、これは情報転送において情報を保護するための適切な手順として考えられるため、ISMS取得のためならば、ルールに追加しておいたほうが無難です。ただし、このルールが無いからといってISMSが取得できないわけではありません。この作業を行うことによって、業務効率が低下してしまうようならば、ルールに加えるのかどうか、慎重に検討すべきです。