情報資産の価値と情報セキュリティの重要性は日々高まっています。セキュリティリスク及び対策は経営課題であり、情報セキュリティ業務の重要性及び担当者・責任者の負担は増す一方かと思います。
さて、情報セキュリティと一口に言っても、その対象は広大です。今やあらゆる業務でIT、インターネットは活用されていて、その管理というのは多岐に渡る、かつ、高度なものになってきています。
本記事では、情報セキュリティ管理について、概要と指針・方針であるセキュリティポリシー、管理のプロセスや事例、関連する資格などを紹介します。情報セキュリティ管理業務に携わる方の参考になれば幸いです。
また、企業のセキュリティ状況がかんたんにわかるセキュリティチェックシートを無料で配布しています。ご活用ください。
情報セキュリティ管理とは
情報セキュリティ管理とは、情報資産をセキュリティリスクから守り、業務を継続するための組織の取り組みを管理することです。
ここでいうセキュリティリスクとは、マルウェア感染、不正アクセス、内部不正等による情報漏えい・業務中断等が挙げられます。これらセキュリティリスクによる影響は、企業や組織にとって大きな脅威です。
そして、セキュリティの確保・管理の方針を具体的に取り決めたものが情報セキュリティポリシーです。詳細は後述します。
情報セキュリティ管理の対象については、より具体的には下記などが含まれます。
- ハードウェアの管理(サーバー、PC、デバイスなど)
- ソフトウェアの管理(ライセンスやアクセス権限)
- エンドポイントやネットワークにおける技術的な対策の管理
- 情報システムを扱う業務と運用の手順の管理
- 情報システムを扱う従業員(≒全従業員)の監視・教育
これらの情報セキュリティ管理は、大規模な企業などでは実施に向けた体制・組織を作って対応します。そのための組織・体制やルールにあたるのがISMS(情報セキュリティマネジメントシステム)です。
情報セキュリティ管理に必須な情報セキュリティポリシー
情報セキュリティポリシーとは、企業・組織における情報セキュリティ対策の方針・行動指針です。
情報セキュリティ管理は、このセキュリティポリシーに沿って行います。方針や指針をはじめに定め、そこから詳細化を行い、最終的には情報セキュリティ管理で実施する内容を具体化したレベルで記載します。情報資産やIT基盤、業務形態などは組織により異なるため、組織にあったポリシーをそれぞれが定める必要があります。
とは言え、セキュリティポリシーに一体どんな内容を含めるべきなのかはなかなか悩むところかと思います。そこで、セキュリティポリシーのサンプルと作成・運用ポイントがわかる資料を配布しています。ぜひご活用ください。
情報セキュリティポリシーの階層化
方針、指針などの概念的な内容から、具体的なセキュリティ管理業務に落とし込む方法として、階層化を行うことが一般的です。
階層化は 基本方針 → 対策基準 → 実施手順 というステップで行われるケースが多いです。
- 基本方針
- 組織や企業の代表者により「なぜ情報セキュリティが必要なのか」、「どのような方針で情報セキュリティを考えるのか」、「顧客情報の扱いはどのような方針で行うか」といった大きな考え方を定めます。
- 対策基準
- 実際に行う情報セキュリティ対策の指針を定めます。一般的に、対策基準ではどんな対策を行うのかという規定を記述します。
- 実施手順
- 対策基準であげた対策ごとに、情報セキュリティ対策の内容を具体的に手順として書き起こします。
情報セキュリティ管理のプロセス
情報セキュリティ管理は、PDCAのサイクルを用いて実現することが多いです。これらのプロセスを繰り返すことで、情報セキュリティ管理の精度を高め、セキュリティを確保します。
情報セキュリティ管理のプロセスについては、「情報セキュリティ管理とは?その意味やプロセス、事例などを解説」で詳しく解説していますので、こちらもご参照ください。
計画(Plan)
情報セキュリティ対策の実施計画をたてます。企業の持つ情報資産とセキュリティの状況を洗い出し、現状把握をします。その後、課題や改善点を見つけて達成目標をたて、情報セキュリティ対策を検討します。
実行(Do)
計画で定めた情報セキュリティ対策を実施、情報セキュリティ管理を実行します。部署やチームごとに担当者を置き、組織全体で協力して取り組むことが重要です。
確認(Check)
情報セキュリティ対策、情報セキュリティ管理がどのように行われたのか、どれだけ成果をあげたか、そしてどのような問題点が発生したのかを、計画時にたてた目標をもとに確認します。計画通りに情報セキュリティ対策、管理が実施されたかを確認し、成果および改善点の洗い出しをします。
改善(Action)
確認の結果見つけた課題、改善点を検討します。解決策や改善策を打ち出したり、プロセス全体の見直しを行い、情報セキュリティ管理を組織全体に浸透させることも大切です。
再度セキュリティ管理の計画を立ててPDCAサイクルを回し、よりよいプロセスを作り上げます。
情報セキュリティ管理の事例
情報セキュリティ管理の事例を紹介します。本項であげる管理は各領域を対象としたもので、これらを組み合わせて総合的な情報セキュリティ管理を行うことが必要です。
情報資産管理ツールによるIT資産の管理
情報資産管理ツールを導入し、情報資産のリストアップ、ソフトウェア最新化を図ることも管理策の一つです。
SNSなどの利用に関するルールの策定
組織におけるSNSの利用には一定のルールを定め、情報の漏えいや流出を避けつつ、適切な利用により組織のアピールを実現することが重要です。例として、シャープでは「シャープ公式Twitterアカウント コミュニティ・ガイドライン」を定めて管理しています。
個人情報の取り扱いの強化
情報セキュリティ管理の中でも、顧客や従業員などの個人情報の取り扱いは重視すべき内容です。多くの企業が、個人情報の取り扱いについてのルールを定めてセキュリティを管理しています。
個人情報保護委員会では、金融、医療、情報通信などの分野向けに「特定分野ガイドライン」を定めており、これらを取り込むことで個人情報の取り扱い強化を図れます。
セキュリティ製品を組み合わせた網羅的な仕組みづくりと定期的な見直し
ウイルス対策ソフトなどのセキュリティ製品を用いたセキュリティの仕組み作りも、セキュリティ管理に含まれます。
近年では、セキュリティモデルとしてゼロトラストが主流となりつつあり、EDR・NDRなどのゼロトラストを実現する製品とEPP、IDS/IPS、FIREWALLなどの境界型セキュリティ関連の製品を組み合わせ、総合的な管理を行う仕組みの構築が求められます。Microsoft社が「アサヒグループジャパン」に向けて行ったゼロトラスト導入の取り組みは、その一つの事例といえます。
情報セキュリティ管理の事例については、「情報セキュリティ管理とは?その意味やプロセス、事例などを解説」でも詳細に取り上げているためご参照ください。
情報セキュリティ管理についての資格
情報セキュリティ管理に関するスキルの習得や人材の育成にむけて、資格制度を利用することは有効な手段です。以下では、情報セキュリティ管理に関連する資格を紹介します。
独立行政法人情報処理推進機構(IPA)が運営し、経済産業省が認定する国家資格
情報技術者の中でも高度なレベルのスキルを認定する資格試験です。情報セキュリティマネジメント試験は情報サービスの管理者向け、情報処理安全確保支援士試験はセキュリティエンジニア向けの最高峰の資格とされます。
情報システム利用者・管理者向け資格
情報システムの利用者や管理者に向けて、一般的な情報セキュリティ管理についての知識を問う資格試験です。ITに特別な知見がない方が、情報セキュリティへの取り組みを始める際に知識の習得を行う目的に適しています。
技術者、専門家向け資格
エンジニアなどの技術者・専門家向けの資格試験で、IPA以外が提供する資格には下記があげられます。海外の団体が主催している資格の場合には、グローバルに通用するスキルが示せます。
まとめ
情報セキュリティ管理とは、セキュリティリスクから情報資産を守るための組織の取り組みを定め、その管理を行うことです。企業や組織は、指針・方針となる情報セキュリティーポリシーを定め、より具体的なセキュリティ管理、対策の手順に落とし込んでセキュリティ管理を実現します。PDCAのサイクルに沿って、セキュリティ管理プロセスをより良いものにする取り組みも重要です。
セキュリティポリシーのサンプルと作成・運用ポイントがわかる資料を配布しています。ぜひご活用ください。
