ISMS の本 質を理解す る 2017/12/13 リコージャパン株式会社 エグゼクティブコンサルタント 羽田卓郎 作成 :2017 年 10 月 6 日 更新 :2017 年 11 月 06 日 Ver.1.1 1
進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2017 Ver. Ver. ISMS 認証基準 0.8 1.0 Ver. 2.0 JIS Q 27001:2006 英国規格 国際規格 BS7799-2:1998 BS 7799-2:2002 ISO/IEC 27001:2005 JIS Q 27001:2014 ISO/IEC 27001:2013 13 英国規格 JIS X 5080:2002 JIS Q 27002:2006 JIS Q 27002:2014 BS7799-1 :1998 ISO/IEC 17799:2000 国際規格 ISO/IEC 17799:2005 ISO/IEC 27002:2005 ISO/IEC 27002:20 :2013 28P Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 2
マネジメントシステム規格の共通化 1. マネジメントシステム規格の共通化 : 1ISO/IEC27001:2013は ISO/IEC 専門業務用指針第 1 部 ISO 補足指針統合版の附属書 SLのAppendix 2 上位構造 共通の中核となるテキスト 共通用語および中核となる定義 を適用している 以降 MSS という 2MSSは QMS EMS BCMSなど 既存の全てのマネジメントシステムにも適用され 将来的には 全て MSSをベースとした規格となる 3ISO/IEC27001:2013は MSSの開発目的を尊重し 可能な限り専門分野 ( 情報セキュリティ ) 固有の要求事項とMSSの要求事項が重複しないように改訂された 38P Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 3
規格の構成 JIS Q 27001:2014 [ 本文 ] 0 序文 1 適用範囲 2 引用規格 3 用語及び定義 4 組織の状況 5 リーダーシップ 6 計画 7 支援 8 運用 9 パフォーマンス評価 P P D C 実施 決定 [ 付属書 A( 規定 ) 管理目的及び管理策 ] A.5 情報セキュリティのための方針群 A.6 情報セキュリティのための組織 A.7 人的資源のセキュリティ A.8 資産の管理 A.9 アクセス制御 A.10 暗号 A.11 物理的及び環境的セキュリティ A.12 運用のセキュリティ A.13 通信のセキュリティ A.14 システムの取得 開発及び保守 A.15 供給者 A.16 情報セキュリティインシデント管理 A.17 事業継続マネジメントにおける情報セキュリティの側面 10 改善 A A.18 順守 37P Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 4
適用範囲の決定とリスク対策の視点 適用範囲定義の視点 ISO/IEC 27001:2006 では 事業 組織 所在地 資産 技術の特徴の見地 から定義することを求めていた しかし 2014 年版ではその指定はなくなったが 現実的には同様の定義が必要となる セキュリティ対策を考察する際の視点を適用する セキュリティ対策考察時 3 つの視点 物理的対策 物理的視点 技術的対策 技術的視点 人的 組織的対策 人的 組織的視点 順守を含む 人的 組織的対策 49P Copyright 2015,2017 RICOH JAPAN Corporation All Rights Reserved. 5
ISMS 構築モデル 組織の状況 3 内部の課題 4 外部の課題 利害関係者 5 ニーズ 6 期待 ( 箇条 4.1) ( 箇条 4.2) 理解 理解 組織の目的を達成するための活動に付随する課題 ( 阻害要因 ) は 目的達成に対する リスクリスク につながる 組織の使命 ( 箇条 4) 1 組織の目的 ( 箇条 6.1.1) 2 組織の目的を達成するための活動 ( 機会を得るための活動 ) 組織の課題 ( 箇条 4) 7 組織の目的を達成するための活動と 利害関係者のニーズ及び期待の実現に伴う課題及び組織の目的に対するリスク ( 箇条 6.1.1) 8 情報セキュリティに関連する組織全体の目的に関わる課題とリスク 情報セキュリティ ( 箇条 5.1 5.2) 9 情報セキュリティ方針群 ( 箇条 6.2) 10 情報セキュリティ目的 ( 部門階層別目的を含む ) ( 箇条 6.1.2.2.6.1.3 ) 11 情報セキュリティ目的に対するリスク対応 ( 箇条 6.2 8 ) 12 情報セキュリティ目的達成のための活動 〇継続的改善 ( 箇条 10 ) 情報セキュリティでは 組織の目的に対する 機会 は 2 で選択しているため 1112 の時点では 機会の選択はない 6
リスクと機会 の関係と ISMS について 業務フロー 外部 自組織 受注 システム 機会 (Opportunity) を得るということは 組織のビジネス目的を達成するための活動を行うという事である リスクは機会を得るための活動に付随して発生することから ビジネス活動に関するリスクと機会は連動していると言える 従って リスクを増大させて機会を増やす事が可能となる 売上 ISMS は 主たるビジネスを遂行する上で 阻害要因となる情報のセキュリティ課題を解決する事が目的であり 組織のビジネスそのものを拡大させる活動ではない 従って ISMS の活動では リスクを増大させて機会を得るという関係はない Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 7
組織の目標に対するビジネス活動とISMS 活動の関係組織の目標 目標達成 ビジネス活動 ISMS 活動 組織の目標 組織の目標 ビジネス活動を阻害 ビジネスリスクの増大 ビジネス活動 ISMS 活動 ビジネス活動 ISMS 活動 Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 8
目的を中心とした骨格の形成 4.2 利害関係者のニーズ及び期待の理解 必要資源 責任者 達成期限 評価方法マネジメントシステムと管理策の実装情報セキュリティ目的の達成の阻害要因の確認と対応指示 組織 5.1 5.2: 組織の戦略としての情報セキュリティ方針と目的の設定 6.2: 階層別情報セキュリティ目的の確立とそれを達成するための計画 8.1: 情報セキュリティ目的達成のための計画の実施 9.1: 情報セキュリティパフォーマンス及び ISMS 有効性の評価 9.3: マネジメントレビューへの情報セキュリティ目的の達成状況報告 4.1 組織及び状況の理解 組織内部の状況 組織の外部状況 6.1.1 リスク及び機会の決定 6.1.2 6.1.3 リスクアセスメントとリスク対応及び 管理策の決定情報セキュリティ目的達成のための活動の評価
部門階層別 目的 設定の考え方 戦術的目的 : 各段階の戦略的目標を達成するための諸課題を解決する 個々の目標を達成することで全体の目的が達成可能となる 戦略的目標 :3000m 級の山を征服する 全体の目的 ( 目標 ) を達成するための活動に対する目的 ( 目標 ) を設定する 戦術的目標 & & 目標 1:40Km 走れる持久力を身に付ける 目標 2:60Kg の荷物を 5 時間背負えるようになる 目標 3: オーバーハングの壁を 1 人で上れるようになる 81P 10
情報セキュリティ目的とリスク受容レベルのイメージ 大 1 情報セキュリティ目的達成レベル 2 リスク受容レベル 結果の大きさ ( 影響度 ) 第 1 段階例 1: 結果を変える第 2 段階 1 第 2 段階 2 第 1 段階 リスク対応 例 2: 起こりやすさを変える 小 小 起りやすさ 大 11
リスク対応の概念の変化 従来のリスクに関連する概念の例 新しいリスクに関連する概念の例 脆弱性 ( 状態 ) リスク源 リスク対応 発生 ウィルス対策ソフトの不備 ( 状態 ) 脅威 ( 存在 事象 行為 ) ウィルス ( 存在 ) 付け込む ウィルス ( 存在 ) ウィルス対策ソフトの不備 ( 状態 ) 事象 リスク源の除去 ( フィルタリング ) 起こりやすさを変える ( ウィルス対策ソフトの管理強化 ) 感染 ( 事象 ) ウィルス感染による情報の破壊 インシデント ( 事象 ) 情報破壊 結果 ( 目的に対する ) 業務停止による損害の発生 結果を変える ( 装置の冗長化又はバックアップからのリストアによる短期回復等 ) 結果 ( 損害の発生 ) Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 12
リスクアセスメントとリスク対応のモデル リスクの特定 5 リスク対応 4 3 2 リスク源リスクの存在又は現象 ( ウィルス ) 結びつく弱点のある状態 ( ウィルス対策ソフトの不備 ) 起こり易さ事象 ( 原因事象を含む ) リスク源によって引き起こされ 目的達成を阻害する出来事 ( ウィルス感染による情報の破壊 ) 影響結果事象の発生により 目的を達成できないという結果 ( 業務停止 ) リスクの回避機会の追求のためのリスク増加リスク源の除去起こり易さを変える結果を変えるリスクの共有リスクの保有 6 パフォーマンス評価 1 ( 目的達成のための活動 ) 情報セキュリティ目的 Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 13
リスク特定の例 リスク源 事象 結果の例 ( ランサムウェア感染 ) リスク源 存在 : ランサムウェア 脆弱性: 不正メール対策の不備 事象 原因事象 : 従業者が受信した不正メールの添付ファイルを開封 結果事象 : ランサムウェアの侵入と活性化 ( サーバ内のデータ暗号化 ) 結果 ( 目的からの乖離がリスク ) 目的 : 情報の可用性喪失による業務停止の防止 ( 重要情報の強制暗号化を復元できないため必要情報にアクセスできないことによる ) 業務停止による機会損失や対外的信用喪失の発生 Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 14
情報セキュリティ事象の連鎖の例 Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 15
事象の連鎖とリスク源及びリスク対策の例 事象の連鎖とリスク源の例 事象の連鎖 ( 事象 1 から 3 へと続く ) リスク源 ( 脆弱性 ) リスクの存在 ( ランサムウェア ) は 一連の事象に共通のため省略 事象 1 事象 2 事象 3 ISMS 適用範囲 従業者が受信した不正メールの添付ファイルを開封 従業者に対する不正メールの取り扱い指導 ( 不審なメールは開かない ) の不備または不徹底 ランサムウェアが PC に侵入し 続いてサーバに侵入する ウィルス対策ソフトの不備または未導入 PC の OS 及びサーバの OS に対する脆弱性対策の不備または不徹底 ランサムウェアがサーバ内のデータを暗号化し復元できない バックアップとリストア対策の実施手順の未整備 [ 管理策 ] とリスク対策 [ 管理策 :A.7.2.2] 従業者に対する不正メール対策の指導及び教育の徹底 [ 管理策 :A.12.2.1] ウィルス対策ソフトの導入と定期更新 [ 管理策 :A.12.6.1] PC の OS 及びサーバの OS の脆弱性対策の実施 ( 最新バージョン化 修正プログラムの適用等 ) [ 管理策 :A.12.3.1] システム環境及びデータバックアップの取得と安全な保管 リストアテストの実施等 Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 16
最後に ISO/IEC 27001 は 課題解決ツールである ISMS のみならず QMS EMS BCMS ITSMS など すべてのマネジメントシステムは それぞれの分野の経営課題を解決するために用意されている 組織の目的を達成するために行う活動には すべてリスクが伴うため そのリスクを顕在化 ( インシデント発生 ) させないことが 組織にとっての課題となる ISMS の本質は 情報セキュリティに係るビジネス課題を解決することであり そこには 経営陣の明確な意思が反映されるべきである Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 17