情報セキュリティマネジメントシステム (ジョウホウセキュリティマネジメントシステム) とは | 意味や読み方など丁寧でわかりやすい用語解説

情報セキュリティマネジメントシステム (ジョウホウセキュリティマネジメントシステム) の読み方

日本語表記

情報セキュリティマネジメントシステム (ジョウホウセキュリティマネジメントシステム)

英語表記

Information Security Management System (インフォメーションセキュリティマネジメントシステム)

情報セキュリティマネジメントシステム (ジョウホウセキュリティマネジメントシステム) の意味や用語解説

情報セキュリティマネジメントシステムは、英語の「Information Security Management System」の頭文字を取ってISMSとも呼ばれる。これは、組織が保有する情報資産を様々な脅威から守り、安全に管理するための包括的な仕組みのことである。単にウイルス対策ソフトを導入したり、ファイアウォールを設置したりといった個別の技術的対策だけを指すのではない。組織全体で情報セキュリティを維持・向上させるための、方針、体制、計画、手順、資源配分などを含んだ、組織的な管理体制そのものを意味する。情報セキュリティを確保するためには、情報の「機密性」「完全性」「可用性」という三つの要素をバランス良く維持することが重要とされる。機密性とは、認可された者だけが情報にアクセスできることを保証すること。完全性とは、情報が破壊、改ざん、消去されていない正確な状態を保つこと。可用性とは、認可された者が必要な時に情報にアクセスし、利用できる状態を保証することである。ISMSは、これらの三要素を継続的に維持・管理するための枠組みを提供する。 ISMSの構築と運用は、PDCAサイクルと呼ばれる継続的な改善プロセスに基づいて行われるのが一般的である。まず「Plan（計画）」の段階では、組織が守るべき情報資産を洗い出し、それらの情報資産にどのような脅威や脆弱性が存在するかを分析・評価するリスクアセスメントを実施する。この結果に基づき、組織としての情報セキュリティに関する基本方針を定め、具体的な目標と、リスクを低減させるための対策計画を策定する。次に「Do（実行）」の段階では、計画に基づいて具体的なセキュリティ対策を導入し、運用する。これには、アクセス制御システムの導入といった技術的対策のほか、従業員に対するセキュリティ教育の実施や、情報資産の取り扱いに関するルールの策定と周知徹底といった人的・組織的対策も含まれる。続く「Check（評価）」の段階では、導入した対策が計画通りに機能しているか、有効性は十分かを監視・測定し、評価する。定期的な内部監査や、セキュリティログの監視などがこの活動にあたる。そして最後の「Act（改善）」の段階では、評価の結果明らかになった問題点や課題を是正し、計画そのものや運用方法を見直す。このPDCAサイクルを繰り返し回すことで、組織は変化する内外の環境や新たな脅威に対応し、情報セキュリティレベルを継続的に向上させていくことができる。 ISMSが適切に構築され、運用されていることを客観的に証明する仕組みとして、第三者認証制度が存在する。その国際的な標準規格が「ISO/IEC 27001」である。この規格は、ISMSを構築・運用する上での要求事項を定めており、審査機関による審査に合格することで、組織はISMS認証を取得できる。認証の取得は、顧客や取引先に対して、自社が情報セキュリティを適切に管理していることを示す信頼の証となり、ビジネス上の競争力強化にも繋がる。システムエンジニアを目指す者にとって、ISMSは非常に重要な概念である。システムの設計、開発、運用といったあらゆる工程において、組織が定めたISMSの方針やルールを遵守することが求められる。例えば、セキュアコーディングを実践して脆弱性を作り込まない、データベースへのアクセス権限を最小限に設定する、システムの稼働状況を監視して異常を検知するなど、日々の業務そのものがISMSの一部を構成する。ISMSは情報システム部門だけの課題ではなく、経営層から全従業員までが関わる組織全体の取り組みであるが、その技術的な基盤を支え、実現するのがシステムエンジニアの重要な役割となる。したがって、この仕組みを深く理解することは、信頼性の高いシステムを構築し、組織の情報資産を守る上で不可欠である。