キーワード解説

特集などに出てきた重要語句を分かりやすく解説

このエントリーをはてなブックマークに追加
2011/7/25

ISMS

概要

 ISMSとはInformation Security Management Systemの略。直訳すると「情報セキュリティ管理システム」。企業や団体などの組織が、保有している情報資産に関する情報セキュリティの定義(図)に基づく適切な管理方法・指針、および定期的な情報管理計画の監査・見直し計画などを含めた管理体系のこと。

図、情報セキュリティの定義とその3大要素
図、情報セキュリティの定義とその3大要素

 1990年代に、世界中で情報のやりとりを容易にするインターネットが爆発的に普及すると、情報が企業経営において、重要な立ち位置を占めるようになっていく。これまで企業の資源はヒト・モノ・カネと言われてきたが、それに継ぐ「第4の資源」として情報が注目されるようになり、ほかの資源と同じような管理体系が求められるようになった。


 このような背景から、2000年にはイギリスで利用されていた情報管理基準を元に、基本的な事項をまとめ上げたものを国際標準として策定した。日本国内ではこれらの標準を元に、財団法人日本情報処理開発協会などの第三者機関による認定制度が定められている。


歴史


 ISMSの構築方法と認定のための標準的な規格はISO(国際標準化機構)とIEC(国際電気標準会議)が策定したISO/IEC 27000シリーズになっている。この国際規格の元は、1995年にBSI(英国国家規格協会)の「BS7799」である。


 BS7799は、イギリス国内の企業で定められていた情報セキュリティ管理に関する事例を収集して作られている。こうして詳細管理策としての具体的な情報セキュリティマネジメントの方針として策定されたBS7799は、1998年に情報セキュリティ管理の審査登録に関する事項としてBS7799-2が作られ(旧来のものはBS7799-1となり)2部構成になった。


 2000年に情報セキュリティに関する国際標準を作る動きがあると、このBS7799-1を元にISO/IEC17799:2000が定められ、2005年の改訂を受けてISO/IEC17799:2005に。さらに同年BS7799-2がISO27001となり、2007年にはISO/IEC17799:2005がISO/IEC27002へと名称変更した。現在もISO/IEC27000番台に数字を増やす形で規格の増設・検証が続けられている。


PDCAサイクル


 ISO/IEC27000シリーズは、策定の経緯からもわかる通り「事例集」が元であり、あらゆる分野における最適解答ではない。つまりISO/IEC27000シリーズの基準に則って忠実に策定したら、それで十分というものではなく、業種や求めるセキュリティレベルによって内容も検証することが必要だ。また「PDCAサイクル」を重視していることも、ISO/IEC27000シリーズの大きな特長になっている。


 PDCAサイクルとは「Plan(計画)」「Do(実行)」「Check(評価)」「Act(改善)」から再び「Plan(計画)」に戻り、改善を継続的に行うサイクルのこと。ISO/IEC27000シリーズは、このPDCAサイクルを常に回すことで、最適な情報セキュリティ管理システムへ近づいていくという想定で作られている。そのためシステムの作りっぱなしでは、正常に機能をせず、構築のための労力が徒労に終わってしまう。情報が経営における重要な資源であることを認識し、常に適切な対応ができるよう備えておくことが求められる。

(井上宇紀)

「ISMS」が出てきた記事

クラウドセキュリティ最前線

【関連カテゴリ】

情報セキュリティ