(1)ISMSとは

　ISMS（Information Security Management System）とは、言葉の通り、情報セキュリティのマネジメントシステムである。セキュリティ対策というのは単にFirewallを導入すれば良いという単純なものではない。PDCAサイクルでマネジメントし、効果的かつ継続的なセキュリティ対策を運用することが求められる。
別途述べるISO/IEC15408が技術面のセキュリティを考慮しているのに対し、ISMSでは運用面も含んだ組織的な対策の枠組みである。

◆参考URL
第2回 認証取得のためのISMSガイド
http://www.atmarkit.co.jp/fsecurity/rensai/guide02/guide01a.html
日本情報処理開発協会（JIPDEC)　ジップデックと読む
ISMS適合性評価制度
https://isms.jp/isms.html
認定基準も参考になる。

(2)ISMSのプロセス

　ISMSのプロセスはPDCAのマネジメントサイクルで考える。
以下のURLも参照いただきたい。
（旧リンク）http://www.ipa.go.jp/security/manager/protect/pdca/index.html

①Plan：ISMSの確立
　セキュリティ対策として、どんな人的、物理的、技術的対策を実施するかを確立する。
　⇩⇩
②Do：ISMSの導入及び運用
　上記の対策を実行に移す。暗号化や認証システムを導入したり、運用ルールを策定したり、教育をしたりする。
　⇩⇩
③Check：ISMSの監視及びレビュー
　日々または定期的な監査などによるセキュリティチェックを行い、セキュリティが守られているかを確認する。
　⇩⇩
④Act：ISMSの維持及び改善
　万が一、セキュリティ事故が発生するような場合は、社員の再教育をするなり、別の対策を検討し、セキュリティが適切に保たれるよう改善する。

以下も参考になります。
https://akerun.com/knowledge/20210405/

以下の問題を解いてみよう。

↓
↓
↓
↓
↓

こういう問題は、すべての選択肢を理解することが勉強になりますね。

　その通り。
PDCAの順に並べると以下になる。
・Plan：情報資産のリスクアセスメント（エ）
・Do:運用状況の管理（ア）
・Check:実施状況に対するレビュー（ウ）
・Act：改善策の実施（イ）

(3)ISMSとセキュリティポリシー

　ISMSにおいて、セキュリティポリシーは必須であり、重要な位置づけである。

ISMSを取得するにあたり、
どのタイミングでセキュリティポリシーを作成するのですか？

・一つの考え方ではあるが、以下の記述がある。
「ISMSを確立するための計画段階にあたるのがPlan(計画)であり、その代表が情報セキュリティポリシー（情報セキュリティに関するその組織の考え方、対策や規約をまとめた文書）の策定です。」
（旧リンク）http://www.ipa.go.jp/security/manager/protect/pdca/index.html
・セキュリティポリシーは必須ではあるが、プロシージャ（実施手順）までは求められていない。
・セキュリティポリシーは全社などで広く作ることが多いと思うが、ISMSの認証は対象組織と小さくすることが多い。（そうでないと大変）
・実際にISMSを取得する際には、セキュリティポリシーはできあがっていることが多い。
・ISMSの基本方針作成時は、セキュリティポリシーが活用される。

以下の問題を解いてみよう。

↓
↓
↓
↓
↓
正解はイである。

(4)ISMSの取得（規格とISMS適合性評価制度）

ISMSを取得している企業は信用してよい？
ISMSやPマークを取得していれば、
その企業のセキュリティは大丈夫なんでしょうか？

　ISMS適合評価制度があって、その企業のセキュリティ対策が、JIS Q 27001に適合している必要がある。そういう意味では、セキュリティ対策がしっかりしている。
しかし、以前にISMS取得企業が情報流出をして問題になった。認定後に取消になった企業もある。

ここでは、ISMSのISMS適合性評価制度と規格について紹介する。

■■ISMS適合性評価制度
　企業のセキュリティマネジメントのプロセスがISMS認証基準を満たしているかを評価し、合格すればISMS認証を取得できる制度である。過去問（H27秋FE午前問40）では、「ISMS適合性評価制度の説明」として、「JIS Q 27001に基づき，組織が構築した情報セキュリティマネジメントシステムの適合性を評価する」と述べられています。審査をするのはJIPDECではなく、JIPDECが認定した第三者機関である。審査基準は上記で述べたJIS Q 27001に適合しているかどうかである。

■■ISO/IEC 27001
　ISMSの認証基準の国際規格である。日本では、ISO/IEC 27001をベースとした規格である日本工業規格のJIS Q 27001に適合しているかでISMSの認定がされる。
過去問ではISO/IEC 27001に関して、以下のように述べられている。

最新版の「JIS Q 27001：2014」の主な内容は、「リーダシップリーダシップ」,「計画」，「運用」，「パフォーマンス評価（内部監査，マネジメントレビュー ほか）」，「改善（不適合及び是正処置，継続的改善）」です。（キーワードは情報セキュリティマネジメント試験のシラバスより）

また、過去問（H29秋SG午前問10）では、是正処置に関して、「JIS Q 27000:2014 （情報セキュリテイマネジメントシステムー用語）において，不適合が発生した場合にその原因を除去し，再発を防止するためのものとして定義されているもの」と述べられています。

■■ISO/IEC 27002
こちらも国際規格であり、日本では、JIS Q 27002。「情報セキュリティマネジメントのための実践規範」である。
過去問ではJIS Q 27002（またはJIS Q 27002:2006） に関して、以下のように述べられている。

両者の違いがさっぱり分かりません。
帰っていいですか？

確かにこういう規格は分かりにくい。
ポイントは、
・要求事項が27001
・実践規範が27002
ISO/IEC 27001は認証基準として作成されてあるので、「～の対策を実施すること」のように枠組みしか書かれていない。それに対しISO/IEC 27002では、実際にどのように実施するのかが記載されてある。情報セキュリティ管理のベストプラクティス集と考えも良い。

■過去問
ISO/IEC 27001に関する問題を解いてみましょう。

↓
↓
↓
↓
↓
規格類は覚えるのが大変。
ISO/IEC 27001はISMSの認証基準である。一方、ISO/IEC 27002は、ISMSを運用するにあたり、情報セキュリティ管理のベストプラクティス集が記載されている。正解はウ

違う過去問（H17春SW午前）を見てみましょう。

↓
↓
↓
↓
↓
正解は、エです。

(1)情報セキュリティポリシ

　情報セキュリティポリシとは，セキュリティ対策の基本方針であり，今や多くの企業で策定されています。
　基本方針を策定することで，社員の中でセキュリティに関する統一した意識が醸成されてセキュリティが強化されます。加えて，コストを抑えたセキュリティ対策が行えるのです。


　例えば、家庭での泥棒対策で考えます。玄関の鍵の強化，監視カメラ，赤外線のセンサー，外部機関による警備の依頼など，対策はたくさんあります。すべてを実施してはお金がいくらあっても足りません。そこで、大切なものは金庫に入れて保管するという方針（セキュリティポリシを作って運用する）にすれば，金庫を購入し，常に金庫に保管するだけである程度の対策ができます。きちんと金庫に入れるという運用ルールさえ守られれば、対策コストが下がるのです。

(2)情報セキュリティポリシの3階層

情報セキュリティポリシは３階層からなります。「憲法」の下に「法律」があり，「法律」の下に「政令や条例」があるのと同様です。


①基本方針・・・憲法にあたる部分
　情報セキュリティ対策の「考え方」が述べられており，通常は３～４ページ程度です。セキュリティポリシの目的，対象範囲，対策，社員の義務などがさらりと書かれています。「うちの会社が守るべき情報資産は××で，物理的対策や人的対策などをして，情報保護をしなさい」という簡単な記載です。
　基本方針は、内部向けだけでなく、対外的に「セキュリティを守ります！」という宣言することを目的とする場合もあります。

②対策基準・・・法律にあたる部分
　具体的な対策です。例えば，「情報資産をI～IIIの３つにランク分けしましょう」「メールでIIとIIIの情報を送る場合は暗号化しましょう」「I～IIIの情報が入っているパソコンにはセキュリティワイヤーで固定し，パスワードをつけましょう」などと、基本方針に比べて具体的な記載があります。

③実施手順，規定類・・・条例にあたる部分
　対策基準より，更に具体的な内容です。上記のパスワードを例にすると，「パスワードは英数含む８文字以上とする」「パスワードは３ヶ月に1回変更する」「パスワードを忘れた場合は，上長に申請をし，上長から××課を通じて発行する」などの記載があります。

この中で、1)基本方針と2)対策基準を合わせたものが、「セキュリティポリシ」と呼ばれる。
セキュリティポリシの例が過去問にあるので引用する。

この例で言うと、「1)基本方針」は「ポーツクラブの運営を通じて、お客様に満足していただけるサービスを提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確保を最優先に行動する。」の部分だけだ。　
「2)対策基準」に関しては、例えば4(2)にて「情報資産への適切なアクセス権限を設定する。」とあり、個別の方針が作成されている。しかし、「適切なアクセス権限」が何かが具体的にされておらず、詳細な手順に関しては、「3)ィ実施手順、規定類」にて記載されることになる。　

「3)実施手順、規定類」は、企業ごとに内容が異なるが、過去問にその例があるので引用する。

◆参考URL
（旧リンク）http://www.ipa.go.jp/security/manager/protect/pdca/policy.html
・政府による情報セキュティ対策推進会議にて決定された「情報セキュリティポリシーに関するガイドライン（政府）」
（旧リンク）http://www.kantei.go.jp/jp/it/security/taisaku/pdfs/ISP_Guideline.pdf

(3)そもそもセキュリティポリシは必要か

あっても形だけだから意味がないのでは？

　確かに、形だけで運用している会社はあります。たとえば、他社のセキュリティポリシをそのまま流用しているとか。
　私は必要と考えます。当然、きちんとしたものを作成し、社員に浸透させたうえでの問題ですが。情報セキュリティポリシを策定することで、セキュリティを強化する。セキュリティポリシによって、セキュリティの基本方針が明確になり、情報資産の運用方法が具体的にわかる。人的セキュリティ対策の基本である。
例えば、基本方針を策定することで、社員の中でセキュリティに関する統一した意識が醸成されてセキュリティが強化されます。また、コストを抑えたセキュリティ対策が行えます。
　家庭での泥棒対策を例にすると、玄関の鍵の強化、監視カメラ、赤外線のセンサー、外部機関による警備の依頼など、たくさんの対策があります。すべてを実施してはお金がいくらあっても足りません。
　そこで、大切なものは金庫に入れて保管するという方針にすれば、金庫を購入し、常に金庫に保管するだけで済む場合があります。
それと、絶対に守らなくてはいけないものと、守った方がいいものを明確にすべきです。たとえば、お客様情報は絶対に守るべきものですが、会社の資料は守った方がいいですが、漏えいしても大きな問題にならない資料も山ほどあります。それらを同じレベルで管理すると大変です。はっきりいって、無駄。だから、ポリシーで何をどのレベルで守るかを決めるとよいでしょう。

(4)情報セキュリティ基本方針

過去問（H25秋高度午前1問14）を解いてみよう

↓
↓
↓
↓
↓
順に見ていこう
ア：社員に意識づけるため、広く見てもらう必要がある。
イ：PDCAサイクルで回していくもので、環境の変化に応じて変更する必要がある。
ウ：正解　以下にも「5.1 情報セキュリティのための経営陣の方向性」として、「目的  情報セキュリティのための経営陣の方向性及び支持を，事業上の要求事項並びに関連する法令及び規制に従って提示するため。」との記述がある。
http://kikakurui.com/q/Q27002-2014-01.html
エ：詳細については、実施手順などに記載する。

(5)セキュリティポリシの対策基準と実施手順

3階層って面倒です。
対策基準と実施手順を分ける必要があるのでしょうか。
一緒にしてしまっては？

　部分的にほぼ同じような内容になることもある。
では、なぜ法律と条例が分かれているかを考えよう。条例は各地方自治体で策定するもの。それは、地方によって置かれている環境が異なるからです。例えば滋賀県は琵琶湖に関する条例があり、ゴミや花火などの取り決めがある。パスワードのルールにしても、外部からのリモートアクセスと内部のシステムでは、パスワードの条件が変わる。つまり、組織やシステムによって異なるものであるから、各システムや組織ごとに分けざるをえない。

いやいや、
全システム、全組織の内容を
一つの対策基準に書いたらいいじゃないですか。

はい。それでも良い。でも組織やシステムが例えば100個あったら、100パターンが掲載される。
見にくい。
セキュリティポリシーと呼ばれる基本方針と対策基準、そして自部署に関係のある実施手順があれば分かりやすい。全国全ての条例が載った法律なんて、見にくいとしか考えられない。

では、全組織で共通のことであれば、対策基準に全て書いても良いですか？先ほどのパスワードのルールなど。

　別に構わないし、企業で判断すれば良い。
ただ、実施手順のレベルの細かい内容を対策基準に書くのはお勧めしない。運用しにくいからだ。定められた法律は守らなくてはいけない。同じように「対策基準」も守らなくてはいけない。例えばある部署で最新型の指紋認証システムを入れたとし、その時入力するパスワードは６桁までしか入力できないとする。パスワードの桁数は少なくなっても、指紋認証するからセキュリティレベルは上がっている。ところが「対策基準」に「パスワードを設定すること」だけでなく「英数８文字以上のパスワードにすること」などと細かく定められた場合、これに違反する。ということは、全国の全てのシステム管理者を集めて、「対策基準」を改訂しないといけない。また改訂内容も「ただし指紋認証と併用する場合は６文字以上で良い」などの細かな内容を付け加えることになり、グチャグチャになります。
ということで、対策基準と実施手順は分けた方が良いだろう。