• 1.ISMSとは　~ISMSとPDCAサイクル
  • (1)ISMSとは
  • (2)ISMSのプロセス
  • (3)ISMSとセキュリティポリシー
  • (4)ISMSの取得（規格とISMS適合性評価制度）
• 2.情報セキュリティポリシとは
  • (1)情報セキュリティポリシ
  • (2)情報セキュリティポリシの3階層
  • (3)そもそもセキュリティポリシは必要か
  • (4)情報セキュリティ基本方針
  • (5)セキュリティポリシの対策基準と実施手順
• 3.クラウドサービス利用のための情報セキュリティマネジメントガイドライン

1.ISMSとは　~ISMSとPDCAサイクル

(1)ISMSとは

　ISMS（Information Security Management System）とは、言葉の通り、情報セキュリティのマネジメントシステムである。セキュリティ対策というのは単にFirewallを導入すれば良いという単純なものではない。PDCAサイクルでマネジメントし、効果的かつ継続的なセキュリティ対策を運用することが求められる。
別途述べるISO/IEC15408が技術面のセキュリティを考慮しているのに対し、ISMSでは運用面も含んだ組織的な対策の枠組みである。

◆参考URL
第2回 認証取得のためのISMSガイド
http://www.atmarkit.co.jp/fsecurity/rensai/guide02/guide01a.html
日本情報処理開発協会（JIPDEC)　ジップデックと読む
ISMS適合性評価制度
http://www.isms.jipdec.jp/isms.html
認定基準も参考になる。

(2)ISMSのプロセス

　ISMSのプロセスはPDCAのマネジメントサイクルで考える。
以下のURLも参照いただきたい。
http://www.ipa.go.jp/security/manager/protect/pdca/index.html

①Plan：ISMSの確立
　セキュリティ対策として、どんな人的、物理的、技術的対策を実施するかを確立する。
　⇩⇩
②Do：ISMSの導入及び運用
　上記の対策を実行に移す。暗号化や認証システムを導入したり、運用ルールを策定したり、教育をしたりする。
　⇩⇩
③Check：ISMSの監視及びレビュー
　日々または定期的な監査などによるセキュリティチェックを行い、セキュリティが守られているかを確認する。
　⇩⇩
④Act：ISMSの維持及び改善
　万が一、セキュリティ事故が発生するような場合は、社員の再教育をするなり、別の対策を検討し、セキュリティが適切に保たれるよう改善する。

以下の問題を解いてみよう。

問38　ISMSプロセスのPDCAモデルにおいて、PLANで実施するものはどれか。 ア　運用状況の管理 イ　改善策の実施 ウ　実施状況に対するレビュー エ　情報資産のリスクアセスメント （H19SU　午前問題　問38より）

↓
↓
↓
↓
↓


こういう問題は、すべての選択肢を理解することが勉強になりますね。
　その通り。
PDCAの順に並べると以下になる。
・Plan：情報資産のリスクアセスメント（エ）
・Do:運用状況の管理（ア）
・Check:実施状況に対するレビュー（ウ）
・Act：改善策の実施（イ）

(3)ISMSとセキュリティポリシー

　ISMSにおいて、セキュリティポリシーは必須であり、重要な位置づけである。


ISMSを取得するにあたり、
どのタイミングでセキュリティポリシーを作成するのですか？
・一つの考え方ではあるが、以下の記述がある。
「ISMSを確立するための計画段階にあたるのがPlan(計画)であり、その代表が情報セキュリティポリシー（情報セキュリティに関するその組織の考え方、対策や規約をまとめた文書）の策定です。」
http://www.ipa.go.jp/security/manager/protect/pdca/index.html
・セキュリティポリシーは必須ではあるが、プロシージャ（実施手順）までは求められていない。
・セキュリティポリシーは全社などで広く作ることが多いと思うが、ISMSの認証は対象組織と小さくすることが多い。（そうでないと大変）
・実際にISMSを取得する際には、セキュリティポリシーはできあがっていることが多い。
・ISMSの基本方針作成時は、セキュリティポリシーが活用される。

以下の問題を解いてみよう。

問40　ISMS適合性評価制度における情報セキュリティ基本方針に関する記述のうち、適切なものはどれか。 ア　重要な基本方針を定めた機密文書であり、社内の関係者以外の目に触れないようにする。 イ　情報セキュリティのための経営陣の方向性及び支持を規定する。 ウ　セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。 エ　特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述したものである。 」（H21AP春午前問40）

↓
↓
↓
↓
↓
正解はイである。

(4)ISMSの取得（規格とISMS適合性評価制度）

ISMSを取得している企業は信用してよい？
ISMSやPマークを取得していれば、
その企業のセキュリティは大丈夫なんでしょうか？
　ISMS適合評価制度があって、その企業のセキュリティ対策が、JIS Q 27001に適合している必要がある。そういう意味では、セキュリティ対策がしっかりしている。
しかし、以前にISMS取得企業が情報流出をして問題になった。認定後に取消になった企業もある。

ここでは、ISMSのISMS適合性評価制度と規格について紹介する。

■■ISMS適合性評価制度
　企業のセキュリティマネジメントのプロセスがISMS認証基準を満たしているかを評価し、合格すればISMS認証を取得できる制度である。過去問（H27秋FE午前問40）では、「ISMS適合性評価制度の説明」として、「JIS Q 27001に基づき，組織が構築した情報セキュリティマネジメントシステムの適合性を評価する」と述べられています。審査をするのはJIPDECではなく、JIPDECが認定した第三者機関である。審査基準は上記で述べたJIS Q 27001に適合しているかどうかである。

■■ISO/IEC 27001
　ISMSの認証基準の国際規格である。日本では、ISO/IEC 27001をベースとした規格である日本工業規格のJIS Q 27001に適合しているかでISMSの認定がされる。
過去問ではISO/IEC 27001に関して、以下のように述べられている。

情報セキュリティマネジメントシステムの要求事項であり、情報セキュリティマネジメントシステムを確立、導入、運用、監視及び改善するためのモデルを提供する（H20NW午前 問53参照）

最新版の「JIS Q 27001：2014」の主な内容は、「リーダシップリーダシップ」,「計画」，「運用」，「パフォーマンス評価（内部監査，マネジメントレビュー ほか）」，「改善（不適合及び是正処置，継続的改善）」です。（キーワードは情報セキュリティマネジメント試験のシラバスより）

また、過去問（H29秋SG午前問10）では、是正処置に関して、「JIS Q 27000:2014 （情報セキュリテイマネジメントシステムー用語）において，不適合が発生した場合にその原因を除去し，再発を防止するためのものとして定義されているもの」と述べられています。

■■ISO/IEC 27002
こちらも国際規格であり、日本では、JIS Q 27002。「情報セキュリティマネジメントのための実践規範」である。
過去問ではJIS Q 27002（またはJIS Q 27002:2006） に関して、以下のように述べられている。

「情報セキュリティマネジメントの実践のための規範であり、組織における情報セキュリティマネジメントの導入、実施、維持と改善のための指針及び一般的原則について規定する（H20NW午前問53参照）」

両者の違いがさっぱり分かりません。
帰っていいですか？
確かにこういう規格は分かりにくい。
ポイントは、
・要求事項が27001
・実践規範が27002
ISO/IEC 27001は認証基準として作成されてあるので、「～の対策を実施すること」のように枠組みしか書かれていない。それに対しISO/IEC 27002では、実際にどのように実施するのかが記載されてある。情報セキュリティ管理のベストプラクティス集と考えも良い。

■過去問
ISO/IEC 27001に関する問題を解いてみましょう。 

問5　JIS Q 27001：2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。 ア　脅威とは、脆弱性が顕在化する確率のことであり、情報システムに埋め込まれた技術的管理簿によって決まる。 イ　脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、人為的過失及び不正行為に大別される。 ウ　リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。 エ　リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して対策を決める。 （H22SC秋午前Ⅱ問5）

↓
↓
↓
↓
↓
規格類は覚えるのが大変。
ISO/IEC 27001はISMSの認証基準である。一方、ISO/IEC 27002は、ISMSを運用するにあたり、情報セキュリティ管理のベストプラクティス集が記載されている。正解はウ

違う過去問（H17春SW午前）を見てみましょう。

問78　ISMS適合性評価制度における詳細管理策の基となった国際規格はどれか。 ア　ISO 9001 イ　ISO 14001 ウ　ISO/IEC 15408 エ　ISO/IEC 17799

↓
↓
↓
↓
↓
正解は、エです。 

2.情報セキュリティポリシとは

(1)情報セキュリティポリシ

　情報セキュリティポリシとは，セキュリティ対策の基本方針であり，今や多くの企業で策定されています。
　基本方針を策定することで，社員の中でセキュリティに関する統一した意識が醸成されてセキュリティが強化されます。加えて，コストを抑えたセキュリティ対策が行えるのです。

　例えば、家庭での泥棒対策で考えます。玄関の鍵の強化，監視カメラ，赤外線のセンサー，外部機関による警備の依頼など，対策はたくさんあります。すべてを実施してはお金がいくらあっても足りません。そこで、大切なものは金庫に入れて保管するという方針（セキュリティポリシを作って運用する）にすれば，金庫を購入し，常に金庫に保管するだけである程度の対策ができます。きちんと金庫に入れるという運用ルールさえ守られれば、対策コストが下がるのです。

(2)情報セキュリティポリシの3階層

　情報セキュリティポリシは３階層からなります。「憲法」の下に「法律」があり，「法律」の下に「政令や条例」があるのと同様です。

 
①基本方針・・・憲法にあたる部分
　情報セキュリティ対策の「考え方」が述べられており，通常は３～４ページ程度です。セキュリティポリシの目的，対象範囲，対策，社員の義務などがさらりと書かれています。「うちの会社が守るべき情報資産は××で，物理的対策や人的対策などをして，情報保護をしなさい」という簡単な記載です。
　基本方針は、内部向けだけでなく、対外的に「セキュリティを守ります！」という宣言することを目的とする場合もあります。

②対策基準・・・法律にあたる部分
　具体的な対策です。例えば，「情報資産をI～IIIの３つにランク分けしましょう」「メールでIIとIIIの情報を送る場合は暗号化しましょう」「I～IIIの情報が入っているパソコンにはセキュリティワイヤーで固定し，パスワードをつけましょう」などと、基本方針に比べて具体的な記載があります。

③実施手順，規定類・・・条例にあたる部分
　対策基準より，更に具体的な内容です。上記のパスワードを例にすると，「パスワードは英数含む８文字以上とする」「パスワードは３ヶ月に1回変更する」「パスワードを忘れた場合は，上長に申請をし，上長から××課を通じて発行する」などの記載があります。

この中で、1)基本方針と2)対策基準を合わせたものが、「セキュリティポリシ」と呼ばれる。 
　セキュリティポリシの例が過去問にあるので引用する。 

情報セキュリティポリシ 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　社長 Ⅰ．基本方針 　V社は，ホテルとスポーツクラブの運営を通じて，お客様に満足していただけるサービスを提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確保を最優先に行動する。 Ⅱ．対策基準 1. 適用範囲 (1) 本基準は，役員，管理職及び従業員に適用する。 (2) 本基準は，V社で利用するすべての情報資産(ハードウェア，ソフトウェア，ネットワーク，データベース，記録媒体及び書類)に適用する。 2. 情報セキュリティ委員会  (省略) (3) 情報セキュリティ委員会は，必要に応じて情報アクセス管理者を任命する。  (省略) 3. 情報の管理 (1) V社が守るべき情報には，その重要度に応じてA（きわめて重要）～D（重要でない）のランクを付ける。   なお，個人情報は，Aランクとする。 (2) Aランクの情報をパソコンで取り扱う場合には，業務終了時に消去する。 (3) Aランクの情報の印刷，コピー及び破棄は上司の許可を得てから行い，管理記録を残す。 4. アクセス管理 (1) Aランクの情報を保存する機器は，物理的に隔離する。 (2) 情報資産への適切なアクセス権限を設定する。 (3) 従業員が個人データにアクセスする場合には，その都度，情報アクセス管理者の許可を得る。 (4) 利用者IDとパスワードの発行，停止は，本社で迅速に行う。 (5) 利用者IDは，共用しない。 (6) 本社サーバと各スポーツクラブのローカルサーバへのアクセス記録は，すべてログに残し，その内容を定期的にチェックする。 5. インターネットアクセス  (省略) 6. 事故対応  (省略) 7. Webベースシステムによる教育  (省略) 8. 情報セキュリティ監査  (省略) 9.　罰則規定 (以下，省略) 図5　V社の情報セキュリティポリシー（改定後） （H16SU午後Ⅱ問1より引用）

この例で言うと、「1)基本方針」は「ポーツクラブの運営を通じて、お客様に満足していただけるサービスを提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確保を最優先に行動する。」の部分だけだ。　
「2)対策基準」に関しては、例えば4(2)にて「情報資産への適切なアクセス権限を設定する。」とあり、個別の方針が作成されている。しかし、「適切なアクセス権限」が何かが具体的にされておらず、詳細な手順に関しては、「3)ィ実施手順、規定類」にて記載されることになる。　

「3)実施手順、規定類」は、企業ごとに内容が異なるが、過去問にその例があるので引用する。

1．アルファベットの大文字と小文字，数字，記号をランダムに並べ，当該本人情報から推測できるような情報を含めない。 2．一般に使用される単語，及びテレビ，ラジオなどのメディアで使用されている流行語や時事用語などは使用しない。 3．8文字以上の文字列とする。図1　PINの設定に関するガイドライン（H18SV午後Ⅰ問3より引用）

◆参考URL
http://www.ipa.go.jp/security/manager/protect/pdca/policy.html
・政府による情報セキュティ対策推進会議にて決定された「情報セキュリティポリシーに関するガイドライン（政府）」
http://www.kantei.go.jp/jp/it/security/taisaku/pdfs/ISP_Guideline.pdf

(3)そもそもセキュリティポリシは必要か

あっても形だけだから意味がないのでは？
　確かに、形だけで運用している会社はあります。たとえば、他社のセキュリティポリシをそのまま流用しているとか。
　私は必要と考えます。当然、きちんとしたものを作成し、社員に浸透させたうえでの問題ですが。情報セキュリティポリシを策定することで、セキュリティを強化する。セキュリティポリシによって、セキュリティの基本方針が明確になり、情報資産の運用方法が具体的にわかる。人的セキュリティ対策の基本である。
例えば、基本方針を策定することで、社員の中でセキュリティに関する統一した意識が醸成されてセキュリティが強化されます。また、コストを抑えたセキュリティ対策が行えます。
　家庭での泥棒対策を例にすると、玄関の鍵の強化、監視カメラ、赤外線のセンサー、外部機関による警備の依頼など、たくさんの対策があります。すべてを実施してはお金がいくらあっても足りません。
　そこで、大切なものは金庫に入れて保管するという方針にすれば、金庫を購入し、常に金庫に保管するだけで済む場合があります。
それと、絶対に守らなくてはいけないものと、守った方がいいものを明確にすべきです。たとえば、お客様情報は絶対に守るべきものですが、会社の資料は守った方がいいですが、漏えいしても大きな問題にならない資料も山ほどあります。それらを同じレベルで管理すると大変です。はっきりいって、無駄。だから、ポリシーで何をどのレベルで守るかを決めるとよいでしょう。

(4)情報セキュリティ基本方針

過去問（H25秋高度午前1問14）を解いてみよう

問14　ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち，適切なものはどれか。 ア　重要な基本方針を定めた機密文書であり，社内の関係者以外の目に触れないようにする。 イ　情報セキュリティの基本方針を述べたものであり，ビジネス環境や技術が変化しても変更してはならない。 ウ　情報セキュリティのための経営陣の方向性及び支持を規定する。 工　特定のシステムについてリスク分析を行い，そのセキュリティ対策とシステム運用の詳細を記述する。

↓
↓
↓
↓
↓
順に見ていこう
ア：社員に意識づけるため、広く見てもらう必要がある。
イ：PDCAサイクルで回していくもので、環境の変化に応じて変更する必要がある。
ウ：正解　以下にも「5.1 情報セキュリティのための経営陣の方向性」として、「目的  情報セキュリティのための経営陣の方向性及び支持を，事業上の要求事項並びに関連する法令及び規制に従って提示するため。」との記述がある。
　http://kikakurui.com/q/Q27002-2014-01.html
エ：詳細については、実施手順などに記載する。

(5)セキュリティポリシの対策基準と実施手順

3階層って面倒です。
対策基準と実施手順を分ける必要があるのでしょうか。
一緒にしてしまっては？
　部分的にほぼ同じような内容になることもある。
では、なぜ法律と条例が分かれているかを考えよう。条例は各地方自治体で策定するもの。それは、地方によって置かれている環境が異なるからです。例えば滋賀県は琵琶湖に関する条例があり、ゴミや花火などの取り決めがある。パスワードのルールにしても、外部からのリモートアクセスと内部のシステムでは、パスワードの条件が変わる。つまり、組織やシステムによって異なるものであるから、各システムや組織ごとに分けざるをえない。

いやいや、
全システム、全組織の内容を
一つの対策基準に書いたらいいじゃないですか。
　はい。それでも良い。でも組織やシステムが例えば100個あったら、100パターンが掲載される。
見にくい。
セキュリティポリシーと呼ばれる基本方針と対策基準、そして自部署に関係のある実施手順があれば分かりやすい。全国全ての条例が載った法律なんて、見にくいとしか考えられない。

では、全組織で共通のことであれば、対策基準に全て書いても良いですか？先ほどのパスワードのルールなど。
　別に構わないし、企業で判断すれば良い。
ただ、実施手順のレベルの細かい内容を対策基準に書くのはお勧めしない。運用しにくいからだ。定められた法律は守らなくてはいけない。同じように「対策基準」も守らなくてはいけない。例えばある部署で最新型の指紋認証システムを入れたとし、その時入力するパスワードは６桁までしか入力できないとする。パスワードの桁数は少なくなっても、指紋認証するからセキュリティレベルは上がっている。ところが「対策基準」に「パスワードを設定すること」だけでなく「英数８文字以上のパスワードにすること」などと細かく定められた場合、これに違反する。ということは、全国の全てのシステム管理者を集めて、「対策基準」を改訂しないといけない。また改訂内容も「ただし指紋認証と併用する場合は６文字以上で良い」などの細かな内容を付け加えることになり、グチャグチャになります。
ということで、対策基準と実施手順は分けた方が良いだろう。

3.クラウドサービス利用のための情報セキュリティマネジメントガイドライン

情報処理安全確保支援士試験の過去問（H24年SC秋午前2問4）では、「2011年に経済産業省が公表しだ"クラウトサービス利用のための情報セキュリティマネジメントガイドライン”が策定された目的」として、「JIS Q 27002の管理策を拡張し，クラウトサービス利用者が情報セキュリティ対策を円滑に行えるようにする」とある