【簡単に解説】企業や組織における、情報セキュリティの基本方針・対策。ISO27001(ISMS認証)とは?

ISO27001、ISMS認証とは?情報漏洩が起こると、企業は ①個人情報の悪用被害 ②企業の信用が低下 ③事業機会が損失という影響が出ます。情報漏洩の原因とは?情報漏洩に備えてどんな対策をしたらいいのか。ISO27001(ISMS認証)とは、情報セキュリティの基本情報をわかりやすく紹介します。

こんにちは、マルまるです。
店通初登場ですが、今回情報セキュリティについての記事を書きます。

私自身、情報セキュリティという言葉に対し、あまり知識がなく、さほど関心もなく、「堅苦かたくるしくてちょっと苦手」と感じていました。しかし、会社の事業成長に必要とを考え、情報セキュリティの国際規格である「ISO27001」を取得することになりました。

私個人としても、社内のISO27001プロジェクトに参加することで、情報セキュリティの奥の深さを徐々に理解し、「情報セキュリティ管理士」の資格を取得できました。情報セキュリティとは何か、企業における、重要性をご紹介したます。


情報セキュリティとは何?

f:id:tentsu_media:20200220153958j:plain

「情報セキュリティ」という単語はよく耳にしますが、正しく理解できていますか?ファイルにパスワードをかけるだけでは、完全な情報セキュリティ対策を施したとは言えません。
情報セキュリティは「機密性」、「完全性」、「可用性」3つの要素で定義されています。企業の大切な情報を管理するには、この3つの要素を確保することで、外部に漏れるのを防いだり、被害を最小限に抑えることができます。


◆情報セキュリティの定義 ~3つの要素~

・機密性:対象の情報に、権限を与えられた人だけ、アクセスできるようにすること。オフィスや資料室への入室、 パソコンのログイン、ファイルへのアクセスをIDやパスワードで制限し、機密性を保持します。
・完全性:対象の情報をミスや不正な改ざんから保護し、記載されている内容が完全であることを保証します。
・可用性:対象の情報にいつでも安全にアクセスでき、天災なや災害時にも機能させる能力があること。

情報漏洩で企業への影響

情報漏洩ろうえいにより、企業財産の損害が発生します。情報漏洩が1件発生するだけで、億単位の損害賠償を被る可能性があります。以下、情報漏洩で企業へ、主な3つの影響をまとめました。

①個人情報の悪用被害

漏洩した個人情報は、「ダークウェブ」に流れ、販売されることがあります。ダークウェブとは通常の接続経路でアクセスができないよう、暗号化されるサイトで、高い匿名性を備え、政府の検閲を避けられるため、犯罪や違法販売に利用されることもあります。
サイバー攻撃者がダークウェブの闇市場に情報を漏洩し、その情報をもとに新たなサイバー攻撃が始まりまるのです。
流出した情報により、インターネット詐欺に巻き込まれたり、フィッシングメールによりさらなる個人情報を盗み取られたり、メールに添付されたマルウェア(不正かつ有害な悪意のあるソフトウエア。ウイルスはマルウェアのひとつ。)に感染させられたりすることもあります。被害を以下にまとめました。


(1)フィッシングサイトへの誘導メールが届く
(2)メールに添付されたマルウェアに感染する
(3)SNSが乗っ取られる
(4)クラウドサービスを不正利用される
(5)クレジットカードを不正利用される 
(6)不審者から電話が来る
など ひとごとではないことを意識しましょう。


②企業の信用が低下

f:id:tentsu_media:20200220152151j:plain
個人情報が漏洩することで、企業の信用は低下します。
例えば、ネットで商品を購入する際、個人情報を入力する必要ががありますが、そのネットショップに不正アクセスがあり、個人情報の漏洩が起きた場合、どうしますか?信用できなくなるから、二度と使わなくなりますね。

これが対法人の場合だと1回の個人情報漏洩で「取引停止」になりかねません。情報漏洩する企業と取引することで、自社の情報も漏洩する可能性が上がるため、当然、そのような企業とは取引を避けるようになります。最悪のケース、赤字となり倒産ということも十分に考えられます。

③事業機会が損失

個人情報が漏洩すると、その「事故の対応」をしなければなりません。その対応・調査に追われることが何日間も続くことになります。その間、本来の業務ができなくなり、売上が減少します。



「自分は大丈夫だから」、「自分は関係ない」では通用しない、逃げられない世界になってきています。今まで無関係だと思っていた情報漏洩が身近に感じたのではないでしょうか。
それでは、情報漏洩漏えいの原因と対策について説明します。


情報漏洩の原因とは?

不正アクセスやサイバー攻撃による、情報漏洩の被害事件が新聞報道され、騒がれていますが、実は「単純なミスによる情報漏洩」が一番大きな要因を占めています。

JNSA(日本ネットワークセキュリティ協会)が発表した「2018年情報セキュリティインシデントに関する調査報告書」によると、情報漏洩の原因は「紛失・置き忘れ」が26.2%と最も多く、次いで「誤操作」が24.6%、「不正アクセス」が20.3%、「管理ミス」が12.2%と続きます。


https://www.jnsa.org/result/incident/data/2018_img_sokuho.png
引用: NPO日本ネットワークセキュリティ協会 報告書・公開資料

組織内部のミスによる情報漏洩が6割以上を占めると発表したのです。
このデータから、組織の情報管理体制を整えれば、情報漏洩のリスクが大幅に抑えられることがわかります。

情報漏洩に備えてどんな対策をしたらいいの?

f:id:tentsu_media:20200220145351j:plain

インターネットは今や生活の一部として、切り離すことができない存在になり、ネットワーク環境をなくしては作業の効率化は図れません。
しかし便利な一方、、セキュリティにおいて個人情報流出を100%防ぐことが難しいのも現実です。
そこで、万が一の時も、被害を最小限に抑えるために、個人だけではなく、企業が組織として情報漏洩対策の意識を高める、「情報セキュリティ対策」に取り組むことが重要です。その組織における情報の機密性、完全性及び可用性を維持、管理する仕組みが情報セキュリティマネジメントシステム(ISMS)なのです。

ISO27001(ISMS認証)とは?

f:id:tentsu_media:20200220153055j:plain
ISMS規格には、国際標準化機構(ISO)が制定した、組織の情報セキュリティを適切に管理する規格、「ISO27001」があります。ISOとは、世界中の規格を統一し、国際の標準を制定することを目的とした「世界の標準を定める団体」です。

例えば、紙の寸法は国によってサイズが変わりますが、ISOにより、標準サイズを定めることで、世界中の規格が統一され、製品の取引やビジネスがスムーズに行えるようになります。

そして「ISO27001」は国際共通の情報セキュリティガイドであり、財務情報や開発情報など、組織にとって価値のある情報のセキュリティを実現するための仕組みです。組織がISMS規格機関の規格を沿って情報セキュリティの対策を行います。「ISO27001」のガイドラインを遵守しISOの審査を通れば、ISMS認証を取得することで、企業のセキュリティ対策を徹底していることを証明します。企業の信用力を顧客に示すことにつながるというメリットです。

情報セキュリティに対しする取組み

ISMS認証は、取得して完了することではありません。継続的に情報セキュリティマネジメントを行うために、PDCAサイクルで、セキュリティマネジメントを改善していくことが必須です。
店舗流通ネットでは「ISO/IEC27001、JIS Q 27001」を取得後も、《 Plan(計画)→ Do(実行)→ Check(点検)→ Act(改善)》のサイクルにより、さまざまなリスクから課題を発見し、改善することで情報セキュリティ体制を整備し、より一層の成長を目指しております。


あなたの情報セキュリティは大丈夫?情報管理への第一歩

これまで情報セキュリティについて述べてきましたが、個人個人が行うセキュリティ対策が重要です。気づかぬうちに、以下のようなことをしてしまっていませんか?次は全て情報漏洩のリスクがあります!

◆うっかりやりがちの情報漏洩◆

(1)デスクの上に書類を置いたまま帰る
(2)デスクの引き出しやキャビネットの鍵を閉めない
(3)公共の場でお客様の情報を話す
(4)社外のデバイスから会社のサーバーにログインする
(5)個人情報や機密情報が含まれる書類はそのまま廃棄する

まとめ

f:id:tentsu_media:20200220152400p:plain
ここまでお付き合いいただきありがとうございます。技術やビジネスモデルの進歩が非常に速く、それに伴う情報セキュリティへの対応もめまぐるしく変わっていく分野ですが、企業、組織の運営には欠かせないものとなりました。

もう無関心ではいられない情報セキュリティの話。まず自社の現状を分析し、対策が甘いところに気づき、問題点を把握し、改善できることから始めてみてください。
リスクを過剰に捉えるのではなく、うまくコントロールしていくことが大切です。


マル〇

f:id:tentsu_media:20200220145351j:plain