iSSOセキュリティ認証導入ガイド:中小企業のための情報セキュリティマネジメントシステム
人手不足や生産性向上が喫緊の課題となる現代において、企業の情報セキュリティ対策は不可欠です。中小企業や小規模事業者にとって、情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO 27001の考え方をベースにしつつ、より導入しやすいように開発された「iSSOセキュリティ認証」は、有効な選択肢となります。このガイドでは、iSSO導入の全体像から具体的な構築手順までを詳細に解説します。
1. 情報セキュリティマネジメントとは
情報セキュリティマネジメントとは、企業の情報システムを取り巻く様々な脅威から、情報資産を正常に維持することです。 「情報資産」とは、顧客情報や販売情報などの情報自体に加え、ファイルやデータベース、CD-ROM、USBメモリ、紙の資料など、自社が保護すべき対象としたものを指します。
情報セキュリティの3つの要素は以下の通りです。
- 機密性 (Confidentiality):情報資産を正当な権利を持った人だけが使用できる状態にすること。
- 完全性 (Integrity):情報資産が正当な権利を持たない人により変更されていないことを確実にすること。
- 可用性 (Availability):情報資産を必要なときに使用できること。
1.1 情報セキュリティマネジメントシステム構築の流れ
情報セキュリティマネジメントシステムの構築は以下の流れで進められます。
- 構築スケジュールの決定
- 組織体制を作る(責任者・担当者)
- 目的、情報資産の対象範囲、期間、役割分担などの決定
- 基本方針の策定(テンプレートに書き込み)
- 情報資産の洗い出し、リスク分析とその対策
- 対策基準と実施内容の策定
- 点検・監査→見直し
- iSSO認証申請→取得
1.2 情報セキュリティポリシーとは
情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。
- 基本方針、運用規定、対策基準などを具体的に記載します。
- セキュリティの基本方針では、「なぜ情報資産を守るのか」「どのような情報資産を」「どのような脅威から」「どのように守るのか(体制を含む)」を明確にします。
1.3 情報セキュリティの4つの領域
情報セキュリティ対策は以下の4つの領域に分類されます。
- 組織的安全対策:組織体制の整備、役割・責任の明確化、iSSOの整備(規程類、承認手順と様式)など。
- 人的安全対策:守秘義務契約、教育・訓練など。
- 物理的安全対策:情報資産のリスクに応じたセキュリティエリアの設定と合理的な入退館管理、出力用紙等の機密管理、自然災害等からの物理的保護など。
- 技術的安全対策:情報資産へのコンピュータ・ネットワークを利用したアクセス管理、ウィルス対策、脆弱性対策、漏洩対策など。
2. iSSOの概要
2.1 情報セキュリティとコストの考え方
情報セキュリティ体制の構築と運用にはセキュリティ投資が必要ですが、場当たり的な投資では効果が見えにくくなります。 「リスクの大きさ」と「セキュリティ投資」のバランスポイントを見つけることが重要です。
リスク対応には以下の4つの考え方があります。
- リスク回避:リスクをとらない。
- リスク低減:対策を講じる。
- リスク移転:保険やBPO(ビジネスプロセスアウトソーシング)などを利用する。
- リスク受容:残留リスクを受け入れる。
2.2 iSSOとISMSの比較
iSSOとは?
iSSOは、中小企業や小規模事業者が情報セキュリティに取り組みやすいように開発された、圧縮型の情報セキュリティマネジメントシステム認証規格です。 ISO 27001の考え方をベースに、中小・小規模事業者の現実にフィットするよう簡素化され、費用や運用負担が軽減されています。
- 特徴:企業・組織の持つ情報資産(個人情報を含む)を対象としたISOコンパクト規格。
- 適用事例:中小のIT関連事業者、顧客情報を預かる中小の事業者など。
ISMSとは?
ISMS(情報セキュリティマネジメントシステム)は、組織が情報セキュリティを効果的に管理するための仕組みです。 情報セキュリティのリスクを評価し、適切な対策を講じ、その有効性を継続的に改善していくための体系的なアプローチを提供します。
- 特徴:企業・組織が有するあらゆる情報資産(営業情報、企業情報、取引先情報、個人情報など)を対象とする国際規格。
- 適用事例:電算センター、情報処理受託会社、ソフトウェア開発企業、海外事業展開を行う企業など。
ISMSとiSSO、どちらを選ぶべきか?
| 選択肢 | 目的・状況 |
| iSSO型 | 顧客から情報セキュリティの第三者認証を求められている、認証取得で顧客の評価を高めたい、地域限定で事業を展開している、情報セキュリティのコストバランスに敏感、従業員のリテラシーを高めたい、従業員の働く安心を確保したい。 |
| ISMS型 | 顧客から世界標準のセキュリティ認証を要求されている、顧客から預かった「重要機密情報」を取り扱っている、個人情報など機密情報を数百万単位で扱っている、全国規模・世界規模で情報の取り扱いを行っている、万が一機密情報が漏洩した場合、億単位の損害が発生する。 |
3. iSSOの全体像
3.1 トップダウンと文書主義
iSSOは、各種のISOやJISQと同様に「トップダウン」と「文書主義」により構築・運用されます。 これらはiSSOの有効性を確保し、組織全体に情報セキュリティを浸透させるための柱となります。
- トップダウン (Top-Down Approach):最高経営層が情報セキュリティに対するリーダーシップを発揮し、その方針やコミットメントを組織全体に浸透させるアプローチです。
- 文書主義 (Documentation-Oriented Approach):方針、手順、記録などの関連情報を「文書化された情報」として適切に作成、管理、維持することを重視する考え方です。
- 共通認識の確立:口頭指示の曖昧さをなくし、誰が読んでも同じ内容を理解できるようにします。
- 再現性と一貫性:文書化された手順により、同じ品質で作業が実行され、対策の一貫性が保たれます。
- 証拠の提供:監査時やインシデント発生時の客観的な証拠となります。
- 教育と訓練:新入社員教育や既存従業員の再教育の重要な教材となります。
- 継続的改善:現状評価と課題特定を可能にし、継続的な改善に繋げます。
- 知識の継承:個人の知識やノウハウが組織全体の知識として蓄積され、人事異動や退職があっても業務が滞ることを防ぎます。
3.2 iSSO導入と運用の流れ
iSSOセキュリティシステムの構築において、委員会方式(チーム主義)が取られるのは、その性質上、単一の部門や個人だけでは対応しきれない複雑さと広範囲な影響を持つためです。
3.2.1 iSSO委員会(チーム方式の重要性)
iSSOセキュリティシステムを構築する際には、複数の部門や立場からの視点を取り入れ、組織全体で取り組むことが不可欠です。 厳しいセキュリティは業務効率を低下させ、緩すぎるセキュリティはリスクを高めます。このバランスを見つけ、組織全体としての最適な落としどころを探るためには、委員会方式(チーム主義)が重要です。 情報セキュリティは、特定の個人や部門だけの責任ではなく、組織全体の共通課題であるという意識を醸成することが求められます。
| 役割名称 | 役割概要 |
|---|---|
| 代表者 | 企業の代表者であり、情報セキュリティに関する最高責任者です。マネジメントレビューを組織し主催し、情報セキュリティ方針を承認します。 |
| iSSO管理責任者 | 企業の役員または正社員から代表者によって任命され、企業の情報セキュリティに対する啓発・教育・運用を統括管理する者です。 |
| iSSO監査責任者 | 適用組織の内部監査を推進します。 |
| iSSO監査員 | iSSO委員会により構成されます(iSSO管理責任者を除く)。 |
| iSSO委員会 | iSSO管理責任者によって任命された者で、情報セキュリティに対する啓発・教育・運用について、管理責任者を補佐します。 |
| システム管理者 | 社内システムを統括する者です。 |
| 従業者 | 情報セキュリティ適用範囲に所属する社員、契約社員、パートタイマーなど。(社内システム開発等での受け入れ社員等も含む)。 |
PDCAサイクルとスパイラルアップ
情報セキュリティの構築と運用において、PDCAサイクルとスパイラルアップは、継続的な改善を可能にし、組織の情報セキュリティレベルを向上させる上で非常に重要な概念であり、iSSO情報セキュリティマネジメントシステムの根幹をなす考え方でもあります。
- PDCAサイクル:Plan(計画)、Do(実行)、Check(点検・評価)、Act(改善)の4つのフェーズを繰り返すことで、業務プロセスやシステムを継続的に改善していくためのフレームワークです。
- スパイラルアップ:PDCAサイクルを繰り返し実施することで、組織の情報セキュリティレベルが段階的に、かつ継続的に向上していく状態を指します。螺旋階段を上っていくように、一回りするごとに前のレベルよりも高みを目指すイメージです。
iSSOのPDCAサイクル
- PLAN:計画の策定
- 情報セキュリティの体制及び役割一覧
- 情報資産リスクアセスメント一覧表
- 情報資産リスク対応計画
- 情報セキュリティマニュアル(基本規程、情報セキュリティ管理規程)
- DO:計画の実施及びフォロー
- 各計画書を基にした計画の実施及び定期的なフォローアップ(必要に応じ、点検表の活用)
- CHECK:計画実施の評価
- 内部監査実施計画書
- 内部監査チェックリスト
- 内部監査実施報告書
- マネジメントレビュー実施記録
- ACTION:
- CHECK評価のOUTPUTからPLANの見直し
標準的な導入手順
多くの組織では、準備開始から認証取得まで標準的に約6か月かかりますが、コンサルタントの支援とテンプレートの活用により、最短4か月程度で取得可能です。
- フェーズ1:構築準備・計画フェーズ
- なぜiSSO認証が必要なのか、認証取得によって何を目指すのかを明確にします。
- 推進体制の確立
- 適用範囲の決定:iSSOの対象となる事業、部門、物理的範囲、情報資産の範囲を明確に定義します。認証範囲は企業の規模や事業内容によって柔軟に設定できます。
- 情報資産の洗い出しとリスクアセスメントの実施:適用範囲内の情報資産を特定・分類し、脅威と脆弱性を識別し、リスクを評価します。
- 情報セキュリティ基本方針・関連規程の策定:リスクアセスメントの結果に基づき、「情報セキュリティ基本方針」を策定。「情報セキュリティ管理規程」や「各種手順書」を整備します。
- フェーズ2:iSSO運用フェーズ
- 構築したiSSOを実際に組織内で運用し、定着させていく期間です。
- 情報セキュリティ教育・訓練:対象範囲の全ての役員、従業者に対しセキュリティ教育・訓練を実施し、ルールの周知徹底と意識向上を図ります。
- 情報セキュリティ対策の実施(運用):策定した規程や手順書に従い、具体的なセキュリティ対策(技術的対策、物理的対策、人的対策など)を実行します。
- 内部監査の実施:iSSOの要求事項や組織内の規程が適切に運用されているか、iSSOの有効性を評価するために内部監査を計画し実施します。
- マネジメントレビューの実施:トップマネジメント(社長)が内部監査の結果、情報セキュリティインシデント、是正処置の状況、iSSOのパフォーマンスなどをレビューし、改善指示や次期の目標設定を行います。
- フェーズ3:認証申請・審査フェーズ
- 運用実績ができたら、いよいよ認証機関に申請し、審査を受けます。
標準的な導入プロセス
| No. | プロセス名 | 対象部門 |
| 1 | 委員会への概要説明 | 役員・委員会 |
| 2 | ウォークスルー、情報資産整理、リスク分析 | 総務部、営業部門、業務関係部門、その他の部門 |
| 3 | 全社教育訓練 ⇒ 運用開始(運用2か月) | 全部門 |
| 4 | 運用支援業務(原則メール等で対応) | iSSOチーム |
| 5 | 内部監査支援 | |
| 6 | マネジメントレビュー支援 | |
| 7 | 審査準備支援 | |
| 8 | 受審 | |
| 9 | 指摘事項対応 |
※スタートから約4~6か月で認証取得が可能です。
スケジュールを短縮する、またはスムーズに進めるためのポイント
- トップマネジメント:強いリーダーシップとコミットメントが駆動力となります。
- プロジェクトチームの連携:iSSO構築・運用を推進する中心となる人材(チーム)が連携し、対象範囲の役員・従業者を上手に巻き込むことが成功に繋がります。
- コンサルタントの活用:専門知識と経験を持つコンサルタントと提供されるテンプレートを上手に利用することで、効率的にiSSOを構築し、審査までの期間を短縮できます。
- 既存の文書やプロセスの活用:ゼロからすべてを構築するのではなく、既存の業務手順や規程をiSSOの要求事項に合わせて見直すことで、工数を削減できます。
- 従業員全体の協力:情報セキュリティは全員で取り組むもの。従業員への周知と教育を徹底し、積極的な協力を促すことは最重要な成功要因です。
4. iSSOの構築手順
4.1 情報資産の洗い出しと評価
組織の情報セキュリティ対策は、まず「何を、なぜ守るのか」を明確にすることから始まります。それが「情報資産の洗い出しと評価」です。
情報資産とは
組織にとって価値のある情報や、その情報を扱うために必要なものです。情報資産には、財務情報、人事情報、顧客情報、戦略情報、技術情報、受託情報などがあります。 その形態は、紙媒体、ハードウェア、ソフトウェア、ネットワーク、データベース、クラウド、ノウハウなど多岐にわたります。
- データ・情報:顧客情報、営業秘密、技術情報、財務データ、個人情報、契約書、図面、メール、音声データなど、形のあるものだけでなく無形のものも含まれます。
- ソフトウェア:オペレーティングシステム(OS)、各種アプリケーションソフトウェア、開発ツール、ミドルウェア、ライセンスなど。
- ハードウェア:パソコン、サーバー、ネットワーク機器、スマートフォン、タブレット、USBメモリ、プリンター、複合機、外部記憶装置など。複合機は情報を持ち、リモートメンテナンスサービスを受けている場合はID,PW制限が設定されているかの確認が必要です。
- 設備・施設:サーバールーム、データセンター、執務室、保管庫、物理的な書類棚など、情報資産を保護・運用するための物理的な環境。
- サービス:クラウドサービス、SaaS、通信サービス、外部委託しているITサービスなど。
- 人:従業員、委託先の担当者、役員など、情報を取り扱う全ての人が、情報セキュリティの観点から重要な資産と見なされます。人的な業務スキルやノウハウなども人的な情報資産として含みます。
4.2 情報資産の洗い出し手順
情報資産を漏れなく特定するためには、体系的なアプローチが必要です。iSSO管理責任者は、情報資産の特定を目的として、全従業員に事業所内情報資産の洗い出しと確認を指示し、「情報資産リスクアセスメント一覧表」(S006-1)を作成します。
- 対象範囲の明確化:iSSOの適用範囲として定めた組織、部門、情報システム、物理的な場所などを改めて確認します。
- 情報分類の定義:情報資産の最上位グループを定義します。組織の情報資産管理単位となる業務グループとIT基盤となる社内インフラの管理でグルーピングを検討します。
- 情報資産名の記述レベル:定義した最上位グループが持つ情報資産の具体的な業務内容や代表的な資産名称でグルーピングします。
- 情報資産の媒体区分:情報資産の媒体を「紙」「電子データ」などに分けます。リスク対応計画では、媒体の違いによって保管やアクセス制御などの対応策が異なります。
- 情報フローの可視化:情報が「どこで生成され、どこに入力され、誰が閲覧し、どこへ伝達され、どこに保存され、どのように破棄されるか」という情報のライフサイクルを追跡します。
- 情報資産台帳の作成:リストアップした情報資産を「情報資産台帳」にまとめます。Excelなどのツールを使って、以下の項目を網羅的に記載します。
- 業務分類
- 情報資産名
- 情報種類/用途
- 媒体
- 件数
- 管理者/責任者
- 保管場所/利用場所
- 関連システム/サービス
- 最終更新日/確認日
- 重要度(後述の評価結果)
- 資産評価(情報資産の重要度評価):洗い出した情報資産は、その性質や組織への影響度に応じて重要度を評価します。 評価には「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つの視点を使用します。 iSSO管理責任者は、機密性・完全性・可用性の喪失に伴うリスクが実際に生じた場合に起こり得る結果を評価するための「表1資産価値評価基準」を制定し、従業員は各情報資産のレベルをこの基準に従って明記します。
- 機密性(C):許可されていない個人、実体、プロセスに対して、情報を使用させず、また、開示しない特性。情報が漏洩しないこと。
- 漏洩した場合の損害:金銭的損失、信用の失墜、法的責任。
- 評価基準例:
- 1(公開):外部への開示や提供が可能で、機密性が損なわれても事業への影響がほとんどない情報。
- 2(当社外秘):組織内のみでの開示や提供が可能で、機密性が損なわれると事業に影響がある情報。
- 3(機密):特定の関係者、または部署のみ開示や提供が可能で、機密性が損なわれると事業に大きな影響がある情報。
- 完全性(I):正確さ及び完全さの特性。情報内容が正確であること。権限のない者が改ざん、削除、破壊等できないようにすること。
- 改ざん・破壊された場合の損害:業務の停止/誤作動、信頼性の低下、法的問題。
- 評価基準例:
- 1(低):情報を改ざんされたとしても、事業への影響が少ない。
- 2(中):情報を改ざんされた場合、事業に大きな影響を及ぼす。
- 3(高):情報を改ざんされた場合、事業に極めて重大な影響を及ぼす、またはお客様から預かる個別業務情報など。
- 可用性(A):認可された利用者が要求したときに、アクセス及び使用が可能である特性。必要な時に情報にアクセスできることを確実にします。
- 利用できなくなった場合の損害:業務の停止、機会損失、信頼性低下。
- 評価基準例:
- 1(低):一定期間利用できなくても業務に支障がない。
- 2(中):2、3日利用できなくても業務に支障がない。
- 3(高):その時に利用できないと業務が遂行できない、またはお客様から預かり、収集した個別業務情報など。
- 機密性(C):許可されていない個人、実体、プロセスに対して、情報を使用させず、また、開示しない特性。情報が漏洩しないこと。
これらの観点から、各情報資産を「高」「中」「低」といったスケールで評価し、情報資産台帳の該当項目に記載します。 iSSO管理責任者は、作成した「情報資産リスクアセスメント一覧表」について、登録漏れやグルーピングの妥当性、各レベルの整合性などを確認し、従業員と協議して情報資産を特定します。
4.3 リスク分析手順
iSSOでは、リスクマネジメントプロセスとして「リスクアセスメント(リスク特定、リスク分析、リスク評価)」と「リスク対応」を求めています。ここでいう「リスク分析」は、リスクアセスメントの一部として実施されます。
リスク分析
- iSSOの適用範囲内で組織が保有する情報資産を特定し、それぞれについて機密性、完全性、可用性の観点から重要度を評価し、保護すべき情報資産と保護レベルを決定し台帳管理します。
- 資産台帳に登録した情報資産やシステム、プロセスに対し、脅威が顕在化する原因となる「弱点」(脆弱性)がないかを識別します。
- 特定した情報資産に対し、「どのような脅威が、どのような脆弱性を突くことで、どのような事象が発生し、その情報資産のCIAが損なわれるか」を具体的に記述し、リスクとして特定します。
- 特定されたリスクが実際に発生した場合に、組織にどのような影響を与え、どの程度の可能性で発生するかを評価し、リスクの大きさを決定します。
- リスクが顕在化した場合、組織にどのような結果(損失)をもたらすかを評価します。これは、機密性、完全性、可用性の喪失が組織に与えるビジネス上の影響度として評価します。
- 特定されたリスクがどの程度の頻度や確率で発生しうるかを評価します。脅威の発生頻度と、脆弱性の悪用されやすさなどを考慮します。
- リスクレベルの算出:影響度と発生可能性の評価結果を組み合わせて、リスクの大きさを算出します。
- リスク受容可能性の決定:算出されたリスクレベルが、組織が事前に定めた「リスク受容基準」と比較して許容できるレベルであるか否かを判断します。受容できないと判断されたリスク(残存リスク)に対し、どのリスクから優先的に対応すべきかを決定します。リスクレベルが高いもの、組織への影響が大きいものから優先的に対応します。
リスク対応計画の策定
リスクを評価したら、次にそのリスクに対してどのように対応するかを決定し、計画を立てます。これがリスク対応計画です。 iSSO管理責任者は、リスクアセスメントの結果に基づき、受容できないリスクを低減するために取るべき活動と、選択した管理策実施に関する行動計画を従業員と協議し、「情報資産リスク対応計画表」(S006-5)を作成します。
- リスク対応の選択肢:
- リスク低減(対策):リスクを許容可能なレベルまで下げるために、具体的な対策(管理策)を講じます。これが最も一般的な対応です。
- リスク回避:リスクの原因となる活動や業務を中止または変更し、リスクの発生そのものをなくします。
- リスク移転(共有):リスクの一部または全てを第三者(保険会社や専門業者)に転嫁します。
- リスク受容:ある特定のリスクを確認し、受け入れる意思決定です。正当な理由があり、経営層の明確な承認が必要です。
リスク低減策(管理策)の選定
iSSO認証では、ISO/IEC 27002の管理策の考え方がベースとなっています。貴社のリスクと照らし合わせ、どのような管理策を導入するかを検討します。 iSSO管理責任者は、iSSO規格から、リスク対応に関する要求事項、詳細管理策を参照し、「情報資産リスクアセスメント一覧表」(S006-1)での対策の参考とします。
- 技術的対策:ファイアウォール、侵入検知/防御システム、EDRの導入、ウイルス対策ソフトウェアの導入と最新状態への維持、データの暗号化、定期的なデータバックアップと復旧テストの実施、システムやソフトウェアのセキュリティパッチの迅速な適用など。
- 物理的対策:入退室管理システムの導入、監視カメラの設置とモニタリング、サーバー室や重要書類保管場所の施錠管理、重要機器の盗難防止対策、防火・消火設備の設置と点検など。
- 組織的対策:情報セキュリティポリシー・規程の策定と周知徹底、役割と責任の明確化、担当者の任命、アクセス権限の最小化と定期的な見直し、情報セキュリティ教育訓練の計画的な実施と効果測定、クリアデスク・クリアスクリーンルールの徹底、情報セキュリティインシデント対応計画の策定と訓練、委託先のセキュリティ管理など。
リスク対応計画書の作成
選択したリスク対応策を具体的に計画書にまとめます。この計画書は、対策の実施状況を管理し、レビューするための重要な文書となります。