ISO27001(ISMS)の機密性とは何か?
投稿日:2023年2月1日 最終更新日:2023年5月12日
ISO27001(ISMS)には、情報セキュリティマネジメントの重要点として3つの要素が存在します。
その要素の1つが「機密性」です。
機密性とは、何を意味しているのでしょうか?
今回はISO27001で重要視される機密性の意味について詳しく解説します。
ISOの認証取得・更新・スリム化の支援はお任せ下さい!
- 東京
- 大阪
- 名古屋
- 神戸
- 福岡
ISO27001(ISMS)とは?
ISO27001は、ISMS(情報セキュリティマネジメントシステム)に関する国際規格です。
ここで言う国際規格とは、情報セキュリティに関する基準を世界的に統一させ、どの組織も同様のルールが適用することを意味します。
つまり、ISMSを実施するためにはISO27001に規定する事項を満たさなければ実施しているとはみなされません。
ISO27001は規定された事項を満たし、適切にISMSを実施していることを証明する認証になります。
企業では、日々の業務でPCやスマートフォンなど様々な情報端末が活用されています。
それに伴い、企業は情報資産を適切に使い、保護することがより重要視されるようになりました。
その背景を受け、適切な情報セキュリティマネジメントの実施や社会的な信頼を得るために、ISO27001認証に注目が集まっています。
ISMSに求められる要素とは?
ISO27001では、情報セキュリティマネジメントにおいて3つの要素を保持できる体制構築を求めています。
求められる3つの要素は以下のとおりです。
・機密性(confidentiality)
・完全性(integrity)
・可用性(availability)
この3つの要素は英語表記の頭文字を1つずつ取り、CIAとも呼ばれています。
いずれも情報の改ざん・滅失・紛失・破損を防ぎ、情報を安全に取り扱うための欠かせない要素です。
情報セキュリティマネジメントで重要となる機密性とは?
ISO27001の中で定義される機密性とは、アクセスコントロールを意味します。
アクセスコントロールは、アクセス権を持つ人だけが特定の情報にアクセスできる状態のことです。
もしも誰でも情報にアクセスできる状態となっている場合、簡単に情報の閲覧や抽出が可能となってしまいます。
重要な情報の漏洩をはじめ、なりすましや著作権侵害など企業は様々な脅威に曝されることになります。
しっかりアクセスコントロールをすることで外部から侵入されにくくなり、情報の漏洩・滅失・紛失・破損といったリスクの低減が可能です。
機密性の保持が求められる情報とは?
機密性の保持が求められる主な情報は、顧客情報やリリース前の開発情報、使用しているサーバなどのパスワードです。
顧客情報はお客様のプライバシーにかかわる情報であるため、企業の信用を保つためにも厳重なセキュリティ体制で管理しなければなりません。
そのため、必要以上のアクセス権を与えない方が良いと言えますね。
リリース前の開発情報は自社の財産とも言える機密情報です。
万が一に流出してしまえば、競合他社に自社のアイデアや技術が流れてしまう可能性がありますね。
自分たちが開発した技術や製品が他社によって先にリリースされてしまえば、ビジネスチャンスを逃すことにもなります。
サーバーのパスワードなども、不正アクセスを避けるために複雑な文字を設定するなどして、簡単にアクセスできない状態にすることが大事ですね。
機密性を保持するための対策方法とは?
ISO27001に取り組む上で重要な情報の機密性を実現するためにも、情報を保存するサーバにはアクセス権を設定しましょう。
アクセスできる人を限定することにより不用意なアクセスを回避でき、情報を守ることができます。
また、パスワードは「1234…」や生年月日など特定されやすい文字で設定するのは避けてください。
複雑なパスワードほど覚えにくいため、簡単に解かれる心配がなくなります。
また、どんなに複雑なパスワードを設定しても、IDやパスワードが誰でも見られる状態ではアクセスコントロールを行っている意味がありませんよね。
IDやパスワードのメモをデスクに貼り付けるといった行為は避けてください。
他にも社外に持ち出しても問題な情報、持ち出し厳禁の情報を決め、そのルールに則って情報を扱う体制づくりも必要です。
機密性だけではなく完全性と可用性のバランスも重要
情報セキュリティマネジメントでは、機密性だけ重視すれば良いのではなく、完全性と可用性の保持にも目を向け、バランスよく対策することが大事です。
ここでISO27001の中で定義される完全性、可用性の意味も簡単にご紹介します。
・完全性
完全性とは、情報が正確に保護されていることを意味します。
入力ミスや改ざんなどで情報の完全性が損なわれると、その情報に対する正確性・信頼性が失われてしまいます。
常に正しく、新しい情報を維持することがISMSにおける完全性です。
・可用性
可用性とは、使いたい時に情報を使える状態にすることを意味します。
例えば保管されているデータが整理整頓されていないと、必要な情報を探すのに手間がかかってしまい、可用性が損なわれます。
他にも天災の影響で機器が故障したり、使えず業務が停止したりする状態も可用性の低下につながります。
必要な時、情報をスムーズに利用できる状態を保つことも大事な要素です。
ISO27001認証の取得にはメリットが豊富
ISMSでは、機密性・完全性・可用性の3つのバランスを意識しながら取り組むことが大事なんです。
ISO27001認証を取得すれば適切なISMSを実施できていると判断でき、組織外に対する安心感や信頼感をアピールできるようになります。
また、情報セキュリティリスクの低減や組織内での意識向上など企業にとって嬉しいメリットが豊富なので、ぜひ取得を目指してみてください。
最後までご覧いただき、ありがとうございます。
ISO27001とISMSの違いを意識され、ISMSの構築、運用に興味を持たれましたでしょうか。
適当にISMSの構築、運用してしまうと、せっかく労力をかけ、時間をかけて作った仕組みが上手く機能せず、貴重な情報資産を漏洩したり、壊してしまったり、アクセスできなくなってしまったり・・・
お客様へも、社内へも大変な迷惑をかけてしまい、信用を失ってしまうかもしれません。
当社では経験が豊富で、あなたの会社の課題を解決できるようISMSの取得、運用を支援するコンサルタントが揃っています。
ISOコム株式会社お問合せ窓口 0120-549-330
