情報セキュリティマネジメントシステム(ISMS)では、PDCAサイクルに基いて運用を行いますが、その流れとしては、2017年3月15日の記事で記載した情報セキュリティポリシの策定後、リスクアセスメントにてリスクを特定後分析を行います。その結果から、前回の2017年3月18日に記載した記事でリスクレベルに応じた対応策を検討します。
今回は、実際のリスクレベルに応じて対応策を検討後、PDCAサイクルの「Do(実行)」に該当する部分である導入と運用を行う際のポイントをお伝えします。
実際の運用に入る前に情報セキュリティの基本的な設定を行う
情報セキュリティマネジメントシステム(ISMS)を導入する際に、始めに、情報セキュリティ対策の基本的な設定を行う必要があります。例えば、普段使用しているパソコンや社内に設置しているサーバーなどに対して、ウイルス対策ソフトを導入することや、ファイアウォール機能を設定することです。
パソコンにウイルス対策ソフトをインストールすることで、万が一、ネットワークもしくはUSBメモリなどの外部ディスクからのウイルス感染を防ぎます。ウイルス対策ソフトはあたり前の話ではありますが、組織でウイルス対策ソフトを導入する際は、使用する対策ソフトを統一し、組織で必要とする機能要件を満たしていることが重要です。
ファイアウォール機能を有効にすることで、外部から内部システムへのアクセス制御を行うことで、通信ポートを防ぎますので、外部から望まない通信を遮断できるとともに、内部から外部への望まない通信を制御します。
基本的な設定を行う上で、ウイルス対策ソフトなどはメーカーから提供されたデフォルトの状態の場合、設定によっては、セキュリティ上のリスクが発生してしまうことも考えられます。そのため、導入するにあたり、それぞれの機能を正しく理解すると共に、必要としている機能と不要な機能をしっかりと見極めて、必要な機能のみを有効にしておくことも重要です。
情報へのアクセス制御を行う
組織では、業務に必要な情報を保有していることはあたり前ですが、これらの全ての情報は、必要な人が必要時にアクセスできる「機密性」を維持することが重要です。
そのため、組織に属している人全員が見れるようにしていてはセキュリティ上のリスクが高まります。そのため、情報の種類などに応じて、アクセスできるメンバーなど権限を詳細に設定することが重要です。
例えば、企業の経営に関する情報であれば、役員などに限定する、顧客などの個人情報に関しては、アクセスできる人を最小限にとどめるなど、アクセス制御を実施します。
脆弱性の解消と対策を行う
普段使用しているパソコンやサーバーなどに導入しているソフトウェアには、脆弱性と呼ばれるセキュリティ上の抜け穴である「脆弱性」が存在している場合があります。
業務で必要なソフトウェアに対しては、日頃からアップデートを行うことで最新版に保つことも重要です。一方で、最新版にソフトウェアをアップデートしたことで、何かしらの不具合が生じる可能性もありますので、アップデートの前には修正された内容をしっかりと確認しあらかじめ情報を集めた上で実施することが重要です。
また、脆弱性に対して、アップデートを行っても再度新たな脆弱性が発見されることは珍しいことではありません。そのため、導入しているソフトウェアメーカーのホームページで最新情報を収集するとともに、独立行政法人IPAのホームページなどで情報を常に確認しておくことも重要です。
従業員に情報セキュリティポリシを周知し徹底してもらう
情報セキュリティポリシを策定し、リスクに応じた対策を講じても、それらを運用する従業員が理解していなければ、正しく運用を行うことはできません。
そのため、業務に携わる従業員に対しては、はじめに情報セキュリティポリシーを周知することに加え、情報機器を扱う上で注意すべきこと、禁止されていることなどを教育を行い、ルールを徹底してもらうことが重要です。
例えば、業務で関係無いウェブサイトの閲覧を禁止することや業務に使用するパソコンに接続して個人の携帯電話やスマートフォンを充電しない、テザリングなどの通信支援機能を利用しないといったことがあげられます。
異動や退職などでアカウントが不要になった場合は迅速な対応を行う
組織では、人事異動や退職者などで人が入れ替わることも多いです。アカウントも一人一人に付与しているため、異動や退職などでアカウントが不要になる場合も発生します。
異動や退職などでアカウントが不要になった場合は、速やかに削除を行うなど、異動や退職後にアクセス出来ないようにし、不要な情報の持ち出しや情報漏えい対策を行います。
また、削除を行ったIDは、万が一何かあった時に備えで、発行時期と削除時期を記録しておくことも重要です。