情報セキュリティに関する
香港で事業を展開している日系企業の中には各種ISO規格の認定を取得、もしくは取得を予定している会社も多いのではないでしょうか。1980年代から1990年代後半にかけて様々なISO規格が発行されましたが、各規格間で十分に整合性がとられているとはいえず、企業にとって混乱の元になっていました。近年、各規格を標準化するためのガイドが発行され、時代の流れに伴う各規格自体の見直しとともに当該ガイドに準じた構成や文言の定義が変更されています。本稿では当ガイドに基づく見直しが行われたISO27001規格の改訂のポイントをご紹介します。
×××××××× ×××××××××××× ×× ×× ×× ×× ×× ×××× ×××× ×× ×× ×× ×××××× ××
ISOとは まずISOについてご説明します。ISOとはInternational Organization for Standardization(国際標準化機構)の略称であり、工業分野における国際的な標準規格を策定するための民間の非営利組織です。ISOによって策定された国際規格は「ISOXXXXX」という形式で識別され、よく知られているものとしてはISO9001(品質マネジメントシステム)、ISO14001(環境マネジメントシステム)、ISO22000(食品安全マネジメントシステム)、そして今回その改訂に触れるISO27001(情報セキュリティマネジメントシステム)が挙げられます。規格を取得したい会社は、ISOによって選定された機関による審査を受けて社内のプロセスがISO規格に沿っていることを示す必要があります。なおISO規格は取得すれば終わりというものではなく、3年毎の更新審査を受けながら継続的にプロセスの改善を進める必要があります。
ISO規格標準化の流れ
前述のISO規格を含めてこれまでに発行された規格は文書ごとに構成がバラバラであったり、各規格内で用いられる文言の定義に齟齬がありました。そのため複数のISO規格を取得している企業において規格を統合的に運用することが難しい状況でした。この状況を改善するためにISOは検討を重ねて共通文書を作成し、新たに規格を制定改訂する場合は原則としてこれに従うこととしました。後述するISO27001は当文書に基づく改訂が行われ、ISO9001やISO14001も2015年を目処に改訂される予定となっています。 ISO27001とは
ISO27001は組織が保有する情報資産を様々な脅威から守るための管理体制(注1)の国際規格です。当規格に基づいて情報の機密性、完全性、可用性の3つの観点から資産管理の体制を整備することで効果的に情報セキュリティを高めることができます。ISO27001規格を取得するメリットとしては、社会的信用や顧客からの信頼度の向上、情報が漏洩するリスクの低減、自社内における情報セキュリティに対する意識の向上が考えられます。ISO規格は5年ごとに定期的に見直しが行われることになっており、2005年に発行されたISO27001(2005年版)は2007年から改訂の審議が開始され、2013年10月1日にISO27001(2013年版)が発行されました。 ISO27001改訂のポイント ISO27001(2005年版)からISO27001(2013年版)への改訂は「ISO規格標準化の流れに伴う改訂」と「外部環境の変化に伴う管理策/管理目的の改訂」の2つに大きく分類できます。それぞれの改訂のポイントについて以下にご紹介します。 ・ISO規格標準化の流れに伴う改訂 ⒈構成変更
前述のとおり新たに規格を改訂する場合は共通文書に沿った構成にすることがISOから求められています。そのためISO27001の改訂においてもそれに従って、構成が大きく変更されました(図1)。
⒉リスクの定義の変更 他のISO規格との整合を図るためにリスクの定義の解釈が拡大されました。具体的には、ISO27001(2005年版)ではネガティブな意味に限定されていましたが、ISO27001(2013年版)ではその限りではなくなりました。したがって、これまでの情報セキュリティに関するリスクは情報漏洩や不正アクセス等の悪影響を及ぼすものが代表的でしたが、今後は企業価値の向上や事業範囲の拡大といった好影響を及ぼす事柄もリスクとして考慮することが望まれます。 ・外部環境の変化に伴う管理策/管理目的の改訂 ⒈可用性に関する検討 情報資産のリスク評価において、これまでは機密性を検討すれば十分でしたが可用性についても検討することが必要になりました。可用性とは情報を必要なときにいつでも利用できる状態の度合いのことであり、自社が情報資産のそれぞれの重要性を識別した後に求められる可用性を検討したうえで対策を立案することが必要になります。 ⒉公衆ネットワーク上のアプリケーションサービス これまでは電子商取引(注2)を行っている会社のみがインターネット等の公衆ネットワーク上のセキュリティについて検討すればよかったのですが、2013年版からはそれに加えてクラウドサービス(注3)を利用している会社も同様に検討しなければなりません。
ISO27001(2013年版)移行スケジュール 規格認証を受けている組織の審査タイミングはそれぞれ異なることから、国内のISO27001認証機関(注4)である一般社団法人日本情報経済社会推進協会(JIPDEC)は認証規格の移行をISO27001(2013年版)の発行日から2年後の2015年10月1日までに完了させると公表しています。また当協会は今後の維持審査や認証再取得の審査で、新旧の差分審査を行うことを検討しています。
おわりに ISO27001に限らず規格認証の取得を予定している日系の香港現地法人にとって、審査機関や認証取得支援先の選定は非常に重要であると考えられます。自社のプロセスや日本と香港の商習慣の違いを理解して本当に有効な指摘や支援を行う機関を選定しなければ、ISO規格を取得したとしても思ったほどの効果を得ることができなかったり、せっかく構築した仕組みが形骸化してしまう恐れがあります。それを防ぐためには、「ISO規格取得を自社のプロセス改善に活かしたい」「規格取得によって取引先からの信頼を得たい」というような目的をしっかりと定め、香港ローカルの審査機関や支援先を選定したとしても事前に十分なコミュニケーションを行うことが必要です。 ISO規格を取得している会社では、規格改訂への対応を通していま一度自社のプロセスを見直すことも一考です。場合によっては自社プロセスの変更も必要になりますので、事前に改訂された点を十分に調査しておくことが必要だと考えられます。
※1…この管理体制のことをISMS(Information Security Management System)と呼ぶ (このシリーズは月1回掲載します) 筆者紹介 佐々木 英樹(ささき ひでき) Deloitte Touche Tohmatsu香港事務所エンタープライズリスクサービス部門コンサルタント。システム監査技術者、情報セキュリティスペシャリストの有資格者。 大手システムインテグレータを経て2009年監査法人トーマツ(現有限責任監査法人トーマツ)入所。金融機関や保険会社のシステムリスク外部評価、システム監査やSSAE16をはじめとするIT関連の保証業務に従事。2013年よりDeloitte Touche Tohmatsu 香港へ赴任。香港資本の事業会社へのシステム監査、日系香港現地法人へのIT関連サービスの提供を行っている。連絡先:hidsasaki@deloitte.com.hk |
|
|