《第5回》ISO27001情報セキュリティマネジメントシステム[物流業のリスクマネジメント]：ロジスティクス・ビジネス[LOGI-BIZ]バックナンバー

2009年6号

物流業のリスクマネジメント
《第5回》ISO27001情報セキュリティマネジメントシステム

*下記はPDFよりテキストを抽出したデータです。閲覧はPDFをご覧下さい。

JUNE 2009　　74 宇野修　ロジスティクスバンク代表物流業のリスクマネジメント物流業のリスクマネジメント組織の情報資産を守る　荷主企業が業務委託先候補となる物流企業に対して提示する提案依頼書（ＲＦＰ）に、「ＩＳＯ２７００１」の文字を見かけるケースが増えてきた。
品質のＩＳＯ９００１や環境のＩＳＯ１４００１、労働安全衛生のＯＨＳＡＳ１８００１と並んで、ＩＳＯ２７００１の取得が、物流コンペの参加資格となってきたのである。
　�
稗咤錬横沓娃娃韻箸蓮⊂霾鵐札⑤絅螢謄� マネジメントシステム=Information Security Management System（ＩＳＭＳ）であり、機密情報の漏洩防止を目的とした社内体制整備の国際規格である。
　その源流は他の国際規格と同様に英国にある。
一九九三年に「British Standards（ＢＳ）７７９９」の業界別ワーキングクループが発足し、九八年に英国の認証制度として発行した。
ＢＳ７７９９は二部構成で、第一部が「情報セキュリティ管理実施基準（ガイドライン）」、第二部が「情報セキュリティ管理システム仕様（認証用規格）」となっている。
　その後、二〇〇〇年に第一部の「情報セキュリティ管理実施基準」がＩＳＯ（国際標準化機構）とＩＥＣ（国際電気標準会議）によって「ＩＳＯ／ＩＥＣ１７７９９」として国際標準化され、〇五年一〇月に国際認証規格「ＩＳＯ／ＩＥＣ２７００１：２００５」が発行した。
日本においては、〇六年五月に「ＪＩＳＱ２７００１：２００６」が発行している。
　�
稗咤唯咾離拭璽殴奪箸和腓④�鵑弔△襦�
一つはコンピュータウイルスをはじめとした、外部からのネットワークへの不正侵入を防止することである。
そしてもう一つは、企業が保有し、かつビジネスで活用する全ての情報資産を脅威から守ることである。
　企業が保有し、活用している情報資産には、経営戦略情報、顧客情報、人事情報、業務ノウハウ、技術ノウハウ、契約書、取引情報、価格情報、市場調査情報、情報システムなどがある。
これらの情報の機密性、完全性および可用性の維持を、「ＩＳＭＳ認証基準（Ver.2.0）」では情報セキュリティと定義している。
　ここで機密性（confidentiality）とは、認可を受けた者だけが情報にアクセスできる仕組みを確実にすることをいう。
完全性（integrity）は、情報および処理方法が正確かつ完全であることを指す。
そして可用性（availability）は、認可された利用者が、必要な時に、情報および関連する資産にアクセスできることを意味している。
　ちなみに「ＩＳＭＳガイドVer.1.0」では情報資産について、「コンピュータシステムや磁気媒体等に保存されているデータのみならず、入力前のメモや印刷されたもの、ならびに会話や記録」と定義している。
つまり、会話や記録も管理されるべき情報ということになる。
　�
稗咤唯咾稜Ь擺霆爐蓮�弍朕悗�茲嗟廾� が、効果的なＩＳＭＳを構築し、それを運営管理していくためのモデルを提供している。
そ《第5回》 ISO27001 情報セキュリティマネジメントシステム　荷主企業と物流企業の情報共有が進んでいる。
これに伴い物流企業の機密保持体制が厳しく吟味するようになってきた。
「ISO27001 情報セキュリティマネジメントシステム（ISMS）」の認証取得が有効な証明手段になる。
ISMSを導入することで、情報ネットワークへの不正進入や機密漏洩のリスクを低減できる。
75　　JUNE 2009 こでは他のＩＳＯ規格と同様に、ＰＤＣＡモデルを基本としたプロセスアプローチが推奨されている。
すなわち「ＩＳＭＳの確立（Plan）」 ─「ＩＳＭＳの導入および運用（Do）」─「ＩＳＭＳの監視および見直し（Check）」─「ＩＳＭＳの維持および改善（Act）」というプロセスである（図１）。
　このうち「ＩＳＭＳの確立」とは、組織の基本方針と目標に沿った結果を出すための、リスクマネジメントおよび情報セキュリティの改善に関する「情報セキュリティ基本方針」、「目標」、「対象」、「プロセス」、「手順」を確立することである。
　そして「ＩＳＭＳの導入および運用」は、確立した計画を導入し運用することである。
さらに「ＩＳＭＳの監視および見直し」でプロセスの実施状況を評価し、可能な場合これを測定し、その結果を経営陣に報告する。
それを基に「マネジメントレビュー（経営層による見直し）」を実施し、是正処置や予防措置を講ずることで「ＩＳＭＳの維持および改善」を継続していくのである。
ＩＳＭＳ確立のステップ　�
稗咤唯咾離泪縫絅▲襦瞥弋畛�燹砲蓮■� ＳＯ９００１やＩＳＯ１４００１などの他のＩＳＯ規格とは異なり、二つのパートに分かれている。
「要求事項」第４から第８までの「認証基準」と、「認証基準の附属書Ａ」として設定されている「管理目的及び詳細管理策」の二つである（図２）。
　前者の認証基準には、必ずＩＳＭＳの適用範囲としなければならない要求事項が挙げられている。
その内容はＩＳＯ９００１やＩＳＯ１４００１と大きく変わらない。
一方、後者の附属書Ａ「管理目的及び詳細管理策」には、ＩＳＭＳの適用から除外することを許されている要求事項が挙げられている。
　付属書Ａは、「情報セキュリティ基本方針」「情報セキュリティのための組織」「資産の管理」「人的資源のセキュリティ」「物理的及び環境的セキュリティ」「通信及び運用管理」「アクセス制御」「情報システムの取得」「開発及び保守」「情報セキュリティインシデントの管理」「事業継続管理」「順守」という一二の大分類から構成されており、そこに三九項目の管理目的と一三三項目の管理策が設定されている。
　�
稗咤唯咾稜Ь攫萋世蓮�嫗綾顳舛坊任欧� れた膨大な数の要求事項のうち、自分たちの組織としてはどこまでをＩＳＭＳの適用範囲とするのか、それをリスクアセスメントの結果図2　ISMS の要求事項 ?リスク対応に関する管理目的および　管理策を選択する　一般要求事項、ISMS の確立および運営管理、文書に関する要求事項、経営陣の責任、内部監査、マネジメントレビュー、継続的改善、是正処置、予防処置から成っている。
ISO9001、ISO14001 と同じような構成になっている。
　情報セキュリティ基本方針、情報セキュリティのための組織、資産の管理、人的資源のセキュリティ、物理的および環境的セキュリティ、通信および運用管理、アクセス制御、情報システムの取得、開発および保守、情報セキュリティインシデントの管理、事業継続管理、順守という大分類から構成されており、39 項目の管理目的と133 項目の管理策が設定されている。
ISMS の認証基準要求事項要求事項：第4.2.1 のg） ?ISMS 認証基準の第４、第５、第　�
供�茖掘��8 ?ISMS 認証基準の附属書Ａ『管理　目的及び詳細管理策』適用除外が可能となっている要求事項必ず適用させる事が必要な要求事項図1　ISMS プロセスに適用されるPDCA モデル利害関係者（情報セキュリティ要求事項）利害関係者（運営管理された情報セキュリティ） ISMS の確立 Plan（計画） ISMS の導入および実施 Do（実施） ISMS の維持および改善 Act（処置） ISMS の監視および見直し Check（点検） JUNE 2009　　76 物流業のリスクマネジメントおよび組織の現状を考慮して判断するところに一つのポイントがある。
そのプロセスとしては、以下の九つのステップを踏んでＩＳＭＳを確立していくことになる。
?事業の特徴、組織、その所在地、資産および技術の観点から、ＩＳＭＳの適用範囲を定義する ?事業の特徴、組織、その所在地、資産および技術の観点から、ＩＳＭＳの目標設定の枠組、法的又は規制要求事項、リスクマネジメント環境などを視野に入れ、ＩＳＭＳ基本方針を策定する ?リスクアセスメントについての体系的な取り組み方法を策定する ?リスクを識別する ?リスクアセスメントを実施する ?リスク対応についての選択肢を明確にし、評価する ?リスク対応に関する管理目的および管理策を選択する ?適用宣言書（組織のリスクアセスメントおよびリスク対応の結果および結論に基づき、組織のＩＳＭＳに適切で当てはまる管理目的および管理策を記述した文書）を作成する ?残留リスク（リスク低減の努力をした後に、残っているリスクのこと）に対する経営陣の承認および当該ＩＳＭＳを導入し、運用するための許可を得る　最初に着手する作業は、組織が保有する資産の洗い出しである。
すべての資産を対象として識別し、重要な資産すべての目録を作成する。
そのために組織の業務フローを描き、その業務フローのノード毎に資産を列挙する。
　図３は資産目録の例である。
まずノード別に「情報資産」を洗い出す。
その情報資産に関連する「ソフトウエア資産」を列挙する。
さらに「情報資産」および「ソフトウエア資産」に関連する「物理的資産」を列挙する。
最後に、上記三種類の資産に関連する「サービス」を列挙する。
　こうして完成した資産目録に基づき、それぞれの資産のリスクについて分析・評価を行う。
いわゆる「リスクアセスメント」のプロセスである。
その結果に基づいて、それぞれのリスクにどのように対処するかを検討する「リスク対応」のプロセスに進む。
　「リスク対応」では、リスクを低減するための方策を選択する。
対応策のアプローチは大きく四つある。
?適切な管理策を採用する、 ?リスクを保有する、?リスクを回避する、? リスクを移転する（保険等）──の四つである。
　このうち?の適切な管理策を採用する場合には、財政的、環境的、法令的、社会的（企業文化的・慣習的）、技術的（教育レベル的）、図４　脅威と脆弱性の例（GMIS-3 より）１．環境及び基礎構造建物、ドアおよび窓の物理的保護の欠如盗難不安定な電力配電網停電、誤作動２．ハードウエア定期的な交換計画の欠如記憶媒体の劣化温度変化に対する影響の受けやすさ誤作動、データ消失３．ソフトウエア複雑なユーザインタフェース操作スタッフのエラーソフトウエアの公知の欠如不正なユーザによるソフトウエア使用ユーザの識別および認証メカニズムの欠如ユーザのなりすまし４．通信ケーブル接続の欠陥通信への侵入ダイアルアップ回線不正なユーザによるネットワークアクセス５．文書化廃棄時の注意欠如窃盗６．人事外部または清掃スタッフによる作業時の監督不在窃盗不十分なセキュリティ訓練運用スタッフのエラー一般的な脆弱性の事例関連する脅威図３　情報資産分類の例（JIS　X　5080：2002　5.1.1　資産目録）資産区分資産の例 a) 情報資産 b) ソフトウエア資産 c) 物理的資産 d) サービスデータベースおよびデータファイル、システムに関する文書、ユーザマニュアル、訓練資料、操作または支援手順、継続計画、代替手段の手配、記録保護された情報業務用ソフトウエア、システムソフトウエア、開発用ツールおよびユーティリティコンピュータ装置（プロセッサ、表示装置、ラップトップ、モデム）、通信装置（ルータ、 PBX、ファクシミリ、留守番電話）、磁気媒体（テープおよびディスク）、その他の技術装置（電源、空調装置）、什器、収容設備計算処理及び通信サービス、一般ユティリティ（例えば、暖房、照明、電源、空調） 77　　JUNE 2009 時間的な各種の制約を考慮し、現実的で実行性のある管理策を選ぶことが重要となる。
脆弱性が脅威をおびき寄せる　情報セキュリティとは、情報の機密性、完全性および可用性の維持である。
これが実行できないときに事件・事故が発生する。
情報資産に対する脆弱性、脅威、リスクについてのシステムが万全でなかったことが、その主因となる。
図４に示したのは、脆弱性とそれが原因となり事件・事故につながる脅威の例である。
　ここで言う脆弱性とは、脅威を受けた時に情報資産の損失を起こしやすく、かつ拡大させる性質を指している。
そして脅威とは、情報資産に影響を与え、損失を発生させる直接の要因であり、リスクとは、ある脅威が情報資産または情報資産グループの脆弱性を利用して、情報資産にダメージを与える可能性をいう。
　つまり、脆弱性自体が何らかのセキュリティ事件・事故を引き起こすのではなく、何らかの脅威が脆弱性を利用することでセキュリティ事件・事故が発生するのである。
外部要素が大きいため脅威自体を低減することは難しい。
しかし、適切な管理策を実施することで、脆弱性を低減することは可能である。
その結果、脅威の発生確率を下げることができる。
　情報資産の脆弱性が脅威を呼ばないようにするためには、十分なマネジメントシステムを構築する必要がある。
その具体策がＩＳＭＳ認証基準の付属書Ａ「管理目的及び管理策」に掲げられた一三三項目に及ぶ要求事項である。
　この要求事項とＩＳＭＳ認証基準の第４〜第８までの要求事項に従ってＩＳＭＳを構築し、その内部監査を実行し、さらに認証機関による第三者監査を実行する。
その継続的な取り組みがリスクの抑制につながるのである。
参考文献 ■ＩＳＭＳ審査員研修コース／リコー情報セキュリティ研究センター ■リコー・ヒューマン・クリエイツ株式会社・二〇〇四年一〇月宇野　修（うのおさむ） 1946 年生まれ。
青山学院大学卒。
英国航空、フライングタイガー航空、エア・カナダ、ジャパン・シェンカー、エクセル・ジャパンを経て、2008 年にロジスティクスバンクを設立、代表に就任。
現在に至る。
http://www.e-logisticsbank.com/、 e-mail：uno-osamu@e-logistics bank.com