ロジビズ :月刊ロジスティックビジネス
ロジスティクス・ビジネスはロジスティクス業界の専門雑誌です。
2009年6号
物流業のリスクマネジメント
《第5回》ISO27001情報セキュリティマネジメントシステム

*下記はPDFよりテキストを抽出したデータです。閲覧はPDFをご覧下さい。

JUNE 2009  74 宇野修 ロジスティクスバンク代表 物流業のリスクマネジメント 物流業のリスクマネジメント 組織の情報資産を守る  荷主企業が業務委託先候補となる物流企業 に対して提示する提案依頼書(RFP)に、「I SO27001」の文字を見かけるケースが 増えてきた。
品質のISO9001や環境の ISO14001、労働安全衛生のOHSA S18001と並んで、ISO27001の 取得が、物流コンペの参加資格となってきた のである。
 
稗咤錬横沓娃娃韻箸蓮⊂霾鵐札ュリティ マネジメントシステム=Information Security Management System( I S M S ) であり、 機密情報の漏洩防止を目的とした社内体制整 備の国際規格である。
 その源流は他の国際規格と同様に英国にあ る。
一九九三年に「British Standards(BS) 7799」の業界別ワーキングクループが発 足し、九八年に英国の認証制度として発行し た。
BS7799は二部構成で、第一部が「情 報セキュリティ管理実施基準(ガイドライン)」、 第二部が「情報セキュリティ管理システム仕 様(認証用規格)」となっている。
 その後、二〇〇〇年に第一部の「情報セキ ュリティ管理実施基準」がISO(国際標準 化機構)とIEC(国際電気標準会議)によ って「ISO/IEC17799」として国 際標準化され、〇五年一〇月に国際認証規格 「ISO/IEC27001:2005」が 発行した。
日本においては、〇六年五月に「J ISQ27001:2006」が発行している。
 
稗咤唯咾離拭璽殴奪箸和腓く二つある。
一 つはコンピュータウイルスをはじめとした、外 部からのネットワークへの不正侵入を防止する ことである。
そしてもう一つは、企業が保有し、 かつビジネスで活用する全ての情報資産を脅威 から守ることである。
 企業が保有し、活用している情報資産に は、経営戦略情報、顧客情報、人事情報、業 務ノウハウ、技術ノウハウ、契約書、取引情 報、価格情報、市場調査情報、情報システム などがある。
これらの情報の機密性、完全性 および可用性の維持を、「ISMS認証基準 (Ver.2.0)」では情報セキュリティと定義して いる。
 ここで機密性(confidentiality) とは、認 可を受けた者だけが情報にアクセスできる仕組 みを確実にすることをいう。
完全性(integrity) は、情報および処理方法が正確かつ完全であ ることを指す。
そして可用性(availability)は、 認可された利用者が、必要な時に、情報およ び関連する資産にアクセスできることを意味し ている。
 ちなみに「ISMSガイドVer.1.0」では情 報資産について、「コンピュータシステムや磁 気媒体等に保存されているデータのみならず、 入力前のメモや印刷されたもの、ならびに会話 や記録」と定義している。
つまり、会話や記 録も管理されるべき情報ということになる。
 
稗咤唯咾稜Ь擺霆爐蓮経営陣および要員 が、効果的なISMSを構築し、それを運営 管理していくためのモデルを提供している。
そ 《第5回》 ISO27001 情報セキュリティマネジメントシステム  荷主企業と物流企業の情報共有が進んでいる。
これに伴い 物流企業の機密保持体制が厳しく吟味するようになってきた。
「ISO27001 情報セキュリティマネジメントシステム(ISMS)」の 認証取得が有効な証明手段になる。
ISMSを導入することで、情 報ネットワークへの不正進入や機密漏洩のリスクを低減できる。
75  JUNE 2009 こでは他のISO規格と同様に、PDCAモ デルを基本としたプロセスアプローチが推奨さ れている。
すなわち「ISMSの確立(Plan)」 ─「ISMSの導入および運用(Do)」─「I SMSの監視および見直し(Check)」─「I SMSの維持および改善(Act)」というプロ セスである(図1)。
 このうち「ISMSの確立」とは、組織 の基本方針と目標に沿った結果を出すための、 リスクマネジメントおよび情報セキュリティの 改善に関する「情報セキュリティ基本方針」、 「目標」、「対象」、「プロセス」、「手順」を確 立することである。
 そして「ISMSの導入および運用」は、 確立した計画を導入し運用することである。
さらに「ISMSの監視および見直し」でプ ロセスの実施状況を評価し、可能な場合これ を測定し、その結果を経営陣に報告する。
そ れを基に「マネジメントレビュー(経営層によ る見直し)」を実施し、是正処置や予防措置 を講ずることで「ISMSの維持および改善」 を継続していくのである。
ISMS確立のステップ  
稗咤唯咾離泪縫絅▲襦瞥弋畛項)は、I SO9001やISO14001などの他の ISO規格とは異なり、二つのパートに分か れている。
「要求事項」第4から第8までの 「認証基準」と、「認証基準の附属書A」とし て設定されている「管理目的及び詳細管理策」 の二つである(図2)。
 前者の認証基準には、必ずISMSの適用 範囲としなければならない要求事項が挙げられ ている。
その内容はISO9001やISO 14001と大きく変わらない。
一方、後者 の附属書A「管理目的及び詳細管理策」には、 ISMSの適用から除外することを許されてい る要求事項が挙げられている。
 付属書Aは、「情報セキュリティ基本方針」 「情報セキュリティのための組織」「資産の管理」 「人的資源のセキュリティ」「物理的及び環境 的セキュリティ」「通信及び運用管理」「アク セス制御」「情報システムの取得」「開発及び 保守」「情報セキュリティインシデントの管理」 「事業継続管理」「順守」という一二の大分類 から構成されており、そこに三九項目の管理 目的と一三三項目の管理策が設定されている。
 
稗咤唯咾稜Ь攫萋世蓮付属書Aに掲げら れた膨大な数の要求事項のうち、自分たちの 組織としてはどこまでをISMSの適用範囲 とするのか、それをリスクアセスメントの結果 図2 ISMS の要求事項 ?リスク対応に関する管理目的および  管理策を選択する  一般要求事項、ISMS の確立および運営管理、文書 に関する要求事項、経営陣の責任、内部監査、マネジ メントレビュー、継続的改善、是正処置、予防処置か ら成っている。
ISO9001、ISO14001 と同じよう な構成になっている。
 情報セキュリティ基本方針、情報セキュリティのた めの組織、資産の管理、人的資源のセキュリティ、物 理的および環境的セキュリティ、通信および運用管理、 アクセス制御、情報システムの取得、開発および保守、 情報セキュリティインシデントの管理、事業継続管理、 順守という大分類から構成されており、39 項目の管 理目的と133 項目の管理策が設定されている。
ISMS の認証基準要求事項 要求事項:第4.2.1 のg) ?ISMS 認証基準の第4、第5、第  
供第7、第8 ?ISMS 認証基準の附属書A『管理  目的及び詳細管理策』 適用除外が可能となっている要求事項 必ず適用させる事が必要な要求事項 図1 ISMS プロセスに適用されるPDCA モデル 利害関係者(情報セキュリティ要求事項) 利害関係者(運営管理された情報セキュリティ) ISMS の確立 Plan(計画) ISMS の導入および実施 Do(実施) ISMS の維持および改善 Act(処置) ISMS の監視および見直し Check(点検) JUNE 2009  76 物流業のリスクマネジメント および組織の現状を考慮して判断するところに 一つのポイントがある。
そのプロセスとしては、 以下の九つのステップを踏んでISMSを確 立していくことになる。
?事業の特徴、組織、その所在地、資産およ び技術の観点から、ISMSの適用範囲を 定義する ?事業の特徴、組織、その所在地、資産およ び技術の観点から、ISMSの目標設定の 枠組、法的又は規制要求事項、リスクマネ ジメント環境などを視野に入れ、ISMS 基本方針を策定する ?リスクアセスメントについての体系的な取り 組み方法を策定する ?リスクを識別する ?リスクアセスメントを実施する ?リスク対応についての選択肢を明確にし、 評価する ?リスク対応に関する管理目的および管理策 を選択する ?適用宣言書(組織のリスクアセスメントお よびリスク対応の結果および結論に基づき、 組織のISMSに適切で当てはまる管理目 的および管理策を記述した文書)を作成す る ?残留リスク(リスク低減の努力をした後に、 残っているリスクのこと)に対する経営陣の 承認および当該ISMSを導入し、運用す るための許可を得る  最初に着手する作業は、組織が保有する資 産の洗い出し である。
すべ ての資産を対 象として識別 し、重要な資 産すべての目 録を作成する。
そのために組 織の業務フロ ーを描き、そ の業務フロー のノード毎に 資産を列挙す る。
 図3は資産 目録の例であ る。
まずノー ド別に「情報 資産」を洗い 出す。
その情 報資産に関連 する「ソフト ウエア資産」を列挙する。
さらに「情報資産」 および「ソフトウエア資産」に関連する「物 理的資産」を列挙する。
最後に、上記三種類 の資産に関連する「サービス」を列挙する。
 こうして完成した資産目録に基づき、それ ぞれの資産のリスクについて分析・評価を行う。
いわゆる「リスクアセスメント」のプロセスで ある。
その結果に基づいて、それぞれのリスク にどのように対処するかを検討する「リスク対 応」のプロセスに進む。
 「リスク対応」では、リスクを低減するた めの方策を選択する。
対応策のアプローチは 大きく四つある。
?適切な管理策を採用する、 ?リスクを保有する、?リスクを回避する、? リスクを移転する(保険等)──の四つである。
 このうち?の適切な管理策を採用する場合 には、財政的、環境的、法令的、社会的(企 業文化的・慣習的)、技術的(教育レベル的)、 図4 脅威と脆弱性の例(GMIS-3 より) 1.環境及び基礎構造 建物、ドアおよび窓の物理的保護の欠如 盗難 不安定な電力配電網 停電、誤作動 2.ハードウエア 定期的な交換計画の欠如 記憶媒体の劣化 温度変化に対する影響の受けやすさ 誤作動、データ消失 3.ソフトウエア 複雑なユーザインタフェース 操作スタッフのエラー ソフトウエアの公知の欠如 不正なユーザによるソフトウエア使用 ユーザの識別および認証メカニズムの欠如 ユーザのなりすまし 4.通信 ケーブル接続の欠陥 通信への侵入 ダイアルアップ回線 不正なユーザによるネットワークアクセス 5.文書化 廃棄時の注意欠如 窃盗 6.人事 外部または清掃スタッフによる作業時の監督不在 窃盗 不十分なセキュリティ訓練 運用スタッフのエラー 一般的な脆弱性の事例関連する脅威 図3 情報資産分類の例(JIS X 5080:2002 5.1.1 資産目録) 資産区分資産の例 a) 情報資産 b) ソフトウエア資産 c) 物理的資産 d) サービス データベースおよびデータファイル、システムに関する文書、ユーザマニュアル、 訓練資料、操作または支援手順、継続計画、代替手段の手配、記録保護された情報 業務用ソフトウエア、システムソフトウエア、開発用ツールおよびユーティリティ コンピュータ装置(プロセッサ、表示装置、ラップトップ、モデム)、通信装置(ルータ、 PBX、ファクシミリ、留守番電話)、磁気媒体(テープおよびディスク)、その他 の技術装置(電源、空調装置)、什器、収容設備 計算処理及び通信サービス、一般ユティリティ(例えば、暖房、照明、電源、空調) 77  JUNE 2009 時間的な各種の制約を考慮し、現実的で実行 性のある管理策を選ぶことが重要となる。
脆弱性が脅威をおびき寄せる  情報セキュリティとは、情報の機密性、完 全性および可用性の維持である。
これが実行 できないときに事件・事故が発生する。
情報 資産に対する脆弱性、脅威、リスクについて のシステムが万全でなかったことが、その主因 となる。
図4に示したのは、脆弱性とそれが 原因となり事件・事故につながる脅威の例で ある。
 ここで言う脆弱性とは、脅威を受けた時に 情報資産の損失を起こしやすく、かつ拡大さ せる性質を指している。
そして脅威とは、情 報資産に影響を与え、損失を発生させる直接 の要因であり、リスクとは、ある脅威が情報 資産または情報資産グループの脆弱性を利用 して、情報資産にダメージを与える可能性を いう。
 つまり、脆弱性自体が何らかのセキュリテ ィ事件・事故を引き起こすのではなく、何ら かの脅威が脆弱性を利用することでセキュリテ ィ事件・事故が発生するのである。
外部要素 が大きいため脅威自体を低減することは難しい。
しかし、適切な管理策を実施することで、脆 弱性を低減することは可能である。
その結果、 脅威の発生確率を下げることができる。
 情報資産の脆弱性が脅威を呼ばないように するためには、十分なマネジメントシステムを 構築する必要がある。
その具体策がISMS 認証基準の付属書A「管理目的及び管理策」 に掲げられた一三三項目に及ぶ要求事項である。
 この要求事項とISMS認証基準の第4〜 第8までの要求事項に従ってISMSを構築し、 その内部監査を実行し、さらに認証機関による 第三者監査を実行する。
その継続的な取り組み がリスクの抑制につながるのである。
参考文献 ■ISMS審査員研修コース/リコー情報セキュリ ティ研究センター ■リコー・ヒューマン・クリエイツ株式会社・ 二〇〇四年一〇月 宇野 修(うのおさむ) 1946 年生まれ。
青山学院大学卒。
英国航空、フライングタイガー航空、 エア・カナダ、ジャパン・シェンカー、 エクセル・ジャパンを経て、2008 年にロジスティクスバンクを設立、 代表に就任。
現在に至る。
http://www.e-logisticsbank.com/、 e-mail:uno-osamu@e-logistics bank.com

購読案内広告案内