「情報セキュリティ、実はよく知らないんだよね」という方のために
CISOの永島です。
今回のヨモヤマネタでは3つの疑問に答えながら、情報セキュリティに関する理解を深めてもらえればと思い、つらつらと書いてみました。
全然知らない人、少しは知ってるけどよくは知らない人、それなりに知っていると自負する人。
秋の夜長にこのネタを読めば、あなたも「情報セキュリティマイスター」の仲間入りです。
Question1.
「そもそも、情報セキュリティって何なの?」
Answer1.
情報セキュリティとは・・・
「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい」と定義されています。
機密性、完全性、可用性は情報セキュリティの3大要素と呼ばれることがあります。
機密性とは・・・
ある情報へのアクセスを認められた人だけが、その情報にアクセスできる状態を確保すること
完全性とは・・・
情報が破壊、改ざん又は消去されていない状態を確保すること
可用性とは・・・
情報へのアクセスを認められた人が必要時に中断することなく、情報にアクセスできる状態を確保すること
もうちょっと簡単にわかり易く言うと・・・
私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。
それが情報セキュリティの対策です。
Question2.
「当社のような規模が小さな会社でもISO27001の認証って必要なの?」
Answer2.
まず、ISO27001とは何かをさらっと理解してみましょう。
情報セキュリティマネジメントシステム(ISMS:Information Security Management System)に関する国際規格です。
ハードウェア/ソフトウェアの技術的な規格ではなく、組織の情報セキュリティ管理の仕組みの規格です。
次に、同じ ”情報セキュリティ” の括りで見られがちである、プライバシーマークとの違いをさらっと理解してみましょう。
プライバシーマークは、個人情報保護法を取り込むことを最大の目標としています。
「個人情報はとにかく守れ」であって、企業の規模は関係ありません。
片やISO27001は、リスクを適切に管理しているという信頼を利害関係者に与えることを最大の目標としています。
「重要な情報はこうして守る」であって、自社にあった宣言が可能です。
このようにISO27001は会社の規模や事業内容に関係なく、自分達で粒度を変えて実施することが可能で重要な点でもあります。
つまり、従業員1万人規模の大企業でも、10人規模の小企業でも、認証の必要性に違いはありません。
ちなみに。
国際規格では・・・ISO/IEC 27001:2013
日本規格では・・・JIS Q 27001:2014
と表現されます。
Question3.
「CISOって何をする人?」
Answer3.
CISO(Chief Information SecurityOfficer)は「最高情報セキュリティ責任者」と言いまして、企業など組織内における情報管理とその運用を担当し、情報セキュリティを統括する担当役員であると定義されています。
コンピュータシステムやネットワークのセキュリティ対策だけでなく、機密情報や個人情報の管理についても統括する例が多いようです。
CISOという肩書は新しい?・・・
海外においてはCISOという役職名はそれほど新しいものではなく、世の中に現れはじめたのは10年以上も前のことだそうです。
その役割は、Chief Information Officer(CIO:情報統括担当役員)のもとでIT技術による情報管理に焦点をあてたもので、もちろん他部門と連携することもなく、ましてやビジネスの動向に関与することもありませんでした。
しかし、時代の流れとともにCISOに求められる役割が大きく変化しつつあるようで、今日ではCISOにはビジネス全体に関わる大きな役割が期待されていると言われています。
新しいCISOに求められているもの・・・
それはもはや情報漏えいを防ぐことに留まらず、セキュリティ戦略を通して企業と企業のブランドの価値を守り、企業の繁栄に積極的に貢献することにあるようです。
むむぅ、かなり責任が重いと言えそうです
これで終わりです。
「情報セキュリティ」に関して、理解を深めることはできたでしょうか?