ISMSとは？〜基礎から学ぶセキュリティ構築情報セキュリティ対策編〜

本連載では、ド素人エンジニアが、未来からきた猫型ロボットせきゅえもんと共にセキュリティの世界にダイブする物語をお届けします。本稿では、情報セキュリティの基本的な考え方やよく用いられる用語について解説していきます。
今回はその中でも、情報セキュリティマネジメントシステム（ ISMS ）についてお話します。

登場人物

山田たろう
・IT企業に勤めるド素人エンジニア。
・上司からの突然の無茶振りにより一人前のセキュリティ
　エンジニアを目指すことになった

せきゅえもん
・山田たろうさんを立派なセキュリティエンジニアにするべく、
　2050年から突然やってきた未来のセキュリティエンジニア育成
　ロボット。
・語尾にいろいろと方言が入る。

1 いつもの光景
2 情報セキュリティマネジメントシステム( ISMS )とは
3 ISMS認証とは？
4 ISMS とどう関係するの？ ISO規格とJIS規格
5 ISO 27001の日本語バージョン
6 おわりに
7 まとめ
- 7.1 定義
- 7.2 参考

いつもの光景

せきゅえも～～ん！！どうしよう～！（泣）

どうしたんだい、たろうくん？

上司からセキュリティの管理ができてないから社内規定を作ってっていわれちゃったよ～（泣）(´×ω×`)

ほな、今回は情報セキュリティ管理について勉強していこ！ヾ(。>д<)シ

情報セキュリティマネジメントシステム( ISMS )とは

情報セキュリティの管理をするためには、どうしたらええ思う？(・ω・`)

情報セキュリティ製品を買って、セキュリティの管理をするとか？(｡・ε・｡)

チッチッチ、たろうくん、情報セキュリティ製品だけ買うてもだめなんやで～。(ー_ー)”b”
技術で対策することも重要やけど、従業員へ注意喚起したり、社内規定を整えたりして、組織全体で取り組まな、セキュリティの管理はでけへんのやで！＼(・ω・`)

内部不正や情報セキュリティのリテラシーが低いことで、情報漏洩が起きたりするもんね。
そしたら、会社でセキュリティ対策のルールを、ゼロから作らないといけないのか～。(>_<)

しゃあないな～、タラララッタラ～♪ 秘密道具のISMS（情報セキュリティマネジメントシステム）と ISO 27001（ISO/IEC 27001）～！(/・ω・)/

これは・・なに？(｡・ε・｡)

ISMS（情報セキュリティマネジメントシステム）は、情報セキュリティを管理するための仕組みのことやで。(^^)/
『ISO 27001』は、ISMSの国際規格で、どないして企業や組織にISMSを導入したり、運用したらよいかを記載した資料で、世界中の情報セキュリティ管理の有識者が作った、国際規格のセキュリティのルールブック的なものやで～。(-ω-)/
このISMSの国際規格『ISO 27001』を企業や組織で運用することで、ゼロからセキュリティの取り決めについて考えて作らへんでも、しっかりとした国際規格と同じレベルのセキュリティのルールが社内に構築できるちゅう優れものなんやで！＼_(・ω・`)

なんと～！(; ･`д･´)

『ISO 27001』は、ISMS（情報セキュリティマネジメントシステム）の国際ルールブック！

ISMS認証とは？

このISMS（情報セキュリティマネジメントシステム）をもとにして、情報セキュリティポリシーの策定や組織内の教育訓練、セキュリティの見直しやらを行うことによって、抜け目のあらへんセキュリティ対策をせれるようになるで～。＼(・ω・`)

うぉ～！(; ･`д･´)

さらに～！ISMS（情報セキュリティマネジメントシステム）を企業に導入すると、なんと！
セキュリティ事故が発生するリスクを減らすことでき、
従業員のセキュリティに関する意識が向上！
外部から信頼を得てビックビジネスへの道がつくられる！
ちゅうお得な特典付きやで！
いまならなんとｘｘｘｘｘ円！(/・ω・)/♪

なんか叩き売りみたいになってる～(; ･`д･´)（あと、売るんかい！）

ちなみに、ISMS（情報セキュリティマネジメントシステム）を企業に導入した後に、第三者機関であるISMS認証機関に認められると、ISMS認証を取得できるで～。!(^^)!

ほんで、ISMS認証を取得すると企業のHPやパンフレットで、ISMS認証を取得していることを記載できるで！(*´ω｀*)

うぉ～！ISMS認証かっこいい！憧れちゃうな～！
ところで、ISMSはどんな内容なの？(｡・ε・｡)

ISMS（情報セキュリティマネジメントシステム）について詳しゅう説明していくと、5日以上かかるさかい、ここでは簡単に説明するなぁ～。(=ﾟωﾟ)ﾉ
ISMSの基本的な考え方は、Plan（計画）、Do（実行）、Check（評価）、Action（改善）のPDCAサイクルを継続的に回していくことで、情報セキュリティの3要素である、機密性、完全性、可用性をバランス良う維持・改善しながら、情報資産をしっかりと管理していくことやで。(≧▽≦)

ISMS認証機関に認められると、ISMS認証を取得することができる！
ISMSの基本的な考え方は、PDCAサイクルを継続的に回し、機密性、完全性、可用性をバランス良く維持・改善すること！

ISMS とどう関係するの？ ISO規格とJIS規格

ところでISMSの規格でISOシリーズ（たとえば、ISO27001）とJISシリーズ（たとえば、JIS Q 27001）をよく聞くけど、ISO と JIS の規格はなにがちがうの？(｡・ε・｡)？

ISO と JIS の規格の違いは、世界の標準規格か日本の標準規格のちがいやで。
JIS は“Japanese Industrial Standards”（日本産業規格）の略で、日本の産業製品の規格を定めてる日本の国家規格のことやで～。(´-ω-`)
ISO は“International Organization for Standardization”（国際標準化機構）の略で、スイスのジュネーブに本部がある、世界中の標準規格を決めてるビックな組織のことで、
ISO 27001は、国際標準化機構（ISO）が作った情報セキュリティマネジメント（ISMS）の規格やで～。(´-ω-`)

世界中の規格を決めている組織があるなんて知らなかった！! (‘O’*)

そうなんやで～。世界の規格は、実はこのビックな組織が決めてるんやで。(´-ω-`)

ISO規格は「世界中で同じ品質、同じレベルのものを提供できるようにしまっせ～」っちゅう国際的な基準で、情報セキュリティマネジメントシステムの国際規格であるISO 27001の他にも、組織の品質活動や環境活動を管理するためのマネジメントシステムについてもISO規格が制定されてんで。(´-ω-`)

例えばなにがあるの？(｡・ε・｡)

例えば、品質マネジメントシステムのISO 9001は有名やけど、他にもITサービスを一貫した品質で提供し顧客満足を向上させる（マネジメントシステム規格の）ISO/IEC 20000、
教育組織のための（マネジメントシステム規格の）ISO 21001やら、様々なマネジメントシステムにおいて国際的な規格があるんやで。＼(・ω・`)

Wow! さなざまなマネジメントシステムにおいて、ISO規格があるんだね。
ところで、（いまはあんまり見なくなったけど、）JISマークってたまにお店で売っている商品に表示されているよね？

「そうやな、例えば鉛筆もJIS規格に則って作られてるんやで。

組織を管理する仕組みであるマネジメントシステムにも規格が制定されてるけど、もちろんお店で売られてる様々な製品にも規格が制定されてるんやで。(´-ω-`)

トイレットペーパーのロールのサイズは、JIS（日本産業規格）できちんと定められてるんやで。
もし、定められた大きさ以上のトイレットペーパーや、小さいトイレットペーパーやったら、トイレットペーパーホルダーにセットできんで、トイレが大混乱になるで～。(*_*)

トイレットペーパーが使えないのは、それは重大事件・・・(;´･ω･) 定められた規格があることは、大事だね～(>_<)

ISO（国際標準化機構）は世界の規格を決めている組織！
ISO 27001は、ISO（国際標準化機構）が作ったISMS（情報セキュリティマネジメントシステム）の規格！
JIS（日本産業規格）は、日本の国家規格！

ISO 27001の日本語バージョン

ところで、ISO 27001を含むISMS（情報セキュリティマネジメントシステム）の国際規格『ISO 27000シリーズ』は英語で書かれているんだけど、日本語のバージョンはないのかな？

国際規格『ISO 27000シリーズ』を日本語に翻訳した、日本の国内規格『JIS Q 27000シリーズ』があるで。
内容はほぼ同じやさかい、まずこれをみるといいで～。。＼(・ω・`)」

よかった～！（ホッ）
（国際規格の原文の英語を読むのはやめて、日本語で記載された国内規格『JIS Q 27000シリーズ』を読もーっと♡）(*´ω｀*)。

たろうくん、英語は読みたないさかい今安心したやろう？(; ･`д･´)
英語は今後も必要やさかい、勉強はしといてや。(≧◇≦)!

心の声が聞かれてしまった・・・(｡・ε・｡;;)

おわりに

いやー知らないワードが多くて、せきゅえもんがいたおかげで勉強になったよ～。(^^)

たろうくんはまだまだ勉強が足りへんね(´･ω･)　
これからももっとセキュリティについて勉強してや！がんばってな～!(^^)!

まとめ

本稿では会話形式で、情報セキュリティの考え方や情報セキュリティで使用されるワード、特にISMS（情報セキュリティマネジメントシステム）についてご紹介致しました。
ISMS（情報セキュリティマネジメントシステム）を初めて聞く方は、マネジメントシステムにも規格があることを初めて知った方も多いかもしれません。様々な製品に対して規格が存在することで、品質が良い同じレベルのモノを作ることができるように、（組織を管理するための）マネジメントシステムの規格を組織で運用することで、高い品質を維持して組織を管理することができるようになります。
ISMS認証を取得するには、費用と時間がかかりますが、情報セキュリティをしっかりしている会社であることを社外にアピールでき、顧客からの信頼性を高め、顧客満足度の向上へつながるため、ISMS認証取得によるメリットは非常に大きいです。ISMS導入支援サービスを行っている企業も多くあるので、取得について考えている企業の方は、一度相談してみると良いかもしれません。
本記事シリーズでは、情報セキュリティに関する知識を引続き発信して参りますので、楽しみながらご覧頂けますと幸いです。

セキュリティに関する別の記事も公開しておりますので、合わせてご覧ください

せきゅえもんが教える押さえておきたいセキュリティの世界 Interop Tokyo編

押さえておきたいセキュリティの世界基礎から学ぶセキュリティ環境構築　情報セキュリティインシデント編

押さえておきたいセキュリティの世界基礎から学ぶセキュリティ環境構築情報セキュリティ対策のCIA編

以上、最後までご覧いただきありがとうございます。

定義

「JIS Q 27000:2019」では、『マネジメントシステム』を『方針、目的及びその目的を達成するためのプロセスを確立するための、相互に関連する又は相互に作用する、組織の一連の要素』と定義されています。【出典：「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」（JIS Q27000:2019）、一般財団法人　日本規格協会】
ISMSの定義：
ISMS(情報セキュリティマネジメントシステム)」とは、一般社団法人　日本情報経済社会推進協会（JIPDEC）によって制定されたものです。組織内での情報の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組みを整っていることを認定する制度として、『ISMS適合性評価制度（ISMS認証）』という認定制度があります。
ISO：
International Organization for Standardization (国際標準化機構)の略称です。スイスのジュネーブに本部を置く、非政府機関国際標準化機構の活動は、国際的に通用する規格を制定することで、制定された規格はISO規格と言われます。
IEC：
International Electrotechnical Commission（国際電気標準会議）が制定する国際規格です。各国の代表的な標準化機関から構成される国際標準化機関であり、電気ならびに電子技術分野の国際規格の作成を行っています。
JIS：
Japanese Industrial Standards（日本産業規格）の略称であり、日本産業製品の規格や測定法などが定められた日本の国家規格のことです。旧名称は「日本工業規格」です。
ISO/IEC 27001：
情報セキュリティマネジメントシステム（ISMS）に関する国際規格であり、情報のCIA（機密性・完全性・可用性）の3つをマネジメントする、組織の枠組みを示しています。ISO 27001と呼ばれることもあります。ISMSの確立・実施・維持・継続的な改善、ならびに情報セキュリティリスクアセスメントおよびリスク対応を実現するための要求事項を定めています。
ISO/IEC 27000シリーズ：
情報セキュリティマネジメントシステム（ISMS）に関する国際規格群。規格の番号は、27000~27040番台及び2701X番台が中心となっています。ISO27000には、基本的な用語の解説が記載され、ISO27001は組織においてISMSを構築するための要求事項が記載されています。
JIS Q 27001：
国際規格であるISO/IEC27001で記載された英語の内容を、日本語に翻訳した日本の産業規格。ISO/IEC 27001とJIS Q 27001の内容はほぼ同等であり、ISMSの要求事項を定めた規格で、ISMSの確立および実施について、組織が何を行うべきかを記述しています。