ISMS メールソフトを立ち上げると、毎日のようにスパムメールが届いておりませんか? この頃の日課は、最初にタイトルを見ながらスパムメールの削除という方も多いでしょう。 中にはウイルス入りのメールもたくさんあり、個人ユーザーもセキュリティに関して無関心でいられない時代になりました。

企業サイトではWeb改ざんなどの攻撃が日常茶飯事に行われています。 ウチの会社は大手と違って有名ではないし攻撃されることもないだろうと安心してもいられません。別のサイトを攻撃するための踏み台に使われるケースがあります。

セキュリテイ対策にしっかり取り組んでこなかったために踏み台とされ、自社サイトから別企業のサイトへの攻撃で実損が出た場合は、損害賠償請求の対象にも成り得ますので、注意が必要です。

でも、情報システムに詳しい人間は少ないし、どうやってセキュリティ対策を考えていけばよいのだろう?

そういう場合お勧めなのがISMSというシステムです。少しISMSについて見てみましょう。

ISMSって何?

ISMSは情報セキュリティマネジメントシステム(Information Security Management System)の略です。

セキュリティといっても技術的なことを中心に行うのではなく、人間系の運用・管理面のセキュリティ対策などマネジメントに対する視点を大切にしています。

ISOと同じようなセキュリティ管理に対する第三者適合性評価制度で、イギリス規格であるBS7799(情報セキュリティマネジメント)規格が元にとなっています。

別に認定取得をとる必要はありませんが、ぜひ考え方などを学び参考にしましょう。

例えば、下記のような事件を防ぐことができるようになります。

▼読売テレビ メールアドレス漏洩
読売テレビでは、2003年11月末に開催した「CINEMA DAISUKI映画祭2003」招待者募集で、追加当選者にメール通知した際に、他の受信者が分らないBCCで送るべきところをCCで送ったために、他の当選者にメールアドレスが漏洩することがありました。

ISMS

人間系で二重チェックを行うなどで防げたはずです。

▼四日市市役所 情報漏洩事件
2003年5月、四日市市の水道局職員が個人で買ったノートパソコンを職場に持ち込んで使っておりました。古くなったために妻に壊して捨てるように頼んでおいたところ、妻は道路にパソコンを叩きつけてゴミとして出しましたが、 耐衝撃性が向上した現在のノートパソコンは無事で、ゴミを拾った男性が立ち上げたところ文書が見つかり、事件に

四日市市ではやっと正規職員全員に公用のパソコンを1台ずつ配備できたところで、それまでは私物を持ち込まざるを得ない状況にあったそうです。それなら私物パソコンの運用方法についてきちんとした指針を作るべきでしたが野放しだったことが原因です。

2つの事例を見ても分るように、人間系の運用・管理面のセキュリティ対策が大切なことが分るとおもいます。

では、ISMSの考え方を参考に自社のセキュリティ対策を見直していきましょう。