2022年10月に規格が改訂されました!
創研Bizの内部監査員研修は最新の改訂ポイントを交えて解説していきます。
監査研修(ISMS)スケジュール
・2024年4月17日(水)10:00~17:00 【 締切 】
・2024年8月27日(火)10:00~17:00 【 締切 】
不定期開催となっております。この機会にぜひご参加ください。
※最低開催人数に満たない場合は、キャンセルまたは日程変更のご案内をする場合がございます。
お申込みとお支払について
下のお申込ボタンからご希望の日程を選択して、必要事項をご入力の上送信してください。
研修の10日前を目安にご請求書の発送とご案内メールの送付をさせていただきます。
お支払は指定口座への銀行振り込みです。
内部監査員研修について
料金: 1名様 13,200円(税込)
経験豊富な講師がまとめたわかりやすいテキストを使用し、規格や内部監査の進め方を説明していきます。
演習もあるので理解度が深まると好評です。
e-learningでは事前にテキストや演習問題を見ることができます。
研修後にはアーカイブ動画もアップされますので、事後学習にもお役立てください。
お申込みから研修の流れ
ISO27001内部監査研修カリキュラム
当日は10時から17時の間で研修を行います。
お申込みとお支払について
下のお申込ボタンからご希望の日程を選択して、必要事項をご入力の上送信してください。
研修の10日前を目安にご請求書の発送とご案内メールの送付をさせていただきます。お申込み時請求書をメールでの送信が可能とお答えいただいた企業様には資料と共にメールにて送らせていただきます。
お支払は指定口座への銀行振り込みです。
お問合せ
お電話、またはメールにてお受けしております。
ISO事務局TEL
0120‐971-254
※受付時間:平日9:00-17:00(年末年始を除く)
ISO事務局メール
下のお問合せメールフォームより、必要事項をご入力いただき送信してください。
※24時間受付しております。
(返信まで2営業日前後いただいております。予めご了承をお願いいたします。)
お問合せメールフォーム ▶
ISO27001(情報マネジメントシステム)について
ISO27001とは何か?
ISMS=ISO27001とは? 1. ISMSとは? ISMS(Information Security Management System)とは,一般的に,情報セキュリティマネジメントシステムと,日本語では訳されます。 国際標準規格であるISO規格ではISO27001にあたりますが,この規格は「ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で定めた」という経緯があることから,IEC27001とも表現されます。また,国際標準規格は,各国内規格との連動がはかられることになっていることから,日本ではJISQ27001と表現される場合もあります。 つまり,この4つは,ほぼ同じことを表しているのですが,いずれにしてもISMSは,認証規格の中でも,今,最も注目を集める規格と言えます。 2. 情報とは,資産である では,ナゼ,ISMSが注目されるのでしょう? それは,「組織にとって情報が,非常に重要な資産であるから」です。 「資産」と言うと,お金や株式などの債券,土地といったものを真っ先に思い浮かべる方が多いかもしれません。しかし,企業などの組織にとっての資産とは,ヒト・モノ・カネ・時間・空間・調達(調達先や流通経路など)に加え,「情報」と言われています。そして,今の時代において情報の資産価値は,急激に高まっています。 たとえば,日本でもキャッシュレス決済サービスを提供する各社が,競うようにポイント還元などを実施していることは,多くの方がご存知でしょう。また,GAFA(Google,Amazon,Facebook,Apple)といったIT企業の時価総額の巨大さをご存知の方も多いはずです。これらの企業が取得している情報は,その利用価値が非常に高いのです。広告・マーケティングの他,商品・サービス開発等々,幅広く利用されることになるからです。 つまり,今,という時代は,「情報を制する者が,競争を制する時代」と言い換えられるわけです。 3. 情報は,攻撃されやすい 非常に資産価値の高い「情報」ですが,当然ながら欠点もあります。それは,「しっかりと管理しておかないと盗まれやすい」つまり,「攻撃を受けやすい」という点です。 農産物や工業製品などの「モノ」は,盗もうとしても物理的な限界があります。たとえば,リンゴを盗もうとしても,そのリンゴを盗むには人手が必要ですし,そもそもその場所に行かねばなりません。盗んだリンゴを載せる車なども必要ですし,さらに一瞬で盗むこともできません。つまり,盗む側からすれば,足がつきやすいことが想像できるでしょう。つまり,物理的な「モノ」を盗むのは,盗む側にとっても相応のリスクが伴うわけです。 それに比較して,情報は大量に,少人数で,その場に行かずとも,一瞬で盗むことが可能です。 これは,インターネット環境が整備されたこと,そして,情報がデータ化されたことと無縁ではありません。便利さと引き換えに,リスクが高まっている,とも言えるわけです。 4. あらためて情報セキュリティマネジメントシステムとは? (1) 「モノ」と「情報」の守り方の違い このような状況だからこそ,「どのようにして,企業等の組織の資産である情報を守るのか?」は,非常に大きな課題と言えます。そして,以前のような「モノを守るような方法」では,「情報」という大切な資産を守ることはできません。情報は,物理的な「モノ」とは,その性質が異なるからです。つまり,「情報ならではの守り方」を考え,対処していく必要がある,ということです。そして,その一つの方法として考えられるのが,「ISMS=情報セキュリティマネジメントシステム」なのです。 なお,ISMSが対象とする「情報」とは,組織が持つ「すべての情報」です。たとえば,決算情報であったり,各種商品・サービスの製造ノウハウであったり,マニュアルであったり,といったものすべての情報が対象になります。ただし,その資産価値は,組織ごとに異なるはず。もちろん,法律によって「守ること」が定められている個人情報などの情報もありますが,基本的には,その組織にとって資産価値の高い情報を優先して,「セキュリティ対策をマネジメントすること」が,ISMSの大きな目的になります。 (2) 情報セキュリティとは? ところで,「ISMS=情報セキュリティマネジメントシステム」は,情報のマネジメントシステムではありません。あくまで,「情報セキュリティ」の「マネジメントシステム」です。 「何を当たり前のことを言っているの?」と思われるかもしれません。しかし,ISMSを「情報のマネジメントシステム」と思われている方もいらっしゃるようですので,注意が必要です。 そこで考えたいのは,「そもそも,セキュリティって何?」という点です。「セキュリティ」を,リスクや危険などととらえる方もいらっしゃるようですが,実際には「防犯」あるいは「安全保障」といった意味を持ちます。つまり,「情報そのものや,リスク・危険そのものはマネジメントできないし,管理もコントロールもできない」という「立場に立つこと」が,情報セキュリティを考えていくにあたっての基本なのです。 その一方で,ISMSが対象にする,「情報の<防犯(のしくみ)>や,情報の<安全保障(のしくみ)>」に関しては,自分たちがマネジメントできる。自分たちが管理・コントロールができるもの,なのです。そして,そのしくみを,自分たちが改善していくことを通じて,強固なものにすればするほど,自分たちの情報資産を守りやすくなりますし,そもそも攻撃を受けにくくなる。これが,「ISMS=情報セキュリティマネジメントシステム」の目的ととらえることができます。 このことは,空き巣などの「犯罪」を例にするとわかりやすいでしょう。防犯対策が取られている家より,防犯対策をまったくしていない家の方が空き巣に入りやすいし,実際に入られやすいわけです。つまり,「ISMS=情報セキュリティマネジメントシステム」の規格認証を取得することにより得られる果実は,実際に情報セキュリティ対策がはかれるという側面と,組織として「情報に関する防犯対策をしていますよ」と周知できるという側面との,2つ側面がある活動だ,と言えるのです。
情報セキュリティにおける基本 ~ISMSが対象とするもの~
ISMSは,情報セキュリティマネジメントシステムと,日本語では訳され,国際標準規格であるISO規格ではISO27001にあたります。では,ISMS=ISO27001において,情報セキュリティに関わる「脅威」には,どのようなものがあるのでしょう?
1.そもそも価値の高い情報は,組織内部にしかないのだが・・・
各組織には,機密とされる情報がたくさんあるはずです。たとえば,顧客や従業員の個人情報、製品・サービスの開発情報、経営計画の情報といったものです。それらは,その組織にとって非常に価値が高いもの。つまり,資産と言えるわけです。 そのような情報資産は,本来ならその組織内部で管理されており,外部に出ることはないはずです。これは,紙面に落とされている情報資産でも,データ化されている情報資産でも同じです。 一方,情報資産は,「資産」と言うだけあり,ただ貯めておくだけでは価値を生みません。よって,情報資産は「運用=投資」を行う対象となります。つまり,組織内部で利用することになるわけです。 利用するには,「利用できる環境を整備すること」が必要になります。紙面に落とされている情報資産であれば,それを閲覧できる環境をつくったり,複合機を通じてコピーしたり,といったことを通じて,利用するのが一般的でしょう。一方で,データ化されている情報資産の場合は,メディアを通じて,あるいは,イントラネットも含めネットワークを通じて,利用されることになるはずです。つまり, 「情報資産は利用できる環境をつくる必要もある」わけです。
2.情報セキュリティにおける「脅威」
情報セキュリティにおける「脅威」は,大きくは「外部からの攻撃」と,「内部からの攻撃」との2つに分けることができるわけですが,実は,「情報資産は利用できる環境がある」ことが,その脅威の源になっています。
(1)外部からの攻撃
外部からの攻撃とは,いわば見知らぬ他者からの泥棒行為であり,破壊行為です。 ここで特に問題になるのは,データ化されている情報資産です。 まずデータ化されている情報資産は,PCの中,スマートフォンの中,サーバの中,USBなどのメディアの中などに保管されることになります。一方,これを利用する場合には,USBなど物理的なモノを通じて利用するほか,ネットワークを通じて利用するケースが多くなります。仮にPC内にあるデータを利用する場合でも,そのPCが何らかのネットワークにつながっているのがほとんどでしょう。 ネットワークには,組織内部のみが使えるイントラネットと,外の世界ともつながるインターネットがありますが,外部からの攻撃はインターネットを通じて行われるのが主流となるわけです。その主なものとしては,コンピュータへの不正アクセス,ネットワークの盗聴,無線LANの盗用,スパイウエア・アドウエアといったいわゆるコンピュータウイルスなどがあり,このような泥棒・破壊行為により,大切な情報資産が漏洩させられたり,暴露されたり,改ざんされたり,破壊されたりするのです。
(2)内部からの攻撃
内部からの攻撃とは,組織内部で働く,アルバイトやパート,常駐パートナーなどを含む方々によるものです。泥棒行為・破壊行為ももちろん考えられますが,むしろ,過失や紛失が原因となっているものが多いのが特徴です。たとえば,紙面化された機密情報をシュレッダーなどの適切な処理をせずに捨てた,機密情報を複合機で出力したまま放置し持ち去られた,PCやスマホ,USBなどのデバイスを紛失した・置き忘れた,TO指定やCC指定でメール配信してしまい顧客のメールアドレスをばら撒く形になってしまった,などが,「情報に関わるよくある事故」としてあげられます。 他にも,「本来アクセスする権限のない人や組織が,その情報にアクセスした」という場合も,立派な(?)情報漏洩・情報に関する事故です。たとえば,「上場企業が有力企業を買収することが担当者以外に知れてしまい,その情報を知った人が自社株を大量購入した」というようなケースがインサイダー取引として摘発対象になることを考えると,これが情報漏洩・情報に関する事故にあたることが理解できるのではないでしょうか。
3.情報セキュリティの3要素
このように見てくると,情報セキュリティを考えるにあたって最も重要なことは,「その情報を利用できる権限を与えられた個人や組織だけが,その情報を意図通りに利用できる環境・状態をつくることだ」と,思われるのではないでしょうか? 実際,ISMS=ISO27001において,「情報セキュリティとは,情報の機密性,完全性及び可用性の維持」と定義されています。そして,「機密性」「完全性」「可用性」は,情報セキュリティの3要素とされています。
(1)機密性:アクセスを認可された者だけが,情報にアクセスできることを確実にすること
情報を機密度別に分類,かつ,役割・担当別に利用できる状態にする必要がある,ということです。誰でもかれでも情報にアクセスできる環境は,「外部から攻撃されやすくなる」,「内部での過失・紛失などが起きる可能性も高まる」と考えるとわかりやすいでしょう。よって,場合によっては社長ですら,一部の情報にはアクセスできないよう,制限をかける必要が出てくるのです。社長も人の子,悪いことをしないとは限らないし,過失を起こさないとは限らない,ということです(笑)
(2)完全性:情報および処理方法が正確であること及び完全であることを保護すること
誤った情報を用いた場合,その後の対応も誤ることになる他,その他の問題を引き起こす可能性がでてきます。たとえば,料金引き落としについて,Aさんに請求すべきところをBさんに請求してしまった,そして,実際に引き落としてしまったとしたら,大問題であることがわかるでしょう。他にも,情報を最新のものに更新すること,改ざんされるようなことがない状態であること,必要な情報が消去されていないことなどが,完全性にあたります。
(3)可用性:認可された利用者が,必要なときに,情報及び関連する資産にアクセスできることを確実にすること
ひと言で言えば,その情報を利用する権限が与えられている人が「使いたいときに,使える状態にあること」と言うことができます。よく「システムダウンや,天災が起きるなどしたときでもすぐに復旧できたり,情報にアクセスできたりする状態であること」などと説明されますが,単純に「必要な時に,必要な場所で,認可された人が認可された条件内で,その役割・担当の職務を行うことを目的に,定められた方法で」,「必要な情報を使えること」が必要だ,ということになります。 実は,「機密性・完全性」と「可用性」は,一般的には「あちらを立てれば,こちらが立たず」という関係で成り立っています。たとえば,「機密性」を高めると,アクセスできる人が制限されるわけですから,「可用性」は低減しがちです。また,「完全性」を高めるために「加工は一切不可」のようにすると,これもまた「可用性」が低減されることになります。一方で,「可用性」を重視しすぎると,誰でもかれでも情報へのアクセスが可能になってしまいます。結果,外部からの攻撃を受けやすくなり,情報利用時に内部人員が過失や紛失を起こすリスクも高まるなど,「機密性・完全性」が失われかねません。よって,情報セキュリティにおいては,「脅威」との関係も見極めながら,この3要素のバランスを保つことが重要になるのです。