ISMS/ISO27001 情報セキュリティマネジメント

ＩＳＯ/ＩＥＣ２７００１（ISMS）の概要
株式会社マネジメントセンター
1-06(090619)
目次
第１章 ISO27001(ISMS)について
第２章 ISO27001(ISMS)構築のポイント
第３章 ISO27001(ISMS)認証取得のポイント
1
©㈱マネジメントセンター
第１章
„
ＩＳＯ２７００１(ISMS)について
2
©㈱マネジメントセンター
ＩＳＯとは
「ＩＳＯ」
∥
ＩＳＯＳ：相等しい、平等
（ギリシャ語）
ＩＳＯの公用語
∥
英語・フランス語
ロシア語
現在までに約１万件に
及ぶＩＳＯ規格が
制定されている
ＩＳＯには現在
約１５０ヶ国が
加盟している
3
© ㈱マネジメントセンター
ＩＳＯとは
国際規格の作成作業
国際規格の作成作業
通常、それぞれのＩＳＯ専門委員会（Technical Committee）を通じて実施される。専門委員会が既
に設置されている特定の課題に関心のある各加盟団体は、それぞれ委員会に代表を派遣する権
利を有している
課 題
代表派遣
代表派遣
代表派遣
代表派遣
各加盟団体
各加盟団体
各加盟団体
各加盟団体
代表派遣
代表派遣
代表派遣
代表派遣
ＩＳＯの本部
ＩＳＯの本部
ジュネーブ
Geneva
ＩＳＯの本部は
スイス連邦 ジュネーブにある
4
© ㈱マネジメントセンター
ＩＳＭＳとは・・・
„
Information Security Management System
(情報セキュリティマネジメントシステム) の略。
„ 企業などの組織が情報を適切に管理し、機密を守るための包
括的な枠組み。
„ コンピュータシステムのセキュリティ対策だけでなく、
① 情報を扱う際の基本的な方針（セキュリティポリシー）
② 方針に基づいた具体的な計画、計画の実施・運用
③ 一定期間ごとの方針・計画の見直し
までを含めた、トータルなリスクマネジメント体系のこと。
5
©㈱マネジメントセンター
情報漏えいの傾向（発生し易い事故例）
通
通信
信
●インターネットから社内ＬＡＮへの不正アクセス
●インターネットから社内ＬＡＮへの不正アクセス
●ＰＣ内のスパイウェアが気づかないうちに情報を送信
●ＰＣ内のスパイウェアが気づかないうちに情報を送信
●アドレス入力ミスによるファイルの誤送信
●アドレス入力ミスによるファイルの誤送信
●ＣＣで大勢の顧客へ同報メールを送信
●ＣＣで大勢の顧客へ同報メールを送信
機
機器
器
メディア
メディア
●ノートパソコンの盗難
●ノートパソコンの盗難
●携帯電話の紛失
●携帯電話の紛失
●ＣＤやＤＶＤディスクをそのまま廃棄
●ＣＤやＤＶＤディスクをそのまま廃棄
●下取りに出したＰＣのハードディスク解析
●下取りに出したＰＣのハードディスク解析
●ＵＳＢメモリーカードを外出先で紛失
●ＵＳＢメモリーカードを外出先で紛失
●内部者による無断持ち出し、コピー
●内部者による無断持ち出し、コピー
6
©㈱マネジメントセンター
情報漏えいの傾向（発生し易い事故例）
紙
紙
●顧客名簿のコピーをシュレッダーにかけずに廃棄
●顧客名簿のコピーをシュレッダーにかけずに廃棄
●人目に触れやすい付箋紙やメモからＩＤ、パスワードが漏えい
●人目に触れやすい付箋紙やメモからＩＤ、パスワードが漏えい
●施錠されていない書類ロッカーからの盗難
●施錠されていない書類ロッカーからの盗難
人
人
●顧客データを扱っていることを話題にする
●顧客データを扱っていることを話題にする
●電車の中などで、特定の顧客に関する情報を口にする
●電車の中などで、特定の顧客に関する情報を口にする
7
©㈱マネジメントセンター
情報漏えいの原因
【情報漏えい原因の割合】
8
©㈱マネジメントセンター
情報漏えいの原因
【情報漏えい原因の分類】
№
要 素
原 因
１ 技術的
人為ミス
２ 技術的
対策不足
３ 非技術的
人為ミス
４ 非技術的
犯罪
５ その他
％
対応する原因
２２．１ 設定ミス、誤操作、
管理ミス
４．４ バグ、セキュリティホール、
ウイルス、不正アクセス
２４．３ 置き忘れ、目的外利用
４６．７ 内部犯行、情報持ち出し、
盗難
その他、不明
２．４ その他、不明
9
©㈱マネジメントセンター
情報漏えいの経路
【情報漏えい経路の割合】
※FTP : File Transfer Protocol
10
©㈱マネジメントセンター
情報漏えいの経路
【情報漏えい経路の分類】
№
要素
１ インターネット
％
経路
１４．５ Ｗｅｂ・Ｎｅｔ経由、Ｅ−ｍａｉｌ経由、
ＦＴＰ経由
２ 媒体
７５．４ 紙媒体、USBメモリ等可搬記録媒
体、ＰＣ本体
３ その他、不明
１０．２ その他、不明
11
©㈱マネジメントセンター
情報漏えい事件・事故の実際
2009年
保険代理店で顧客リストが車上荒らし被害。
6月4日 保険代理店従業員が自宅駐車場で車上荒らしに遭い、顧客リストを盗まれた。被害に
遭ったリストには、個人情報829件をはじめ、法人情報122件の顧客情報が記載され
ており、氏名や住所、生年月日、電話番号、保険契約といった情報が記載されていた。
2009年
キャンペーンメール約4400を誤送信、メールアドレスが流出。
6月3日 大手通信会社にてメールの誤送信事故が発生し、約4400件のメールアドレスが外部
へ流出したことがわかった。
同社では、キャンペーンを案内する際、1000件ごとに5回にわけて4464件のメールを
送信したが、メールアドレスを宛先に設定する操作ミスが発生。受信者とは関係ない他
受信者のメールアドレスが確認できる状態となった。
2009年
個人情報含む行政文書がWinny経由で流出。
5月28日 福岡県大牟田市の消防本部職員の私用パソコンから、個人情報含む行政文書など約
3000件がファイル共有ソフト「Winny」を介してインターネット上に流出していたことがわ
かった。
2007年
農林水産省の職員自宅から個人情報がWinny経由で流出していた。
4月11日 書類作成のためにデータを持ち帰ったが、作業後もそのまま削除せずに放置。
その後家族によってインストールされたWinnyを通じて、インターネット上へ流出したと
見られている。
12
©㈱マネジメントセンター
情報漏えいによる損害事例
ひとたび
情報漏えいを起こしてしまうと・・・
『私は知らなかった』
などは通用しません！
★金銭的な損害賠償
一人ひとりの金額は僅かですが、
多くの情報が一度に流出すると
総額は膨大になります！
★マイナスイメージ
情報を流出させた
「信用できない企業」として、
顧客や取引先が離れていく！
★役員の責任を追求
情報の流出が、「取締役の任務懈怠」
と判断されれば、株主代表訴訟など
取締役の責任が追及されます！
13
©㈱マネジメントセンター
なぜＩＳＭＳが必要か
I
S
M
S
の
導
入
■ ハードウェア、ソフトウェア、建物、
人のセキュリティ強化
■ セキュリティ管理体制の強化
セキュリティ
管理体制の
改善・強化
■ 情報漏えいへの対策（未然防止）
■ 不正アクセスへの組織的対応
■ システム破壊、事故対応力の向上
リスク低減
■ 官公庁・大手ITベンダーに対する
受注増大
■ 他社との差別化による受注増大
■ 対外的な信頼性向上による
ビジネスチャンス拡大
売上増加
14
©㈱マネジメントセンター
ISMS認証取得事業者数の推移
ISMS認証取得事業者数推移
２００９年５月２９日現在
出典：JIPDEC
15
登録：３１６０
©㈱マネジメントセンター
ISO27001とプライバシーマークの比較
項
目
ISMS適合性評価制度
プライバシーマーク制度
範
囲
組織の必要に応じて適用範囲を
決める(事業部・部・課単位等)
事業者（法人）単位
対
象
情報全体
個人情報（社員情報を含む）のみ
主
眼
リスクマネジメント
コンプライアンス
（個人情報保護）
管 理 策
133の管理策を提示
管理策の提示はなし
運営機関
JIPDECが審査機関を認定
審査機関が認証
Pマークの付与はJIPDEC
審査はJIPDECまたは指定機関
審査基準
ISO/IEC27001
JIS Q 15001
有効期間
有効期間：3年
サーベイランス：毎年
有効期間：2年
サーベイランス：なし
インセン
ティブ
認証取得ロゴマーク
の使用
Pマークの付与
16
©㈱マネジメントセンター
ISO27001とプライバシーマークの違い
個人情報の持ち主の
プライバシー権を保護する
組織内の保護すべき
情報資産を守る
プライバシーマーク
プライバシーマーク
個人情報の取得
個人情報の利用
ISO27001
ISO27001
個人情報の保管
情報資産
マニュアル
サーバ
データベース
17
個人情報
データベース
©㈱マネジメントセンター