情報漏洩のリスクを回避するために、ISMS認証では文書管理の徹底が求められています。しかし、社内に保管された大量の文書管理には手間も時間もかかります。クラウドストレージを活用すると、セキュアな環境で文書管理の効率化が可能です。この記事では、ISMSで求められる文書管理の概要とともに、クラウドストレージ活用のメリットを取り上げます。
文書管理とセキュリティ
会社には契約書、マニュアル、営業資料など、さまざまな紙の文書があります。個人情報や機密情報に関するプリントアウトした書類はキャビネットに保管する必要があります。紙の書類以外にも、社員のPCやタブレットなどの端末上に保存された文書、サーバで共有した文書などが存在します。ISOで定める文書は紙やデータなど形式を問いません。文書管理として必要な時と場所において使える状態にあり、十分に保護されていることが要求されます。保護とは、機密性、完全性が保持されることを指します。
ではISMS認証取得を目指すにあたって、文書管理では、どのようなことに注意すればよいのでしょうか。
ISMSで求められる物理的管理と技術的管理
ISMSでは、組織的管理や人的管理のほか、物理的管理と技術的管理の2つの側面からセキュリティで注意すべきことを挙げています。この2つの側面から、文書管理の要点をまとめます。
物理的管理:不正利用を防ぐ障壁の設定と記録
不正侵入と文書の不正利用を防ぐため、社外から社内の入口、文書を管理する場所、サーバルームなどには物理的な障壁を設けることが必要です。オートロックを設置、カードや生体認証などで入退室を記録します。室内はパーテーションで区切り、窓にはすりガラスやブラインドによって外部から見えないようにします。PCに関しては電磁遮蔽(テンペスト対策)も必要になります。利用しなくなったハードディスクやSSDなどの装置の処理にも適切な処理が求められます。
技術的管理:アクセス制御とログの記録
BYOD(個人所有の端末)を含めて、ソフトウェアのインストールを制限するなど、ユーザが扱うエンドポイントの機器の管理を行います。アクセス制御の方針にしたがって、管理者などには特権IDを付与します。データマスキングなどを行い、情報を識別できないようにすることが重要です。ログを取得し、監視を行います。データは定期的にバックアップを行い、消失を防ぎます。そのほかにもネットワークを物理的、論理的に分離を行うことが求められます。開発環境においても注意が必要です。
印刷物や記録媒体の文書を社内で管理するときのリスク
ISMSの認証を取得するためには、物理的管理と技術的管理の観点から、要求されている基準にしたがって管理しなければなりません。紙に印刷された文書は、持ち出しを厳重に制限する必要があります。社内の機器で簡単にコピーして、鞄に入れて持ち帰ってしまうリスクがあるからです。
印刷物や記録メディアは物理的なスペースを必要とするため、定期的に処分が必要です。このとき外部の業者に処分を委託することもできますが、廃棄扱いの資料から情報漏洩が発生する可能性があります。運用管理が煩雑であることから、うっかり重要な書類をそのまま捨ててしまうミスなども発生しがちです。「社内で管理していれば大丈夫」という油断は禁物です。情報漏洩のリスクがあることを認識する必要があります。
クラウドストレージによる文書管理のメリット
クラウドストレージによる文書管理は、社内で印刷物や記録メディアの文書管理を行うときのリスク回避の対策になります。社内の物理的な隔離を徹底しても、人的な管理に依存していると不正が発生する可能性があります。情報漏洩の対策を強化するには、システムの機能でアクセス管理を行うことが重要です。
クラウドストレージで文書管理を行うことにより、キャビネットなど物理的なスペース、施錠、閲覧の記録といった煩雑な管理が不要になります。検索性に優れていることもメリットです。「AND、NOT、OR」のような複合検索、必要なファイルを探し出すことができます。タグによる分類も検索性を高めることができます。効率化のメリットを踏まえた上で、セキュリティの側面におけるクラウドストレージを利用した文書管理の3つのメリットを挙げます。
安全な共有
たとえば外部パートナーと文書を共有する場合、メールにファイルを添付して送信する方法はセキュリティ上では必ずしも安心とはいえません。クラウドストレージの専用URLからダウンロードしてもらい、IPによってアクセスを制限することで、安全な共有を実現できます。外部パートナーとの共有が問題ないファイルはクラウドストレージ上で管理、機密性の高いファイルは社内サーバで管理など、利用範囲を明確に分離してリスクを回避する方法も検討すべきでしょう。
アクセス管理による持ち出しの制限
クラウドストレージでは、ファイルやフォルダのアクセス権限をきめ細かに設定することが可能です。必要なユーザだけ文書を利用できるように制限し、重要な文書の外部漏洩を防ぎます。紙の文書の場合には閲覧や持ち出しの記録が煩雑ですが、PDFを印刷したときには印刷した日時、利用者の名前、透かしなどを自動的に挿入できます。
バックアップ
バックアップは、BCP(事業継続計画)など持続的なビジネスのために重要な要素です。インシデントの発生時はもちろん、文書の紛失や盗難、社員が誤って文書を消去した場合などのリスク回避に役立ちます。クラウドストレージにバックアップすることで、必要な状態に文書の復元が可能になります。
証跡の記録
文書の不正利用を防ぐために、証跡を取ることができます。法律によって求めるログの保存期間は異なりますが、1年間程度は保存しておくことが望ましいでしょう。ログインからログアウトまでファイルの利用状況の監視と追跡が可能になり、不正防止に役立ちます。
記録されたログを管理するには、オンライン保管とオフライン保管の方法があります。オンラインの場合は、自動化することにより管理負荷を軽減できます。オフラインは紙に印刷された状態で保存する場合になりますが、改ざんできないように完全性を保ことが重要です。
ISMS認証のための文書化した情報も管理が必要
ISMS認証の取得に際しては、ISMS関連の文書管理も必要です。ISO/IEC 27001では、「文書化された情報」として文書と記録の2つを定めています。文書とは認証のために整備した業務手順などで、改善にしたがって改訂されます。一方、トランザクションログや監査ログなどの記録は、改訂できません。文書は体系化して、文書番号と様式番号を付与して管理します。適切なレビューと承認を得て策定します。通常の文書管理とともに、ISMS認証関連の文書管理についても確認しておくことが大切です。
ISMS認証を目指すならFleekdriveで文書管理をしよう
紙の書類による煩雑な文書管理は、デジタル化することで効率化できます。クラウドストレージの活用は、文書管理の負荷を減らすだけではなく、セキュリティ強化の側面からも検討すべきです。ISMS認証の取得を目指すのであれば、クラウドストレージの堅牢性をチェックして、信頼できる外部サービスの利用をおすすめします。
FleekdriveはISMS取得済みのクラウドストレージであり、アクセス管理など高度なセキュリティ機能を備えています。文書管理の機能についてはWebサイトをご覧ください。
文書管理についての詳細はこちら