ISMS認証では、取得以降も運用と維持が求められます。運用と審査を通過するためのノウハウも大切ですが、最も重要になるのは情報漏洩やファイルの消失など、重大な事故を起こさないための対策です。この記事では、ISMSの認証を維持するために、クラウドストレージのセキュリティリスクをあらためて確認し、認証維持のために取り組むべきポイントを取り上げます。
ISMS認証は取得後に維持が必要
企業のセキュリティ対策は持続的に行うことが求められます。ISMS認証の更新期間は3年であり、更新審査の期間には維持審査(サーベイランス審査)を行う必要があります。維持審査は、更新の3年目までの間に6か月または1年に1回実施します。審査の周期は組織ごとに定めます。維持審査では登録審査のようにすべてを確認するわけではありませんが、トップや管理者から従業員まで審査員によるインタビュー形式で行われます。このとき問題が指摘された場合には改善が必要です。
更新審査もインタビュー形式で進行します。維持審査と更新審査のいずれの場合にも審査費用がかかり、依頼する審査機関のほか、業種や従業員数などによって費用は変動します。
ISMS認証が取り消しになるケースとは?
認証の取り消しになるケースとしては、まず情報漏洩などセキュリティインシデントによって不祥事が発生した場合です。その他、審査によって基準を満たしていないと判断される場合には、認証の一時停止や取り消しが行われることがあります。したがって、認証取り消しになる主なケースは次の3つになります。
- 不祥事の発生
- PDCAサイクルの問題
- 故意による虚偽の説明
認証が取り消されると、認証を条件としていた顧客との取引がなくなり、社会的な信頼を失うことになります。したがって、ISMSの基準を維持することが必要です。3つのそれぞれについて概略を解説していきましょう。
不祥事の発生
情報漏洩、機密情報のデータ紛失など、大規模な情報セキュリティに関するインシデントが発生した場合に、ISMSの認証が取り消しになります。内部告発によって問題が発覚し、大きな問題に拡大する場合もあります。ISOファミリーには品質管理の認証もありますが、データの改ざんが発覚して取り消しになったケースが少なくありません。ISMSでいえば、利用状況の証跡として残していたログを改ざんすることがないように注意が必要です。
PDCAサイクルの問題
ISMS認証は、策定した計画にしたがってPDCAサイクルを回すことが重要です。リスクアセスメントから適切なリスク対応を行うプロセスが重視されます。マネジメントレビューや監査を実施していない場合は、更新が取り消されます。維持審査で問題の指摘があったにも関わらず、改善がされていなかった場合にも更新ができません。運用にあたっては、セキュリティのパフォーマンスを監視、測定し、監査やマネジメントレビューで適切に評価し、問題は改善して維持に努めることが必要です。
故意による虚偽の説明
認証審査はインタビューで行われますが、文書と記録が事実と異なっている場合、審査員に対する回答や自主的な説明において事実とは異なる情報を回答した場合です。また、事実を知っていながら、しっかり説明しなかった場合も該当します。レアなケースですが、審査員に非協力的な態度を取り、質問に答えなかったことから審査が打ち切られる場合があります。審査にあたっては、全社的な協力が求められます。
クラウドストレージのセキュリティリスクを再確認
ISMSの認証が取り消されるケースについて解説しましたが、運用の徹底、審査への対応は組織で慎重に対応することにより回避できます。最大の問題は、情報漏洩などの重大な事故が発生した場合といえるでしょう。セキュリティのインシデントが拡大すると事業に影響を与え、最悪の場合は業績の悪化を招きます。ISMSの認証取り消しだけでは済まされない事態になります。ISMS認証の目的は、このような事故を起こさないためのセキュリティ強化にあることから、厳重に注意すべきです。
企業の重要な情報を保管するクラウドストレージの運用について、何に注意して対策をすべきか、あらためて3つに絞り込んで整理します。
サイバー攻撃
特定の社員を狙った標的型攻撃などサイバー攻撃は多様化し、新たな攻撃が発生しています。サイバー攻撃の目的は、情報漏洩による企業の信頼失墜や、情報の悪用にあります。運用しているサーバやストレージに脆弱性があると、大量の情報を流失させるリスクが高まります。堅牢な基盤で運営されているクラウドストレージの利用がおすすめです。
さらにクラウドストレージにアップロードするファイルのウイルスのチェック、通信の暗号化とファイルの暗号化が基本です。社員のセキュリティ意識を高めるとともに、システム上で防御できるように対策を行います。
情報漏洩
情報漏洩が発生する要因は、社員のモラル低下だけではありません。アカウントやパスワードの管理が徹底していないと、パスワードの使い回しによって情報漏洩のリスクが高まります。共有設定のミスにより、URLを知っている誰もがアクセスできる状態にしていたことから、大量の情報が流出することもあります。不要なアカウントは発行しないこと、退職者など不要なアカウントは削除すること、アカウントごとに権限を設定してアクセスできる情報を制限するなど、アクセス管理の徹底が重要です。
データの消失
クラウドストレージはバックアップに最適であり、BCP(事業継続計画)の目的のために活用できます。しかし、信頼して使い続けていたサービスが不測の事態によってサーバが停止する事態があると、業務が停止して大きな損害になりかねません。冗長化されていないバックアップは、ファイル消失のリスクもはらんでいます。また、従業員が操作を誤ってファイルを消してしまう可能性もあります。
あらゆるリスクを想定して、安定した稼働を保証されたサービスを利用するとともに、ヒューマンエラーを防ぐための対策が必要です。バックアップを自動化して定期的に行い、どの時点に復旧するかなど、運用面のルールをしっかり定めておきます。ISMSの維持審査や更新資産の機会に見直すとよいでしょう。
セキュリティリスクを回避して、ISMS認証を維持するために
社内の重要なデータを保管するクラウドストレージだからこそ、そのサービス自体がセキュリティリスクに耐えうる堅牢さを備えている必要があります。ISMSの維持審査や更新審査にあたって、社内のリスクアセスメントで作成した要件を満たしているかどうか、あらためてチェックする必要があります。
ウイルス対策、情報漏洩を未然に防ぐためのアクセス管理、セキュアな情報共有を可能にする機能のほか、クラウド自体の高可用性が求められます。また、監査のために利用者の必要なログを収集して、証跡を取ることも大切です。ISMSのPDCAサイクルを見直した上で、クラウドサービスのプロバイダが要求に応えているか、適切な評価を行います。
ISMS認証の維持に応えるFleekdrive
FleekdriveはISM認証済みのクラウドストレージです。国際認証規格であるISO/IEC 27001およびISO/IEC 27017の認証を取得しています。ファイルのアップロード時に自動的にウイルスチェックを行い、通信およびファイルが暗号化されています。また、きめ細かなアクセス管理が可能です。AWSの基盤で構築されているため、可用性の面でも安心してお使いいただけます。
セキュリティリスクを回避することにより、企業の生産的な活動に取り組むことが可能になります。データ活用をテーマとしたセミナーにもご参加ください。
セミナーページはこちら