2013年7月12日金曜日

本気でセキュリティを考えたい人のためのISMS取得3つのポイント

  • このエントリーをはてなブックマークに追加


Googleグループ利用による情報漏えい問題がニュースになっていますが、このような事故を防ぐにはどのようにすればいいのでしょうか?

適切なツールを導入して利用することはもちろん大事ですが、それを使う側の教育や利用するためのルール作りができていないと、安全とはいえません。

そのような問題を解決するために役立つ「ISMS」というものをご存知でしょうか?



ISMSとは「Information Security Management System」の略で、日本語にすると「情報セキュリティマネジメントシステム」になります。

詳しくはこちらをご覧いただきたいのですが、簡単にまとめると「データの暗号化やパスワード管理など、個別のセキュリティ対策ができているだけではなく、その組織内で必要なセキュリティルールを作ってそれをしっかり運用させること」です。

このISMSの適合性を審査する機関があり、申請が受理されれればISMS認証を取得することが可能になります。

先日ChatWork社は約1年かけてこのISMS認証を取得しました。
そこでセキュリティ対策について興味がある方へ向けて、そのメリットと取得のポイント等についてご紹介したいと思います!



ISMS認証取得のメリット


情報セキュリティレベルの向上
適切なセキュリティツールが導入されるだけでなく、ルール作りとその周知により全社員のセキュリティスキルが向上し、事故を未然に防ぐ事が可能になります。
また、しっかりとした仕組みが出来上がるので、一時的ではなく継続的な効果が生まれます。

顧客からの信用の向上
第三者機関から認証を取得しているということで、顧客からの信用向上が見込めます。
また、他社との差別化にもなるので、交渉等において自社を有利に持っていきやすくなります。



ISMS認証取得の3つのポイント

1. クラウド時代のセキュリティ対策を考える
今はクラウドサービスを使うのが当たり前の時代。 データをパソコンの中だけでなく、様々なクラウドサービス上に置くということも考慮しなければなりません。

また、インターネットにつながれば会社にいなくても仕事ができるので、パソコンやタブレットの持ち出しについても考える必要があります。

ChatWork社の場合、Google2段階認証の導入やスマートフォン紛失時のデータ遠隔消去の方法を定める等の施策を実施しています。

2. セキュリティと利便性のバランスを取る
「クラウドサービスの利用禁止」「パソコンの持ち出し禁止」等のルールを定めれば、セキュリティレベルは向上しますが、利便性が大きく損なわれてしまいます。

そうならないために、セキュリティと利便性どちらも適度に保てるようなバランスを考えてルールを作ることが必要となります。

バランスは会社によっても異なりますが、何かを完全に禁止するのではなく、リスクを減らすための仕組み作りや万が一に備えてのルール作りをすることで、あるバランスを保つことが可能です。

3. 専門家にコンサルティングを依頼する
多くの人にとってISMS取得ははじめての経験になるかと思います。
そんな時に担当者が一から情報を集めて実施するのは大きな負担がかかりますし、不安もつきまといます。

専門家にコンサルティングを依頼することで、費用はかかりますが担当者の負担を大きく軽減することが可能です。



ISMS取得の流れ

1. コンサルティング契約
ChatWork社はLRM株式会社とコンサルティング契約を結びました。
LRMさんはIT活用にも積極的で、普段のやりとりはGoogleドキュメントとチャットワークを利用し、スピーディーに問題解決をすることができました。

また、社内規程文書など申請や運用に必要な書類を作成していただき、担当者の負担を大きく削減することもできました。

2. ルール策定と社員教育
まず、リスクを見つけ出してその大きさや影響度を把握し、適切な対策をする「リスクアセスメント」が必要になります。

LRMさんと打ち合わせを行いながら、情報資産の洗い出しやリスク分析などを行い、ChatWork社に合ったセキュリティ対策を決めていきました。

情報資産の洗い出しは、見落としていたリスクの発見につながる特に重要な項目です。

そしてルールが定まったら、それを全社員に周知します。
全員を一箇所に集めて教育するのも大変なので、チャットワークのタスク機能を活用しました。

※タスクのサンプル
分かりやすく、読んでもらいやすいように工夫するのがコツです。



内容をしっかり読んで理解できたらタスク終了とします。
もし疑問点があれば、あらかじめチャットワーク上に作っておいた「ISMSチャット」というグループチャット上で質問して解決します。

全員がタスクを完了したら、ISMS取得担当者が直接会ってチェックします。
チャットで情報共有しつつも、最後はやはり対面で確認することが重要です。

3. 認証機関による審査
ISMS認証機関の方が会社へ訪問され、文書の確認を担当者と一緒におこないます。
その後、ルールが浸透しているか社員に直接ヒアリングをおこないます。

それを無事にクリアすれば、認証取得となります。 ホームページや名刺にISMS取得企業であることを記載しましょう。

チャットワークのセキュリティについて



ChatWork社のデータ管理

ファイル管理
以前はDropboxやSugarSyncなど様々なサービスでファイルを管理していたのですが、Googleドライブとチャットワークだけに限定しました。

Googleドライブには何度も見直すようなストック型の資料、チャットワークには一時的な共有のために使うフロー型の資料を主に置いています。

サービスを絞ることで運用がシンプルになり、セキュリティリスクも低くなります。

ウイルス対策
すべてのパソコンにウイルス対策ソフトをインストールするのは当たり前ですが、どのソフトをインストールするかも重要です。

ChatWork社では過去にほぼ全てのウイルス対策ソフトを検証し、ウイルス検出率が高く、動作が軽快でパソコンに負担をかけないESET Smart Securityを利用しています。

また、1週間に1回定期ウイルススキャンを実行するように設定することをルール化しています。

ハードディスク暗号化
ChatWork社では全社的にMacを導入していますが、そのハードディスクの暗号化をするためにFile Vaultの設定をルール化しています。

Macに標準でインストールされている機能で、導入は簡単です。

パスワード管理
同じパスワードで複数のツールを使っていたり、極端にシンプルなパスワードを使っていると、セキュリティリスクが高まってしまいます。
かといって複雑なパスワードを複数覚えておくのも大変です。

そこで役立つのが複数のパスワードを管理できるツールで、 ChatWork社では1Passwordを利用しています。

他にも様々なツールがありますが、パスワードデータをクラウド上で管理するツールはハッキングされて情報が漏えいしてしまうリスクもあるので注意が必要です。

また、定期的にパスワードを変えることも重要で、ChatWork社では3ヶ月に1回の割合で実施しています。





いくら高度なセキュリティシステムが導入されていたとしても、利用する側のセキュリティ意識が低かったり、ルールが浸透されていなかったら無意味になってしまいます。

ぜひISMS認証取得を通じて、皆様の会社のセキュリティレベルを向上させてみてはいかがでしょうか?

この記事がそのお役に立てれば幸いです。
  • このエントリーをはてなブックマークに追加

チャットワークご存知ですか?

チャットワークは、業務の効率化と会社の成長を目的とした、メール・電話・会議に代わるコミュニケーションツールです。

このブログでは、チャットワークの便利な使い方から、お得なキャンペーンやイベントまで、旬の情報を発信しています。

ChatWorkを試してみる