知ってるようでよく知らないISMSって何？

こんにちは。
ISMS担当、柏木です。

いきなり、ISMS担当といわれてもなんだそれ？って感じだと思いますが。。

そもそもよく巷で聞くけど、ISMSってなんだ？？
と思っておられる方も多いのではと思いましたので、
今回はISMSのことを少しでも知ってもらおうと筆をとりました。

ISMSとは

まずは読み方から。
アイエスエムエス、イスムス
どっちもあります。

審査員の方は、アイエスエムエスと呼ばれる方が多い印象です。

そして、何の略か。
Information Security Management System
(情報 セキュリティ マネジメント システム)

正式名称となると、なんとなくどんなものか見えてきますね。

情報 の セキュリティをマネジメント（管理）
するためのシステム(仕組み) のことなんですね。

実にわかりやすい。

つまり、「 ISMSを取得している企業 」というのは、

情報のセキュリティを管理するための仕組みやルールをちゃんと作ってますよ！
きちんと作った仕組みやルールに則って運用してますよ！

ということが、審査会社様によって認められている企業ということです。

じゃあ、取得してしまえば一生効力があるのか？
と言われると、そんなことはありません。

審査会社様による定期的な審査によって、作られたシステムが問題なく維持されているか、
きちんと見直しがなされているかを確認して頂きます。

問題があれば取り下げられますが、基本的には、
「一度作ったISMS」をより良いものにするための処置となります。

都度見直しをかけていき、よりよいシステムにしていくことで、
より安心してご利用いただけるような企業へと進化していくのです。

さて、ISMSの概要はだいたい伝わったのではないかと思うのですが。。

具体的にどのような活動をしているかというと、
ISMSの基本的、且つ主な活動は、「リスク」と「脅威」と「脆弱性」との戦いになります。

ISMSは、「リスク」と「脅威」と「脆弱性」との戦い

ISMS を実践するからには避けて通れない、「リスク」と「脅威」と「脆弱性」との戦い。
これをなくして、ISMS を語ることはできません。

「ISMSとは」で、「仕組みやルールを作ってますよ！」と言いました。

では、何のために仕組みやルールを作るのか。
いろいろ理由はありますが、大きな理由は以下の3つです。
そこに「リスク」とその「脅威」、「脆弱性」があるからです。

難しい言葉がでてきました。

「リスク」「脅威」「脆弱性」

それぞれ説明していきます。

「リスク」とは

ここで言う「リスク」とは、
損害や影響を発生させる可能性のことを言います。
あくまで可能性なんですよね。

例えば、今好んで履いている靴は少しくたびれているため、蹴躓く可能性がある
この先も靴を例に出していきます。

この可能性が、「リスク」です。

「脅威」とは

脅威は、「リスク」が起こり得る「要因」のことをいいます。

靴の例でいくと、「履いている靴は少しくたびれているため」の部分。

この要素が「脅威」となります。

「脆弱性」とは

脆弱性は、「脅威」となり得る、「弱さ」のことを指します。

靴の例でいくと、「好んで履いている」という部分。

悪意の有る、無しにかかわらず、「脅威」となり得る部分を許容している「弱さ」が「脆弱性」となります。

これらに対応するために、仕組みやルールを作ります。

ISMS だけの話だけではないかもしれませんが、この「リスク」を洗い出し、
未然に防ぐ、または最低限の被害にとどめることを念頭に活動が行われます。

靴の例で行くと、対策は様々あると思います。

1. くたびれた靴を修理する (脅威に対する改善)
2. 靴がくたびれていないか、定期的に確認の上、くたびれている場合は修理する (脅威に対する予防)
3. くたびれた靴は、危ないものだという認識を与える（脆弱性への対処）

等、やり方は様々です。

まとめると、損害や影響が起き得る可能性がある「要因」や「弱点」に、
対応するための仕組みやルールを作る、ということです。

そして、これら「リスク」等に対応することを、
一言で「リスクマネジメント」といったりします。

まとめ

長々と説明しましたが、ただ単に「ISMSを取得しているから安心」なのではなくて、
ISMS という仕組みを利用して、長々と説明したような活動を日々実施しているから、
ビヨンドって信頼できる会社なんだと思っていただけるよう、引き続き精進して行く所存でございます。