ISO27001(あいえすおーにまんななせんいち)
ISO27001とは、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で制定した、情報セキュリティのマネジメントシステムに関する国際規格です。ISOは、スイスに本部を置く非営利法人で、世界におけるさまざまな標準を定めています。現在、世界162カ国がISOに加盟しています。一方IECは、ISOで扱っていない電気・電子技術の国際規格の策定を専門に行う機関です。2つの機関に定められたISO27001は、情報漏洩リスクが高まっている現代において、多くの企業で重要視されている国際規格になります。組織や企業において徹底して保護しなければならない情報の多くは、内部の個人情報や企業の顧客情報、契約情報、開発データなどの情報資産です。ISO27001では、組織や企業にまつわる情報のセキュリティ、管理方法、マネジメント方法を制定しています。ISO27001を取得することは、さまざまな情報資産を守り、有効に活用できている組織であると認められたことになります。
ISO27001を構築する際には、情報セキュリティの「機密性」「完全性」「可用性」の3つ要素をバランスよくマネジメントすることが重要視されます。「機密性」とは、許可された者だけがその情報にアクセスできる状態のことです。具体的には、IDやパスワードを駆使してパソコンへのログインや機密情報やデータの管理を行い、情報漏洩のリスク回避や防止します。「完全性」とは、情報が破壊や改ざん、消去されていない状態のことです。個人情報を狙ったサイバー攻撃では、情報の改ざんを行うケースがあります。情報が改ざんされて企業の信頼性を失うことのないよう、情報を管理することが重要です。たとえば、アクセス履歴を残すなどして利用者をコントロールし、正確な情報を維持するようにします。「可用性」とは、必要な者が必要な時にその情報にアクセスできる状態のことをいい、急なシステムダウンや天災など、予測できない事態に備えることが求められます。バックアップシステムの利用や二重システムなど、すぐに対応できる状態に整えておくことが必要です。組織や企業がこの3つの要素を維持し、かつ、リスクを適切に管理しているという信頼を外部の取引先などへ与えることがISO27001の掲げる目的のひとつになります。そのためISO27001では、情報セキュリティマネジメントをさまざまな面から見て管理運営することが求められるのです。
ISO27001は、情報資産を管理する仕組みを構築することを目的としているため、ハードウェアの管理には情報の損傷や妨害を防ぐための物理的セキュリティ対策をエリアごとにとることが必要になります。たとえば、特定エリアの入退室を制限するなど、人の出入りを記録して残す入退室管理システムがセキュリティ対策の基本としてあげられます。入退室管理システムは、情報の重要性とリスクを考慮した厳密な管理ができるため、ISO27001の構築に役立つシステムです。セキュリティエリアへの出入りには物理的な鍵を取り付ける方法がありますが、入退室管理システムを導入するとセキュリティが向上し、高度な管理が可能です。スマートロックは、個人のスマートフォンのアプリや社員証などのICカードで解施錠ができる認証システムで、鍵の紛失や盗難を防ぎ、物理的な鍵の受け渡しの手間が省けます。多くのスマートロックはオートロック機能が搭載されていて、鍵のかけ忘れの心配がありません。スマートロックの種類によっては専用のタブを携帯しているだけで、一定の距離に近づくと自動で解錠できるハンズフリータイプもあります。スマートロックはセキュリティエリアのリモート解錠や施錠、時間帯や曜日に応じた入退室の制限などの機能も備えていて、セキュリティ対策の向上が期待できます。また、外部システムと連携させて入退室のログを記録できるので、内部不正などのリスクにすぐに対応できます。スマートロックのような入退室管理システムは、出入口のセキュリティレベルが上がり、入退室管理も適切に行えるため、ISO27001の取得に役立ちます。
ISO27001の取得は、情報セキュリティマネジメントシステムの構築と運用が適切に行われていれば、比較的容易にISO27001認証を受けることが可能です。組織としてのセキュリティ向上の成果を判断されることもないため、自社で完結することもできます。ISO27001の構築には、情報セキュリティマネジメントシステムの専門的な知識や経験が必要になります。組織や企業においてISO27001の取得は義務ではありません。取得するかどうかは企業の自由意思で決定できます。しかし、ISO27001は現代の情報化社会の多様化により、セキュリティ強化のため需要が増加している規格です。機密情報を多く取り扱うビジネスにおいてISO27001の取得することは、情報を守れるセキュリティ対策のしっかりした企業という証明になります。取引先や顧客からの信頼性アップにつながります。
カギ舎のお役立ち情報サイト
電気錠・リーダー 情報サイト
電気錠・電子錠 情報サイト
