企業の広告などで「ISO9001」「ISO14001」といった文字を見かけることがあります。これらはそれぞれ、品質マネジメントシステム、環境マネジメントシステムを表す言葉です。また、本コースのテーマである「ISMS」や「ISO/IEC 27001」は、情報セキュリティマネジメントシステムを表す言葉です。これらに共通するマネジメントシステムとは一体何なのでしょうか?
この章では、マネジメントシステムとは何かを解説します。特に本コースのテーマであるISMSについては、関連する規格や制度についても解説します。
1.1 マネジメントシステムとは
マネジメントシステムは、コンピューターシステムやネットワークシステムのような具体的な「もの」を指すのではなく、組織や会社経営などの管理の仕組みのことです。したがって、「組織体制と組織運営」といってもよいかもしれません。
マネジメントシステムを利用して組織全体で統一方針に基づき体制を作り、ルールを定め、やるべきことを明確にし、運用し、実行状況を確認し、見直しを行います。結果として、その時にやるべきことができている状態が維持されることになります。
このように自律的に体制を維持・改善するためには、組織全体で取り組まなければなりません。マネジメントシステムは経営者や一部の担当者だけがかかわるのではなく、組織のすべての人が仕組みづくりに参加する必要があるのです。
代表的なマネジメントシステムには、以下のものがあります。
品質マネジメントシステム(QMS)
環境マネジメントシステム(EMS)
情報セキュリティマネジメントシステム(ISMS)
1.1.1 品質マネジメントシステム(QMS)
マネジメントシステムの中で最も有名なものが品質マネジメントシステム(QMS:Quality Management System)ではないでしょうか。
品質マネジメントシステムは、組織が品質管理・品質保証・品質確保に取り組むための体制とその運営システムのことです。品質を確保することによって、顧客・消費者の信頼性や満足度を高めることができます。
企業の広告などに「ISO9001認証取得」と書かれている場合がありますが、これはその企業の品質マネジメントシステムがISO9001規格に沿って作られており、審査機関がそれを認めたことを示しています。ISO9001は、組織が品質管理・品質保証の体制(マネジメントシステム)を作るための国際的な規格で、お手本となるものです。このようにマネジメントシステムには国際的な規格があり、その規格に沿ってマネジメントシステムが作られ運営されているかを審査し認める「認証制度」が存在する場合があります。認証を受けると、その組織の品質マネジメントシステムが第三者に認められたということになり、品質確保に取り組む姿勢をアピールできます。
1.1.2 環境マネジメントシステム(EMS)
環境マネジメントシステム(EMS:Environmental Management System)は、組織の活動や、組織が生産する製品、組織が行うサービスが、環境に対して出来るだけ負荷をかけないような体制・仕組みのことです。
地球温暖化問題やゴミの増加問題などをきっかけとして、社会的に環境問題に対する意識が高まっています。企業もただ単に利益を追求するだけではなく、環境にやさしい商品・サービスを提供し、環境にやさしい企業であることが求められるようになってきました。また環境問題に取り組むことは、省資源・省エネルギーにもつながり、経費節減にもつながります。環境マネジメントシステムは、このような要求に応えるために導入されています。
環境マネジメントシステムの国際規格はIS014001で、認証制度も整備されています。ISO14001の認証取得をした組織は、環境に対して真摯に取り組んでいることをアピールすることができます。
1.1.3 情報セキュリティマネジメントシステム(ISMS)
今回皆さんが取り組むのは、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)です。
近年、インターネットの普及に伴い、情報セキュリティへの関心が高まっています。インターネットは誰でも自由に使えて便利なネットワークですが、一方で危険性が伴います。新聞やテレビでは、インターネットを経由したウイルスの蔓延や不正アクセス、情報の流出などがニュースになっています。
企業情報や個人情報の流出などのセキュリティ事故は、企業にとって社会的な信頼を落とすことになってしまいます。したがって企業は、自分たちが保有する情報をどのようにして守るかを真剣に考えなければなりません。単に、パソコンにウイルス対策ソフトを入れるだけではセキュリティ対策は不十分であり、組織的に情報セキュリティに取り組む必要があります。
そこで、情報セキュリティを確保するためのマネジメントシステムが必要となります。ISMSを構築することで、組織全体で体系化された総合的な情報セキュリティへの取り組みが可能となります。
ISMSの国際規格はISO/IEC 27001で、認証制度も整備されています。
情報セキュリティに関する事件・事故が多発しています。そのため、多くの組織では情報セキュリティを対象としたマネジメントシステムであるISMSを構築することで組織全体で体系化された総合的な情報セキュリティへの取り組みを強化しています。
このISMSを基準に照らして適合しているかどうか審査・登録する仕組みとしてISMS適合性評価制度があります。
この章では、実際に起きたセキュリティ事件・事故を取り上げ、それらを未然に防ぐ仕組みであるISMS適合性評価制度について解説します。
2.1 多発するセキュリティ事件・事故
ここ数年、パソコンへのウイルス対策ソフトの導入やファイアウォールの導入などの情報セキュリティに対する取り組みは、以前に比べ進んでいますが、それでもコンピューターウイルスの感染、サーバーへの不正アクセス、情報漏えいなどの情報セキュリティに関連する事件・事故が後を絶ちません。
ここでは、2015年末までに発生した主な情報セキュリティに関する事件・事故を取り上げます。
これらの事件・事故は、ISMSを導入していれば防げたかもしれません。中にはISMSを導入していたにもかかわらず事件・事故を引き起こした企業があるかもしれません。そういった企業は、ISMSの体制・運用が不十分だったということでISMSを見直し、よりよいものにしていく必要があります。情報セキュリティに関連する事件・事故をなくすにはISMSは有効な手段なのです。
2.1.1 標的型攻撃による情報漏えい事件
2015年は、「標的型攻撃」による情報漏えい事件が多発しました。
「標的型攻撃」とは「特定の組織や個人」を対象として行われるサイバー攻撃の一種です。
以下は、2015年12月までに発生した主な「標的型攻撃」による事件です。
標的 事件の概要
日本年金機構 2015年6月、日本年金機構職員の端末が標的型攻撃を受け、約125万件の年金情報が外部に流出した。流出したのは年金記録を管理するため一人一人に割り当てられている基礎年金番号と氏名の計約125万件。このうち約116万7千件に生年月日、約5万2千件には住所と生年月日が含まれていた。
某経済団体 2015年6月、某経済団体が使用するPCがマルウェアに感染、情報が漏えいした可能性があることが発覚した。2015年5月にJPCERT/CCが同団体のPCから不審な信号が出ていることを指摘し、調査を行ったことにより発覚した。メールに添付されたファイルを開封したことが原因と考えられている。
某自治体 2015年6月、某自治体のネットワーク内のPC3台でマルウェア感染が判明、同PCを踏み台として不正アクセスされた形跡が確認された。標的型攻撃とみられる。
某鉄道会社 2015年8月、某鉄道会社において顧客を装った標的型攻撃メールによりPCがマルウェアに感染、外部のサーバに不審な通信を行っていたことが発覚した。個人情報を含む情報の流出は確認されていないが流出する可能性がある状態だった。
(2015年12月末までに発生した主な事件)
2.1.2 不正アクセス事件
不正アクセスは、「企業や個人の情報を盗む」、「Webサイトを改ざんする」、「コンピューターウイルスを拡散させる」といったようにさまざまな目的で行われます。そのほとんどが、セキュリティ対策の不備を突いたものです。万が一、不正アクセスが行われてしまうと、その会社の信用そのものが問われる事態となります。
以下は、2015年12月までに発生した主な不正アクセス事件です。
不正アクセスによる
被害の種類 事件の概要
情報漏えい 2015年2月、某新聞子会社が不正アクセスを受け、情報漏えいした可能性があると発表した。2015年2月にシステムが起動できない事象が発生したため、調査したところ不正アクセスが発覚した。購読申し込みをした個人の情報約5万3千件が漏えいした可能性がある。
情報漏えい 2015年5月、某協会の会員専用ページが不正アクセスされ、会員情報が漏えいした。国際的な抗議集団である「Anonymous」を名乗る何者かが盗んだとみられる。流出情報は外部のサイトに掲載されたが、そのサイトには、水族館でイルカやシャチを展示することなどに抗議する内容が記されていた。
情報漏えい 2015年9月、某印刷業社が不正アクセスを受け業務を受託する17社の顧客情報26万7,000件が流出した可能性がある。不正アクセスは2012年5月から2015年8月まで行われていた形跡があった。
迷惑メールの踏み台 2015年12月、某女子大のメールサーバが不正アクセスされ、約3万9,000通の迷惑メール送信に悪用されていたことが発覚した。
(2015年12月末までに発生した主な事件)
2.1.3 誤送信(メール・FAX)による情報漏えい事件
メールやFAXは誰でも簡単に情報を送信することができますが、誤送信も少なくありません。そのため、送信する際には十分注意をする必要があります。
以下は、2015年12月までに発生した主な誤送信(メール・FAX)による情報漏えい事件です。
流出した情報 事件の概要
248件の個人情報(氏名、住所、電話番号、メールアドレス、購入金額、購入点数、来店動機など) 2015年7月、某家具製造販売事業者が顧客向けに配信したメールに顧客情報248件を記載したファイルを誤って添付したため漏えいした。
1,116件のメールアドレス 2015年7月、某不動産事業者が不動産情報の案内メールを送信した際、メールアドレスを宛先に指定したため、受信者間でメールアドレスが閲覧できる状態となり漏えいした。
3万7,006件のメールアドレス 2015年8月、某イベント企画会社の委託先のメールマガジン配信システムに障害が発生し、配信先のメールアドレスが表示される状態となり、最大で3万7,006件のメールアドレスが漏えいした。
1,256件のメールアドレス 2015年11月、某スポーツ事業団がメールマガジンを配信する際に、配信希望者のメールアドレス1,256件を記載したファイルを誤って添付したため、メールアドレスが漏えいした。
1,891人の個人情報 2015年12月、某自治体において、ふるさと納税申込者の個人情報を含む業務ファイルがふるさと納税者8名に誤ってメール送信された。同ファイルには1,891人の個人情報が記載されていた。
(2015年12月末までに発生した主な事件)
2.1.4 媒体紛失・盗難による情報漏えい事件
仕事でノートPCや携帯電話、USBメモリなどの記憶媒体を使う機会が増えています。
しかし、これらには用途によってさまざまな情報が格納されるため、いったん紛失するとその情報は外部に流出する可能性があります。
紛失しないよう細心の注意をすることも必要ですが、万が一の紛失に備えて暗号化を施すなどの対策が重要です。また、場合によっては使用を禁止することも必要です。
以下は、2015年12月までに発生した主なノートPC、携帯電話、記憶媒体等の紛失による情報漏えい事件です。
流出した可能性のある情報 媒体 事件の概要
11万4,400人分の診療情報 ハードディスク 2015年7月、某病院において診療情報が保存されたハードディスクが盗難にあった。ハードディスク内には、11万4,400人分の診療情報が保存されていた。後日、同病院勤務の職員が盗んだ容疑で逮捕された。
入院患者186人の氏名、住所、生年月日、入院年月日、家族の氏名 USBメモリ 2015年10月、某病院において入院患者の個人情報が保存されたUSBメモリの紛失が明らかになった。
6万2,308人分の学生および保証人の個人情報
学生は氏名、住所、電話番号、生年月日、所属、学籍情報など
保証人は氏名、住所、電話番号など USBメモリ 2015年12月、某大学において、学生や保証人の個人情報合わせて6万2,308人分が格納されていたUSBメモリが所在不明となった。
学生345人分の氏名や学籍番号、出席状況、課題提出状況など ノートPC3台 2015年12月、某大学の准教授のノートPC3台が盗難にあった。同PC内には某大学のほかに、准教授が非常勤講師として勤める複数の大学の学生に関する個人情報が含まれていた。
(2015年12月末までに発生した主な事件)
2.2 ISMS適合性評価制度とは
ここ数年、セキュリティに対する意識は向上しているものの、相変わらずセキュリティに関する事件・事故が後を絶ちません。
そこで、ISMSを構築し、組織全体で体系化された総合的な情報セキュリティへの取り組みを進める組織が増えてきました。ただし、各組織が好き勝手にISMSを構築してもひとりよがりのISMSになりかねないため、信頼できる第三者機関による認証制度の利用が重要です。ISMSの認証制度にはISMS適合性評価制度があります。
ISMS適合性評価制度では、基準に照らして、組織が構築したISMSが適合しているかどうかを信頼出来る第三者機関が審査します。第三者機関は、適合しているかを審査し登録する「認証機関」、審査員の資格を付与する「要員認証機関」、これら各機関がその業務を行う能力を備えているかをみる「認定機関」から構成されます。なお、審査員になるために必要な研修を実施する「審査員研修機関」は要員認証機関が承認します。
組織が構築したISMSが適合しているかどうかを判断する基準がJIS Q 27001です。JIS Q 27001は、ISMSの国際規格であるISO/IEC27001の意味を違えることなく翻訳したものです。当初、ISMS適合性評価制度ではISMS認証基準と呼ばれる日本独自の規格を認証基準としていたため、厳密には国際規格に適合しているとは言えない状況でした。しかし、ISO/IEC 27001制定にともない、認証基準がJIS Q 27001に移行され、国際規格に適合することになったのです。
ISO/IEC 27001は、ISO/IEC 27000ファミリー規格の一つです。その他のISO/IEC 27000ファミリー規格は、ISO/IEC 27001を補完する役割を担っています。中でも、ISO/IEC 27002は情報セキュリティマネジメントの行動規範として有名です。ISO/IEC27001同様、日本語に翻訳されたJIS Q 27002があります。
2.2.1 ISO/IEC 27001:2013
第1章で説明したように、ISMS(情報セキュリティマネジメントシステム)とは、情報セキュリティ対策を行うために、組織全体が統一方針に基づき、体制を作り、ルールを定め、やるべきことを明確にし、運用し、実行状況を確認し、見直す仕組み全体を指します。
ISMSの構築にあたっては、規格等の考え方に基づいて、何をどう守るのか、どんな取り組みが必要かを考えていくことが効率的です。そこで、ISO/IEC 27001のような規格を活用し、構築していきます。
ISO/IEC 27001規格をもとにISMSを構築し、審査機関の審査に合格すれば「ISMS認証」を取得することができます。ちなみに、認証は一度取ったら終わりではありません。適切に運用し、継続的な改善を行って、毎年審査機関の維持審査に合格する必要があります。
ISO/IEC 27001規格は、認証を取得する企業だけでなく、各省庁や業界団体のガイドライン等、一般的な組織すべてに共通する情報セキュリティのよりどころとなっています。
ISO/IEC 27001は2005年に第1版が作成され、2013年10月に改定された第2版に置き換えられました。これらはそれぞれISO/IEC 27001:2005、ISO/IEC 27001:2013と表記します。
2.2.2 旧規格との違い
2013年10月、ISMSの規格であるISO/IEC 27001:2005が改定されISO/IEC 27001:2013となりました。
ISO/IEC 27001:2013は、ISO/IEC 27001:2005の基本的な取り組みを変更するものではなく、2005年以降のISO規格の変化、動向に対応したものです。他のISO規格でも進められているマネジメントシステム規格の共通化に合わせるとともに、全体的に強化・明確化が行われています。
なお2014年3月には、ISO/IEC 27001:2013の意味を違えず翻訳したJIS規格JIS Q 27001:2014が一般財団法人 日本規格協会より発行されています。
2.2.3 認証取得のメリット
JIS Q 27001(ISO/IEC 27001)規格の要求事項を満たし、審査機関の審査に合格すると「ISMS認証を取得した」ということができます。認証を取得すると、以下のようなメリットがあります。
①取引条件のクリアや信頼性による他社との差異化
②バランスの取れたセキュリティ対策の実施
③組織全体のセキュリティ意識の共有
①取引条件のクリアや信頼性による他社との差異化
ISMS認証は、他認定の取得条件や入札、電子商取引への参加などの取引条件となるケースが増えています。取引条件ではなくとも、情報セキュリティへの取り組みが第三者から認められていることで、取引先等の信用を得ることもできます。競合相手が認証を取得していなければ、情報セキュリティに対する考え方の違いを強調することによって、商談を有利に進めることが出来るかもしれません。
入札条件にしている組織 案件
財団法人地方自治情報センター ISMS運用維持等に係る業務委託
環境省 平成25年度自主参加型国内排出量取引運営事業委託業務
日本中央競馬会 平成25年 電話・インターネット投票会員向け有馬記念・年末キャンペーン業務
株式会社国際協力銀行 リスク管理関連システム運営支援及び改善支援に係る業務委託
佐倉市 平成26年度市民税・県民税申告書等帳票類印刷製本
特許庁 人事異動及びレイアウト変更等に伴う業務用パソコン等の移設等作業
(2013年12月までに公開されたものの一部)
②バランスの取れたセキュリティ対策の実施
情報セキュリティは、仕事をする上で情報を扱うすべてのフロアや書類やパソコン・データの取り扱い等に関係してきます。 個別に対策を考えていくと、どこから始めればよいのか、どこまでやればよいのかが分かりません。情報セキュリティを守る壁は、堤防と同じようなものです。一カ所だけ高く作っても他が低ければ、意味がありません。一カ所でも決壊すれば、そこから水がもれてしまいます。
そこで、組織全体で仕組みを作ることで、やるべきことを明確にし、バランスよく効果的なセキュリティ対策を講じることができます。
③組織全体のセキュリティ意識の共有
認証を取得すれば、取引先への紹介資料、インターネット上の会社概要、採用案内、従業員が持つ名刺等で対外的にアピールすることができます。
情報セキュリティに取り組むための意識付けとして、ホームページなどに「○○年度に認証取得予定!」と宣言している企業もあるようです。
2.2.4 ISMS適合性評価制度とPマーク制度の違い
ISMS適合性評価制度もプライバシーマーク制度(Pマーク制度)もマネジメントシステムに対する制度ですが、両者には違いがあります。
2005年4月に個人情報保護法が完全施行されました。それに伴い注目されている制度が「プライバシーマーク制度」です。プライバシーマーク制度は、JIS Q 15001(個人情報保護マネジメントシステム-要求事項)に適合して、個人情報の取り扱いに対して適切な保護措置を講ずる体制を整備している業者を認定する制度です。
ISMS適合性評価制度 プライバシーマーク制度
準拠する規格 JIS Q 27001
(ISO/IEC 27001) JIS Q 15001
対象となる資産 すべての資産 個人情報
適用対象範囲 取得組織が決定(全社、支社、部門、サービスなど) 基本的に事業者単位
ISMSは組織のすべての資産が対象となり、その一つとして個人情報を含みます。すべての資産とは、データベース・データファイルなどの「情報資産」、業務用ソフトウェア・システムソフトウェアなどの「ソフトウェア資産」、コンピューター・ネットワーク機器などの「物理的資産」、空調設備・電源設備などの「サービス資産」、取扱者の資格・技能などの「人的資産」、組織の評判・イメージなどの「無形資産」のことです。 一方、プライバシーマーク制度では個人情報のみを扱います。個人情報に関してはどちらでも対象となりますが、プライバシーマーク制度では個人情報の利用目的や苦情に対する対応も必要となるなど、より深い対応が求められます。
画像説明
また、ISMSの適用対象範囲は、組織全体である必要はなく、取得する組織が決定することができます。そのため、事業所単位や工場などによる取得も可能です。一方、プライバシーマーク制度は、基本的に事業者単位で取得しなければなりません。
2.2.5 ISMSと法的要求事項の関係
情報セキュリティに関する法律には個人情報保護法の他に、不正アクセス禁止法などがあります。また、民法、商法でも情報セキュリティに関連する義務が定められています。組織には、法律や条例の他に、業界のガイドラインや顧客の要求事項など、守らなければならない「決まりごと」があります。また、情報を取り扱うときは、著作権や知的財産権も意識する必要があります。
これらはいずれも、情報化社会の進展に合わせて改訂が行われており、情報セキュリティへの要求は年々厳しくなっています。ISO/IEC 27001附属書Aに明記されている管理分野のひとつ「順守」の管理目的にも「法的要求事項の順守」が明記されています。このことからも、ISMSを構築する場合は、法的要求事項や「決まりごと」を守るための仕組みを考える必要があります。
2.3 ※参考資料 内部統制
2008年4月に日本版SOX法が施行されました。日本版SOX法はアメリカのSOX法を参考にしたもので、会計不祥事の防止や証券市場の信頼回復のために、上場企業に財務報告に係る内部統制の評価と報告を義務づけるものです。内部統制とは、企業の財務情報の透明性と正確性を実現するための仕組みで、次の4つの目的を達成するためのものです。
1.業務の有効性・効率性
事業活動の目的の達成のため、業務の有効性・効率性を高めること
2.財務報告の信頼性
財務諸表および財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
3.事業活動にかかわる法令等の順守
事業活動にかかわる法令その他の規範の順守を促進すること
4.資産の保全
資産の取得・使用・処分が正当な手続・承認のもとで行われるように、資産の保全を図ること
この内、「1.業務の有効性・効率性」「2.財務報告の信頼性」「4.資産の保全」は、情報セキュリティ対策として実施すべきことが含まれています。内部統制を実施するためのガイドラインとして、日本では「財務報告に係る内部統制の評価及び監査に関する実施基準」がありますが、この中で「セキュリティの強化」や「アクセスコントロール」についても言及されています。すでにISMSを導入済みであれば、内部統制においてセキュリティ対策を効率よく進めることができます。
ISMSは、情報セキュリティを対象としたマネジメントシステムです。それでは、情報セキュリティとは何でしょうか。
この章では、情報セキュリティとは何なのかを考える上でポイントになる「機密性」「完全性」「可用性」という3つの要素と、なぜ情報セキュリティが必要なのかを考える上でポイントになる「脅威」と「脆弱性」という2つの要素について解説します。
3.1 情報セキュリティの3要素
「情報セキュリティ」という言葉には、いろいろな考え方が含まれています。情報セキュリティというと、「会社にとって重要な、秘密にしておきたい情報がもれなければよい」と考えがちです。
しかし、それだけでは十分ではありません。情報セキュリティを実現していくためには他にもやるべきことがあるのです。
具体的には本章で説明していきますが、情報セキュリティを実現するためには、「秘密にしておきたい情報を守る」だけではなく、「データが勝手に書き換えられたり、壊れたりしないようにする」ことや、「システムを使いたいときにいつでも使えるようにする」ことも考慮すべきです。これらは、それぞれ、「機密性」「完全性」「可用性」といい、この3つを情報セキュリティの3要素と呼びます。
これらの3要素は別々に考えると、相反する場合もあり得ます。そのため、情報セキュリティへの取り組みを行うにあたっては、無理にすべてを実現しようとするのではなく、組織の状況に合わせてバランスを取って対策を行うことが重要となります。
次ページからこれら3要素について具体的に説明します。
3.1.1 機密性
機密性とは、情報がもれないことです。機密性を確保するといった場合、情報をもれないようにするために何らかの対策を立てることになります。
対策としては、特定の人だけが情報を閲覧出来るようにする、などが考えられます。 たとえば、重要な資料を鍵の掛かった倉庫に保管し、その資料を使ってもよい人だけが鍵を管理し、閲覧出来るようにします。これが資料の機密性を高める、ということです。
逆に、鍵の掛からない倉庫に保管している資料は、いつでも誰でも閲覧することができます。これは、資料の機密性が確保されていない、ということになります。
3.1.2 完全性
完全性とは、データが壊れないことです。 完全性を確保するとは、データが壊れたり、書き換えられたり、すりかえられたりすることを防ぐことです。つまり完全性とは、データが正確な状態で保持されていることを言います。
たとえばホームページが、不正アクセスによって知らない間に書き換えられてしまった場合、ホームページの完全性が損なわれたことになります。ホームページの完全性を確保するためには、不正アクセスされないような対策を立てなければなりません。
また、会社の机の上に重要な書類を置いたまま帰宅して、次の日の朝出社してみると、その書類にいたずら書きがされていた、ということがあったとします。これは書類の完全性が損なわれた、ということになります。書類の完全性を確保するためには、書類を鍵の掛かる引き出しに入れて帰宅するなどの対策を立てる必要があります。
3.1.3 可用性
可用性とは、利用者がそのシステムを使いたいと思ったときにいつでも使える状態にしておくということです。すべての利用者がいつでもそのシステムを使えるようにするということではなく、あらかじめそのシステムを使うことを許可された利用者がいつでも使える状態にしておくということです。
たとえば、サーバーの故障で業務がストップしたとします。これは、サーバーの可用性が損なわれたことになります。サーバーの可用性を確保するためには、サーバーを二重化するなどの対策が必要となります。
また、重要な書類を保管したキャビネットの鍵を紛失して、取引先にその情報を提供することができずにその取引がストップしたとします。これは、書類の可用性が損なわれたということになります。書類の可用性を確保するには、予備の鍵を用意しておくなどの対策を立てておかなければなりません。
このように可用性は、適切な利用環境を整備するために必要なこととなります。
3.2 脅威と脆弱性
「脅威」は、資産を脅かすもの、資産にとってマイナスとなるものです。また、「脆弱性」とは、資産の持つ弱点です。
脅威と脆弱性により「リスク」が変化します。リスクは、損害を受ける可能性、危険性のことです。このリスクを減らすために、情報セキュリティ対策を行うのです。
ちなみに資産とは、その組織にとって価値のある「もの」です。目に見えるお金・書類・パソコンなどだけではなく、目に見えない様々な情報、たとえば個人情報や企業情報も資産になります。
3.2.1 脅威
脅威は、資産や組織に損失を与える原因・事象です。
脅威は、悪意が伴うかどうかは関係ありません。たとえば、老朽化した建物にとっては地震が脅威となります。地震は悪意をもって発生するわけではありません。また、コンピューターのディスクが故障を起こして業務がストップすることがあります。この場合、故障が脅威となりますが、故障は悪意とは関係なく突然起きることもあります。
資産に対しては、いくつもの脅威が考えられます。 火災・地震・落雷・故障・侵入者による破壊などの物理的なもの、無責任な利用・操作ミス等人間によるもの、コンピューターウイルス・不正アクセスといったコンピューターにかかわる技術的なもの等、様々な観点から脅威が存在します。
3.2.2 脆弱性
脆弱性とは弱点のことです。たとえば、鍵が掛かっていない倉庫を考えてみます。鍵が掛かっていないので、その倉庫は誰でも簡単に出入りができて、そこにある書類を盗み出したり、書き換えたりすることができます。「盗難」という「脅威」に対して、倉庫に鍵が掛かっていないため「盗まれやすい状態」にあるという「脆弱性」が存在します。
また、パソコンを車の中に置きっぱなしにしておいて車上あらしに合い、パソコンを盗まれて大切な情報が流出してしまうということがあります。これは、「うっかり」していた人間の意識、気持ちに起因する脆弱性です。
脆弱性と言えば、コンピューターのプログラムの脆弱性を思い出す人もいるかもしれません。新聞やテレビで「Windowsの脆弱性を攻撃するウイルスが発見された」といったニュースが流れることがあります。これは、Windowsというプログラムの不備(バグと言います)が脆弱性となっているのです。
脅威(危険)に対して対策をせず、脆弱性(弱点)を放置しておくと、いつか問題が起こるかもしれません。
対象 脅威 脆弱性
建物 地震 老朽化している
物や人 火災 防火設備が整っていない
書類 盗難 放置している
システム なりすまし 簡単なパスワード設定
サーバー ハッカー 機密情報を暗号化していない
パソコン コンピューターウイルスへの感染 対策ソフトの未配備
ソフトウェア脆弱性の放置
組織全体で情報セキュリティに取り組む体制、管理の仕組みのことをISMSと言います。ISMSは、出来合いのものが用意されているわけではなく、その組織に合わせて構築し、運用していくものです。
この章では、国際規格であるISO/IEC 27001をベースに、一般的なISMSの構築と運用の進め方を解説します。
4.1 ISMSの構築・運用管理
ISMSの国際標準規格であるISO/IEC 27001は、経営陣及び要員が、効果的な情報セキュリティマネジメントシステムを構築し、運営管理していくためのモデルを提供することを目的としています。
ISMSは、構築したらそれで終わりというものではありません。運用中に不具合が見つかるかもしれませんし、時間の経過と共に状況にそぐわないものになるかもしれません。そこで、通常「マネジメントサイクル」に沿って、絶えず見直していきます。
マネジメントサイクルは、PLAN→DO→CHECK→ACTのサイクルで表されます。つまり、計画を立て(PLAN)、その計画を実行し(DO)、監視・評価し(CHECK)、改善する(ACT)というサイクルです。改善した結果は新しい計画となり、またサイクルを繰り返します。この繰り返しによって、適切な情報セキュリティマネジメントシステムを維持運用していくことが可能になります。
4.1.1 ISMSの要求事項
ISO/IEC 27001規格では、PDCAサイクルを回していくために必要な事項を「要求事項」として箇条4から10に示しています。ISMS認証を取得するためには、この要求事項は必ず実現しなくてはなりません。以下にISO/IEC 27001規格の要求事項の見出しを示します。
PLAN 4.組織の状況 4.1組織及びその状況の理解
4.2利害関係者のニーズ及び期待の理解
4.3情報セキュリティマネジメントシステムの適用範囲の決定
4.4情報セキュリティマネジメントシステム
5.リーダーシップ 5.1リーダーシップ及びコミットメント
5.2方針
5.3組織の役割、責任及び権限
6.計画 6.1リスク及び機会に対処する活動
6.2情報セキュリティ目的及びそれを達成するための計画策定
7.支援 7.1資源
7.2力量
7.3認識
7.4コミュニケーション
7.5文書化した情報
DO 8.運用 8.1運用の計画及び管理
8.2情報セキュリティリスクアセスメント
8.3情報セキュリティリスク対応
CHECK 9.パフォーマンス評価 9.1監視、測定、分析及び評価
9.2内部監査
9.3マネジメントレビュー
ACT 10.改善 10.1不適合及び是正処置
10.2継続的改善
ここでは見出しのみ取り上げていますが、それぞれの項番では何をしなければならないかが説明されています。経営者から一般の従業員まで、組織全体で取り組まないと実現できない項目になっています。
次ページからは、PDCAサイクルに沿ってISMSの構築・運用の流れを追っていきます。
4.2 情報セキュリティ方針の確立
組織は状況および利害関係者のニーズや期待を考慮し、ISMSの適用範囲を決定後、「情報セキュリティ方針」および情報セキュリティ目的を確立します。
「情報セキュリティ方針」は、各組織における情報セキュリティ対策に対する根本的な考え方を表すものです。各組織が、どのような資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取り組み姿勢を示すものです。
経営者から示された、情報セキュリティの憲法となる「情報セキュリティ方針」の策定・維持には、経営者の積極的な関わりが必要です。経営者から一般の従業員まで全員がこれを守って、情報セキュリティに取り組むことになります。また、関連する外部関係者に公表し、対外的にも取り組み姿勢を示します。
4.3 情報セキュリティリスクアセスメント
第3章で説明したように、脅威(危険)に対して対策をせず脆弱性(弱点)を放置しておくと、いつか問題が起こるかもしれません。そこで、ISMSでは情報セキュリティリスクアセスメントを行います。
情報セキュリティリスクアセスメントは、たとえて言えば、情報セキュリティの健康診断を行うようなものです。健康診断では、身長・体重、血圧、血液、レントゲン等の検査で、病気が隠れていないか、今後どのような病気になりそうかを考えます。すでに調子が悪いところがあれば、急いで治療しなければいけません。
ISMSを始めるに当たっては、自分の組織の資産に、どのような問題点があるかを下記のように考えていきます。
どのような資産があるか?
資産にはどのような脅威があるか?
現状で資産に脆弱性はないか?
脆弱性から事件・事故が起きたら経営上どのくらい問題になるのか?
問題が起きないようにどのような対策をとるのか?
4.3.1 情報セキュリティリスクアセスメントのプロセス
一般的に自分たちの組織にどのような資産があるかを把握しなければ、どのような対策が必要かはわかりません。そこで、情報セキュリティリスクアセスメントにあたっては、現状を把握するための調査から開始します。
実際の資産ごとに脅威と脆弱性を洗い出し、その脅威が実際に起こりうるのか、起きた場合どれくらい大きな問題になりうるのかを考え、それに応じた対策が必要になります。
細かな「リスク」の検討を全員で行うわけではありませんが、皆さんが普段の業務の中で扱う「資産」についても、この「情報はどのくらい大切なのか」「今の扱い方で問題は起きないだろうか」「問題が起きたら自分は仕事を続けられるか、経営者の責任にならないだろうか」「ルールを守って扱っているだろうか」ということを常に意識してください。
画像説明
4.4 情報セキュリティリスク対応
リスクアセスメントの結果、対応が必要なリスクに対しては、なんらかの管理策を実施することになります。これを情報セキュリティリスク対応と呼びます。
管理策はISO/IEC 27001規格の附属書Aに記述されている管理策やその他任意の情報源の中から選択もしくは、組織で設計します。
ISO/IEC 27001規格の附属書Aには組織が抱えている情報セキュリティに上のリスクを軽減するための管理目的35個と、その管理目的を達成するための管理策114個が示されています。この管理目的、管理策については第5章で説明します。
4.5 支援
ISO/IEC 27001:2013では、ISMSを確立し、実施し、維持し、継続的改善に必要な「支援」の詳細として以下を記載しています。
<資源>
組織の情報セキュリティ目的を達成し、ISMSの確立、実施、維持および継続的改善に不可欠な資源(人、インフラ等)を決定し、利用できるように提供しなければなりません。
主な資源としては、以下があります。
人的資源
要員など
インフラ
施設、ハードウェア、ソフトウェア、ネットワーク、各種支援サービスなど
その他
照明、空調、資金など
<力量>
ISMSの適用範囲に含まれる要員が、ISMSに関してどの程度の力量を持つ必要があるのかを予め定義し、現在の力量とギャップ分析をします。力量が不足している場合は、配置転換やさらに教育や訓練を施したり、必要な力量を持つ要員を新しく雇ったりするなど、何らかの処置を講じる必要があります。
<認識>
すべての要員に対し、情報セキュリティおよびISMSに関する認識を維持することが重要です。要員自らがISMSの有効性に対し貢献しなければならないことを自覚し、規定を守らなかった場合に、どのような問題につながるかなどを理解し、行動するようになることを意図しています。
<コミュニケーション>
ISMSを実施し、維持し続けるためには、組織の内部・外部との間で様々なコミュニケーションを取る必要があります。そのコミュニケーションについて、いつ、誰が、何を、どのように行うのかを、定めておく必要があります。
主なコミュニケーションとして以下があります。
ISMSの運用状況の報告
ISMSに関する変更等の連絡
管理策の評価と見直し
教育や訓練の実施およびフィードバック
ベンダー、関係機関との調整
インシデント発生時の対応および報告やフィードバック
<文書化した情報>
次項にて解説します。
4.5.1 文書化した情報
ISMSを実施、運用していくには、セキュリティ方針や様々な規程・ルールに基づいて、やるべきことを示していくことが必要となります。また、実施した内容を記録することで、本当に実施しているか、問題点はないかを確認していきます。きちんと記録することで、内部監査員や認証審査機関、ひいては対外的にISMSの取り組みを説明出来るようになります。
このような文書や記録をISO/IEC 27001:2013では「文書化した情報」と呼びます。
<文書化した情報の例>
情報セキュリティ方針
ISMSの適用範囲
文書管理、記録の管理、ISMS内部監査、是正処置、予防処置等の手順
リスクアセスメントの方法及びリスクアセスメント報告
リスク対応計画
ISMSの活動のために、必要に応じて定めた手順
パソコン、メール、インターネット等の利用ルール
管理策の有効性を測定する手順
ISMSに関連する活動や事象の記録
従業員との誓約書
委託先/取引先/顧客との契約書
アクセスログ
適用宣言書
4.6 運用
情報セキュリティリスクアセスメントの結果により選定された管理策を行います。実際に指示される管理策は、リスクに応じて考えられたものです。もし問題が起きたら、経営者だけでなく、担当者にとっても深刻な事態になる可能性があります。ですから、ISMSにより導入された管理策は、全員できちんと実施していくことが重要です。
また、ISMSの実施のためには、計画した管理策をスムーズに運用するために新しいルールを作成したり、既存のルールを見直したりします。また、そのルールの周知や啓蒙のため教育を実施することもあります。
最近は、情報セキュリティのルールの徹底について、取引先等からこれまで以上に厳しく要求されるようになっています。
このため、社内でルール違反が発覚した際も、厳しい対応をとらざるを得ない状況です。たとえ本来の業務が高く評価されていたとしても罰則の対象となってしまうこともあります。
ルール順守は、より注意が必要になっています。
4.7 パフォーマンス評価
ISMSを運用していくと、問題や不都合が出てくる場合があります。十分に検討したルールや管理策であっても、日々状況は変わっていきますし、実施して初めてわかることもあります。もし問題点があれば、実施状況を確認し、場合によっては見直さなければなりません。ひょっとしたら、管理策を行ってもリスクが下がらずセキュリティ事故が発生したり、想定外の別のリスクが顕在化するかもしれません。
ISMSでは、そのパフォーマンスを監視、測定、分析し、評価しなければなりません。決められた管理策をきちんと行っているかを記録・確認し、そのパフォーマンスを測定、分析し、妥当な結果が得られているかどうか評価します。また、有効性の確認のため、定期的に内部監査を実施する必要があります。
普段の業務の中で問題点や改善が必要なことに気がついた場合は、すぐに責任者に相談してください。問題点は、芽の小さなうちにつみ取れば簡単に対応ができます。大したことがないと思い放っておくと、気がついた時には問題が大きくなり、取り返しがつかないことになる可能性があります。
4.7.1 マネジメントレビュー
マネジメントレビューとは、経営者が自組織のISMSの有効性を定期的に見直すことです。経営者は、マネジメントレビューを通してISMSの実施状況を把握し改善のための指示を出します。
経営者は、問題点の報告を受け、内部監査の結果や有効性の測定結果等を把握した上で、マネジメントレビューを行います。
4.8 改善
内部監査の結果や日常の監視活動の中で発覚した不適合やこれまでに起きたセキュリティ上の問題に対し、再発または他で発生しないように不適合の原因を除去する処置を検討し、実施します。このような処置を「是正処置」と呼びます。
組織においては、ISMSの適切性、妥当性、有効性を継続的に改善する必要があります。ルールや管理策を適切に守っていても、事件・事故は起きるかもしれません。一度決めたルールや管理策も定期的に見直すようにしましょう。
本章では、ISO/IEC 27001:2013の「附属書A」の管理策を説明します。
情報セキュリティは、「この管理策だけを行えばよい」というわけではありません。第4章で説明したように、「実際にある資産」に「どのようなリスク」があり、リスクを小さくするために「どのような対策」を行うか、を考えることが重要です。
「附属書A」の内容は多岐にわたり、内容によっては、自分の業務に関係がない場合もあるかもしれませんが、「雇用契約書には情報セキュリティに関する各自の責任を記載しなければならない」「情報セキュリティ違反を犯した従業員に対して処置をとるための懲戒手続きを備えなければならない」「情報セキュリティ事象は適切な管理者への連絡経路を通してできるだけ速やかに報告しなければならない」といった全員に関連する項目もありますので、ひととおり目を通してみてください。
ここでは、「附属書A」の紹介と管理策の適用例について解説します。
5.1 管理策の実施
「4.4 情報セキュリティリスク対応」で説明したように、リスクアセスメントの結果、対応が必要なリスクに対しては、なんらかの管理策を実施することになります。
ISO/IEC 27001:2013規格では、どんな管理策でも導入可能としています。
ISO/IEC 27001:2013規格の附属書Aにある114個の管理策から選定することもできますし、個人情報を取り扱う組織では「JIS Q 15001」の条文を採用したり、金融機関ならFISC「金融機関等コンピュータシステムの安全対策基準」から管理策を特定したりといったように目的にあったものを選定することができます。
ISMSを構築している組織では、選定した管理策に基づいて独自のルールを定め、そのルールを文書化しているはずです。従業員の方々はそのルールを順守しましょう。
5.2 管理策一覧(附属書A)
ISO/IEC 27001規格の附属書Aには114個の管理策が示されています。
この管理策は以下の項目に区分されています。
A.5 情報セキュリティのための方針群
A.6 情報セキュリティのための組織
A.7 人的資源のセキュリティ
A.8 資産の管理
A.9 アクセス制御
A.10 暗号
A.11 物理的及び環境的セキュリティ
A.12 運用のセキュリティ
A.13 通信のセキュリティ
A.14 システムの取得、開発及び保守
A.15 供給者関係
A.16 情報セキュリティインシデント管理
A.17 事業継続マネジメントにおける情報セキュリティの側面
A.18 順守
この項目ごとに、組織が抱えている情報セキュリティに上のリスクを軽減するための管理目的35個とその管理目的を達成するための管理策114個が示されています。
個々の管理策についてはここをクリックしてください。
自組織になじまない管理策は不採用とすることができます。また独自の管理策を追加してもかまいません。なお、審査を受けるためには、どの管理策を適用したかがわかるように「適用宣言書」を作成する必要があります。その際、不採用とした管理策については理由を明記する必要があります。
5.3 管理策の適用例
ここでは、A社をケーススタディに、管理策を具体的にどのように適用するかを見ていきましょう。
ケーススタディ
A社は化粧品の通信販売を行う企業です。従来はカタログを無料配布し、お客様から電話やFAXで注文を受けて販売をするのみでしたが、昨年よりWebサイトでの販売を開始したところ売上が急増しました。
昨今、個人情報の漏えい事件やデータの盗難事件などが新聞やテレビなどで大きく報じられるようになり、A社でも遅ればせながらセキュリティの重要性を認識し対策を立てることになりました。
5.3.1 管理策の適用例1(現状)
A社では、ビル内の出入りが自由であり、事務フロア内への立ち入りも特に制限がありません。FAX、コピー機のみならず、サーバーも事務フロアに置いてあります。
最近、系列会社で昼休みに無人になったフロアでパソコンの盗難事件が発生したことから、A社でも対策を検討することになりました。
現状のA社のフロア構成は以下のとおりです。
現状では、下記のような問題点が考えられます。
ビルに誰でも出入り出来る(不正な第三者が侵入する可能性がある)
事務フロアに誰でも出入り出来る(不正な第三者が侵入する可能性がある)
サーバーが事務フロアにある(サーバーから情報を盗まれる、物理的に破壊される可能性がある)
5.3.2 管理策の適用例1(対策)
A社セキュリティ委員会では現在のセキュリティ上の問題点を解決するために「附属書A」にある以下の管理目的及び管理策を目安にしました。
A.11 物理的及び環境的セキュリティ
A.11.1 セキュリティを保つべき領域
目的:組織の情報及び情報処理施設に対する認可されていない物理的アクセス、損傷及び妨害を防止するため。
A.11.1.1 物理的セキュリティ境界 管理策
取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いなければならない。
A.11.1.2 物理的入退管理策 管理策
セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護しなければならない。
A.11.1.3 オフィス、部屋及び施設のセキュリティ 管理策
オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用しなければならない。
上記管理目的及び管理策を目安に採用した管理策は以下のとおりです。
裏口は常時施錠し、入館者は入口からのみビルに入れるようにする。
ビル入り口には有人の受付を設け、不審者の侵入を防ぐ。
各フロアには、社員証がないと開かないフラッパーゲートを設置する。
サーバーはすべてサーバールーム内に移動する。
サーバールームは、指紋認証装置により保護する。
管理策採用後のフロアイメージは以下になります。
※共連れ…認証されていない人が、認証を受けた人と共に不正に入室すること
上記管理策により、ビル内への不審者の侵入防止及び業務フロアへの社員以外の立ち入りを制限することが可能です。さらに、サーバールームは指紋認証装置により、業務フロアよりも高いレベルのセキュリティを保つことができます。
5.3.3 管理策の適用例2(現状)
A社のネットワーク構成は下図のように、ファイアウォールによるネットワークレベルのアクセス制御が施されています。各サーバーの運用に関しても、規程や手順書が整備されており、セキュリティを保った運用を行っています。
しかし、現在のネットワークの構成や既存の規程、手順書および適用例1の対策をコンサルタント会社に見てもらったところ、ECサーバーに関してはまだ安全性が不十分だと指摘されてしまいました。
コンサルティング会社から指摘されたのは、以下の点です。
ディスク障害などの発生時にデータを復旧する手立てがない
インターネットを経由する電子商取引におけるセキュリティの確保が不十分である
5.3.4 管理策の適用例2(対策)
A社ではコンサルティング会社に指摘されたセキュリティ上の問題点を解決するために「附属書A」にある以下の管理目的及び管理策を目安にしました。
A.12 運用のセキュリティ
A.12.3 バックアップ
目的:データの消失から保護するため。
A.12.3.1 情報のバックアップ 管理策
情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査しなければならない。
A.14 システムの取得、開発及び保守
A.14.1 情報システムのセキュリティ要求事項
目的:ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため。これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含む。
A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 管理策
公衆ネットワークを経由するアプリケーションサービスに含まれる情報は、不正行為、契約紛争、並びに認可されていない開示及び変更から保護しなければならない。
A.14.1.3 アプリケーションサービスのトランザクションの保護 管理策
アプリケーションサービスのトランザクションに含まれる情報は、次の事項を未然に防止するために、保護しなければならない。
・不完全な通信
・誤った通信経路設定
・認可されていないメッセージの変更
・認可されていない開示
・認可されていないメッセージの複製又は再生
上記管理目的及び管理策を目安に採用した管理策は以下のとおりです。
ECサーバーのバックアップに対する方針を定め、手順書を整備し、担当者が適切にバックアップ作業を行えるようにする。
上記方針、手順書には以下を含める。
・定期的なバックアップ
・バックアップ範囲、方法、保管期間、暗号化等を定める
・バックアップの記録を取る
・サーバーと異なる場所に適切に保管する
・バックアップからの復旧手順書を定める
・復旧手順は定期的に検査及び試験する
電子商取引に関するセキュリティを高めるため以下のような対策をとる。
・当事者間の通信は暗号化する
・なりすましを防ぐ
・受注情報の紛失、重複、不正な書き換えを防止する
・不正な取引に関する賠償義務を定める
・取引の詳細情報をインターネットから直接アクセスできない場所に適切に保管・管理する
・公開情報は勝手に書き換えられないように保護する
上記管理策の追加により、ディスク障害などに対する備えができ、電子商取引におけるセキュリティの確保が可能となります。
5.3.5 管理策の適用例3(現状)
A社では、デスクトップパソコンからノートパソコンへの移行が進んでいます。これにより、客先や出張先など、どこでも仕事が出来るようになったと好評です。
しかし先日、ある社員が電車の網棚にノートパソコンが入ったかばんを置いたまま電車を降りてしまい、ノートパソコンを紛失するという事故が発生しました。幸い、すぐに発見され手元に戻ってきたのですが、サーバーに比べ個人用パソコンに対する管理ルールが甘いことが浮き彫りとなりました。
そこで、まずはノートパソコンを外出先で利用する際の管理ルールを決めることになりました。
現状の管理ルールは個人任せになっており、以下のような問題点が考えられます。
盗難・紛失時の備えがない
組織外でノートパソコンを利用する際のルールが決まっていない
5.3.6 管理策の適用例3(対策)
A社ではノートパソコンの一時紛失事件をきっかけに、個人用パソコンのセキュリティ上の問題点を解決するために「附属書A」にある以下の管理目的及び管理策を目安にしました。
A.6 情報セキュリティのための組織
A.6.2 モバイル機器及びテレワーキング
目的:モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。
A.6.2.1 モバイル機器の方針 管理策
モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用しなければならない。
上記管理目的及び管理策を目安に採用した管理策は以下のとおりです。
ノートパソコンを外出先で利用する際のセキュリティを確保するために以下の対策を実施する。なお、以下は、ノートパソコン利用規程にも明記しておく。
組織外への持ち出し時は事前に定められた許可が必要
公共の場など保護されていない環境での作業時は、盗み見されないように周囲に気を配るとともに指定された特殊フィルムをスクリーンに貼る
BIOS及びOSのパスワードを適切に設定する
組織外の保護されていない場所での利用時は、盗難防止等注意を払う
公衆ネットワーク(無線LAN、ホテルのインターネット等)を利用する際は、暗号化された通信路を用い、通信経路上の盗聴を防止する
持ち出しを行うノートパソコンのハードディスク上には機密情報を保存しない
持ち出しを行うノートパソコンのハードディスクはすべて暗号化する
ウイルス対策ソフトウェアをインストールし、常に最新の状態にする
持ち出したノートパソコンは常に肌身離さず持ち運ぶ
ノートパソコン携行時は飲酒等を行わない
上記管理策により、ノートパソコンを外出先で利用する際のトラブルを未然に防止したり、万が一、紛失などの事件が発生しても情報漏えいにつながらないようにしたりすることができます。