大企業から個人まで共通するセキュリティの考え方
先日のブログでは、大企業が利用するサイバーセキュリティのフレームワーク、中小企業が使うもの、個人商店が使うもの、そして個人が使うもの──たとえば祖母を守る場合も含め──これらには本質的な違いがないというお話をしました。
ISMSとISOの例え話
本日は、ISMSとISOのメインの考え方を、一種の例え話で説明したいと思います。私は東京で働いていますが、仮に福岡に年老いた祖母がいるとします(これは実際の話ではありませんが、話をわかりやすくするための仮定です)。この例えで一番大事なのは、「母親を守る」という目的を仕組み化し、その仕組みを定期的にアップデートし、点検することです。これがISMSの本質的な考え方です。
守るべき資産と脅威の特定
次に、その祖母が持っている資産について考えます。わかりやすい例では、郵便貯金、金目の物(ネックレスやブレスレット)、形見の品などが挙げられます。これらは悪意を持った人に狙われる可能性があります。また、地方であれば自然災害の脅威もあります。たとえば台風で川が決壊し、命に関わる危険が及ぶ可能性もあります。
アセット管理と脅威分析の仕組み化
こうした状況を踏まえ、「命の次に大事なものは何か」を明確にし、アセット(資産)の棚卸しを行い、それぞれに対してどのような脅威が迫り得るのかを分析します。そして、この分析を定期的にチェックし、仕組みとして継続的に改善・更新していくことが重要です。これが、ISMSやISOの根底にある考え方です。