【ISMS】セキュリティ管理と脆弱性の処置【PMS】

【ISMS】セキュリティ管理と脆弱性の処置【PMS】

情報セキュリティマネジメントシステムと個人情報保護マネジメントシステム

情報セキュリティマネジメントシステム (ISMS) とは

情報セキュリティマネジメントシステム(ISMS) は組織における情報セキュリテイを管理するための仕組みで、構築と運用の方法は国際規格であるISO/IEC 27001に規定されています。ISO/IEC 27001 は、日本では JIS Q 27001が対応し、最新版はISO/IEC27001:2013およびJIS Q 27001:2014になります(本記事執筆時点)。ISMSを構築し、維持運用していることを証明するための第三者認証制度も運用されています。

個人情報保護マネジメントシステム (PMS) とは

ピーエムエス個人情報保護マネジメントシステム (PMS)は、個人情報のセキュリティを管理する仕組みで、JIS Q 15001:2006 がPMSのベースとなります。PMS にも、構築から維持運用を証明するための第三者認証制度として「プライバシーマーク (P マーク)」が運用されています。PMSとISMS との相違点としては、PMSではセキュリティ管理の対象となる情報資産を「個人情報に関連するもの」に限定している点が挙げられます。また、ISMS には JIS 文書に対応する ISO/IEC の文書があり、国際規格としての側面も持ちますが、PMSには対応する ISO/IECの文書はなく、あくまで国内でのみ有効な規格となります。

第三者認証制度による審査の違い

ISMS とPMS は「構築·運用が維持されていることを証明するための第三者認証制度がある」という点では共通していますが、その内容は大きく異なります。最大の相違点は、ISMS認証では「認証を受ける法人が〈審査の範囲(審査対象))を決められる」のに対して、プライバシーマーク(PMS の認証)は「法人ごとに取得する必安がある」点です。つまり、ISMS認証は「一企業が複数の認証を取得している」状加が生じますが、プライバシーマークは1つの企業で1つしか取得できません。

IPAとJPCERT/CC

脆弱性情報の取り扱い方法

現在、ソフトウェアなどの脆弱性関連情報の多くは、公表前に必要なところに適切に引き渡され、適切な修正が行われるようになっています。この営みは、日本では「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成二十九年経済産業省告示第十九号)、および「受付機関及び調整機関を定める告示」(平成二十九年経済産業省告示第二十号)によって大枠が定められ、「情報セキュリティ早期警戒パートナーシップガイドライン」の中で実施方法が定められています。たとえば、脆弱性の発見者に求める役割と責任、開発者に求める役割と責任があります。いずれの役割にも、公開される前の脆弱性について機密保持を求めています。

脆弱性に適切に対処するための機関

脆弱性のないソフトウェアは存在しません。重要なのは、発見された脆弱性を放置せず、適切に修正することです。日本ではソフトウェアの脆弱性を適切に修正するために、発見された脆弱性の情報を受け付ける「届出受付機関」と、届出のあった脆弱性情報を本来必要な企業などに適切に通知し、修正などを促していく「調整機関」を用意しています。これらの機関は、政令によって指定されています。日本における脆弱性の届出受付機関はIPA(Information-technology PromotorAgency, Japan:独立行政法人情報処理推進機構)です。そのため、届出先の連絡先が明らかになっているシステムやソフトウェアでは、発見された脆弱性を当該の連絡先に知らせればよいですが、そうでないシステムやソフトウェアの脆弱性を発見した場合は、 IPA に届け出ることになります。また、日本における脆弱性の調整機関は JPCERT/CC(JPCERT コーディネーシヨンセンター)です。JPCERT/CC は、IPAに届け出がされた脆弱性情報を適切に取り扱い、脆弱性を持つソフトウェアの開発者をはじめとする関係者や組織に対して、修正のための働きかけを行うなどの調整を行います。

セキュリティカテゴリの最新記事