「ISMS規格をわかりやすく解読する」シリーズの23回目は、「A.16情報セキュリティインシデント管理」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.16.1 情報セキュリティインシデントの管理及びその改善

誰しも情報セキュリティインシデントは起こしたくないものです。

しかし、どれだけ最新の注意を払っていたとしても、発生してしまうこともあります。

この章では、何らかのインシデントが発生してしまった時に、誰が、どのように対処すればいいか、そしてそれをどう改善に繋げていくかを定めましょう、といったことが書かれています。

具体的に見ていきましょう。

まずすべきことは、インシデント発生時の報告フローを定めることです。

もっと具体的に言えば、もし従業員が、自社の情報の漏えいに気づいたり、誤操作によって、メールなどを誤送信したりしてしまった場合に、誰に、どのような手段で伝達するのか、といった事を定めていきましょう、ということです。

一般的には、事象に気づいた従業員は、まず部門の長に報告し、その後に部門の長が情報セキュリティ管理者に報告、その後、必要に応じて、情報セキュリティ管理者が社長に報告する、という流れが多いです。

また、報告する事象には、「インシデント」だけではなく、インシデントの一歩手前の事象（規格では「弱点」と書かれています）も含めるべきです。

例えば、システムのバグの発見や、本来秘密にしておくべきファイルのアクセス制御の設定を間違っていた、などが「弱点」に当たります。

弱点も、所定のフローに従って適切に報告することで、組織全体の情報セキュリティレベルの向上につながります。

さて、続いて、インシデントや弱点の報告を受けた情報セキュリティ管理者は、そのインシデント及び弱点を「分類」し、「対応」し、「学習」することが求められています。順に見て行きましょう。

分類

まずは、「分類」です。シンプルに言えば、そのインシデントや弱点はどれ位「やばい」のか判断するということです。

一般的な方法は、影響範囲が社内だけなのか、社外に及ぶのか、経営に大きな影響を及ぼすのか、などの判断軸を設けて、報告を受けたインシデントや弱点を、レベル1から3までのいずれかに分類する、などといった方法があります。

対応

次に「対応」です。決定したレベルに対して、具体的にどのような対応を取っていくのかを決定します。

具体的には、レベルが3の場合は、社長に報告し、臨時の情報セキュリティ委員会を開催する、レベル2の場合は…、レベル1の場合は…などといった内容を定めます。

学習

最後に「学習」です。インシデントや弱点を受けて、これらの事象を再発させないためにどうすればよいのか、再発防止策を検討します。再発防止策は、必要に応じて社内ルールに組み込んだり、従業員に広く通知したりすると良いでしょう。