ISMS(ISO27001)~メガネという魔法にかけられて~


7db31374cd6acc081841120be4643e36_m-min

ISO総研の結石(ケイシ)と申します。
社内ではメガネキャラを浸透させることを目標にしています。

いきなりですが、皆様にとって「メガネ」ってどんな存在でしょうか?
私にとっては、欠かせない存在、いや自分自身といってもいいかもしれません。

なぜ、それほどまでに私が重要視しているのか、ISMS(ISO27001)の観点でも見ていきましょう。

Let’s メガネ

メガネの定義

まず最初に、視力が低下せずに、メガネが身近にない方もいらっしゃるのでメガネの定義から見ていきましょう。

【眼鏡】
眼鏡(めがね、メガネ)とは、目の屈折異常を補正したり、目を保護したり、あるいは着飾ったりするために、目の周辺に装着する器具。(Wikipedia調べ)

これを踏まえ『情報セキュリティマネジメントシステム- 要求事項 JIS Q 27001』の『6.1.2項 情報セキュリティリスクアセスメント』ついて解説させていただきます。

規格要求事項

まずはISMS(ISO27001)の『6.1.2項 情報セキュリティリスクアセスメント』になんと記載されているか確認しましょう。

6.1.2 情報セキュリティリスクアセスメント

組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。

a) 次を含む情報セキュリティのリスク基準を確立し,維持する。
 1) リスク受容基準
 2) 情報セキュリティリスクアセスメントを実施するための基準

b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。

c) 次によって情報セキュリティリスクを特定する。
 1) ISMS の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。
 2) これらのリスク所有者を特定する。

d) 次によって情報セキュリティリスクを分析する。
 1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
 2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
 3) リスクレベルを決定する。

e) 次によって情報セキュリティリスクを評価する。
 1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。
 2) リスク対応のために,分析したリスクの優先順位付けを行う。

組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

(引用:JIS Q 27001:2014 (ISO/IEC 27001:2013)

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

長々と難しいですね。
とりあえず一緒にリスクアセスメントをやってみましょう。

まずは情報資産のリスクを考える上では3つの視点が大事になります。!

C(機密性) 漏れてはいけない 
I(完全性) 間違ってはいけない
A(可用性) すぐ使えないといけない

では「メガネ」を資産として、考えてみましょう。。。

C(機密性) 漏れてはいけない

もう少し、情報セキュリティの観点で説明すると、権限のある人物にのみが機密情報にアクセスできるようにする必要があります。

例えばメガネは持ち主のみがかけて、決してほかの人にかけさせてはいけません。
なぜなら、メガネはフィッティングをしています。

説明しよう!フィッティングとは?例えば下記の視点でかけ心地を調整しています。

・メガネをかけて正面から鏡を見たとき、左右のレンズは真正面を見ているか?
・メガネをかけて大きく頷いたり、頭を左右に振ったとき、
・メガネは元の位置からズレないか?
・メガネをはずして真上からみたとき、左右のレンズは真正面を見ているか?
・メガネをはずして真横からみたとき、左右のテンプル(つる)の高さは水平になっているか?

なんということでしょう!?
フィッティングをすれば、自分の為だけに調整された一品になるのです。

それなのに、飲み会の席とかで「ちょっとかけさせてーや」といろんな顔デカい人とか…たらいまわしにされた日には…

お分かりいただけるだろうか…
メガネの水平さもレンズの角度も、めちゃくちゃになってしまうリスクがありますよね。

ということで機密性を保つ必要があり、「ちょっとかけさせてーや」のリスク、結構、頻繁に発生する可能性ありません?
メガネは自分自身で守りましょうね。

I(完全性) 間違ってはいけない

もう少し、情報セキュリティの観点で説明すると、情報が改ざんされておらず、情報の入手元も本物である必要があります。

例えば、サウナを利用するとメガネは室内持込禁止なので、備え付けのメガネBOXがあったりします。
そこにまったく一緒のメガネが2つありました!

かけてみたら、度数が全然合わないんですよ。
びっくりしましたよ。何が起きたんやと。

やはり、メガネの度数こそ、個人個人に合うように設定されているので、違うメガネじゃダメなんです。
君じゃなきゃ!

A(可用性) すぐ使えないといけない

もう少し、情報セキュリティの観点で説明すると、認証されたユーザが情報にアクセス可能である必要があります。

メガネユーザーにとって、これが一番重要かもしれません。
すぐ使えないと、僕は特に視力が低いのでどうにもなりません。

車の運転ができません。
文字も見えなくて電車の乗り換えもできません。
信号の色を見分けるのがぎりぎりです。

私には1歳半の子供がいるのですが、隙あらば、メガネを取って、ぶん投げます。
もう、これで破壊されようものなら、すぐに使える状態でなくなるリスクがあります。

私は室内用の、形状記憶型のメガネにかけなおします。
これでぶん投げなられても大丈夫な状態にしています。

まとめ

以上を踏まえても、CIAの観点でも、私にとってメガネは最も重要な資産として考えられます。
そのため、他人にかけさせない、公共の場に置き去りにしない、壊させないを心がけて、メガネの存在に感謝しようと思います。

そして、補足ですが、コンタクトにない魅力として、自分を演出できます。
丸メガネにすれば、ジャンレノにだってなれるんです!

メガネという魔法にかけられて

といったように、ISMS(ISO27001)は身近なことでも当てはめて考えることができます。
ぜひ、ISMS(ISO27001)の新規取得をご検討してらっしゃる方がいらっしゃいましたら楽しく、リスクアセスメントしましょう!

ISMS総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【ISMS総研】メールマガジン登録

ISMSに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス