BONX WORK
セキュリティ

【BONXのセキュリティ】情報セキュリティマネジメントシステム（ISMS）のご紹介

2024.08.08

BONXのセキュリティ対策とその重要性についてご紹介します。本テーマはシリーズで構成されています。
具体的なセキュリティ対策への取り組み方、BONXヘッドセットとモバイルアプリのエクスペリエンスを最大限に活用するために何ができるかについては別記事をご覧ください。

【BONXのセキュリティ】「CIA Triad」への取り組み
 【BONXのセキュリティ】共用アカウントのメリット・デメリットと活用方法

情報セキュリティとは何か

日本の総務省が引用している情報セキュリティの定義は、次のように要約されています。

企業や組織における情報セキュリティとは、企業や組織の情報資産を「機密性」、「完全性」、「可用性」に関して客観的に保護すること
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_executive_02.html

情報にはさまざまな意味やコンテクストが存在します。企業または組織にとって「役立つ」情報のリストには次のものが含まれます。

エンドユーザーまたは顧客関連の情報
従業員関連情報
コミュニケーションログと議事録
企業秘密と知的財産
社内文書と社外文書の両方
財務報告書
監査記録と報告書

この情報は上記に限らず、次のような形式もあります。

物理メディア (CD、DVD、フロッピーディスク、ポータブルストレージデバイス)
電子メディア (Word/PDF/PowerPoint/Excel ドキュメント、マルチメディアファイル)
紙ベースの資料（紙文書、ポスター、パンフレット、チラシ）

これらの形式は技術面に焦点が当てられていますが、すべての企業や組織がコンピューターを扱える集団ではありません。自分の職場で何が起こっているのか理解できるのは一部の人だけということもあります。

その場合、これらの人たちに何かが起こった場合、彼らが保持している情報は漏洩（強制、虚偽表示、詐欺）または紛失（人身傷害または死亡）の危険にさらされます。

また、すべての企業や組織は、主にプロセスや手順に従うために、特定の方法でテクノロジーを使用します。しかし、明確な定義が決められていない場合、これらのプロセスに関係する情報が誤って扱われたり紛失したり盗難されたりする可能性もあります。
したがって、情報セキュリティについて語るとき、コンピューターだけに焦点を当てるべきではありません。

ビジネスや組織の責任者が管轄する中で情報が作成、保存、処理、削除される手段を考える総合的なアプローチが必要です。
適切な人員が配置されておらず自らの義務や責任を認識していない企業・組織の問題を、単一のコンピュータープログラムですべて解決できるわけではありません。

情報セキュリティマネジメントシステム（ISMS）

情報セキュリティの概念が組織内で適切に遵守されていることを確認するために、多くの企業や組織はISO 27001標準に基づいた情報セキュリティマネジメントシステム (ISMS) を導入しています。 ISMS認定センターはこの件について次のように説明しています。

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。
そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。
https://isms.jp/isms/

すべての企業や組織が同じではないため要件は異なりますが、この標準のポイントは情報資産を保護し、ステークホルダーの価値観を促進するために企業や組織に属する全員で共有するシステムが確実に存在することが重要です。

BONXは2022年にISMS認証を取得しました。この認証を取得するには、認定機関による外部監査と良好な状態を維持するための年次監査が必要です。

当社は、情報セキュリティリスクの対策の評価に値するプロセスとテクノロジーを備えており、それらの有効性は経営陣によって定期的に見直しを行っています。また、情報セキュリティ対策に取り組む専任スタッフも新たに採用しました。
ISMSを活用して製品とサービス全体、および社内システムの短期および長期の改善を推進しています。