「ISMSとデータセンターにはどのような関係があるの？」
「データセンターを選ぶ際にISMSを役立てたい」

データセンターを選定する際、何を基準にすべきか悩んでいる担当者の方も多いのではないでしょうか。

実は、重要な選択基準の一つとなるのが、企業や組織が保有する情報資産のリスクを適切に管理するための仕組みである「ISMS」です。

ISMSは情報を守るための枠組みであり、組織のセキュリティリスクを評価し、適切な対策を講じることが求められます。データセンターはこのISMSの運用において、物理的な情報の保護を担う極めて重要な役割を果たしています。

ここでは、ISMSとは何か、またデータセンターを選択する際の基準や、ISMSがデータセンターにどのように関わっているかを解説します。

本コラムを読み終えていただければ、ISMSや組織におけるデータセンター選択時の基準について理解することができ、自社にとって最適かつ安全なデータセンター選びを、自信を持って進められるようになるはずです。

まずは、ISMS認証の基礎知識から詳しく見ていきましょう。

1.ISMSはデータセンターを選択する基準

ITの重要性が高まる中で、様々なリスクを回避するために必要不可欠になってくるデータセンター。
ISMSは、データセンターを選択する際の、重要な基準の1つです。

そもそもISMSとは、情報セキュリティマネジメントシステムの略称であり、簡単に説明すると「情報を守るための仕組み」のことです。

組織のマネジメントとして、企業や組織が保有する情報資産を保護すると同時に企業や組織に存在する、または起こりうるリスクを特定します。これにより、必要なセキュリティレベルを定め、計画（Plan）に基づき資源を配分して、システムを継続的に運用・改善していることを証明できるのです。

2.ISMSの国際規格「ISO27001」

ISO27001を取得しているデータセンターは、情報セキュリティ管理体制が第三者機関によって確認されているため、選定時の判断材料の一つになります。データセンターでは、情報漏洩対策やセキュリティリスクへの対策が適切に行われています。ISO27001の認証を得るには、3つの要件をすべて満たす必要があります。

（1）機密性(confidentiality)

情報に対するアクセス権を保護し、悪意のあるデータ利用や人的ミスによる情報流出などを防ぐアクセス権等の設定のことです。

アクセスできる人間を管理することで、万が一トラブルが発生してしまったとしても原因解明も行うことができるため、その後の厳重なセキュリティ構築も可能になります。

（2）完全性(integrity)

情報データが正確であり、最新のものである状態のことです。情報の信頼性を維持するために、変更履歴やデータが正当なものであることを検証する仕組みが不可欠となります。

一般的な企業の情報に完全性がなければ、企業自身はもちろん、その企業の取引先などにも大きな混乱と損失を招く事態になる可能性があります。

（3）可用性(availability)

正当な権限を持つユーザーが、必要な時にいつでも情報やシステムを利用できる状態を維持することです。

また、サーバーやネットワークが停止せずに稼働し続けるだけでなく、アクセスが集中した際にも応答速度が極端に低下せず、安定して利用できることも可用性に含まれます。

情報セキュリティには、先述した3要素に加えて、新たに4つの新要素があります。

• 真正性
• 信頼性
• 責任追跡性
• 否認防止

この4つが新たに加えられた新要素になります。
これらは情報が後から否定されない状況を作ることで情報セキュリティを確保することが出来るのです。

ISO27001を取得しているデータセンターは、情報漏洩対策やセキュリティリスクへの対策が適切に行われているため、高いセキュリティレベルを維持することが可能となります。

3.ISMS認証を取得するメリット

データセンターとは、サーバーを安全に保管するための施設のことです。
万が一の災害対策も徹底されており、ISO 27001を取得することで、運用の透明性とセキュリティレベルのさらなる向上につながります。

（1）建物構造

大きな地震に見舞われた場合、データセンターが耐震・免震構造であると、建物の崩壊だけでなく、サーバーやIT機器の落下による物理的破損のリスクを軽減できます。

耐震構造

地震のエネルギーを建物自体が吸収して軽減する構造

免震構造

建物自体の揺れを軽減する構造

制震構造

建物自体に地震エネルギーを吸収できる制振部材を組み込み、揺れを軽減する構造

安全性の高いデータセンターは、このような建物構造のため、地震が発生しても建物が被害にあうことなく、サーバーへの影響も最小限に留めることができます。

ISMSの国際規格であるISO27001に適合した運用を行うことで、地震だけでなく、不正侵入の防止や、あらゆる自然災害によるデータ損壊のリスクを最小限に抑えることができます。

（2）電源設備

データセンターでは、ネットワークやサーバーを運用するにあたり、安定した電源の確保が必要ですしかし、災害によって停電が発生した場合、機器の故障や業務の停止につながるおそれがあります。このような事態を避けるために、多くのデータセンターでは無停電電源装置と非常用発電機を備えています。

停電がどのくらい長く続くか分からない場合もあるため、複数の非常用発電機や無停電電源装置が備わっていると緊急時でも安定して業務が行えるため、設置されているか確認しておくと安心です。

さらに、ISO27001に基づいた管理策を講じることで、停電による機器トラブルが発生した際も、事業継続計画（BCP）に基づき、システム全体の致命的な停止を回避するための備えがなされます。
また、ISMSでは目標復旧時間（RTO）などを設定し運用するため、万が一の際も復旧の目途が立てやすいというメリットがあります。

（3）空調設備

サーバーの高性能化・小型化に伴い、高密度の状態で設置されることも多くなり、発熱量も多くなるため、冷却の効率性が求められます。

データセンターでは、熱放射による温度の上昇を抑制し、適切な温度に保つ空調機器が設置されています。

空調機器が故障した場合でも、安定的にサーバーを稼働できることが理想的です。

自然災害によって空調設備に異常が発生し、使用できない状況になると、安定的にサーバーを稼働できることが理想であるデータセンターの役目が損なわれてしまいます。
そのためにも、ISO27001の基準に沿って、必要な時にいつでも情報やシステムを利用できる「可用性」を維持していくことが不可欠です。

4.まとめ

いかがでしたか？

ISMSや組織におけるデータセンター選択の基準について理解することはできたでしょうか。

IT化や情報化が進む現代において、様々なリスクを回避しながら機密性の高い情報を確実に守ることができるかが重要になってきます。

そこで活用すべきなのが、ISMS認証を取得しており、物理的・組織的なセキュリティ対策が備わっている安全性の高いデータセンターです。

選択を誤ると、セキュリティリスクの増加やシステムダウンによる事業機会の損失、予期せぬコストの増加などが生じてしまう可能性があります。

データセンターを選択する際は、セキュリティ、信頼性、コストパフォーマンス等を総合的に評価し、自社の要件に合致した最適なデータセンターを選定しましょう。