ISMS（ISO27001）のセキュリティ対策は、技術的対策、物理的対策、人的対策の３つの側面から考えられます。
ISMS（ISO27001）の具体的なセキュリティ対策としては、①ログ監視の導入、②ソフトウェアのインストールを制限する、③オフィスの入口に生体認証を導入する、④従業員教育の４つが挙げられます。

１．ISMS(ISO27001)って？

ISMS（ISO27001）とは、情報セキュリティに関する国際規格で情報セキュリティマネジメントシステム（ISMS）を構築し、情報の機密性、完全性及び可用性を維持し、『企業にとって大事な情報が外部あるいは内部に流出してしまうリスクや、使いやすい状態で管理されることを、体制を組んで対策していこうとするもの』を指します。

高度なセキュリティ技術や高度なスキルを持った人材に頼らず、会社の仕組みや体制で
対策していこうというものが、ISMS（ISO27001）です。

ISMS（27001）の詳細はこちらの記事をご覧ください。
ISMS（情報セキュリティマネジメントシステム）とは？

２．ISMS(ISO27001)はどんなセキュリティ対策が必要？

ISMS（ISO27001）には大きく技術的対策、物理的対策、人的対策の３つのセキュリティ対策の方法があります。

（１）技術的対策

技術を用いてセキュリティに対策していく方法で主にソフトウェアから対策する方法です。
具体的には、「ウイルス対策ソフト」「ログ監視」「アクセス制限」などです。

技術的対策をしていれば人に依存せず管理することができます。
ツールやサービスの導入が一般的ですが、ランニングコストの発生や設定する管理者が必要という点があります。

例えば、社外に漏らしてはいけない社外秘情報をそもそもアクセスできないように制限するということで漏えいリスクを軽減することができます。

（２）物理的対策

物理的なハードウェアでできる対策する方法です。
具体的には「鍵付きキャビネット」「監視カメラ」「入退室の生体認証」などです。

物理的に情報や情報資産を取られない、見られない、聞かれないように対策することで
そもそも情報に行き着けないようにすることでセキュリティリスクの軽減が期待できます。
物理的な対策は場所や会社の状況でそもそもできるかどうか大きく変わってきます。
対策することでリスクを軽減できますが、どこまで取り入れるか検討しましょう。

（３）人的対策

従業員のミスや不正などを人による対策をする方法です。
具体的には「教育」「ルール整備」「見える化」などです。

個人情報を多く扱う場合は
ダブルチェックをしてから作業するなどルールを決めて運用しましょう。

３．ISMS(ISO27001)の具体的なセキュリティ対策４つを紹介

様々なセキュリティ対策がありますが、ISMS（27001）を取得・運用する上で具体的な対策をご紹介します。

（１）ログ監視の導入（技術的対策）

ログ監視を導入することで抑止力にもなり従業員の不正の軽減につながるでしょう。
「漏えいの８割は社内から起こる」と言われておりますので、導入を検討しましょう。

（２）ソフトウェアのインストールを制限する（技術的対策）

業務に必要なソフトウェアをインストールし、最悪の場合マルウェア感染するなどのリスクを軽減します。
また技術的に制限することで管理する手間を削減することもできます。

（３）オフィスの入口に生体認証を導入する(物理的対策)

入口から徹底的に対策することと誰がいつオフィスに出入りしたかログを残すことで
何かあった際に追跡することができます。

（４）従業員教育（人的対策）

最後に従業員教育です。うっかりミスや不正を防ぐために情報を漏えいさせた場合個人にどんな損害がいくのか？日々ルールを徹底することでセキュリティリスクを下げましょう。

まとめ

ISMS（ISO27001）のセキュリティ対策は、技術的対策、物理的対策、人的対策の３つの側面から考えられます。

• （１）ログ監視の導入（技術的対策）
• （２）ソフトウェアのインストールを制限する（技術的対策）
• （３）オフィスの入口に生体認証を導入する（物理的対策）
• （４）従業員教育（人的対策）

費用が発生することもありますのでどこまでのリスクなら受容するのか、今一度検討してください。

「頭では理解できても、実際の業務に置き換えるとまだわからない…」というケースも多いと思います。
お困りの際は、是非コンサルタントにご相談ください。