.



  南山大学は2003年3月27日に大学として世界で2例目、国内では初めてとなる情報セキュリティマネジメントシステム(以下、ISMS)の国際的な標準規格である『BS7799』の認証を取得した。また、国内の大学としては初めて、国内の標準規格である『ISMS適合性評価制度』の認証も取得した。なお、今回の認証取得の対象範囲は、学生の履修登録や成績管理など教務関連の全業務となっている。ISMS構築および継続運用の効果および認証取得の意義等について、ここで紹介する。

【情報セキュリティへの誤解】

 情報セキュリティという言葉でよく誤解される2つの点を解きながら、情報セキュリティとは何かを説明する。
 1つ目は、『情報セキュリティ=機密性』という誤解である。情報財産は、機密性だけではなく、可用性と完全性の2つの要素を加えた3要素から成り立っている。可用性とは、利用できる状態を保証することである。完全性とは、情報の内容が正しい状態にあることを保証することである。昨今、新聞紙上を賑わしている情報システムのダウンは、可用性を維持できなくなる情報セキュリティ事故である。また、ホームページの改ざんは、完全性が維持できなくなる情報セキュリティ事故である。したがって、情報セキュリティとは、情報財産を構成する三要素(機密性、可用性、完全性)を維持することを示す言葉である。
 2つ目は、『情報セキュリティ=IT分野』という誤解である。情報セキュリティが対象としている情報財産の形態は、電子媒体のみならず紙媒体や頭の中にある情報と幅広い。情報財産を保護することは、ファイアウォール、暗号化などの技術的対策だけでは完全ではない。特に人の管理が重要な位置を占める。極端に言えば、情報セキュリティはコンピュータがない時代でも通用する考え方である。最近、情報セキュリティが脚光を浴びている理由は、インターネット、WEBシステムが普及し、それに比例するように機密情報漏洩等の情報セキュリティ事故が多発しているからである。しかし、本来の情報セキュリティは、すべての業種・業務に適用できる考え方である。この考え方を実践するためには、次の段落で記すISMSの構築および継続運用が必要となる。

【ISMS構築および継続運用について】

 情報セキュリティを確実に行うためには、それを管理する仕組みが必要となる。この仕組みのことを、ISMSと呼んでいる。
 ISMSはそれを構築しただけでは何の意味もない。これをPDCA(Plan-Do-Check-Act)サイクルで継続して運用することが重要となる。『BS7799』も『ISMS適合性評価制度』も、認証時の重要な審査ポイントは、組織内で情報財産が保護される仕組みが、継続して確実に運用されているか否かにある。
 ISMSの内容および継続運用が保証されれば、対外的にも学内的にも、『南山大学は保有する情報財産を確実に保護する仕組みを持ち、日々の運用もしっかりしている。』と言えるのである。

【ISMS構築および継続運用がもたらす効果について】

 ISMSはすべての業務および情報システムの基盤となる。基盤がしっかりしていれば、その上に構築する業務や情報システムには、次に示すメリットを享受できる。
◇情報セキュリティ対策投資の最適化
 従来は、見えない脅威に怯え必要以上の情報セキュリティ対策をしがちであった。ISMSでは、情報財産に対するリスクアセスメントを行い、リスクを明確化し許容できるリスクレベルまで低減するような管理策を施す。リスク管理から導かれた最適な管理策を実施することにより、情報セキュリティ対策にかかる投資の最適化が実現できる。
◇情報システムが持つ利便性の有効活用
 従来、情報セキュリティと情報システムが持つ利便性とは、トレードオフの関係にあった。ISMSは、適切な情報セキュリティ対策を施すことによって、情報システムが持つ利便性を最大限に引き出すことを可能とした。
◇情報財産取り扱い方法の統一化および徹底
 従来は、主観的な判断基準で情報財産の取り扱い方法を決めていたが、現在は客観的な判断基準に則った取り扱いの徹底を関係者に依頼している。特に、教員が保有する教務関係の情報財産を明確化し、どのように扱うべきかの徹底も図った。

【認証取得の意義】

 『BS7799』の認証を取得した意義は、国際標準規格に則ってISMSを構築し継続運用することにより教務関連業務で扱う情報財産を第三者が審査する制度によって適切に管理されていると証明できることである。つまり、大学設置基準に代表される教育・研究への『第三者評価制度』に相当する客観性を本学ではこの情報セキュリティマネジメントシステムの認証取得によって全国の大学で最初に事務的な分野に導入したこととなり、その意義は非常に大きいと言える。この認証取得によって学内関係者はもちろんのこと、広く社会に対する説明責任が果たされるものと期待する。
(大宮則彦 総務部事務システム課長)


「 BS7799 認証書 」