富士通のセキュリティマネジメントフレームワーク(SMF)

セキュリティマネジメントフレームワーク（SMF）とは

情報セキュリティ管理は、セキュリティ機能を持つシステムを効果的に運用するために、それを取り巻く人や組織がどのように行動しなければならないかを示すことが必要です。この分野の先駆となり、現在もセキュリティの分野で大きな影響力を持っているのが、1995年に英国で制定されたBS7799です。

わが国のセキュリティ管理の公的認証制度としては、ISMS（Information Security Management System）適合性評価制度が、この文書の規定に沿って設計されました。この文書では、セキュリティ対策を有効に実行するために必要となる組織やプロセス、物理的環境、システムへの要求事項などが幅広く取り扱われています。2005年にISO化され、ISO27001に統一されました。

一般的には、他のマネジメントシステム同様に、セキュリティプロセスにおいてもPlan-Do-Check-ActのいわゆるPDCAループをまわすことによってプロセスを成熟させていきます。

ISO27001では、
（1）適用範囲を決め、
（2）保護すべき情報資産を洗い出し、
（3）リスクを分析し、
（4）管理策を策定します。また、
（5）それらを文書化し、そのドキュメントに基づき、
（6）各種のセキュリティプロセスを実行に移していきます。

このようなセキュリティのマネジメントシステムをどのように構築するかといったフレームワークが重要となります。

ページの先頭へ

富士通のセキュリティマネジメントフレームワーク

ISO27001の要求に従い、公的認証制度に適合することは企業にとって多くのメリットがあることです。しかし、マネジメントシステムをゼロから構築し、運用したうえで、認証を取得するのは、非常に時間とコストのかかる作業となります。

当社では、セキュリティマネジメントシステムを構築・運用するにあたり、いきなりISO27001の要求に従ったシステムを構築することが、すべての企業にとって最善であるとは考えません。それよりも、企業の成熟度合いにあった自分達のセキュリティマネジメントのフレームワークを考えて、それに基づいて、マネジメントシステムを構築することが重要です。その上で、継続的にPDCAループをまわすことによって、プロセスを成熟させていくことを目指します。

この考えに基づき、また、経営者の視点から見た情報ガバナンスの確立の為のマネジメントフレームワークとして、「富士通のセキュリティマネジメントフレームワーク」の考え方を公開いたします。