お問い合わせ

INFORMATION お役立ち情報

2025.02.04

ISO 27001の管理策 5.14「情報の転送」とは? 安全なデータ移動のポイントを解説!

1. はじめに

ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格であり、組織の情報資産を適切に保護するための基準を提供しています。
その中でも**管理策5.14「情報の転送」**は、社内外のネットワークを通じて情報をやり取りする際の安全対策を規定する重要な管理策です。
企業がクラウドサービスを活用し、リモートワークが普及する中で、安全な情報転送の必要性がますます高まっています。
本記事では、管理策5.14の目的、リスク、適切な転送方法、実施ポイントについて詳しく解説します。

2. 管理策5.14「情報の転送」の目的

情報の転送とは、組織内部や外部との間でデータを送受信するプロセスを指します。これには電子メール、ファイル共有、クラウドストレージなどさまざまな手段が含まれます。この管理策の目的は以下の3点です。
➤ 情報の機密性・完全性・可用性を維持
転送中のデータが不正アクセス、改ざん、紛失などのリスクから守られるようにする。
➤ 情報漏えいの防止
適切なセキュリティ対策を講じることで、不正なデータ持ち出しや漏えいを防ぐ。
➤ 法令や規制の遵守
GDPRや個人情報保護法、業界規制(金融、医療など)に準拠し、適切な情報転送を実現する。

3. 情報の転送に伴うリスク

情報の転送には、さまざまなセキュリティリスクが伴います。以下のようなリスクを考慮し、適切な管理策を導入することが重要です。
(1) 不正アクセス・盗聴
公共のWi-FiやVPNなしでの通信は盗聴のリスクが高まる。
メール添付ファイルの誤送信や、機密情報を含むメッセージの誤送信が発生する可能性がある。
(2) データの改ざん
転送中にデータが改ざんされると、偽の情報が広がる危険がある。
(3) 情報の紛失・誤送信
USBメモリや外付けHDDを利用したデータ転送では、紛失リスクが高まる。
クラウドストレージでの誤ったフォルダ共有設定による情報流出が発生する可能性がある。

4. 安全な情報転送のための実施方法

ISO 27001の管理策5.14では、安全な情報転送のために以下のような具体的な対策を推奨しています。
(1) データの暗号化
対策例:
**メールの暗号化(S/MIME、PGP)**を導入する。
**TLS(Transport Layer Security)**を使用して、安全な通信を確保する。
ファイルの暗号化(AES-256など)を行い、パスワードを別経路(SMSや電話)で共有する。
(2) 安全な転送手段の選択
推奨される方法:
**HTTPSやSFTP(Secure File Transfer Protocol)**を使用してファイルを転送する。
**VPN(仮想プライベートネットワーク)**を利用し、安全なネットワーク環境を確保する。
**社内のファイル転送システム(Secure File Sharing)**を活用する。
(3) アクセス制御と認証の強化
**二要素認証(2FA)**を導入し、不正アクセスを防ぐ。
**アクセス権限の最小化(必要な人だけがアクセスできる仕組み)**を徹底する。
監査ログを取得し、誰がいつデータを転送したかを記録する。
(4) USBメモリ・外部ストレージの利用制限
重要情報のUSB保存を制限する(社内ポリシーで禁止)。
DLP(データ損失防止)ツールを導入し、不正な持ち出しを検知する。
持ち出しが必要な場合は、暗号化されたUSBメモリを使用する。
(5) メール・クラウドの設定管理
メール誤送信防止機能を導入(送信前確認、上長承認など)。
クラウドストレージの公開設定を定期的にチェックし、意図しない公開を防ぐ。

5. 情報転送管理を導入する際のポイント

セキュリティ教育の実施
従業員向けの研修を行い、安全な転送方法を徹底する。
「社外へ送信する前に確認する」文化を根付かせる。
セキュリティポリシーの策定
「どの情報を、どの手段で送るべきか?」というルールを明確にする。
外部へのデータ送信には、上長の承認を義務付けるなどの手順を整備する。
最新のセキュリティ対策を適用
OSやセキュリティソフトを最新状態に保つ。
VPN、DLP、MFA(二要素認証)などの技術を導入する。
定期的な監査と改善
転送ログを監査し、不審なデータ転送がないかを確認する。
セキュリティポリシーを定期的に見直し、最新の脅威に対応する。

6. まとめ

ISO 27001の管理策5.14「情報の転送」は、機密データを安全にやり取りし、情報漏えいリスクを最小限に抑えるために重要な施策です。データの暗号化、安全な転送手段の確保、アクセス制御の強化、USBメモリの使用制限など、適切な対策を講じることで、情報の安全性を確保できます。

組織のセキュリティを強化するために、適切なポリシーを策定し、従業員の意識を高めることが重要です。
ぜひ、この記事を参考にして、安全な情報転送の仕組みを構築してください!

一覧へもどる

CONTACT お問い合わせ

お電話、お問い合せフォームから随時ご相談を受け付けております。
事前のご予約で、夜間・土日祝日でも対応可能です。

\ 事前のご予約で、夜間・休日も対応可能 /

06-6355-4788

営業時間:9:30~19:00定休日:日曜日

お問合せフォームはこちら(24時間受付)