適用範囲関連資料のフロア図およびネットワーク構成図の作成について
適用範囲関連資料のフロア図作成の際、高レベル・中レベル・低レベルとスペースを分けていますが、3つのレベル分けは必要なのでしょうか。
ネットワーク構成図では、大まかなサーバーのみの記載で大丈夫でしょうか。
適用範囲を定義するための図面作成における情報の詳細度について、実務的な観点から回答申し上げます。
結論から申し上げますと、「物理的・論理的な境界」が明確であり、リスクに応じた対策を説明できる状態であれば、過度に細分化する必要はありません。
1. フロア図のセキュリティレベル分けについて
規格(JIS Q 27001)において、必ず3つのレベル(高・中・低)に分けなければならないという決まりはありません。管理のしやすさを最優先に検討してください。
- 全体を一律に扱う:
小規模なオフィスや、全域で同等の入退室管理を行っている場合は、フロア全体を「単一の最高レベル」として定義する方が運用ミスを防げます。 - 区分けが必要なケース:
サーバールームや重要書類保管庫など、他のエリアと明確に「入室権限」を変える必要がある場所のみ、レベルを分けて管理します。
ワンルームのオフィスであれば、無理にエリアを分けるよりも「全域が最重要エリア」と定義し、入り口のセキュリティを強固にする方が合理的です。
ちなみに、ワンルームマンションなどの企業などでは、フロアー全てを”高レベル(最高レベル)とした事例もあります。
2. ネットワーク構成図の記載範囲について
こちらの作成意図としては、フロア図と同じです。ネットワーク図は「情報の境界線」を確認するためのものです。精緻な図面よりも「構成の論理性」が重視されます。
ネットワークでつながっているということは、例えばフロアとフロアの間にドアがあるということなので、そこを自由に行き来ができるのかどうかや、もともとつながっていない別のネットワークグループなのかを把握することで、それぞれに応じた対策を講ずることが可能となります。
ちなみに、上記の理由から、情報資産とかかわりが無いネットワークは、ここでは管理対象外となります。
ご質問の「サーバのみ」で管理やアクセス制限、取扱いのルールなどを取られるのであれば、それに関するもので構わないと思います。
口頭も含め、審査員に社内のメットワーク構成が説明できるレベルであれば良いかと思います。
- サーバー中心の記載でOK:
サーバー、主要なネットワーク機器(ルーター、FW)、外部接続点などが記載され、アクセス制限の仕組みが説明できれば十分です。 - 審査対応のポイント:
ネットワーク的に切り離されている場所や、外部からの接続経路(VPN等)がどこにあるかなど、セキュリティの境界を口頭で補足説明できるレベルを目指してください。
審査員が確認したいのは、図面の精緻さではなく、「ネットワークの境界がどこにあり、どう守られているか」という点です。例えば「サーバーと一般端末のセグメントが分かれているか」「ゲスト用Wi-Fiが業務網から独立しているか」などが口頭を含め説明できれば十分です。
3. 有用性を高めるアドバイス
ISMSの資産と関わりのないネットワークは管理対象外として整理し、図面をシンプルに保つことが継続的な運用のコツです。過度な詳細化は、構成変更時のメンテナンス漏れを招き、審査での指摘事項になりかねません。
また、ISMSの管理対象(情報資産)と関わりがないネットワーク(例:来客用の独立したインターネット回線、IoT家電専用の回線など)は、管理対象外として記載を省略、または簡略化して構いません。
サンプル文書をベースに、貴社の実際の運用環境に照らし合わせて、貴社にとって「説明しやすく、維持しやすい」という粒度まで情報を削ぎ落として(あるいは集約して)カスタマイズしていただくのが最適です。
