 |
事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第5回 国内最大規模・範囲でのISMS認証取得
〜 富士通エフ・アイ・ピー編 〜
| 武田文子 2003/5/16 |
|
||
今回は、対象事業所およびサービス内容において国内最大規模・範囲でISMS認証を取得した富士通エフ・アイ・ピー株式会社を紹介する。登録範囲は全国8カ所のデータセンタ、対象人員は820名になる。当時のISMSWG(ISMSワーキンググループ)のメンバーである柴崎幸一氏にお話を伺った。
■“日本初のデータセンタ”でのISMS認証取得
日本で初めてデータセンタを立ち上げたという歴史を持つ同社は、以前から“データ”に対する安全性・信頼性は業務上必須であるという認識を持っていた。そのためセキュリティに対しても従来から注力していたという。
 |
| 富士通エフ・アイ・ピー株式会社 アウトソーシングサービス本部 センタ管理統括部長(兼)管理部長 柴崎幸一氏 |
安対制度(情報処理サービス業情報システム安全対策実施事業所認定制度)は昭和50年ごろから取得を開始し、既に全センタで取得済み。1999年12月にはデータセンタ部門でISO9001認証を取得。同認証の2000年バージョンも2002年10月には全国のセンタで取得している。また、1998年9月には全社規模でプライバシーマークの認証を取得。“安全対策・セキュリティ対策は、当然取り組むべきもの”というスタンスが確立されていた。
このため、安対制度が廃止され、それに代わる新しい基準であるISMS認証が制定されると聞いた時点で、全国のセンタの担当役員がISMS認証取得を決断。トップダウンで推進したという。「現場でも“安対制度に代わるもの=ISMS認証”という認識がありました。このため、“安全対策の継続のためにもISMS認証を取らなきゃいけない”と当然のように思っていましたね」と柴崎氏も語っている。
ところで、認証取得はビジネスに具体的なメリットをもたらすのか? これは、気になるところだ。認証がないと入札に参加できないとか、見積書の内容が同条件のときは認証を取得している企業を選ぶ、といった話を聞くことがある。しかし、「ビジネスメリットうんぬんよりも、取るのが当然という意識でした」と柴崎氏が語るように、取得事業者側は、最初から具体的なメリットを勘定に入れているわけではないようだ。同社のセンタのように、30年近く前から安全対策に取り組んでいる事業所の場合、利益やステータス、話題性といった外に対する意識よりも、安全対策の充実という内に向けた視線で認証取得に取り組んでいる。「当面のメリットは、社内的にセキュリティに対する意識・認識がより一層高まったことですね」と柴崎氏も語っていた。ちなみに、このシリーズの取材でお会いした各企業の担当者の方はいずれもこうした意識をお持ちだ。ビジネスチャンスを広げることは大事だが、それ以前の、もっと基本的なセキュリティ対策に対する真摯(しんし)な姿勢を感じる。
さて、実際の取得に向けての動きだが、同社の場合、パイロット版(Ver.0.8)から活動を開始した。全国8カ所のデータセンタすべてで認証取得を計画。ただし、ISMS認証は初めて取り組む基準のため、当初は東京センタおよびビジネスオペレーションセンタの2カ所での取得を目指したという。「新しい仕組みゆえ、事情が分からない――試行錯誤するだろうということは分かっていました。このため、最初の2カ所でノウハウを蓄積してからほかのセンタで取ると最初から決めていたのです」(柴崎氏)
この手順は理にかなっているが、同社が大胆なのは、この最初の2カ所が業務内容・対象人員ともMaxである点だ。ISMS認証に限らず、認証取得は“小さく取って大きく広げる”(小規模部署で取得し、手法を確立した後、徐々に対象部署を広げる)方法がベターだといわれているが、同社の場合、最初にMax規模での取得を決めた。「最初にMaxで取得しておけば、ほかのセンタで取得するとき(作業が)スムーズに進められますから」と柴崎氏は語るが、実際の作業はやはり大変だったようだ。
パイロット版のためのISMSWGは専任ではなく、6名からなるワーキンググループ形式で発足。オペレーションや設備など、各ジャンルを網羅するように、それぞれのスペシャリストを選び、リーダーには社内で“安対のスペシャリスト”と呼ばれている人が就任した。しかし、2001年6月に作業を開始したものの、申請は12月にまでずれ込んでしまった。最初は、通常業務の合間に少しずつ作業を進める、という状態だったため、基準の確立がなかなかはかどらず、時間がかかったという。「情報資産の定義でかなり議論しましたし、リスク分析は試行錯誤の連続でした。詳細管理策も最初は個条書きで書き出すことしかできませんでした」と柴崎氏は語る。また、ISMS認証基準をどうやって組み立てれば実際に運用する人たちに理解してもらえるかにも苦心したという。「運用する人が分からなくては意味がありませんから。このため、基準を手順書に落としていく作業もずいぶん苦労しました」(柴崎氏)と当時のことを振り返る。
最近は、“ISMS認証を理解するためにはISOを知る”という認識が確立されているが、当時は情報不足ゆえ、この認識がなかった。同社の場合も、試行錯誤を繰り返した後、「ISMS認証がISO900などのマネジメントシステムと同じだと分かった」(柴崎氏)ことで、ようやく作業がスムーズに進行し始めたそうだ。このため、パイロット版申請後、Ver.1.0の申請に向けてISMSWGのありようを大幅に見直した。
 |
| ISMS認証を効率よく運営するには専任の組織が必要だと語る柴崎氏 |
まず、ワーキンググループを解散して専任組織をつくった。基準作成後のフォロー、例えば、運用レベルで現場の声を吸い上げたり、実務に即した改善策をスピーディに実施するためには、やはり専任組織が必要だという。また、新組織には、ISO9000の認証取得にかかわったメンバーを参加させた。ISMS認証をより深く理解し、システムを構築するためにはISOの知識が必須だと分かったためだ。この新メンバーが加わったことにより、Ver.1.0申請の作業は非常にスムーズに運んだという。「パイロット版で作成したマニュアルをISO9000のマネジメント手法を取り入れたマニュアルに作り直すことで、より“実際に作業する現場の人間に分かるような”マニュアルが作成できました。作業の流れに沿ってストーリーを組み立てていくことで“だれが何をやらなくてはいけないか”がより明確になったのです」と柴崎氏は語っている。
ちなみに、この組織は現在、認証関連業務の専任部署としてISO9000/14000やプライバシーマーク、ISMS認証などのマニュアル作成・改版や教育、運用全般を担当している。また、BS7799およびISMS認証の審査員資格を有しているメンバーも所属(既にISMS認証の審査実績もあるという)している。このため、社外への認証取得に関するコンサルティングも業務の一環となっている。
■社員教育はどのようにしているのだろう?
ところで、同社のように対象人員が多い場合、社員教育はどうしているのだろう。“一般的なセミナー方式では対処しきれないのでは”と質問すると、やはり、同社独自のシステムが存在していた。新入社員・中堅社員・管理職(幹部社員)向けのセミナーは必要に応じて実施しているが、それだけではすべてをフォローできない。
このため、eラーニングを利用しているという。Web上にテスト形式で問題をアップし、部署ごとに参加人数や正解率などがレポートされる仕組みだ。問題はISMS認証やISO、プライバシーマークに関するものだけでなく、ビジネスマナーのような一般的な分野からも出題される。社員教育の一端をeラーニングシステムが担う仕組みができているのだ。そのため、セミナーを開催することなく、多様な分野の教育・テストを日常的に実施できる。
さらに、ISMS認証に関していえば、取得対象部署の管理職がパイロット版当初からJIPDEC(日本情報処理開発協会)の説明会に参加するなどして、勉強を兼ねた情報収集を重ねていたという。こうした説明会にはシステム構築・運用の担当者が参加することが多いが、同社の場合、管理職レベルが最初から当事者意識を持って参加していたため、社に戻った後も違和感なくISMS認証に向き合えたそうだ。
なお、最初に2センタでISMS認証を取得した後は、そのノウハウを利用してほかの6センタの認証取得を推進。拡大審査の形で、全国のセンタに広げたという。パイロット版からのノウハウ・実績があるため、予備審査は東京と大阪のみ。ただし、審査の流れを理解するために、ほかのセンタ長が同席したという。一方、本審査は、全センタ一括。東京でオープニングミーティングが行われた後、3名の審査員が分担して全国のセンタを回って審査を実施(その際は、専任部署の担当者が同行した)。審査後は再び東京でクロージングミーティングが行われそうだ。この手順により今年2月に全センタの認証取得が完了した。
「最初からISOの知識・経験を活かして作業を進めれば、パイロット版のとき、あれほど苦労しなかったんですが……」と笑う柴崎氏だが、Ver.1.0以降はこの教訓を活かし、スムーズな作業が可能になった。ISMS認証をマネジメントシステムの1つととらえることで理解が一気に進んだという。「ISOを取得している企業なら、そのノウハウを活かすことで意外とすんなりとISMS認証が取得できるのでは、と感じています」という柴崎氏の言葉は、ISMS認証取得予備軍にとって参考になるはずだ。
◇
| 事業者名称 | 富士通エフ・アイ・ピー株式会社 |
| 事業者部門名称 | 東京センタ/ビジネスオペレーションセンタ/横浜センタ/大阪センタ/東北IDCセンタ/名古屋IDCセンタ/広島IDCセンタ/九州IDCセンタ |
| 対象人数 | 820名 |
| 登録範囲 | アウトソーシングサービス(ホスティングサービス、ハウジングサービス、ビジネスオペレーションサービス、ネットワーク接続サービス)、ECサービス(EDI、電子商取引サービスなど)、ASPサービス、受託計算サービス、カストマサポートディスク |
| 認証基準 | ISMS認証基準(Ver.1.0) |
| 初回登録日 | 2001年12月20日(東京センタ/ビジネスオペレーションセンタ)
2003年2月21日(横浜センタ/大阪センタ/東北IDCセンタ/名古屋IDCセンタ/広島IDCセンタ/九州IDCセンタ) |
| 認証登録機関 | 財団法人日本品質保証機構 |
| 筆者Profile |
| 武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
| 参照サイト | |
| 情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
| BSI Japan | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 連載 情報セキュリティマネジメントシステム基礎講座 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
