企業情報を守るための基本
【実録】ISMS構築・運用ステップ・バイ・ステップ

第4回 ISMSは生かし続けてこそ意味がある

野坂克征
シーフォーテクノロジー
ITセキュリティ委員会
2003/10/2

---

　前回までの説明で、セキュリティポリシーの策定までが完了し、ISMSが確立した。ここで認識しなければならないことは、ISMSを確立したことでISMSが完成したのではなく、“誕生した”ということだ。確立したISMSは、絶えず変化を続け、組織や情報セキュリティを取り巻く環境に対応させ続け、教育による運用の徹底や、内部監査による質の確認を行い続けることにより、初めて“生きて（＝機能して）いる”といえる。逆にいうと、セキュリティポリシーを策定しただけでは、ISMSはすぐに“死んでしまう（＝機能しなくなる）”のである。これは、ISMSが形骸化して単なるお飾りになっていることを意味する。 “死んでしまった”ISMSは意味がない。

　今回は、ISMSを生かし続け、より意味のある、成熟したISMSへ近づけるための運用について説明していく。

※お断り 本連載は、ISMSや情報セキュリティに対してある程度の理解があり、実際にISMSの採用を考えている企業の方を対象としている。用語や仕組みの詳細解説は、セキュリティ用語事典や記事末の関連記事などを参照していただきたい。

ISMSの実施に不可欠の「PDCAモデル」

　生きたISMSを実施するために参考となるのが、PDCAモデルだ。このモデルは、「BS7799 Part2:2002」の規格でも、ISMSの重要な要素として紹介されている。

図1 PDCA（Plan、 Do、 Check、Act）のサイクルモデル

　PDCAは、Plan、Do、Check、Actの4つの事項の頭文字だ。それぞれの事項はおおよそ下記のとおりである。

• Plan：確立
  リスクに対応した管理策を策定することでISMSを確立する。
  
  
• Do：導入および運用
  策定した管理策に沿ってISMSを実行する。
  
  
• Check：監視および見直し
  ISMSが確実に実行されているかを評価または測定する。
  
  
• Act：維持および改善
  Checkの結果に基づき改善を行う。

　中でも、「Do」「Check」「Act」の過程で特に重要視されている「教育」「監査」「継続的改善」「情報収集」などについて説明していく。これらの事項は、いずれもISMSを生かし続けていくために不可欠であろう。

ISMSで重要な「教育」の役割

　ISMSでは、人的セキュリティも範囲に含まれ、教育が持つ役割を重要としている。

●教育規程

　株式会社シーフォーテクノロジー（以下、C4T）において、ISMSを運用する以前は、OJT（On the Job Training）を基調として、具体的な教育プログラムなどを使用した教育は行っていなかった。

　ISMSの運用に不可欠として新たに策定した教育規程は、対象者がセキュリティに対して正しい認識を持ち、それを維持し続けることを目的とした。また、教育の種類は、下記のとおりとした。

• 一般説明会：全社員を対象に年1回行う
• 新入社員・中途採用者への教育
• 社内異動者への教育
• 再教育：セキュリティポリシーに違反した者を対象とした教育を行う
• 契約社員および他社からの派遣社員への教育：上記一般社員向け教育に準ずる
• それぞれの教育に対して、教育対象者、実施担当者、実施内容、実施時期などを明記した

教育を行うということは、その時間、社員を拘束することになる。それぞれの教育を行う目的、対象者を明確にし、業務に与える影響を最小限にとどめるよう、簡潔に行うことが望まれる。また、教育が規程に基づいて確実に実施されたことを記録に残すことも明記するとよいだろう。

●教育部門

　C4Tでは、各教育を行う担当者を、情報セキュリティ教育部門あるいは各部署の情報セキュリティ責任者（C4TにおけるITセキュリティ委員会の委員）とした。

　現状、教育部門は、委員会の事務局が代行している。事務局員は、全従業員を対象とした各教育における教育資料の作成や説明を行うとともに、委員から要望があった際は、各部署で行う教育への立会いや代行説明を行っている。

組織の規模や環境によっては、独立した教育部門を設けた方が効率的かもしれない。

●教育内容

　同社では、全従業員を対象とした教育の内容を下記のとおりとした。

1. 組織の事業概要および特徴と一般的な情報セキュリティの基礎
2. 一般のインシデント事例、関連規格・法規の動向、組織のISMSに対する取り組み姿勢
3. 管理策を実施するための、ISMS規程、関連手順、記録フォームなどの補足説明

　教育への参加は、一般社員はすべて、委員および部長以上は、2.を推奨、3.を必須とした。

　また、社内異動者への教育など、各部署が責任を持って行う教育においては、各部署の情報セキュリティ責任者が、各部署における業務上の特徴や注意点にセキュリティ要件を含む説明を行うこととしている。

各教育の実施担当者は、実施した教育の効果を把握し、必要であれば教育内容を改訂していくべきであろう。

組織が定めたISMSの「監査」の実施

　PDCAサイクルを重視するISMSにおいて、組織が定めたISMSの管理目的、管理策、各種手順などに適合した実施がされているかを確認できる監査は有効としている。

　C4Tでは、外部による監査は、BS7799／ISMS規格認証機関による認証の取得審査および継続審査をもってこれに置き換えている。外部による監査の頻度は、1年に1回としている。

　また、C4Tでは、内部監査も行っている。以下、C4Tが実施している内部監査について説明する。

●ISMS内部監査規程

　C4Tでは、一般の内部監査とは別に、ISMSの実施を監査対象とするISMS内部監査部門（以後、セキュリティ監査）を設けた。ISMS内部監査部門の監査対象は、ISMSを運用する委員会を中心とする組織全体である。

　セキュリティ監査では、ISMSが計画どおりに確実に実施されているかを検証し、ISMSが有効に機能しているかどうかを判定することを目的とした、ISMS内部監査規程を策定した。主な規程の内容は下記のとおりである。

1. 監査部門の位置付け
2. ISMS内部監査における、代表者、監査部門、被監査部門の役割りおよび責任
3. ISMS内部監査の種類と実施頻度
4. 監査内容
5. 実施手順

　ISMS内部監査の種類は、定期監査と随時監査とした。定期監査の実施頻度は、C4Tの企業規模や外部監査の頻度などを考慮した結果、半年に1回とした。

監査を行う目的や監査の対象、どこまでを監査するのかといった監査の深さを明確にすれば、監査を行うべき組織・部門をどうするかがおのずと見えてこよう。どうするかとは、監査部門を外部に求めるのか、内部監査を担当する既存の部門にISMSに関する業務を追加するのか、別途ISMSを対象とした内部監査部門を新設するのか、そのほかの方法をとるのかといったことだ。 また、監査を行う組織・部門が、被監査組織・部門と独立していることが限りなく望ましいということも念頭に置いて考慮するとよいだろう。

●ISMS内部監査の実施

　内部監査の実施は、規程に記した実施手順に基づいて行う。C4Tでは、下記のとおり、内部監査を実施した。

1. 内部監査計画書を作成し、社長の事前承認をとる
2. 監査項目を選択し、チェックリストを作成する
3. 内部監査を実施する
4. 監査の実施結果を報告書にまとめ、社長に報告し、承認を得る
5. 不適合や観察事項を項目ごとにまとめ、被監査部門に回答し、是正処置内容と期日について合意する
6. 監査部門の責任者と被監査部門の責任者（委員会委員長）は、お互いに是正処置内容を確認し、社長に完了したことを報告する

図2 C4T ISMS内部監査体制

監査では、改訂されたまたは新規に施行された法律、影響を受ける国際標準、規格、変更された組織やシステムへの対応がなされているかどうかも監査項目に入れるべきであるため、監査を行うたびに監査項目を選択し直すとよいだろう。 内部監査の実施期間は、企業規模、必要な監査の深さといった観点から決定するとよい。ただし、教育の項でも説明したが、内部監査の実施においても、ある程度社員の時間を拘束することになる。従って、有効かつ簡潔に行うことが要求される。 1回の監査で内容を織り込み過ぎると、監査自体が煩雑になり、確認漏れが多くなる可能性もある。そのような事態を避けるために、各回にテーマを決めて行うことも有効であろう。

有効性を継続的に改善する

　ISMSの規格では、ISMSの有効性を継続的に改善しなければならないことを明記している。

●是正処置

　C4Tでは、ISMSの導入および運用に関連した不適合や不具合の原因を除去することを目的とした、是正処置規程を策定した。

　是正処置の対象となる不適合や不具合は、セキュリティ事故報告、継続審査などの外部監査、ISMS内部監査などにより対応する。関連する事故報告規程、ISMS内部監査規程にも、判明した事象に対して是正処置を行うことを規程しており、当規程と関連付けを行っている。

　規程では、是正処置の実施者に報告書の作成と提出を義務付けている。報告書に記載すべき事項は、

1. 原因
2. 処置内容
3. 実施期日
4. 実施後の評価

としている。また、提出された報告書は、委員会委員長により承認される。

不適合を指摘された担当部署および担当者は、できる限り速やかに、原因を確実に突き止め、再発を防止する対策を実施することが望まれる。セキュリティ事故報告書では、責任の追及ではなく、再発の防止を主たる目的にし、報告を挙げやすい環境を目指している。

●予防処置

　C4Tでは、ISMSの継続において、将来的に発生する可能性がある不適合を未然に防止することを目的とした、予防処置規程を策定した。将来的に不適合が発生する可能性のある事項は、外部からの指摘や、新しい情報の入手により発見されるかもしれない。

　規程では、予防処置の実施者に報告書の作成と提出を義務付けている。報告書に記載すべき事項は、

1. 原因
2. 処置内容
3. リスクアセスメント結果
4. 実施期日
5. 実施後の評価

としている。

　予防処置報告書における、是正処置報告書との違いは、リスクアセスメント結果の記載を義務付けていることである。理由は、起こり得る問題の影響に見合った対策であるかを見極めるためである。また、提出された報告書は、是正処置と同様に、委員会委員長により承認される。

一般的に、不適合を事前に予防するための処置は、是正処置よりも費用対効果が高いとされている。各部門長および運営担当部署は、セキュリティ事故に限らず業務全般において、適切な予防処置が積極的に提出される環境をつくることを目指すとよいだろう。

ISMSをより生きたものにするには

　情報を収集することは、ISMSの規格に特に記載されていることではない。しかし、積極的な情報収集は、予防処置の早期提案に有効であり、ISMSをより生きたものにするには欠かせない要素であろう。

　C4Tでは、他社のインシデント事例や、関連法規の動向、関連規格の動向、新たなセキュリティ技術・システムの発表などに関する情報を収集することを心掛けている。

より多くの従業員が、必要で正確な情報のみを迅速にピックアップし、必要なメンバーのみに伝達および共有することの重要性が認識できるとよいだろう。

事業継続のために気にすべき「法律への準拠」

　C4Tでは、事業内容の特徴から、不正アクセス禁止法、電子商取引法、輸出規制、個人情報保護法などに準拠することとしている。また、知的所有権に関する法令にも準拠する。最近では、個人情報保護法について、「うちは取扱事業者なのか？」「こういった情報は個人情報なのか？」といった社内からの質問が多い。そこで、法律が施行された背景、個人情報・取扱事業者の定義、組織としてどのように個人情報を取り扱うべきなのかを分かりやすく資料にまとめ、全社員を対象とした説明会を開いた。資料の作成、説明は、事務局員が行った。

法律は常に新しく施行され、改定されるものとしてとらえられるべきものである。法律の改定内容によっては、関連するISMS規程も改定する必要が出てくる可能性が高い。従って、新しく施行を予定される法律は、案の時点から目を通しておくとよいだろう。

◇

　今回は、生きたISMSの運用について説明した。次回は、ISMS認証取得とその効果について説明する。

「第3回」へ

「第5回」へ

Index 【実録】ISMS構築・運用ステップ・バイ・ステップ

第1回 ISMS認証取得セキュリティ委員会の役割 　 第2回 情報資産の洗い出しとリスクアセスメント 　 第3回 リスクマネジメントとその管理策 第4回 ISMSは生かし続けてこそ意味がある 　 第5回 ISMS認証取得とその効果

Profile

野坂 克征（のさか　かつゆき） シーフォーテクノロジー勤務。セキュリティインテグレーション部所属。また、ITセキュリティ委員会として、ISMSの構築〜運用にも携わる。JNSA、JSSM、IPSJ、EiC会員。

関連記事
	開発者が押さえておくべきセキュリティ標準規格動向
	実践！情報セキュリティポリシー運用
	電子メールセキュリティポリシー導入の必要性
	書評 情報セキュリティポリシー策定に役立つ4冊!
	情報セキュリティマネジメントシステム基礎講座
	自主性が要求されるセキュリティ対策の新ガイドライン

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）