 |
企業情報を守るための基本
【実録】ISMS構築・運用ステップ・バイ・ステップ
第5回(最終回) ISMS認証取得とその効果
シーフォーテクノロジー
ITセキュリティ委員会
2003/11/29
前回までで、ISMS(情報セキュリティマネジメントシステム)構築プロジェクトの設置から運用までの一連のISMSのPDCA(Plan、Do、Check、Act)サイクルを説明した。最終回である今回は、締めくくりとして株式会社シーフォーテクノロジー(以下、C4T)が、実際に受けた審査での感想やその後の効果に関して、私見を交ぜて紹介したいと思う。
| ※お断り 本連載は、ISMSや情報セキュリティに対してある程度の理解があり、実際にISMSの採用を考えている企業の方を対象としている。用語や仕組みの詳細解説は、セキュリティ用語事典や記事末の関連記事などを参照していただきたい。 |
| ISMS認証取得審査の実際 |
●予備審査の意義
ISMS認証取得の予備審査は、一般に、ISMSの運用を開始してしばらくしてから受けることが望ましいとされている。しかしながら予備審査はオプションであるため、必ずしも受けなくてもよい。受けなくてもよいことであるが、C4Tではあえてこのオプションを受けることにした。その理由は、専門知識を有する外部の組織やコンサルタントなどを利用しない、C4T内部の者のみで独自に構築・運用したものであったため、本審査の前に、どの程度のレベルに達しているかを知っておきたかったからだ。
実際に予備審査を受けたことにより、本審査までに改善すべき事項がいくつか確認できた。また、本審査への不安よりも、C4TのISMSに対する取り組みを評価していただけるという期待感が大きくなった。
さらに、全社員には、外部の審査機関から審査員が訪れるという、ほどよい緊張感を持たせる効果もあった。その後も、本審査へ向けてISMS運用の意識を高く保つことができた。
 予備審査では、組織のISMSについて、規格の要求事項に対する認識のズレや問題点を、本審査の前に把握することができる。また、実際の審査手順を体験することができるため、予備審査を受けるメリットは大きいだろう。筆者の経験からも予備審査を受けることをお勧めする。 |
●本審査の実際
本審査は、2日間で行われる第1ステージと、その約1カ月後に1日半で行われた第2ステージで構成された。審査の期間や間隔は、企業の規模や適用範囲などによるので、参考程度としてとらえていただきたい。
第1ステージでは、規格の要求事項に沿ったISMSの構築がなされているかといったフレームワークが確認され、トップポリシー(基本方針)や対策基準書などの書類審査が行われた。第1ステージでの審査員への対応は、ITセキュリティ委員会事務局(以下、事務局)メンバーが中心となって行った。
トップポリシーの確認として、経営者へのインタビューも行われた。C4Tでは、経営トップとして社長が情報セキュリティに対する考え方をコメントした。インタビューには十分な時間が取られたため、経営陣の意識を高める効果もあったのではないかと思う。
実際には企業の経営者がインタビューに答えるなどの時間や知識を持つことは困難なことである。しかし、コーポレートガバナンスの1つとしてISMSを認識している企業では経営陣の参加に関してもその比率はかなり高いということも聞いている。また、経営陣の参加により金銭的な要件などの決定がスムーズに行えたりするメリットは大きい。 |
特に大きな指摘もなく第1ステージをクリアしたことで、ISMSのフレームワークに関してはある程度の自信を持つことができた。同時に、審査後にいかにして社内のモチベーションを保ったままISMSを維持し続けるか、ということも、より考慮するようになった。
第2ステージでは、適用範囲の各部署を対象とした実地審査が行われた。実地審査では、各部門における業務のフローに関する質問を受け、業務フローにISMSがどう関連しているのかが確認された。第2ステージでの審査員への対応は、各部署の部長と情報セキュリティ責任者(C4TにおけるITセキュリティ委員会の委員)が行った。
第2ステージにおいても審査員からの特に大きな指摘はなかったが、ISMSを運用するうえで参考となるアドバイスをいろいろといただくことができた。指摘事項でなくても、外部から見て気になった部分ということを理解して、対策が必要なのかよく検討することが重要だと思う。
審査は、第1ステージから第2ステージまでを通して、サンプリング手法を用いて行われた。サンプリング手法とは、短い審査期間では全体を確認することが困難なため、審査員が最低限必要と判断する、全体のうちの一部をランダムに抽出した資料を確認することにより、規格の要求事項への適合性が十分であるかを判断する手法である。審査を受ける側としては、できる限り詳細まで見てもらうために、事務局から各部門に対して積極的に現場を開示するように求めた。
サンプリングから漏れた対策部分は、サンプリングに対する評価を参考に、審査を受けた側が判断することになる。最終的により広範囲で詳細な部分まで規格への適合性を判断したい場合、代表とするサンプリングをある程度絞っておくとよいかもしれない。ただし、多くの場合、サンプリングは審査員側から指定される。従って、部分的にしか実施していないものや、できている部分だけをサンプリングに使ってもらおうということであれば、通用しないので、やめておいた方がよい。 また、前述したとおり、審査員のアドバイスに耳を傾けると自社に足りなかった考え方が認識できると思う。サンプリングされなかった部分に対しても、アドバイスを考慮して再度検討し直すと、新たなリスクを防止できるかもしれない。 |
●継続審査とそのサイクル
審査登録機関では、ISMSの認証登録を維持するために、半年または1年に1回の周期で、継続審査を受けることを義務付けている。継続審査では、前回の審査における指摘事項に対するフォローアップ状況やISMSの実効性の確認を行うことを目的としている。
C4Tでは、ISMSを対象とした内部監査を半年に1回行うこととし、審査登録機関による継続審査を1年に1回のサイクルで受けることとした。先日2回目の内部監査を実施したが、監査員が同じ社員であるため、監査部門と被監査部門の線引きが難しく、監査内容に対して「ではどうしたらよいか?」と監査される側が監査員へ相談することも多かった。人的に余裕のない組織ではこのような問題も起こり得ると思うが、内部監査自体が形骸化しないように工夫して運用していくことが課題である。社員の意識を常に高く保つためには、審査登録機関による継続審査のサイクルを縮めることも有効だと思われる。
外部審査において審査登録機関が保証するのは、“認証審査を行った時点”のISMSであり、数日後、数カ月後を保証するものではない。ISMSは日々の環境の変化に対応して継続的に運用していかないと、意味をなさない。継続審査直前に急いで準備したとしても、ひょっとしたら認証マークは維持できるかもしれないが、審査前後以外の期間は形骸化していることになる。 ISMSを形骸化させることは、情報漏えいを起こすなどのセキュリティ事故につながる恐れがあることを十分認識しておく必要がある。社員の認識を維持し続けるために、継続審査をうまく活かしたサイクルを考慮するとよいだろう。 |
| ISMSの導入効果は? |
ここからは、ISMSを導入したことによって得られた効果について記述する。
●物理的対策による効果
新しいオフィスへ移転し、ICカードを併用した入退室管理システムの導入などの物理的な対策は、社員が理解しやすく、かつ高いセキュリティ効果が得られた。例えば、部屋の出入り時にICカードを使用する程度のことを一般社員が特に意識する必要はないが、入退室管理においては高い効果を得られる。
物理的対策は、導入によって業務の手間が増えるなどの目に見えるデメリットが少ないため、社員に受け入れられやすい。また、特別な意識を持つことなく効果が持続できることもあり、大きなメリットになる。 問題は、コストが掛かるため、経営陣が費用対効果を判断できるようなリスクマネジメントを行うことが不可欠である。 |
●ISMS規程の導入による効果
セキュリティ対策のためにISMS規程を策定したわけだから、規程を順守することによってセキュリティ対策が取られるのは当然だが、それによって得られた副産物も多くあった。
下記に、筆者が気付いたいくつかの効果を挙げる。
- 業務に関連する行為についての記録を義務付けたことによって、過去にさかのぼっての検索が容易になった。
- 情報資産(主に紙媒体)について、電子的な共通の台帳への記入とリスクアセスメントを義務付けたことにより、業務に関係のないものがなくなり、デスク周りがきれいに整理された。
- 情報資産(電子データ)について、保管場所も台帳に記すこととしたため、ほかの社員が作成したデータも探しやすくなった。
- 情報資産の追加・見直しは、自身の業務を見直すきっかけにもなり、これを行う際には業務の効率化を意識するようになった。
以上の効果により、間接的ではあるが通常の業務効率もアップした。
ISMSの規格の要求事項には、文書を管理することや記録を取ることが義務付けられている。そのため、導入前や導入の直後には、作成する書類が増えて通常の業務の効率が悪くなるという社員も当初は多くいた。しかし、ISMSの導入から半年あまりたつ現在は、そのような声はほぼなくなり、逆に、上記に記したような効果を感じている者も多くいる。
さらに、ISMSが運用されている現在の環境を当たり前のこととして受け入れられる新入社員は増えていく。また、文書による規則を作ったことにより、何をすればよくて、何をするとよくないのかが明確になり、規則に従わない行為に対して、注意する側もしやすく、注意される側も納得しやすくなった。当初渋々従っていた社員も、このような環境の変化に影響を受けて少なくなった。
新しい試みを始める際には、業務に与える影響や費用対効果などを意識し、不安に思われる方もいるだろう。業務の効率が極端に下がることのないように最初の規程の内容を考慮することも重要だ。 さらに、施行した後は、業務がやりやすくなったと思える“仲間”をいかに増やしていけるかが重要であったように思う。そのためには、小まめな教育や内部監査の実施は不可欠である。また、認証取得後のモチベーションの低下(気の緩み)を防ぐための方法も検討しておいた方がよいだろう。 |
| ISMS認証取得の効果は? |
審査登録機関からのお墨付きは、Webページ、名刺、会社案内、プレゼン資料などへ認証マークを表示することにより、対外的にアピールできる。認証を取得して以来、「ISMSを構築したいのだが支援をしてもらえないか?」などの相談もくるようになった。しかし、認証の取得は、手段であって目的であってはならない。
認証取得によって得られた何よりも大きいメリットは、自社が構築し運用しているISMSが、認証取得基準をクリアする質の高いシステムであることが確認できたことだ。ISMSは構築よりも運用し続けていくことが重要であり、パワーも必要だ。基のシステムに自信を持てれば、システムの質を維持し続ける甲斐もあるというものだ。
今後も新しい脅威が絶えることなく発生し続けることであろう。対応するための基礎を築いておくのは早い方がいい。
◇
今回で連載は終了です。この連載が読者の皆さんの今後のISMS認証取得の手助けになれば幸いです。ご愛読ありがとうございました。
 「第4回」へ |
|
||||||||||
|
||||||||||
| Profile |
| 野坂 克征(のさか かつゆき) シーフォーテクノロジー勤務。セキュリティインテグレーション部所属。また、ITセキュリティ委員会として、ISMSの構築〜運用にも携わる。JNSA、JSSM、IPSJ、EiC会員。 |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 実践!情報セキュリティポリシー運用 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 書評 情報セキュリティポリシー策定に役立つ4冊! | |
| 情報セキュリティマネジメントシステム基礎講座 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
