ISMS取得は難しいのか?

昨今、人為的なミスで情報を漏えいする事件に加え、「パスワードをシステムに平文保存していた」などの問題が、ニュースや雑誌などで取り上げられています。

そのような中で、事件・問題を引き起こさないために、セキュリティリテラシーを向上させる教育や、自社で抱えているリスクの特定を定期的に行えるセキュリティ体制を構築する動きが、以前よりも活発になってきました。

セキュリティ体制を構築する際に、参考とするガイドラインや取り組みとしては次のようなものが挙げられます。

  • ISO/IEC 27001 (ISMS)
  • JIS Q 15001 (Pマーク)
  • サイバーセキュリティ経営ガイドライン
  • 中小企業の情報セキュリティガイドライン
  • SECURITY ACTION
  • TRUSTe
  • 情報セキュリティ対策ベンチマーク

その中でも、ISMSは国際基準規格の1つであり、また、外部の専門家による審査を受審し、認証を取得することで対外的にセキュリティ体制の構築をアピールすることができるものです。

「国際基準」という文言から、ISMSをあまり知らない人は「自社でISMSに沿ったセキュリティ体制を整えることはハードルが高いのでは?」「国際基準に沿った審査ってどうなの?」と不安に思うかもしれません。

以下では、ISMSに沿ったセキュリティ体制構築から認証取得までの「難しいとされる点」や、「案外そこまで難しくない点」までを解説していきます。

1. ISMS取得の難しい点

1-1. 規格を理解すること

「ISMSの規格を理解する」「理解するための時間を確保をする」のは大変です。

ISMSは「要求事項」と「管理策」の2つから構成されており、それぞれ箇条4~箇条10、箇条5~箇条18から成り立っています。
要求事項には、ISMS認証を取得するにあたって必須となる対応について、記載されています。
「要求事項に対応できていない」という場合、それは「ISMSに沿ったセキュリティ体制を構築できていない」という結論に直結し、認証を取得することができません。
そのためISMS認証を取得するには、要求事項の内容を理解し、対応しなければいけません。

一方管理策には、どの組織も情報セキュリティのレベルを高めるために対応すべき内容が書かれています。
そのため、全ての管理策に対応している状態であることを認証取得の際には求められがちですが、実際には取捨選択し、組織に適したものだけをピックアップして対応してよいものです。

「管理策に沿った状態」とは具体的にどういう状態なのか、どのレベルまで達する必要があるか 、ということは「ISO/IEC 27002」に記載されています。

1-2. 関連部署との連携を図ること

ISMS認証を取得するためには、ISMSを構築する部隊(ISMS事務局)だけが対応すればいいというわけではありません。

認証の範囲内にある部署や従業員が「どのようなリスクや資産を持っているか」「どのように業務を行なっているか」を把握する必要があるため、各部署や各従業員に、現状を把握するための業務ヒアリングや関連資料類の作成、外部の人間によるヒアリングなどに協力してもらう必要があります。

また、それらの対応は一度きりではありません。組織で設定したPDCAサイクルに合わせて、同じことを繰り返し実施する必要があります。
つまり、認証取得までの準備が重要ではなく、認証取得後の運用維持や改善のほうが重要だと言っても過言ではありません。

部署や従業員の方に、なぜISMS認証を取得するのか、なぜ運用後も取り組む必要があるのか、あらかじめ協力・連携がスムーズに行えるよう、理解していただくための説明をする努力が必要です。

1-3. 内部監査を実施すること

内部監査を実施する人(内部監査員)は、あらかじめ自社の業務や社風を理解していなければならない他、次のような監査スキルも必要となります。

  • 各監査部署に監査日時や段取りなどを伝達する
  • 的外れな質問をしないように、要求事項やルールを把握する
  • 実施されているプロセスや現状から客観的な証拠を見つけ出す
  • 客観的な証拠からのみ結果をアウトプットする
  • 普段は接しない従業員と滞りなく会話をする
  • 限られた時間内に必要なことを聞き出す

多くの組織が、内部監査は1年に1回実施します。

1年に1回だけ行う内部監査のために、監査スキルを持った人材を育成したり、スキルを維持させ続けるための教育を実施したりすることは、コストパフォーマンスとしてもあまり良いとは言えません。

そのため、みなさん良質な内部監査をおこなうことに対して、頭を悩まされることが多いです。

1-4. 洗い出しの粒度を決めること

ISMSの取り組みの一環に、「所持する情報資産の洗い出し」や「リスクの特定」といったものがあります。
どちらも認証の範囲内にある情報資産を漏らさないための重要な対応です。

この2つを対応する際、多くの企業では「洗い出しの粒度」の設定で悩まれることが多いです。
というのも、例えば営業部が情報資産を洗い出す際、「A社企画書・A社提案書・B社企画書」というように詳細に記載することもできれば「営業資料」というように1つにまとめることもできます。
そのあたりの粒度は組織が自由に設定することが可能なのですが、その自由度ゆえに、どう設定すればいいのかと悩むことが多いです。

また、事前に粒度を決めておかなかった結果、各部署が思い思いに作成した資料でそれぞれ粒度がバラバラになってしまったというような状況が発生することもあり得ます。

詳しく書けるのであれば書くに越したことはないですが、一方で詳しく書きすぎると、莫大な管理工数がかかってしまうといった事態が発生する可能性もあります。

そのため、組織にあった「ちょうどいい粒度」の設定は、ISMS事務局の悩みのタネとなりがちです。

1-5. 委託先を管理すること

委託と聞くと、「システム開発を依頼する」や「労務管理を依頼する」などといった業務ベースの委託を想定されるかもしれません。
ISMSにおける「委託」とは、先述した委託先が対象となることはもちろん、情報資産の預け先も「委託先」の対象となります。

例えば、AWSをインフラとして利用してSaaS開発をしている場合、AWSには自社の情報(ソースコード、インフラ設定ファイル)やお客様情報を保管することになります。
上記ケースの場合、Amazonが委託先となります。

そのほかにも、boxなどのクラウドストレージサービスや名刺管理サービスなども、委託先の対象となります。

また、委託先とする場合、その企業やサービスが「セキュリティ的に問題がないか」「組織の情報を預けるに相当するか」の調査・選定を行う必要があります。
調査・選定では、セキュリティに関するアンケートに回答してもらいその結果を参照したり、第三者認証の取得状況やセキュリティ方針などをホームページで確認したりします。

これらの作業は、委託先と認定する最初の一回だけでなく、定期的に何回も繰り返し行う必要があります。
クラウドサービスをより活発に利用するようになった近年、委託先が次から次へと変わったり追加されたりする状況で、適切に管理し続けることは大変です。

2. 難しく考えなくていい?ISMS取得の全てが難しいわけではない

ここまで、ISMS認証取得の負の側面ばかりを解説してきましたが、実は案外簡単な作業というのも存在しています。

2-1. 内部監査を受けること

内部監査を実施することは難しいというように上述しましたが、受ける側(被監査人)はそこまで難しく考える必要はありません。

内部監査を受ける前にリスクの特定や情報資産の洗い出しなどを実施し、資料を作成するといった作業は発生しますが、資料作成は日々の業務で問題を起こさないため、情報漏えいのリスクを低減するための取り組みです。

内部監査の時だけに使う資料をわざわざ用意したり、何か特別なことを実施する必要はありません。
ルールに従い、セキュリティに配慮して常日頃から業務を行っていれば、特段内部監査だからといって身構える必要はありません。

内部監査を受ける際のポイントは、気難しく考えずに、嘘偽りなく通常業務を監査員に伝えることです。

2-2. 外部審査を受けること

外部審査とは、ISMS認証の審査機関から派遣されてきた審査員による審査を指します。
一般的に「社外の知らない人から質問される」「規格とセキュリティ体制を熟知しているプロから質問される」といった点から、内部監査よりも緊張するという人が多いのではないでしょうか。

確かに内部監査員と比べると審査員は情報セキュリティやISMSに関する知識が豊富です。ただ、審査で質問される内容は内部監査とそこまで変わりませんし、厳しい質問が飛んでくることもありません。

なぜなら、厳しい質問をして審査を受ける側がまともに答えられずに時間だけが過ぎてしまえば、審査で取れる証拠が少なくなり、審査を成立させることができないからです。

また、内部監査は多くの場合、社内の異なる部署に所属する人間が監査員を担うことが多いです。(外部の人間(コンサルタントなど)に依頼する場合もあります)
社内の人間や、組織のことをよく知る人間が内部監査をする場合、社風や事情を事前に把握しており、考え方が似通っていることも多いため、新しい視点で何かを発見したり、新しい気付きを得られる機会は少なくなってしまいます。

一方で、色々な業態や職種の組織で外部審査を実施してきた審査員から審査を受けることは、社内に新しいセキュリティの観点を取り入れることができる絶好の機会と言えるでしょう。

できることならば審査ではなるべく指摘を受けず、穏便に済ませたいと思われるかもしれませんが、「社外のプロからより良い情報セキュリティのあり方を学ぶ機会」と捉え、受審できると良いかもしれません。

3. まとめ

ISMS取得に関わる部署・従業員の数はどうしても多くなってしまいますし、それに伴い特定しなければならない資産やそれに伴うリスクも相対的に多くなってしまいます。
ISMS事務局は、それらをすべて理解・特定・連携するという役割を担うため、通常の業務と並行しての作業となると、大変な思いをすることになるかと思います。

ただ一方で、それらをしっかりと成立させたセキュリティ体制を構築することができれば、組織全体の情報セキュリティレベルをより屈強で高度なものにすることが可能です。

ISMS認証の取得・運用には、それ相応の費用と工数がかかります。
どうせISMS認証を取得・運用するのであれば、自分たちが屈強な組織を作り出す軸になっているのだと考え、ぜひ社外の人に自信を持ってアピールできるような情報セキュリティ体制を構築し、ISMS認証を取得していただくと良いのではないでしょうか。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る