昨今、人為的なミスで情報を漏えいする事件に加え、「パスワードをシステムに平文保存していた」などの問題が、ニュースや雑誌などで取り上げられています。
そのような中で、事件・問題を引き起こさないために、セキュリティリテラシーを向上させる教育や、自社で抱えているリスクの特定を定期的に行えるセキュリティ体制を構築する動きが、以前よりも活発になってきました。
セキュリティ体制を構築する際に、参考とするガイドラインや取り組みとしては次のようなものが挙げられます。
- ISO/IEC 27001 (ISMS)
- JIS Q 15001 (Pマーク)
- サイバーセキュリティ経営ガイドライン
- 中小企業の情報セキュリティガイドライン
- SECURITY ACTION
- TRUSTe
- 情報セキュリティ対策ベンチマーク
その中でも、ISMSは国際基準規格の1つであり、また、外部の専門家による審査を受審し、認証を取得することで対外的にセキュリティ体制の構築をアピールすることができるものです。
「国際基準」という文言から、ISMSをあまり知らない人は「自社でISMSに沿ったセキュリティ体制を整えることはハードルが高いのでは?」「国際基準に沿った審査ってどうなの?」と不安に思うかもしれません。
以下では、ISMSに沿ったセキュリティ体制構築から認証取得までの「難しいとされる点」や、「案外そこまで難しくない点」までを解説していきます。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
ISMSについておさらい
ISMS(Information Security Management System)とは情報セキュリティマネジメントシステムのことです。企業や組織における情報セキュリティ対策のマネジメントを目的としたシステムのことです。
一口にISMSといっても、その言葉が持つ意味は非常に幅広く、「システム」といってもコンピュターのソフトウェアやハードウェアのみを表しているわけではなく、それらを含めた「仕組み」を意味していると考えていいでしょう。
たとえば、ISMS規則の構築や情報セキュリティ教育、情報セキュリティ会議、内部監査など、企業の情報セキュリティに関する活動やモノなどすべてがISMSに含まれます。
ISMSを取得する流れとは
ISMSでは国際規格であるISO27001などによる認証を受けることができます。ISMS認証を取得することで、顧客からの信頼度が向上したり、他社との差別化、従業員のセキュリティ意識の向上などのメリットが発生します。このISMS認証を取得する流れは次の通りです。
1.適用範囲の決定
ISMS認証は企業全体だけでなく、企業内の一組織のみを対象として取得できます。まずはISMS認証の適用範囲を決定しておきましょう。適用範囲の決定に合わせて、管理すべき情報資産も特定できます。
2.情報セキュリティポリシーの策定
社員や取引先などに示すための情報セキュリティポリシーを策定します。
一般的には
- 基本方針
- 対策基準
- 実施手順
3.認証機関の選択
情報セキュリティポリシーができたら、認証機関を選択します。2023年2月現在では、国内に26の認証機関があります。
4.ISMS体制の構築
認証機関を決めたら、社内でISMS体制を構築します。ISMS管理責任者とISMS内部監査責任者の二人を決めます。
- ISMS管理責任者
- ISMSの構築・維持・報告を担当
- ISMS内部監査責任者
- 監査の実施や結果報告を担当
5.リスクアセスメントの実施
社内の情報セキュリティリスクの洗い出しと対応策を検討するリスクアセスメントを実施します。社内にある情報資産とその情報資産に対する脅威や脆弱性を洗い出し、具体的なリスク対応計画を立てます。
6.従業員教育
ISMS認証の取得範囲にいる従業員への教育を実施します。研修やeラーニングなどを用いて、従業員の情報セキュリティリテラシーを向上させます。
7.内部監査
従業員教育まで実施し、ISMSの運用がスタートしたら、管理規定やルールが適切に守られているか、社内で内部監査を実施します。ここで問題点が見つかったら、速やかに改善します。
8.マネジメントレビュー
内部監査が終わったら、その結果を経営層に報告します。ISMS認証取得に必要な要件を満たせているか確認して、さらなる改善点がないか確認します。
9.認定審査
マネジメントレビューまで終わったら、いよいよ認証機関による審査です。審査は文書審査と現地審査の2回に分けて実施されます。
10.継続的なPDCAサイクル
1年ごとの定期審査、3年目の更新審査に向けて、認証取得後もISMSの継続的なPDCAサイクルを回していきます。
ISMSを取得するスケジュール
ISMSを取得する流れは上記で説明した通りですが、取得完了までの期間は早くて6か月、長くて1年程度かかります。
詳しくは、「ISMS取得スケジュールとは?審査の詳しい内容とともに解説」で解説していますので、あわせてお読みください。
ISMSを取得する必要性
さまざまな企業がサイバー攻撃の被害に遭っているなか、自社がターゲットにならないという保証はありません。企業がISMSを取得する必要性として、以下のことが挙げられます。
取引先や顧客へ信頼できる企業であることをアピールできる
ISMS認証を取得することで、自社が情報セキュリティ対策に力を入れている信頼できる企業であることをアピールできます。情報を取り扱っている企業にとって、その管理や取り扱い方のルールを適切に設けていることは、もはや必須の条件といえます。ISMS認証は第三者による客観的な評価を受けたということで、自社が安全な企業であることを対外的にアピールできるのです。
社員の情報セキュリティリテラシーが向上する
ISMS認証を取得することで、社員の情報セキュリティリテラシーが向上します。なぜならISMS認証を取得する過程で、社員に対する定期的な情報セキュリティ教育が必須となっているからです。
企業内で発生しがちな情報セキュリティ事故や適切な情報管理の知識を学ぶことで、全社員の情報セキュリティリテラシーを向上させ、事故の発生を未然に防ぐことができます。
情報セキュリティ対策によりリスクを低減できる
ISMS認証を取得できるほど情報セキュリティ対策を徹底すれば、情報セキュリティ事故のリスクの把握と低減ができます。
行政や自治体の仕事の入札要件をクリアできる
行政や自治体の仕事にはISMS認証を入札要件にしていることがあり、ISMS認証を取得していれば、この要件をクリアできます。これにより入札できる仕事の幅を広げられるため、取引や売上拡大を目指せます。
ISMS取得の注意点
ISMSの取得は困難が多く、次から紹介する注意点を押さえておく必要があります。
規格を理解すること
「ISMSの規格を理解する」「理解するための時間を確保をする」のは大変です。
ISMSは「要求事項」と「管理策」の2つから構成されており、それぞれ箇条4~箇条10、箇条5~箇条18から成り立っています。
要求事項には、ISMS認証を取得するにあたって必須となる対応について、記載されています。
「要求事項に対応できていない」という場合、それは「ISMSに沿ったセキュリティ体制を構築できていない」という結論に直結し、認証を取得することができません。
そのためISMS認証を取得するには、要求事項の内容を理解し、対応しなければいけません。
一方管理策には、どの組織も情報セキュリティのレベルを高めるために対応すべき内容が書かれています。
そのため、すべての管理策に対応している状態であることを認証取得の際には求められがちですが、実際には取捨選択し、組織に適したものだけをピックアップして対応してよいものです。
「管理策に沿った状態」とは具体的にどういう状態なのか、どのレベルまで達する必要があるか 、ということは「ISO/IEC 27002」に記載されています。
関連部署との連携を図ること
ISMS認証を取得するためには、ISMSを構築する部隊(ISMS事務局)だけが対応すればいいというわけではありません。
認証の範囲内にある部署や従業員が「どのようなリスクや資産を持っているか」「どのように業務を行なっているか」を把握する必要があるため、各部署や各従業員に、現状を把握するための業務ヒアリングや関連資料類の作成、外部の人間によるヒアリングなどに協力してもらう必要があります。
また、それらの対応は一度きりではありません。組織で設定したPDCAサイクルに合わせて、同じことを繰り返し実施する必要があります。
つまり、認証取得までの準備が重要ではなく、認証取得後の運用維持や改善のほうが重要だと言っても過言ではありません。
部署や従業員の方に、なぜISMS認証を取得するのか、なぜ運用後も取り組む必要があるのか、あらかじめ協力・連携がスムーズに行えるよう、理解していただくための説明をする努力が必要です。
内部監査を実施すること
内部監査を実施する人(内部監査員)は、あらかじめ自社の業務や社風を理解していなければならない他、次のような監査スキルも必要となります。
- 各監査部署に監査日時や段取りなどを伝達する
- 的外れな質問をしないように、要求事項やルールを把握する
- 実施されているプロセスや現状から客観的な証拠を見つけ出す
- 客観的な証拠からのみ結果をアウトプットする
- 普段は接しない従業員と滞りなく会話をする
- 限られた時間内に必要なことを聞き出す
1年に1回だけ行う内部監査のために、監査スキルを持った人材を育成したり、スキルを維持させ続けるための教育を実施したりすることは、コストパフォーマンスとしてもあまり良いとは言えません。
そのため、みなさん良質な内部監査をおこなうことに対して、頭を悩まされることが多いです。
洗い出しの粒度を決めること
ISMSの取り組みの一環に、「所持する情報資産の洗い出し」や「リスクの特定」といったものがあります。
どちらも認証の範囲内にある情報資産を漏らさないための重要な対応です。
この2つに対応する際、多くの企業では「洗い出しの粒度」の設定で悩まれることが多いです。
というのも、例えば営業部が情報資産を洗い出す際、「A社企画書・A社提案書・B社企画書」というように詳細に記載することもできれば「営業資料」というように1つにまとめることもできます。
そのあたりの粒度は組織が自由に設定することが可能なのですが、その自由度ゆえに、どう設定すればいいのかと悩むことが多いです。
また、事前に粒度を決めておかなかった結果、各部署が思い思いに作成した資料でそれぞれ粒度がバラバラになってしまったというような状況が発生することもあり得ます。
詳しく書けるのであれば書くに越したことはないですが、一方で詳しく書きすぎると、莫大な管理工数がかかってしまうといった事態が発生する可能性もあります。
そのため、組織にあった「ちょうどいい粒度」の設定は、ISMS事務局の悩みのタネとなりがちです。
委託先を管理すること
委託と聞くと、「システム開発を依頼する」や「労務管理を依頼する」などといった業務ベースの委託を想定されるかもしれません。
ISMSにおける「委託」とは、先述した委託先が対象となることはもちろん、情報資産の預け先も「委託先」の対象となります。
例えば、AWSをインフラとして利用してSaaS開発をしている場合、AWSには自社の情報(ソースコード、インフラ設定ファイル)やお客様情報を保管することになります。
上記ケースの場合、Amazonが委託先となります。
そのほかにも、boxなどのクラウドストレージサービスや名刺管理サービスなども、委託先の対象となります。
また、委託先とする場合、その企業やサービスが「セキュリティ的に問題がないか」「組織の情報を預けるに相当するか」の調査・選定を行う必要があります。
調査・選定では、セキュリティに関するアンケートに回答してもらいその結果を参照したり、第三者認証の取得状況やセキュリティ方針などをホームページで確認したりします。
これらの作業は、委託先と認定する最初の一回だけでなく、定期的に何回も繰り返し行う必要があります。
クラウドサービスをより活発に利用するようになった近年、委託先が次から次へと変わったり追加されたりする状況で、適切に管理し続けることは大変です。
まずは、23項目のTodoリストでISMS認証取得の検討段階から審査当日までの流れをご覧ください。
難しく考えなくていい?ISMS取得の全てが難しいわけではない
ここまで、ISMS認証取得の負の側面ばかりを解説してきましたが、実は案外簡単な作業というのも存在しています。
こちらは、弊社がコンサルティングを行い、無事ISMS認証取得を達成された企業様の事例です。適切なサポートのもとで合理的に手順を踏んでいけば、ISMS認証の取得というのは無理難題ではありません。
内部監査を受けること
内部監査を実施することは難しいというように上述しましたが、受ける側(被監査人)はそこまで難しく考える必要はありません。
内部監査を受ける前にリスクの特定や情報資産の洗い出しなどを実施し、資料を作成するといった作業は発生しますが、資料作成は日々の業務で問題を起こさないため、情報漏洩のリスクを低減するための取り組みです。
内部監査の時だけに使う資料をわざわざ用意したり、何か特別なことを実施する必要はありません。
ルールに従い、セキュリティに配慮して常日頃から業務を行っていれば、特段内部監査だからといって身構える必要はありません。
内部監査を受ける際のポイントは、気難しく考えずに、嘘偽りなく通常業務を監査員に伝えることです。
外部審査を受けること
外部審査とは、ISMS認証の審査機関から派遣されてきた審査員による審査を指します。
一般的に「社外の知らない人から質問される」「規格とセキュリティ体制を熟知しているプロから質問される」といった点から、内部監査よりも緊張するという人が多いのではないでしょうか。
確かに内部監査員と比べると審査員は情報セキュリティやISMSに関する知識が豊富です。ただ、審査で質問される内容は内部監査とそこまで変わりませんし、厳しい質問が飛んでくることもありません。
なぜなら、厳しい質問をして審査を受ける側がまともに答えられずに時間だけが過ぎてしまえば、審査で取れる証拠が少なくなり、審査を成立させることができないからです。
また、内部監査は多くの場合、社内の異なる部署に所属する人間が監査員を担うことが多いです。(外部の人間(コンサルタントなど)に依頼する場合もあります)
社内の人間や、組織のことをよく知る人間が内部監査をする場合、社風や事情を事前に把握しており、考え方が似通っていることも多いため、新しい視点で何かを発見したり、新しい気付きを得られる機会は少なくなってしまいます。
一方で、色々な業態や職種の組織で外部審査を実施してきた審査員から審査を受けることは、社内に新しいセキュリティの観点を取り入れることができる絶好の機会と言えるでしょう。
できることならば審査ではなるべく指摘を受けず、穏便に済ませたいと思われるかもしれませんが、「社外のプロからより良い情報セキュリティのあり方を学ぶ機会」と捉え、受審できると良いかもしれません。
まとめ
ISMS取得に関わる部署・従業員の数はどうしても多くなってしまいますし、それに伴い特定しなければならない資産やそれに伴うリスクも相対的に多くなってしまいます。
ISMS事務局は、それらをすべて理解・特定・連携するという役割を担うため、通常の業務と並行しての作業となると、大変な思いをすることになるかと思います。
ただ一方で、それらをしっかりと成立させたセキュリティ体制を構築することができれば、組織全体の情報セキュリティレベルをより屈強で高度なものにすることが可能です。
ISMS認証の取得・運用には、それ相応の費用と工数がかかります。
どうせISMS認証を取得・運用するのであれば、自分たちが屈強な組織を作り出す軸になっているのだと考え、ぜひ社外の人に自信を持ってアピールできるような情報セキュリティ体制を構築し、ISMS認証を取得していただくと良いのではないでしょうか。
また、弊社ではISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,300社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。