現在の企業にとって、ITシステムや顧客の個人情報、業務上の機密情報は守るべき重要な資産です。
情報セキュリティマネジメントシステム(ISMS)を構築し、情報セキュリティに関するレベルを高めることは、顧客の信頼獲得という意味合いでも非常に重要な取り組みです。
一方で、ISMSを構築し、認証を取得することは、企業にとって大きな負担と考えられています。
情報を収集し、ルールを定め、ルールに沿って運用を行い、情報セキュリティ管理のためのサイクルを回し続けるためには、人手と時間をかける必要があり、取り組みに対してネガティブな印象を持たれる原因ともなってしまっています。
そんなISMSですが、クラウドサービスの一種類であるSaaSとして構築の負担を軽減できるサービスの提供が始まっています。
本項では、ISMS構築の負担軽減に利用可能なSaaSについてご紹介します。
ISMSの定義をふりかえる
ISMSについておさらいをしておきましょう。
ISMSはInformation Security Management Systemの頭文字をとった略称です。
日本語では情報セキュリティマネジメントシステムと表現されます。
ISMSの公式サイトには、定義として以下の記載があります。
情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは?」より
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
より平たく言えば、「組織の情報セキュリティを管理するための仕組み」といえます。
ISMSはセキュリティ管理の仕組みであり、ISMSを構築することそのものは目的ではありません。
構築後にISMSを運用してセキュリティマネジメントを行い、自社の情報セキュリティを高めることが本来の目的です。
この仕組みを活用して自社のリスクアセスメントをすすめ、自社のセキュリティを大幅に強化できることから、多くの企業で導入が進んでいるのです。
また、ISMSについてはISO/IEC 27001という規格があり、これに沿ってISMSを構築することで認証を受けることが可能です。
一般的にISMS認証と呼ばれるもので、企業の情報セキュリティに対する取り組み、セキュリティの強さを示すことができます。
ISMSについては、こちらの記事も参照ください。
ISMSの構築の負担を軽減できるSaaSを紹介
ISMSを企業内に作ろうとした場合、方針・目標を定め、それに対しどの様に資産を投入していけば良いかを検討し、一つずつルールや規程を定めていきます。
企業により保有するIT資産、利用するITシステムは違うため手間とコストをかけて、対象の洗い出しから実施しなければなりません。
しかしながら、ISMS構築には負担を感じる企業も多く、その軽減策が求められていました。
今日では、ISMS構築の負担を軽減するSaaS(クラウドサービスの一種)が登場しており、その利用によりISMSをこれまでより少ない負担で構築することが可能となっています。
本項ではより具体的に、ISMS構築の負担を軽減できるSaaSについて紹介します。
情報セキュリティマネジメントで手間のかかる部分を、SaaSを利用することにより環境構築無しに効率化することが可能です。
セキュリオ
情報セキュリティ教育クラウド「セキュリオ」は、豊富な機能で企業の情報セキュリティ教育をトータルサポートするSaaSです。
運営元のLRM株式会社は、日本企業で、「セキュリオ」の開発・提供と並行してISMSやPマーク認証取得のコンサルティングも長年行っていますので、ことISMS認証取得や運用については信頼と実績があります。
ISMS認証の取得・運用の際の「いつ」「どのタイミングで」「何を実施するか」を一目で把握、実施する際に必要な情報を一元管理でき、計画的に認証運用を行えます。
例えば、以下のような機能が備わっています。
- スケジュール管理
- PDCAサイクル
- リスクマネジメント
- 内部監査
- ルールブック
ほかにもISMS関連機能や、従業員教育eラーニング機能、今話題の標的型攻撃メール訓練機能など企業の情報セキュリティに必要不可欠な機能が満載です。
さらに、今後も新機能が続々リリースされる予定ですので、かなり期待のサービスです。
実際のお客様の声も公開されていますので、気になる方は要チェックです。
SecureFrame
SecureFrameはセキュリティコンプライアンスの効率化を行うプラットフォームです。
アメリカに本拠を置き、アメリカ、カナダ、ヨーロッパの技術者が活躍するSecureFrame社により運営されています。
各種グローバル規格に対応したセキュリティコンプライアンスを証明するデータの取得と維持を実現するツールで、規格の中にはISMS(ISO 27001)も含んでいます。
ISMSに向けた機能として、大きく下記の3点があげられます。
- 継続的な監査証拠の収集
- セキュリティトレーニング実行のプラットフォーム
- ITインフラの監視
これらの機能により、ISMSの定めるセキュリティ規格に準拠した形で、証跡収集を自動化することが可能です。
SecureFrameはSaaSでの提供がメインですが、オンプレミス版も提供されています。
SecureFrameは統合環境であり、様々なソフトウェアをオールインワンで提供しています。
サービス上の言語は英語となるため、利用検討時はご注意ください。
SecureFrameは、2022年2月に5,600万ドルを調達している勢いのあるサービスです。
今後ISMS構築に役立つ機能が追加される可能性も高いと考えられます。
POLESTAR Automation
POLESTAR Automationは韓国NKIA社によって開発された運用自動化ツールです。
日本での販売元は株式会社ワイドテックとなっています。
POLESTAR Automationはサーバー/ネットワーク機器の運用管理作業を自動化するオールインワンソリューションであり、構成管理情報の収集機能や、スナップショットジョブ、監査ジョブを利用して機器の管理情報を取りまとめることが可能です。
この情報収集、蓄積のための機能をISMS構築に活かすことができます。
サーバーやネットワーク機器の情報収集、脆弱性対応の履歴などの情報はISMSにて利用する情報の一つです。
ISMSのカテゴリの中では「システム管理規程」、「ネットワーク管理規程」に適用できます。
Jira Service Management
Jira Service ManagementはITサービスマネジメントソリューションです。
オーストラリアのシドニーに本社を置くソフトウェア企業アトラシアン(ATLASSIAN)によって開発・運営されているSaaSの一つです。
ATLASSIANの提供するサービスとして有名なものにTrelloがあります。
前身の「Jira Service Desk」はサービスデスク・インシデント管理に向けたサービスであり、Jira Service Managementでは機能が追加されITサービスマネジメント全般に利用できるプラットフォーム製品となっています。
非常に多機能なITサービスマネジメントツールなのですが、特にISMS構築に利用できる機能、ISMS認証のためのデータ収集、資料作成に利用できる機能としては下記があげられます。
- IT資産管理
- 変更管理
- ナレッジ管理
- インシデント管理
- ワークフロー機能
- レポート作成
まとめ
ISMSは企業の情報セキュリティを高める仕組みですが、その構築や認証にはデータの収集やドキュメントの作成などが必要であり、担当者にとっては大きな負担です。
そのような場合には、ISMS構築の負担を軽減できるSaaSの導入が効果的な施策となります。
SaaSならば導入のための環境構築も不要で、継続的なデータ収集や文書作成を効率化することが可能です。
また、ISMS認証取得・運用をお考えであれば、LRMの情報セキュリティ教育クラウド「セキュリオ」がおすすめです。
「いつ」「どのタイミングで」「何を実施するか」が一目でわかり、実施時に必要な情報を一元管理できる機能を業界最安クラスの料金でご用意!
計画的なISMS認証取得・運用が可能です。
14日間無料でGR スタンダードプランの機能をお試しいただけるトライアルも実施中です。ぜひご利用ください!
