ISMS事例に見るダメなケース、良いケース：これがなければ始まらない？ ISO27001取得への道（1/3 ページ）

ISMSを実現する手段として今、ISO27001の取得が注目を集めている。ここではより具体的に、取得までの一連の流れにおける注意点を紹介しよう。

[富永康信（ロビンソン），ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

　ISO9000に始まり、ISO14001などを経験してきた企業の多くは、「ISO/IEC27001」（ISO27001）の認証取得においても、「文書が膨大になる」「ISO取得のメリットが見えない」とか、「実態業務とかけ離れている」「設備投資などの多大なコストが必要」といった懸念を持っているようだ（前回の記事参照）。

　しかし、トーマツ環境品質研究所の情報セキュリティコンサルティンググループの平山直紀マネジャーは「これらの多くは誤解で、すべてが当てはまるとは限らない」という。記録の作成やツールの導入は、企業が本当に必要とするレベルで実施することが基本であり、記録がなぜ必要なのかを分析し、ログは取るべきだと判断されれば収集すればよい。逆に、必要がなければ記録する必要はないというのだ。

マークは取れても社内に疲労感がまん延

ISO27001取得事例　好ましくないケース

　ある製造業H社では過去に軽微な事故を起こしたことから、従業員130名を対象に13カ月の期間をかけて認証取得プロジェクトを実施。設備投資には1500万円を費やした。

　実施後の感想を聞くと、「ルールが厳しすぎて運用が困難」「審査のために300ページ以上のマニュアルが発生」「ISOマークは獲得したが事故の予防になっているのか費用対効果が見えない」などの不満が残る結果となった。

　このような失敗の要因には、社外の主任審査員やコンサルタントを受け入れてしまったこともあるという。業界や経営を知らない審査員が過剰な管理や設備を要求し、自分の経験を押し付けたり、業界経験の未熟なコンサルタントが過去の事例通りに指導したりすることで、自社の業務にそぐわない対策になってしまうことがある。

　また、社内のプロジェクトメンバーも、規格の本質を正しく解説していない本・ビデオを参考にし、また他社事例をうのみにしたことも一因となった。

「情報セキュリティマネジメントで重要なのはリスクの分析と評価」と語る平山氏

　「過度のルール決めや過剰な設備投資に走ると、認証は取れたものの、セキュリティは大変だという疲労感がまん延しかねない。自社の業務や業界にあったセキュリティの仕組みをいかに作れるかが、最も効果的なセキュリティ対策のポイントとなるだろう」（平山氏）