ISMS事例に見るダメなケース、良いケース：これがなければ始まらない？ ISO27001取得への道（2/3 ページ）

[富永康信（ロビンソン），ITmedia]

　そこで平山氏は、情報セキュリティ対策を推進する上で理解しておくべきことを4つ挙げている。1つは、情報システム部門主導ではなく、経営トップ主導で実施すること。ISO27001では経営層の主導のもと、強力なトップダウンで体制整備を全社に伝えることが重要となる。

　2つ目は、具体的なセキュリティ対策は企業によってさまざまなアプローチがあること。10社10通りの対策が存在するので、他社事例の丸写しは禁物だ。ISO審査側も、前例の会社の対策がすばらしいものであっても、それを他社に要求することはしない。あくまでも、その企業の業態や業務に照らし合わせて最適な対策を選択することが基本であり、ここまでやれば十分という明確な理由があればよい。

　3つ目は、情報セキュリティシステムなどへの投資は、セキュリティルールの運用が軌道に乗ってからでも間に合うということ。やみくもにツールありきで進めても、それを管理する人材が必要となり、その効果も見えない。まずは仕組み作りから始め、その上でツールが必要とされれば導入する。

　そして4つ目は、文書や記録類は必要なものだけを作ること。実は相談件数が多いのがこのポイントで、文書類を過剰に作る企業が多い傾向があるという。電子データが存在するにもかかわらず、残らず文書で保管しようとするのは無駄。必要な部分のみ文書化すれば十分である。

ISO27001取得事例　好ましいケース

　従業員90人規模の商社R社では、6カ月で認証取得プロジェクトを完了した。設備投資へのコスト約30万円はソフトウェアのライセンスフィーのみ。今後順次ツール類に投資する計画だという。主な効果は、マネジメントシステムの構築により社員の情報セキュリティへの意識が変わってきているという点だ。また、必要最小限度の文書記録（15種類）により、運用が非常に楽であるということ。専任担当者が必要なく兼任で十分だと判明し、これも運用負担を軽減させている。

ISMS実施は最初が肝心

　では、企業が情報セキュリティを推進するためにやるべきこととは何か。その基本要件は5つある（図1）。1つは、リスク分析と評価。そもそも、どのような情報があるのか、それに対するリスクとは何かについて分析する。2つ目は、そのリスクに向けた対策とその具体的な選定。

図1●企業が情報セキュリティを実現するための基本要件（クリックで拡大）

　3つ目は、2番目を補う意味でのソリューションツールの選定。4つ目は、手順（ルール）の文書化と実行。そして最後は、要求されている記録の作成。これには、ISMS改善指示書、内部監査報告書、再発防止報告書、予防措置報告書、教育記録などのほか、機密保持合意書や作業日報、監査記録などが含まれる。

　「この中でも、最も重要とされるのがリスクの分析と評価」という平山氏は、最初が肝心だと忠告する。まず、すべての情報資産や個人情報の洗い出しからスタートし、洗い出した情報の価値を評価することで守るべき情報が設定される。

　その後、リスクの分析では脅威の識別と弱点の識別を行い、リスクの評価ではそれらの総合評価で対策の是非を判断する。そこで、何もしない（リスクを受け入れる）のか、または対策をするのであれば、管理策の選定、保険契約などの具体策を検討する段階へ進むことになる。

　また、「正しくリスクを把握するためには、どこまでやるべきかを決定した上で実施することが重要」と述べる平山氏は、次の点を踏まえることが肝要だという。

• トップが関与する
• 形だけのリスク分析にしない
• 客観性にこだわらない
• 現場を巻き込む
• セキュリティツールの費用対効果が見えるようにする
• 見直しが行いやすい形で実施する