ISMS事例に見るダメなケース、良いケース：これがなければ始まらない？ ISO27001取得への道（3/3 ページ）

[富永康信（ロビンソン），ITmedia]

コンサルタントからの5つのアドバイス

　トーマツ環境品質研究所では情報セキュリティコンサルティングのサービスを提供する中で、認証取得支援コンサルティングやソリューションツールの提供、教育／研修体制も整えているという。その具体的な推進フェーズは、図2のチャートのような進め方となる。

図2●ISO27001認証取得までの推進フェーズ（クリックで拡大）

　そして、業務に浸透して正しく機能する、良いセキュリティの仕組みについて、同社では長年のコンサルティング経験から次の5つの要件をアドバイスしている。

（1）ルールがシンプルであること

例えば、機密性のランクを10段階に分けて運用しようとしても現実的に運用は困難である。であれば、3段階程度でシンプルにまとめたほうが運用はしやすい。

（2）シングルスタンダードであること

PマークやISMSなどでも、それぞれにルールが異なる。混乱を避けるために、なるべく1つのルールに従って実施すべきだ。

（3）業務に即していること

つまり、ISOのためにルールを作ったり記録を取ったりするのでは意味が無く、仕事にルールが組み込まれていることが重要となる。

（4）見直しが適切に行われていること

仕組みは作ったら終わりではなく、作ってからが本番であることを忘れてはならない。そのため、PDCAサイクルを回して定期的に見直し、常に改善することが本来のやり方となる。

（5）監査が有効に機能していること

「審査がそろそろ来るから、今だけ監査をしよう」では本末転倒。他社で事故が発生したら、自社の運用も適切かどうかを監査できる体制が整っているかどうかもセキュリティには必要な要素となる。

　平山氏は、「これらを実施するために、ISO27001/ISMSを活用することも有効であるし、ISOを担がなくても独自で維持管理ができればそれでも結構」なのだという。あくまでも、自社にとって何が適切なのかを考えることが情報セキュリティの出発点となる。