事例から学ぶセキュリティポリシー認証取得のポイント
【連載】
BS7799・ISMS認証取得の実態を聞く

第8回 ISMSの根本的な思想を理解し、フレームワークを構築
    
〜 IIJテクノロジー編 〜

武田文子
2003/9/18
第1回 新日鉄ソリューションズ編
第2回 ラック編
第3回 エクサ編
第4回 NTTデータ編
第5回 富士通エフ・アイ・ピー編
第6回 キヤノンソフトウェア編
第7回 凸版印刷編
第8回 IIJテクノロジー編
第9回 グローバルフォーカス編

 今回は、株式会社アイアイジェイテクノロジーの事例を紹介する。システム構築、運用サービスを業務とする同社がISMS認証基準(Ver.1.0)を取得したのは2003年2月。技術力に定評のある同社だが、認証取得への道のりは決してスムーズではなかったようだ。情報セキュリティ対策室(現情報セキュリティ管理室)のメンバーである蓑田信一郎氏、成田雅和氏、菅野美枝子氏にお話を伺った。

認証取得を“契機”に社内組織を整備

 同社がISMS認証を意識したのは2年半ほど前、JIPDEC(日本情報処理開発協会)がISMS制度を公表したころだ。エンドユーザーのデータを持つ顧客が多いため、顧客自身がセキュリティに対して意識が高く、商談の中で(ISMS制度が)話題になったという。CISO(Chief Information Security Officer:情報セキュリティ管理最高責任者)も“認証取得は今後のビジネスで必須となる”と判断(実際、現在は、要件として明記されている場合も多い)。認証取得への準備が始まった。

「認証取得はカタチだけでなく、フレームワークを構築すべきと考えた」と語る、アイアイジェイ テクノロジー 営業企画室 室長 蓑田信一郎氏

 といっても、直ちに活動が開始されたわけではない。2001年10月、CISOの指示の下、情報セキュリティ対策室が発足したが、技術系、管理系から数名ずつメンバーを選出し、実際に活動を開始したのは12月だったという。専任の部署があれば認証取得を業務として扱えるため、時間や人員を確保しやすいが、同社の場合、メンバーはすべて兼任のため、キックオフには少々手間取ったようだ。今後、取得を計画している企業は、可能であれば、年間スケジュールにあらかじめ(認証取得業務を)組み込み、時間と人員の確保に努めよう。

 ちなみに、同社の社員は仕事柄、セキュリティの意識は高く、「万が一、何か問題が発生してもちゃんと動ける」(成田氏)という自負はあったという。ただし、明文化したガイドラインがなかったため、「社員の心の中にあるものを具現化(ルール化、ドキュメント化)していかなければ」(蓑田氏)という認識もあった。また、“認証を取得するならカタチだけでなく、根本的な思想を理解し、フレームワークを構築すべき”と考え、セキュリティ対策室のメンバーもその点を重視して打ち合わせを重ねたという。“情報セキュリティの確立=ルール(ポリシー)の作成”という認識でルール作りに重点を置く企業もあるが、ISMSはあくまでも指針の1つであってすべてではない。「認証取得を“目的”とするのではなく、認証取得を“契機”に社内組織を整備する、というスタンスで臨みました」(成田氏)という同社の姿勢は健全だ。

収穫はエンジニアの直感や経験で判断・対処していたリスクのプライオリティの整理

 ただし、「ISMSを理解するまで、相当の紆余(うよ)曲折がありました」と蓑田氏は振り返る。当時はISMSの資料がほとんどなかったため、セミナーに参加する、BS7799に関する書籍を読む、インターネットで見つけたBS7799のリスクアセスメント用ツール(ソフトウェア)を購入・使用してみる、評価シートを自作する、など、さまざまな方法でアプローチしていたそうだが、BS7799は英国の制度のため、日本の現状とは異なる見解も多々あり、そのあたりの判断に苦労したという。

 例えば、リスク評価のサンプルには、水、空気、湿度、空中浮遊物質から天変地異、テロまで非常に広範囲の脅威が記載されていた。確かに、どれも“事業継続に対する脅威”になり得る。また、同社の場合、24時間365日のシステム監視・運用および障害対応を提供しているため、社員が休んだときや席を外したときも“脅威”として想定した。「“出先からデータセンターに駆け付ける際、社員が現金を持っていなかったら”なんてことを話し始めると、キリがありませんでした。(交通費としての)現金は情報資産として扱うのか、タクシーチケットは? といった具合に、範囲がどんどん広がっていくのです」と菅野氏は笑う。

ISMS認証取得により業務と意識の見直しができたという、アウトソーシングサービス部 部長代行 成田雅和氏と菅野美枝子氏

 いまでは、何を情報資産とするのか、脅威とは何か、といった情報が増え、コンサルタント会社などでも基本となるフォーマットを用意しているが、当時は何もない状態。自分たちの力で何とかまとめ上げるまで半年かかったという。同社では、その時点で外部のコンサルタント会社の力を借りたそうだが、“ここまで広範囲かつ詳細なものは見たことがない”といわれたそうだ。

 「情報資産の洗い出しやリスクの選別には苦労しましたが、自分たちでいろいろと考え、まとめ上げたことは財産になりました」と蓑田氏は語る。当時は、「本当に終わるのだろうか」とだいぶ心配したそうだが、苦労した結果、新しい資産、脅威に対する判断が格段に速くなったという。方向性を決める、という点ではコンサルタントの力を借りたが、それ以外の作業をほぼ自力でやったことが自信につながっているようだ。

 ただ、同社の場合、明文化したルールなどはなくても、(情報セキュリティに対する意識が高いため)日常の業務の中で大半の管理策は実施していたという。そのため、方針が決まった後は、運用記録のフォーマットを統一するなどの微調整程度でStage1の審査に臨めたそうだ。内部監査や事故が起きたときの訓練、テスト運用を済ませた翌月にはStage2の審査を受けた。

 蓑田氏は、「それまでエンジニアの直感や経験で判断・対処していたリスクのプライオリティが整理されたことが収穫です」と認証取得の利点を挙げる。目に付かなくてもリスクの高いもの、目立つがリスクはそれほど高くないもの、といった判断が的確に下せるようになったという。もちろん、対外的な効果もある。冒頭で述べたように、入札要件に認証取得が明記されているケースも増えているし、そうでない場合も、顧客への説明がしやすい。

 なお、同社では当初、全社規模での取得を計画していたが、セキュリティ対策室で検討した結果、コスト、時間、労力の負担がかなり大きいことが分かり、適用範囲をアウトソーシング事業に絞ったという。ただし、事業を担当する人間、情報が対象という視点で範囲を想定したため、技術系だけでなく、管理・営業部門も対象人員に含まれている。各種認証は全社規模、あるいは事業部(部署)単位で取得するものと思われがちだが、同社の発想はフレキシブルだ。情報セキュリティ管理室のメンバーもCISOのほか、プロフェッショナルサービス部から2名、アウトソーシングサービス部から3名、営業部門から3名、管理部門から4名が参加している。内部監査人や実務担当者の異動もある。「認証を取得したのはアウトソーシング事業ですが、情報セキュリティに対する活動は全社で取り組んでいますから」と成田氏が語るように、実務に即しながらも、より広範囲な活動を行っていることがうかがえる。

 ちなみに、同社では、認証取得支援のビジネス化も計画しているが、「一般的なコンサルタントとしてではなく、ドキュメントの整備などを含め、システムインテグレータとしてお手伝いをしていきたい」(蓑田氏)そうだ。情報資産の洗い出しやリスクの選別で(結果的にはやり過ぎの感があるほど)広範囲な項目をピックアップし、評価した経験が活きるだろう。さらに「認証を取得したことで確実にセキュリティのレベルが上がる、意味のある取得をサポートしたい」と蓑田氏はいう。

 また同氏は、「今後はISMS認証にも“格付け”のようなシステムを導入し、マネジメント、フレームワーク、管理体制のチェックなどをより厳密にすることで、その企業と取引する法人・個人は、判断が容易となり、より便利になるだろう」という見解を示した。少々乱暴ないい方だが、現在のISMS認証制度では管理しているかどうかは見ているが、中身のチェックは弱いのでは、という意見だ。新しいシステムだからこそ、よりブラッシュアップして基準の“格”を上げることは、今後の(管轄側の)検討課題となるのではないだろうか。 

事業者名称 株式会社アイアイジェイテクノロジー
事業者部門名称 -
対象人数 100名
登録範囲 アウトソーシング事業
認証基準 ISMS認証基準(Ver.1.0)
初回登録日 2003年2月17日
認証登録機関 株式会社ケーピーエムジー審査登録機構


筆者Profile
武田文子(たけだ ふみこ)
東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。

index
  第1回 BS7799・ISMS認証のダブル認証を実現
  第2回 SEの経験が活きたISMS認証取得のポイント
  第3回 ISMS認証の重要なポイントは「リスクマネジメント」
  第4回 BS7799・ISMS認証もTCOを意識すべき
  第5回 国内最大規模・範囲でのISMS認証取得
  第6回 現場を巻き込むことで、成功したISMS認証取得
  第7回 定期的なWGメンバー交代でISMS運用を向上
  第8回 ISMSの根本的な思想を理解し、フレームワークを構築
  第9回 個人の信用情報を取り扱う業務ゆえ必須のISMS

参照サイト
  情報セキュリティマネジメントシステム(ISMS) 適合性評価制度
  BSI Japan
  ISO/IEC JTC1/SC27
  JISC(日本工業標準調査会)
  OECD(経済協力開発機構)
  経済産業省 商務情報政策局 情報セキュリティ政策室
  情報処理進行事業協会 セキュリティ評価・認証

関連記事
  開発者が押さえておくべきセキュリティ標準規格動向
  連載 実践!情報セキュリティポリシー運用
連載 情報セキュリティマネジメントシステム基礎講座
  電子メールセキュリティポリシー導入の必要性
  自主性が要求されるセキュリティ対策の新ガイドライン
  企業IT管理者を対象としたセキュリティ研究会が発足


連載:BS7799、ISMS認証取得の実態を聞く


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間