事例から学ぶセキュリティポリシー認証取得のポイント
【連載】
BS7799・ISMS認証取得の実態を聞く

第9回 個人の信用情報を取り扱う業務ゆえ必須のISMS
    
〜 グローバルフォーカス編 〜

武田文子
2003/11/8
第1回 新日鉄ソリューションズ編
第2回 ラック編
第3回 エクサ編
第4回 NTTデータ編
第5回 富士通エフ・アイ・ピー編
第6回 キヤノンソフトウェア編
第7回 凸版印刷編
第8回 IIJテクノロジー編
第9回 グローバルフォーカス編

 今回は、カード(クレジットカード)のオーソリゼーションシステムとしては国内で初めてBS7799の認証を取得したグローバルフォーカス株式会社を紹介する。2003年2月に1999年版を取得後、7月の定期審査時には最新バージョンである2002年版への移行審査も完了。同社のISMS(情報セキュリティマネジメントシステム)策定活動の推進エンジン役であるISMSセキュリティ推進グループの福原幸太郎氏、堀康則氏にお話を伺った。

センシティブな情報ゆえ、リスクマネジメントが重要

 クレジットカードシステム全般の開発・運用などを手掛ける同社は、品質および安全、安定、安心を企業理念として掲げ、品質やセキュリティに対して以前からさまざまな取り組みを行っていた。1999年には開発事業でISO 9001を、2000年には電算センターで情報処理サービス業情報システム安全対策実施事業所認定制度(安対制度)を、2001年には全社でプライバシーマーク(Pマーク)を取得。今回のBS7799も含めて「“マネジメントシステム”というとらえ方をしています」と福原氏が語るように、複数の認証(制度)を独立したものとしてではなく、統合マネジメントシステムとして認識しているという。

「BS7799が自分たちの望むものにマッチした」と語る、グローバルフォーカス株式会社 監査統制部 部長 福原 幸太郎氏

 同社がISMS活動を開始したのは2001年12月だが、この時点では“認証取得”を想定していたわけではないそうだ。「業務にインターネット接続が必須となってきたとき、“何も方針・ルールがないのは問題だ。管理の仕方を決めよう、ポリシーを作ろう”と社員が話し合いました」と福原氏が語るように、当初はリスクマネジメントという観点からポリシーの作成に着手したという。もちろん、それまでにも個人情報の管理や、いわゆるネチケット的なルールはあったが、体系的なものでなかったため、適正なセキュリティ管理策の策定・実現が必要という意見からだった。

 ちなみに、同社は、クレジットカードという個人の信用に関わる情報を取り扱う業務ゆえ、“リスク”に対して非常にセンシティブだ。セキュリティの重要性を“リスクマネジメント”として認識し、コーポレートガバナンス(企業統治)の強化や社会的責任といった観点でとらえている。“情報セキュリティは単にITの問題ではなく、経営の問題である”というトップの考え方が根底にある。また、万が一、問題や事故が起きたとき、「組織の責任や活動内容を第三者に納得のいく方法で説明できることが求められています」と、外部に対する“説明責任”の重要性についても福原氏は語っている。こうした点を踏まえて作成した「セキュリティ対策方針」は、自らの組織にとって何が重要で、それをどのような脅威からどのように守るか、に加え、なぜ保護しなければならないか、が明記されているという。

 ところで、国内のガイドラインである「ISMS認証制度」ではなく、国際的なセキュリティポリシー策定のガイドライン「BS7799」の認証を取得しようとした理由について質問したところ、「ポリシーの作成にあたって開催した勉強会の中で、各種制度・規格についても調べたのですが、”情報セキュリティマネジメントシステムとして、BS7799が国際的なベースになっている”という認識を持ち、BS7799を選択しました」(堀氏)。「BS7799の“組織・人的・技術的セキュリティ、事業継続性に関する事項、法準拠に関する事項、プロセスアプローチ(PCDA)”といったマネジメントシステムが自分たちが望むものだと確信しました」(福原氏)と両氏は語った。

 なお、2002年1月末に全社情報セキュリティポリシーの策定が完了した後、引き続きISMS構築に着手した同社だが、前述のような判断もあり、このころBS7799の認証取得を決断したそうだ。3月には同社の情報セキュリティ統括役員(CISO)と堀氏が英国まで出向き、在英の日本企業で初めてBS7799を取得した事業所を視察したほか、すでに作成済みのポリシーの英訳を持って審査機関を訪問したという。「BS7799を取得する場合の準備、進行、審査の段取りなどについて、直接説明を聞きました。持参したポリシーについて(審査機関としての)意見が聞けたことも収穫でしたね」と堀氏は振り返る。「わざわざイギリスまで?」と思わず筆者が問うと、「やはり、経営者の判断が効いていますね。危機感を持って対処したということです」と堀氏が答えた。同社のISMSに対する意識の高さを実感した。

ポイントの1つは審査員をアドバイザ的に活用したこと

 同社の認証取得活動をPDCAのマネジメントサイクルに沿ってまとめると、P(Plan)では、ISMS適用範囲の定義〜適用宣言書の作成までを5カ月ほどでまとめた。資産を特定し、リスク分析の方法を明確に手順化、それに沿ってリスク分析を実施することで、「リスクとコストのバランスの取れたセキュリティ対策が可能になりました」と福原氏は語る。D(Do)では運用と内部監査を実施。その活動のなかでStage 1の審査を受けた。「審査員に問題点をいろいろ指摘してほしい、というスタンスで審査に望みました」という堀氏の言葉には、“審査員によるさまざまな指摘によって勉強したい”という思いがあるようだ。1つ1つの項目に対してそれぞれ、さまざまな解釈ができるマネジメントシステムゆえ、審査員の“意見”を数多く聞くことで複眼的な視点を持つことができる。

 BS7799もISMS認証制度も予備審査、Stage 1(文書審査)、Stage 2(実地審査)という3段階の審査があるが(予備審査は希望者のみ)、それぞれの審査を“次”につなげるためにも、審査員と適切かつ的確なコミュニケーションを取りたい。なお、Stage 1終了後はC(Check)として改善活動を実施。Stage 2以降のISMS活動(維持・改善)をA(Act)として位置付け、現在に至っている。

「審査員に問題点をいろいろと指摘してほしい、というスタンスで審査に臨みました」と語る、監査統制部 ISMS統括グループ マネージャー 堀 康則氏

 これは、この連載で繰り返し述べていることだが、新しい規格(制度)を導入する場合、現場の人間が苦労するのは否めない。同社の場合も、実際的な作業を担当する現場の人間は当初、負担増を警戒していたようだ。「“アタマに入っていることをドキュメントにしようとすると、突然、大変なコトになってしまう”というやつですね」と福原氏も語っている。しかし、ISMSセキュリティ推進グループと現場の人間との役割分担を明確にすることで、“ここまでやった(準備した)のだから、ここから先はやってね”“そこまでやってくれたのだから、あとはわれわれがやろう”という“あ・うん”の呼吸が作業を順調に進めていったという。

 一方、教育面では、全社規模および部門、担当(グループ)単位でそれぞれ複数回実施したが、当初は原文を和訳しただけのような文言を使っていたため、“これでは使えない”という意見・要求が現場から上がり、ISMSセキュリティ推進グループ側でその都度、教育メニューを改善したそうだ。一般社員にも理解できるように独自のガイドブックを整備し、必要に応じてアップデートしているという。管理者側の一方的な視点・指示ではなく、現場の人間の視点や意見をくみ上げ、ブラッシュアップしていく姿勢に組織内の風とおしのよさを感じた。

 ISMSセキュリティ推進グループの活動自体も特長的だ。認証取得までは週に1回、その後は隔週で召集される会議では、セキュリティ審査、調整、監視・分析といった観点でISMSに関するさまざまな議題が話し合われる。一般に、問題が起きるのは“運用”だが、その原因はどこにあるのかを考えると“開発”だった、というのはよくあることだが、こうした問題を組織横断的に話し合えるため、その後の対応の速さにつながっている。また、メンバーに取締役が入っているため(毎回参加している)、例えば、設備の更新など予算に直結する問題も扱える。「合議制ではなく、トップダウンでISMSをフォロー、サポートすることが、この会議の目的です。事故は待ってくれませんから」と福原氏も語っているが、スピードや効率を求められる企業活動においては、ISMS活動も例外ではない。レスポンスのよさが同社のISMS活動を推進している。

 なお、今回取材に応じていただいた福原・堀両氏はともにISMS審査員の資格を取得している。技術面はもちろん、ポリシー作成、内部監査、推進会議の運営ノウハウなど、今回の認証取得業務で得た知識と合わせて、今後も社外フォーラムなどでの情報収集を続け、多くの人と話をし、さらに勉強をしたいと語っている。こうした経験は“自分たちにフィードバックされて糧になる”という発想だ。認証取得を次のステップにつなげよう、という意識は組織の一員としても個人としても見習うべきものだろう。

事業者名称 グローバルフォーカス株式会社
事業者部門名称 ITセンター/開発センター
対象人数 120名
登録範囲 クレジットカードシステムにおけるシステムの運用管理と開発保守業務
認証基準 BS7799-2
初回登録日 2003年2月14日
認証登録機関 LLOYD'S REGISTER QUALITY ASSUR


筆者Profile
武田文子(たけだ ふみこ)
東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。

index
  第1回 BS7799・ISMS認証のダブル認証を実現
  第2回 SEの経験が活きたISMS認証取得のポイント
  第3回 ISMS認証の重要なポイントは「リスクマネジメント」
  第4回 BS7799・ISMS認証もTCOを意識すべき
  第5回 国内最大規模・範囲でのISMS認証取得
  第6回 現場を巻き込むことで、成功したISMS認証取得
  第7回 定期的なWGメンバー交代でISMS運用を向上
  第8回 ISMSの根本的な思想を理解し、フレームワークを構築
  第9回 個人の信用情報を取り扱う業務ゆえ必須のISMS

参照サイト
  情報セキュリティマネジメントシステム(ISMS) 適合性評価制度
  BSI Japan
  ISO/IEC JTC1/SC27
  JISC(日本工業標準調査会)
  OECD(経済協力開発機構)
  経済産業省 商務情報政策局 情報セキュリティ政策室
  情報処理進行事業協会 セキュリティ評価・認証

関連記事
  開発者が押さえておくべきセキュリティ標準規格動向
  連載 実践!情報セキュリティポリシー運用
連載 情報セキュリティマネジメントシステム基礎講座
  電子メールセキュリティポリシー導入の必要性
  自主性が要求されるセキュリティ対策の新ガイドライン
  企業IT管理者を対象としたセキュリティ研究会が発足


連載:BS7799、ISMS認証取得の実態を聞く

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH