見出し画像

ISMS取得で面白かったこと3選

Yoshiteru Minagawa

スタートアップのCFOをやって分かったことシリーズ

ISMSの必要性

近年情報セキュリティに対する要求が高度化しています。業種にもよりますが、顧客側から受注する際にセキュリティ面での評価を受ける必要がある場合もありますね。スタートアップにおいてもシリーズBくらいになると会社としてのセキュリティ体制を作っていく必要が出てきます。自分がいたスタートアップでもその必要性からISMS認証を取得しました(CFOということで認証取得プロジェクトの事務局長でした)。短期間でいろいろなことを検討しなければいけないので大変なのですが、よい意味での気づきもありました。そんな中から面白かったことを3つ紹介します。

1.リアルとバーチャル
ISMSとは、Information Security Management System の略で、組織の情報セキュリティを管理するための仕組みを指します。名前からしてバーチャル空間における情報セキュリティの話かと思っていましたが、実際には情報セキュリティだけでなく物理的なセキュリティも評価することになります。
例えば、情報は電子媒体だけでなく紙媒体ということもあります。この場合、紙媒体を保管するキャビネットは公開エリアに存在しないか、適切に施錠されているか、閲覧者は適切に限定されているか等、物理的な視点からのセキュリティ評価もなされます。
また、論点はコンピューターの配線にまでおよび、例えば乱雑な配線につまづいてコンセントが抜けてコンピューターが落ちる。それによって大切な情報資産が失われることはないかといった面も評価されます。
一般的に整理整頓は重要なのですが何を目的としたものなのか改めて整理して考えさせられます。

2.余計なことを書かない
ISMSにおいては情報セキュリティの仕組みを適正に運用するためにいくつかマニュアルを作成します。マニュアルにおいては、情報資産の重要度区分や取り扱い方などについて記載していきます。そしてISMS認証取得のための審査においては、マニュアルに沿った形で実際の運用が行われているかがチェックされることになります。この「マニュアルに沿った形で実際の運用が行われているか」が重要です。
例えば、「〇〇文書は5年で削除する」という文章があった場合、本当に〇〇文書を5年毎に削除しなければなりません。〇〇文書の年齢が簡単に分かって実際に実行できる場合はそれでいいのですが、現実的にはなかなか5年経った文書を選び出して削除するのは難しく管理工数も馬鹿になりません。
ということで、そんなことは書かない、もう少し言うと、例えば「永年保管とする」とすることで実際にできなさそうなことを回避できます。
余計なことを書かない方がよいというのは面白い視点でした。

3.教育してもやらかす奴はいる
ISMS認証の審査ですが、各部門から選ばれた対象者に対して審査機関の人が評価のためのヒアリングや調査を行うことになります。その結果は、
「重大な不適合」「軽微な不適合」「改善の機会」の3段階に分けられて所見が述べられます。そして「重大な不適合」があると審査は通りません
ヒアリングの日時や対象部門については審査機関と事前に打合せて決定します。重大な不適合が出ないように、ヒアリングの対象者については、事前に審査向け教育を行ったりして本番でボロが出ないように準備しておきます。例えば、PCのスクリーンセーバーは5分にセットしておくようにとか、細かい話にも至ります(マニュアルに書いたことに合わせるため)。
そして本番のヒアリングが終わり審査機関の報告を受ける段になりました。
その結果は、「軽微な不適合」一件、「改善の機会」十何件。
なんとか審査には通りました。が、まさかの「軽微な不適合」一件。
その内容はなんとスクリーンセーバー。指摘を受けた社員のスクリーンセーバーは5分にセットされていたのですが、再開時にログオン画面に戻るのチェックが漏れていてスクリーンセーバー解除すると画面丸見えだったということ。。
完璧に準備したと思っていましたが、思わぬ伏兵に足元をすくわれました。というわけで社内への情報セキュリティの浸透の戦いは終わりがないのでした。

スクリーンセーバーの設定(思わぬ伏兵)

おまけ
ISMS取得は工数もかかりけっこう大変です。中でも大変なのが情報資産の棚卸しと重要度評価になると思います。まだ組織が小さいうちは事務局の目の届く範囲で何とかなりますが、組織が大きくなると末端までの理解が追いつかなくなると思います。できれば組織が大きく複雑化する前にISMS取得をして情報セキュリティマネジメントの基盤を作っておいた方がよい気がします。

追伸)スタートアップのCFOをやって分かったことシリーズでは備忘の意味も込めて書き綴っています。各種質問やこんな話題を取り上げてほしい等のリクエストがありましたらご連絡いただければ幸いです。


この記事が気に入ったらサポートをしてみませんか?