もう20年近く前のことなんだけど、勤めていた会社(所属していたグループ会社)でISMSを構築した時の話(守秘範囲で)です。(ISMS:Information Security Management System「情報セキュリティマネジメントシステム」)
当時は、まだISO27001シリーズとなっていませんでした。
当時、自分はその会社の経営企画部で社内の企画を担当しており、当時の経営者(達)の命で、当時の上司と、とあるインターネット事業を営んでいる業務部門の精鋭メンバー達と一緒に、その部門の業務全てを対象にISMSを構築することとなりました。
当時の自分達は、すでにISO9001シリーズ(QMS)の構築を経験しており、マネジメントシステムについては一定の理解があったのですが、ISMSについては、よくわかっていなくて、何をしていいのかわからず、まずとっかかりは、外部に支援してもらうことにしました。
そうして、最初は十数社に資料を請求し、机上で吟味した後に、有名どころのコンサルティングファーム数社に絞り込んでご提案をいただき、最終的にその中の1社にお願いすることに決定しました。
そのコンサルタントの方々にいろいろとサポートをいただいたおかけで、無事審査も通過して認証を取得することができました。
自分は当時の立場から上司と一緒にマニュアルの基本方針部分やフレームワーク部分の執筆を担当しました。
業務に関わるメインの部分は、対象業務部門の精鋭メンバーが業務ひとつひとつについて管理規程を作成しました。テクニカルな部分、BCPや細々とした規則についても何度もレビューを繰り返して、きっちりと作成されていました。
その後ワンシーズン(1年間)の運用の中でマネジメントレビューの主催や監査の実施などを経験させてもらって、自分の社会人人生においては非常に有意義な経験でした。
特に、そこで経験した構築過程をひとつひとつ思い出していく中で、一番印象に残っていたのがリスクアセスメントの実施だったなぁと、懐かしく思っているところです。
この作業は、スコープ対象となった部門全体、全社員が参加する必要があり、大きな稼働負担を伴うものでした。当初は皆、こうした作業の経験がなく、何をどのように評価すればよいのか分からない状況でしたが、コンサルタントの方々からヒントやアドバイスをいただきながら、ようやくチェックリストを完成させました。そのチェックリストに基づき、全社員でアセスメントを実施した際の、真剣に取り組む社員の姿勢は、今でも強く印象に残っています。
そして、全員参加で作ったマネジメントシステムなので社員の意識も醸成•定着され、審査の時も感動するような対応をされていたのが今でも記憶に残っています😭。
今も昔も、情報セキュリティの事故は外部からのサイバー攻撃のような技術的な要因だけでなく、内部の問題が原因となることも少なくありません。しかし、当時の職場では、社員一人ひとりの意識が非常に高く、内部起因のインシデントが起こることは絶対にないと言い切れるほどだったと、今でも確信しています。
その後、アプリケーション開発会社の経営企画部門に所属し、そこで再びISMSの構築に関わる機会がありました。これまでの経験を活かして、同じ部門のメンバーを後方から支援し、その後は監査メンバーとしても参画しました。
そう言ったところで、昔のことを思い出しながら、情報セキュリティの態勢がしっかりと醸成され定着するには当事者の参加が一番☝️効果があるんじゃないかと思う今日この頃です。よく「自分ごととして考える」とか言いますもんね🤓
ちなみに以下は、参考までにAIに説明してもらったISMSのリスクマネジメントの手順です。
ISMSのリスクアセスメントの手順
ISMSリスクアセスメントの手順は、大きく分けて以下の3つのプロセスから構成されます。まず、情報資産の洗い出しと脅威・脆弱性の特定を行います。次に、リスクを分析し、数値化(リスクスコア)して評価します。最後に、評価結果に基づき、リスク対応策を決定し、SoA(Statement of Applicability)に反映します。
詳細な手順:
- 情報資産の洗い出し:組織が保有する情報資産を特定し、分類・整理します。具体的には、業務システム、データベース、ネットワーク、ソフトウェア、ハードウェア、文書など、あらゆる情報資産を対象とします。
- 脅威・脆弱性の特定:情報資産を狙う脅威(不正アクセス、マルウェア、サイバー攻撃など)と、情報資産が持つ脆弱性(セキュリティ設定の誤り、システムの不具合など)を特定します。
- リスク分析と評価:特定した脅威と脆弱性を組み合わせ、各リスクが組織に与える影響を分析します。影響範囲、発生確率、深刻度などを考慮し、リスクを数値化(リスクスコア)します。
- 対応策決定とSoA反映:リスク評価の結果に基づき、対応策(リスク低減、リスク回避、リスク移転など)を決定します。対応策は、セキュリティポリシーやセキュリティコントロールとして文書化し、SoAに反映します。
ISMSの主な目的は、組織の情報資産を保護し、情報セキュリティの信頼性を確保することです。リスクアセスメントは、この目的を達成するための重要なステップであり、ISMSの運用における継続的な取り組みとして位置付けられます。
リスクアセスメントの実施にあたっては、以下の点に注意する必要があります。
- リスク受容基準の明確化:組織が許容できるリスクレベル(リスク受容基準)を明確化し、リスク評価の基準として活用します。
- 評価手法の決定:リスク評価に用いる手法(例えば、定性的評価、定量的評価、リスクスコアリング)を決定します。
- 専門家への相談:必要に応じて、情報セキュリティの専門家やコンサルタントに相談し、リスクアセスメントの実施を支援してもらいます。