BS7799/ISMSの投資費用対効果
取締役 山下 徹治情報セキュリティ
「情報セキュリティ」というと、電子的なセキュリティのイメージを抱くことでしょう。たとえばファイアウォールを導入することや、アンチウィルスソフトを各従業員のPCにインストールするというようなイメージです。もちろんこれらも情報セキュリティのレベルを上げるために必要なことです。しかし、情報セキュリティの「情報」はもっと幅広く定義する必要があります。
たとえば組織の中の個人ベースでは、PCの中の電子データ以外にも、机の上や引き出しの中のドキュメント類や書籍類、打ち合わせのメモ類などが挙げられます。また、個々の頭の中は機密情報の宝庫と言えるでしょう。他にもイントラネット上で共有されている情報、インターネットで閲覧できる情報などなど。これら有形無形のすべての情報を対象として、それぞれの情報の質に応じて適切な保護をしていくというのが情報セキュリティ構築の重要なプロセスです。
人が増えればセキュリティは弱くなる
組織として情報セキュリティを考えた場合、各人の判断基準の違い、コミュニケーションによる情報の劣化、業務の引継ぎ、オペレーションミスなど情報を扱う主体である「人」が複合的に絡んできます。
そうした「人」の問題を解決するために、弊社ではBS7799という情報セキュリティマネジメントシステムを導入しました。BS7799の活動では、会社のどこに、誰が、どういう情報を持っているのかを棚おろしし、その情報の価値や脆弱性(セキュリティ的に弱い箇所)を洗い出し、その上でBS7799の規格にしたがって情報セキュリティポリシーを策定していきます。また、それだけでは人はどう行動してよいのかわからないので、その下位にマニュアルやガイドラインなども作り、さらに、物理的なセキュリティ確保やネットワークセキュリティの向上のための設備投資を行います。
今日安全でも明日安全だとはいえない
BS7799は他のマネジメントシステムと同様にPDCA(Plan → Do → Check → Action)サイクルの枠組みも作りますが、他のマネジメントシステムと比較して、このPDCAサイクルが速いスピードで機能します。なぜなら不正アクセスの手口の多様化や新種ウィルス誕生のスパンの速さ、それに対応するセキュリティ技術の進歩の速さがあるからです。弊社では半年に1回定期的に内部監査からマニュアルの改訂、セキュリティ教育を行っていますが、その間にもどんどん手順を変更し、教育を行っていかないと間に合わないというのが実情です。そういう意味では、BS7799は構築も運用もある程度コストがかかるマネジメントシステムであるという側面があります。
確かな費用対効果
メリットについて触れてみたいと思います。バランススコアカードの4つの視点で解説しますと、
- 「学習・成長の視点」=従業員のセキュリティに対する意識の高まりとセキュリティを確保するための基本動作の浸透。続いてセキュリティ担当者の知識・スキルの向上。そして些細なセキュリティ事故でも隠蔽はなく、企業トップにまで情報が届き、対策が講じられる透明性の高い企業文化が生成されます。
- 「業務プロセスの視点」=バックボーンで機能するセキュリティプロセスがあるおかげで、案件担当者がセキュリティのことをいちいち考えずに本来の業務プロセスに集中でき生産性が向上します。
- 「顧客の視点」=BS7799/ISMSの運用実績自体が信用となり、セキュリティの脅威に過敏にならず開発を委託できるメリットがあり、満足度が向上します。
- 「財務の視点」=その結果としての財務的な効果は年間数千万にものぼります。
情報セキュリティに完璧という言葉はありません。継続的改善こそ、情報セキュリティ組織としてのあるべき姿であると認識します。行動と通して得られたノウハウをもとに、顧客企業様に対し、より良いサービスを展開していきたいと考えています。
質問、相談がございましたらぜひ私までお気軽にご連絡ください。
担当:山下 徹治
E-Mail:yamasita@mitsue.co.jp
TEL:03-3228-4502(ダイヤルイン)
「出版」弊社スタッフが執筆した情報セキュリティ関連の書誌が下記にて購入できます。
http://www.gtc.co.jp/publ/bunsyo_isms.html
Newsletter
メールニュースでは、本サイトの更新情報や業界動向などをお伝えしています。ぜひご購読ください。