特集 ISOとは何か 新入社員のためのISOガイド2006
ISO27001の効果
ISMSを構築してISO27001の認証を取得すると、物理的対策による効果、マネジメントシステム導入の管理的効果、認証取得による効果の三つの効果がある。
物理的対策や技術的対策効果
物理的にアクセスを制御したり、ネットワーク技術上の対策を行ったりすることで不正侵入や盗難から情報資産を保護する対策による効果である。
施錠、ファイアウォール、IDS(侵入検知システム)、ワンタイムパスワード、UPS(無停電電源装置)の導入、バイオメトリクスによる入退室管理システム導入などがある。
機器を用いた情報セキュリティ対策は、社員が理解しやすく、不便も感じず、安心感を与える上にセキュリティ効果も高い。ただしコストがかかるため、一方では費用対効果を測定する仕組みが必要になる。
人的対策や管理的対策効果
組織上、責任者や担当者を置き、権限や責任を定めて周知・教育する人的対策や、手順を決め規定整備などの文書化を行い、記録を残す、いわゆる管理的対策による効果である。
作成書類が増えたり、パスワードの定期的変更が義務づけられたり、使いやすいソフトウェア(フリーソフト含む)の利用やWebサイトの私的利用の禁止などにより、導入前や導入直後には、業務効率がむしろ悪化したという声があがる。
しかし、業務に関する記録を義務づければ、前期はどうであったかなど、過去の記録の検索は容易になる。また、電子的な台帳への記入を義務づけることで、紙が減り整理整頓されるほか機密漏洩のリスクも減少する。文書化すれば規則に従わない人に注意しやすく、納得もさせやすい。
もっとも、システムの有効性を高めるには何よりも継続的な教育と内部監査が不可欠である。特に認証を取得するとゴールしたような感覚となり、気が緩みやすいので注意する。
認証取得による効果
自社のシステムがセキュアであることを第三者(審査登録機関)から認証される“お墨付き”は、Webサイト、名刺、会社案内、外部書類などに認証マークを表示することで信頼性を向上させる。ただし、認証の取得はあくまでも手段であり、目的となってはならない。もっとも認証取得レベルに達すれば、情報漏洩の未然防止、不正アクセスの対応など事故対応能力は向上し、リスクは軽減する。
また、自社のISMSが認証取得基準をクリアするだけのレベルであることを自ら確認できる。情報セキュリティ対策に満点はないため、どこまでやればいいのかという目安も必要である。また、構築よりも運用し続けることが重要といわれるが、継続していくには自信とやりがいも必要である。継続的改善、是正処置、予防処置という一連の流れを全組織で取り組むことで、全従業員のマインドは向上する。この分野では今後も新しい脅威が発生し続けると考えられるため、早いうちに基礎を築いておきたい。
■ISMSの導入効果
<アイソムズ 2006年4月号掲載>
