目次
浅間商事は2023年、LRM株式会社さまご協力のもと、「情報セキュリティ監査」を実施いたしました。
情報セキュリティ監査とは、組織が保有する情報資産を守るために正しく対策がとれているかを、第三者的な目線でチェックすることです。(「情報セキュリティ監査とは?その内容と具体的な対策方法について解説」(セキュマガ))
今後、このノウハウをお客さまへのアドバイスに生かしていく予定です。
「監査」と聞くと、“難しい”、“大変”、といったイメージをお持ちになる方もいらっしゃるかもしれませんが、今回、浅間商事が行った監査のプロセスを分かりやすくご紹介することで、皆さまにも関心を持っていただき、その重要性が伝われば嬉しく思います。
なお、本プロジェクトは認証取得が目的ではない点と、社内情報およびノウハウなどを保護する観点から、本記事では詳細な情報やプロセスの一部を省略して執筆しております。予めご了承ください。
浅間の自社監査『AISMS』実施の背景
皆さまは、ISMSをご存じでしょうか。
ISMSはInformation Security Management System(情報セキュリティマネジメントシステム)の略で、企業・組織の情報を守るための仕組みです。
ISMS認証を取得すると、情報セキュリティに関する要件を満たしているという評価を得られるため、企業の信頼度が向上します。また、取引先がISMS取得を取引条件に加える、官公庁の入札条件にISMS取得が義務付けられる、などのケースがあります。
浅間商事でもISMS認証取得を検討しましたが、いくつかの理由から見送りました。
情報セキュリティ体制をISMSに準拠した内容に見直しました。
情報セキュリティ対策を強化するため、ISMS(アイエスエムエス)という規格に準拠した体制を構築しました。実際に取り組んでみて「本格的に情報セキュリティ対策をしたいが、どこからどこまでどのように実施したらよいか難しい」という会社さまにはISMS規格の活用は有効だと実感しましたので、情報共有いたします。
しかし、当社はお客さまに情報セキュリティ対策を提案する立場です。
これまで、さまざまなセキュリティ対策機器・サービスの情報を収集したり、実際に自社で実際に試したりしながら、中小企業の皆さまにセキュリティ・ソリューションをご提供してまいりました。
さらに自社のセキュリティ対策を確認し、アップデートする必要があると考え、今回独自の情報セキュリティ監査『AISMS(あさま版・情報セキュリティマネジメントシステム)』を実施いたしました。
AISMS(あさま版・情報セキュリティマネジメントシステム)
目的:
ISMS認証取得ではなく、ISMS(ISO27001)の規格に準拠した環境を整えます。そしてお客さま情報、社員の個人情報、経営情報、営業ノウハウなど情報資産※を適切に管理し、万が一のサイバー攻撃被害や人的ミスによる情報漏洩などを最小限に抑え、事業継続を図ることが目的です。
また、この監査で得たノウハウをお客さまに共有、サービスとしてご提供することで、中小企業の皆さまに向けたセキュリティ対策サービスをさらに強化してまいります。
方法:
社内でプロジェクトチームを結成しました。プロジェクトリーダー主導のもと、各部署・業務チームから担当者を選出し、情報資産の洗い出しと整理を実施しました。また、必要な社員教育、追加の設定、各種確認などを行い、さらなるセキュリティ強化、セキュリティ意識の向上を全社で実施いたしました。
また、当プロジェクトでは、ISMS/ISO27001取得コンサルティングサービスをご提供されているLRM株式会社さまに外部コンサルティングとしてご協力いただきました。
※情報資産:企業・団体が保有する情報(データ)全般を指します。もし消失したり、漏えいしたりした場合、事業に影響し、社会的信用を失ってしまう可能性があるものです。情報だけでなく、情報を管理する仕組みも含めた考え方です。
大まかな流れ
本プロジェクトの大まかな流れです。下記の一部の工程は並行している、前後している場合もあります。また、記載を省略しているプロセスもございます。
1. プロジェクトのスタート
LRMさまからのISMSの概要説明、社内での推進体制の確立など。ISMS認証を取得する場合のノウハウを共有いただき、自社でどこまでやるか、業務をどこまで分けるか、といったことを決定。
2. 準備
必要な書類の準備、作成、整理。
3. 情報資産の洗い出しと確認
全社で業務ごとに情報資産を洗い出し、内容の確認。
4. リスクアセスメント
3で洗い出した情報資産のリスクの確認。影響の範囲などリスクの分析、評価を行い、許容できるかどうかを決める。
5.情報セキュリティの目標決定、方針作成、公開
情報セキュリティの目標を決定し、方針を作成して自社ホームページで公開。
6.ハンドブック、マニュアルの作成
全社員が守るべきルールと、管理者向けマニュアルの作成。プロジェクトチーム(運営チーム)向けマニュアルも。
7.社内教育
指定のEラーニングを受講※。必要な知識を確認。
8.各種管理
委託先、利用システム・サービスなどの管理、文書管理台帳の整備など。
9.内部監査
各担当者と日程調整後、監査計画書を元に全支店で実施。後日報告書を作成して指摘事項の確認。(浅間商事は上野、川口、所沢、宇都宮の全4拠点)。
10.経営層の確認と次年度計画
経営層が本プロジェクトをレビュー。次年度の実施項目管理表を作成。
※Eラーニング:浅間商事では、LRM株式会社さまのサービス「セキュリオ」を利用。全社員向けだけでなく、内部監査員向け、事務局向け(各、関係者のみ対象)の3種類を受講。
次からは、実施内容について、ポイントを絞ってご紹介いたします。
ポイント1:準備が必要な文書
- 情報資産管理台帳:どのような情報資産を扱っており、どこに、どのように、どれくらいの重要度をふまえておいてあるかまとめたもの。
- リスク管理表:上記の情報資産台帳に記載された情報資産において想定されるインシデントおよびそれらへの考えや対応
- 情報セキュリティ方針:情報資産などの取り扱いルールをまとめたもの。
本来のISMS認証取得では、さまざまな文書の準備が必要ですが、今回浅間商事の自社監査で特にポイントとなった文書はこの3つです。
【情報資産管理台帳】
各部署の担当者にフォーマットを共有し、自分の部署の情報資産を洗い出して入力してもらう。
【リスク管理表】
洗い出した情報資産に対し、リスク評価を行う。本プロジェクトではLRM株式会社さまが全担当者と30分のミーティングを行い、リスク評価の方法について指導。その後各担当者がリスク管理表を完成させる。
【情報セキュリティ方針】
自社の情報セキュリティ対策の方針や、行動指針。策定のためには情報資産の洗い出し、リスク分析とその対策も必要※。浅間商事はWebサイトで公開。
その他、組織図、フロア図、ネットワーク図なども事前に準備が必要です。いずれもセキュリティ監査の観点からのみならず、企業活動において作成・更新・管理が必要な文書です。
浅間商事は以前、Pマーク(プライバシーマーク)を取得していた経験から、すでにある程度の文書がまとめやすかった、体制が整っていた、という背景があります。
しかし今回、ISMSに近い形で、改めてルールの確認・修正や情報資産の確認・リスク対応方法などの整理を行うことができました。
ポイント2:情報セキュリティ3原則
- 機密性:権限をもつ人だけがアクセスできる・利用できる
- 可用性:権限をもつ人は、使いたいときに安全に使える
- 完全性:情報が最新で正確、改ざんされない仕組みがある
ISMSでは上記の3つが、データのあり方においての原則になっています。(この3要素を確保する仕組みが、ISMSとも言えます)。
たとえば今回、浅間商事では内部監査の際に、この3つを念頭におきながらヒアリングが実施されました。
監査の際のやり取り例:
【機密性】書類・各種メディアの保管場所に案内してもらう
→必要な施錠がされているか
→権限をもつ人だけが利用できるようになっているか
→データの中身ではなく、データの管理状態を確認
【機密性】退職者のパソコン
→データが残っていないか
【機密性】物の放置、クリーンデスク、ゴミなど状態
→執務スペース、倉庫など、物が放置されていないか
→裏紙やゴミでも、業務に関するメモやお客様情報などがないか注意
→極端な散らかりも指摘事項になる
→ISMS以外にも、一般的な監査において、防火防災等の管理は安全対策として必須
【可用性】バックアップの有無
→消失したら業務に影響するデータはバックアップをとっているか
【可用性】配線の状態の確認
→電源やそのほかのケーブル類が乱雑になっていないか
→ひっかけて抜ける、断線するなどリスクがないか
【完全性】ここの書類は、いつ、どんな類のものか
→情報はすべて最新で正確なものか
ポイント3:課題(浅間商事の場合)
- 設備の不備
- 属人化
- 書類の運用フロー
内部監査において、大きな問題や課題は見つかりませんでしたが、浅間商事ではこの3点が今後の課題として挙げられました。
設備の不備:
一部のドア、電気といった建物の設備(ファシリティ)に問題があり、機密性が担保できない点がありました。修理などの必要な対応をすることになりました。
属人化:
担当者が少ないチームでは、属人化が懸念点として残りました。特定の情報資産のアクセスや管理の状態について、一人しか知らないという状況は今後起きないよう、体制の見直しが必要になりました。
書類の運用フロー:
ペーパーレスが進んでいますが、一部の業務ではまだ書類が多くあります。保管期限が過ぎても残されているケースがありました。今後、このような書類は、安全性の観点からも、定期的に処分していくフローを構築していく必要があります。
AISMSの成果
本プロジェクトの成果として、次のようなものが挙げられます。
成果物(例):
- 業務委託先事業者一覧表
- 利用システム・サービス一覧表
- 情報資産一覧表(全社の部門別情報資産一覧、リスク評価)
- マネジメントマニュアル(管理者向けマニュアル)
- 情報セキュリティマニュアル(同上)
- セキュリティハンドブック(社員向けマニュアル)
成果:
- 各種管理表、情報セキュリティに関するマニュアルが整備された。
- 属人化している部分が明確になった。
- (Pマーク取得時以来)社員のセキュリティに対する意識を合わせることができるようになった。
- 新たに入社する社員に対しても、共通のセキュリティルールで説明ができるようになった。
- お客さまへのアドバイスに役立つ。
これらを受けて、今後も年1回、同様の内部監査を実施する予定です。また、その際に社内の文書の定期的な整理、処分を行うことにより、より安全性を高めることはもちろん、スマートな業務環境も実現させていきたいと考えています。
LRM株式会社さまより
今回のプロジェクトについて、LRM株式会社さまよりコメントをいただきました。
LRM株式会社では、ISMS構築をはじめ様々な情報セキュリティに関するご支援を行っております。
この度は、浅間商事様の情報セキュリティマネジメントシステムの構築をご支援させていただきました。
ご支援では、ISMSとはどういうものなのかというご説明から始まり、情報資産の洗い出しやリスクアセスメント、ルール策定を行い、内部監査まで実施させて頂きました。
浅間商事様では以前Pマークの運用をされていたこともあり、文書の管理やクリアデスク、アクセスコントロールなどの意識は既に根付いている印象でした。
今回のお取り組みでは、ルール順守の抜け漏れを再確認することで情報セキュリティのより一層の強化につながったのではないかと感じております。
また、普段から気になりつつも対応に着手するきっかけがなかったような物理環境の修繕や鍵管理についても対応を進められた他、普段では知りえない他部門の情報の取り扱いや業務プロセスについて、内部監査を通じて部署間で情報共有していただくことができたのではないかと考えております。
ISMSは情報セキュリティリスクをアセスメントし、必要な対策を行い、継続的に改善を行っていくためのフレームワークです。このフレームワークに基づいた体制を作るまでのお取り組みは、工数を割いて対応しなければならない大変な活動ですが、企業活動の地盤を固める非常に重要な役割を果たすものだと考えております。
今回のご支援が浅間商事様だけではなく、そのお客様のセキュリティ運用の一助となれば幸いです。
まとめ
浅間商事は2023年、LRM株式会社さまご協力のもと、自社独自の「情報セキュリティ監査」を実施いたしました。
中小企業の皆さまにセキュリティ・ソリューションをご提供している立場から、自社のセキュリティ対策を確認し、アップデートするためです。また、お客さまへのご提案・アドバイスの強化にも役立てたいと考えました。
監査の実施に当たり、社内でプロジェクトチームを結成しました。リーダー主導のもと、社内の情報を整理した管理表の作成、リスクアセスメント、各種マニュアルの作成、全社員へのEラーニングの実施などの他、そして全拠点で内部監査を実施しました。
成果として、情報セキュリティ体制の強化に必要な情報やマニュアルが整備され、社内のインシデント防止など自社のセキュリティ体制がより強固になりました。また、成果物はもちろん、内部監査のプロセスなど、今後のお客さまへのアドバイスにも役立つと考えております。
浅間商事では、中小企業のお客さま向け情報セキュリティ対策のサービスをご提供しております。機器やサービスだけでなく、運用やルール作りの面でもご不安やお悩みがありましたら、ぜひお気軽にご相談ください。
