2006年9月1日 ISO27001移行審査を終えて

今回のISO27001へ移行するにあたって、一番の問題がこの「有効性の検証」でした。
今までのBS7799:2002（ISMS Ver2.0）では、それぞれの情報が抱えるリスクを受容水準まで下げることを目的としたマネジメントシステムでした。ISO27001でもその点では同じですが、より厳密に管理策の実施状況や効果の確認をすることが求められています。ISO27001では、有効性の検証が下記の項目で求められています。

• 管理策の有効性を検証する方法を規定すること
• セキュリティ違反を解決するためにとった処置の有効性の検証
• 要求事項が満たされていることを確実にするための有効性の検証
• 教育・訓練の有効性の検証

実際に有効性の検証は、どこまで実施すればよいのか。おそらく情報セキュリティ担当者は、誰しも迷うことだと思います。完璧な方法はないかと頭を悩ませている方も多いのではないでしょうか。

管理策を定量的に把握するというのはひとつのやり方です。しかし、その定量化されたデータが有効性の検証として本当に信頼できるかどうかは悩ましいところです。よく陥ってしまう罠としては、そのデータに固執してしまうあまり、いつしか本来の目的を見失い、真実が捉えられなくなることです。その予防策として、時には定性データも有効性の検証に活用すると効果的です。

例えば、ウィルス対策としてメッセンジャーの使用を禁止するという管理策を設けたとします。この管理策の有効性を検証するために、アプリケーション監視ツールでメッセンジャーがスタッフのPCにインストールされているか定期的にチェックすることにします。

メッセンジャーの検出数が0件であれば、管理策は有効と判断できるでしょうか。おそらく2年くらい前まではそれで有効だったかもしれませんが、ウィルスの進入経路が多様化した現在では、不完全な有効性の検証といえます。

おそらくニュースを読んだり、内部監査時にスタッフに質問をすると、ウィルスの進入経路は他にもいろいろ出てきていることがわかります。こうした情報源は決して定量化されるデータではありませんが、有効性の検証としては非常に重要となりえます。すると、今までの検証のみでは不十分だということに気づき、管理策や検証方法の見直しを行います。こうやってPDCAサイクルをまわすことで、時代に即した管理策と検証方法が維持されていきます。

このように、セキュリティ管理策や有効性の検証とは、どこまでやっても完璧というものはなく、きりがない世界です。どこで線を引くかはコストパフォーマンスや企業の体力から判断して決めるしかありません。反対に、いったん線を引いたものであっても、時と場合に応じていつでも線を消して書き直していいのだと心の準備をしておくことのほうが大切なのではないでしょうか。

有効性の検証結果は、単にISO27001の運用結果の記録としてだけではなく、さまざまな活用ができます。そのひとつがITガバナンス実現のための基礎資料としての活用です。

ITガバナンスとは、「企業活動の効率性、信頼性等の向上のために投入されたITが、その目的に沿って有効に活用されていることを保証するための仕組みです。」（IPA「情報システム部門責任者のための情報セキュリティブックレット」）と定義されています。このITガバナンスを実現するための、3つの要素が

• 1.情報リスクマネジメント
• 2.準拠性マネジメント
• 3.パフォーマンスマネジメント

です。情報リスクマネジメントや準拠性マネジメントに関しては、既存のBS7799:2002でも含まれていましたが、パフォーマンスマネジメントという点に関しては、やや弱い部分であったと思います。今回ISO27001では、有効性の検証が含まれたことで、パフォーマンスマネジメントの基礎資料として客観性のあるインプット情報となるでしょう。

さらにISO27001を一歩踏み込んで財務的な視点を組み込んでいくことでIT投資費用対効果検証のマネジメントも可能となります。

他にも事業継続性にテーマを絞ることや、コンプライアンスにテーマを絞る、業務プロセスを定義しなおすなど、マネジメントシステムは組織によってさまざまな使い方ができます。もしISO27001への移行が控えている、あるいは認証取得を考えているのであれば、ちょっと規格要求事項から一歩引いて、組織の取り組みテーマを再考してみてはいかがでしょうか。