「ISMS制度の開始から1年ほどしかたっていないのに、形骸化が始まっている」。こう指摘するのは、ISMSの取得支援コンサルティング・サービスを実施しているトーマツ環境品質研究所の三浦喜泰マネジャーだ。
ISMS制度(情報セキュリティマネジメントシステム適合性評価制度)は、企業などが一定レベルのセキュリティ管理体制を維持するための体制を、日本情報処理開発協会(JIPDEC)が認定する公的な認証制度だ。トーマツ環境品質研究所によると、ISMSの取得件数は大きく伸びているという。例えば、今年1月には75件、今年5月には140件以上という具合だ。
その一方で、三浦マネジャーは「形骸化」している企業があると警鐘を鳴らす。これは、ISMSを取得しても有効にセキュリティ管理ができていない状態を指す。
その形骸化の原因の一つになるのが、「分厚いマニュアル作り」だ。ここでいうマニュアルとは、セキュリティ管理体制を維持するために、社内のシステム利用者やシステム管理者などがやるべきことを細かく規定したものである。
「飾っておくだけで誰も読まないような分厚いマニュアルはいらない。本当にISMSの効果を得たいのなら、社内のシステム利用者が最低限やるべきことを簡単なパンフレットにしたり、絶対にしてはならないことを簡単にまとめたラベルをパソコンに貼り付けておく、といった地道な取り組みこそ重要であり効果がある」と、三浦マネジャーは説明する。
三浦マネジャーはさらに、「ISMSの取得担当者が、経営者や社内のシステム利用者の協力を得ることも重要だ」と指摘する。「ISMS取得を担当する情報システム担当者は、経営者と守るべき情報資産が何かをはっきりさせておく必要があるし、社内に取り組みを浸透させるには、社内ユーザーを巻き込むことが欠かせない」。
トーマツ環境品質研究所は、ISMSの取得を支援するコンサルティング・サービスを提供している。大きな特徴は、企業にとって漏洩するリスクが高い情報資産は何か、を分析する手法を複数用意していること。経営トップが重視している情報資産をもとに守るべき情報資産の重要度を見極める手法や、経営や顧客への影響度をもとに情報資産の重要度を求める手法などを揃える。
トーマツ環境品質研究所の前田寛之マーケティング室長は、「ISMSの取得企業では、情報資産の得点付けをしていくスコアリング方式が主流になっている。だが、それだけが分析手法ではない。当社では企業によって適切な分析ができるようにさまざまな手法を用意している」と説明する。サービスの料金はISMSを取得する組織の規模によるが、300万円から1000万円が目安になるという。
