ISMS構築｜「情報セキュリティの目的」とは

無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

2013年、ISO27001規格改訂の際、最も多い相談が「どう目的を立てれば良いかわからない」といった内容でした。その多くは、下記のようなものです。

セキュリティレベル向上のために、どういう目的にすれば良いのか。
技術に詳しいわけではないので、目的が立てられない。

この様な状況に陥る背景として、“日本的なマネジメントシステムの呪縛”があると考えられます。

この記事の目次

1 マネジメントシステムの呪縛とは？
2 ISO9001の場合
3 情報セキュリティの場合
4 まとめ

マネジメントシステムの呪縛とは？

目的・目標を立てるということ＝向上させること

この様に思い込んでしまっているのです。ISO9001で使われる「品質目標」なんかはその典型ですね。

ですが、情報セキュリティ方針には大抵こうかかれています。

情報セキュリティマネジメントシステムを確立し、実行、維持、改善に努めます。

改善だけでなく“維持”することも目的の一つなのです。

ISO9001の場合

商品の品質であれば、一旦できあがった品質はなかなか低下はしないでしょう。（入手が困難になったとか、価格が上がり過ぎて手が届かなくなった、とかでもなければ…）その為、ISO9001では、品質目標のテーマは“向上”が主眼となります。

そして、ISO9001をやっている企業では、１年をかけて“向上”を目指す目標を立てるのです。“向上”なので、目標達成しなくても品質の“低下”はしません。外部からのクレームに繋がりません。その為、現場では“なぁなぁ”になりやすくなります。

情報セキュリティの場合

それでは、情報セキュリティはどうでしょう。目的を立てても“なぁなぁ”になって、何も変わらなかったらどうでしょう。

これだけ、毎日のように新たなサイバー攻撃が行われたり、セキュリティホールが見つかっている状況です。何もしなければ、どんどんセキュリティレベルは下がってしまいますし、現在のセキュリティレベルを“維持”することもできません。結果、外部からのクレームが急増する事でしょう。

セキュリティにおいては“維持”が大切

ここで「情報セキュリティ方針」に戻ってみましょう。確立し、実行、【維持】、改善に努めますとありますね。つまり、“維持”することは、立派な方針に対する目標になるのです。情報セキュリティに関しては、問題があったら担当者はすぐ対応に取り組みますね。すぐ対応しないと狙われてしまいますから。

対応する為には下記の項目を決めなければなりません。

いつ
誰が
何を
どうやるか
いくらかかるか

これも立派な「情報セキュリティ目的」なんです。

現場と経営層の“意識のズレ”を無くす

そもそも、「情報セキュリティ目的」は一年に一回作らなきゃいけない、なんてことはどこにも書いてありません。要求されるのは、情報セキュリティ方針に基づいて対応することだけです。品質目標は向上させるために自発的に作るのが一般的ですが、情報セキュリティ目的は外的要因で作らざるを得なくなってしまうのです。

考えてみれば、こういうことは各企業のシステム担当者が普通にやっていることです。ですが、セキュリティ担当者が何をやっているのか、それがどういう価値を持つのか、経営層まではなかなか届かなかったと思います。

それを「情報セキュリティマネジメントシステム」の重要ポイントの一つ、“情報セキュリティ目的”としての位置づけを持たせれば、現場も奮いますし、経営層の理解も進みます。実際、会社の永続的発展のために効果を挙げているわけですしね。その効果をあまり意識してこなかったから、“情報セキュリティ目的”と言われてもピンと来ない。それが日本の経営層の一般的な情報セキュリティ認識だったのでしょう。

まとめ

この様に、セキュリティについての認識を改めるという意味でも、ISO27001導入の効果は大きいのです。

ただし、“向上”ではなく“維持”ですから、達成しなかったらエラいことです。外部攻撃を受け、漏えい事件を起こしてしまうかもしれません。その点で“向上”を目指す目標より厳しいですよ。担当者や経営層はそこを肝に銘じなくてはなりません。トップから現場まで、情報セキュリティレベルの維持を図るため、しっかりと情報セキュリティ目的を設定し、洩れなく必要な対応をできるようにして行きましょう。

次回も、誤解の多いポイント「情報セキュリティ計画のリスクと機会」を解説させていただきます。