ISMS 取得を見据え自社の情報資産を可視化
事例企業: H 社
目的: コンサルティングパッケージによるリーズナブルかつ迅速な情報資産台帳の策定
導入前の課題
H 社は情報通信に携わる企業であり、日頃より各取引先より情報セキュリティ対策についての対応状況の確認を求められ、都度個別に対応を図っていた。都度発生する対応について、P マークや ISMS を取得していれば対策への回答もスムーズであると考え、P マークや ISMS の取得を検討していた。
導入の目的・解決手段
資格の取得にあたり、ノウハウを持った社外のコンサルティング会社に相談したいが、どのような効果が得られるのかわからない、と躊躇していたところ、お付き合いのある企業からサイバートラストのコンサルティングパッケージを紹介された。
コンサルティングパッケージは、情報セキュリティ対策のステップに合わせ支援サービス内容および価格がメニュー化されており、はじめて情報セキュリティに取り組む企業が採用しやすいサービスメニューであることを評価した。
サイバートラスト社とのミーティングを通じ、現在 H 社に必要な事は資格を取得する事なのだろうかと本質に立ち戻り、社内で検討を重ね、まずは「自社の情報資産とは何か」と基本的な事を把握する事が必要と考えた。社内の方向性がまとまった事から、資格取得から「資産台帳作成」のサービスへ依頼する事になった。
導入効果
まず、H 社にて情報セキュリティの運用・管理状態を確認する 65 問の質問票に回答した。質問は、重要情報の管理や端末の利用制限、インターネットの接続状況、組織の対応内容、内部不正対策など、多岐にわたる項目のうち、該当する選択肢に〇を付けるというシンプルな形式で提供された。
そして、執務室やサーバルームなどの重要エリアの確認を行った。これは H 社のオフィスのどこにどのような情報が存在しているかを確認する作業だ。機密情報の格納された書類棚には鍵がかかっているか、また高セキュリティエリアに入れる人間が正しく制限されているかどうか、監視カメラが死角のないよう正しく設置されているか、などが確認された。
こうした情報をもとに、コンサルタントがリスクアセスメント※ 作業を行い、情報資産台帳を作成、現在のH社の機密情報の管理状態が可視化された。
リスクアセスメントの結果、H 社に対しては、「企業に求められる基本的な情報セキュリティ対策が実施されておらず、リスクが多数潜在している可能性があり」という結果が出された。
機密情報の取り扱い、入退室管理やインターネット接続環境としては安全圏に入っていると評価できたが、その他の部分でいくつか指摘がなされた。
例としては、一部の外部記憶装置の利用やアプリケーションなどのインストールに関して企業としてのポリシー設定などが明らかになっておらず、情報漏洩の可能性が指摘された。
他社の例では、管理外の USB メモリを刺してマルウェアに感染し、機密情報が漏洩したケースもあり、今回そうしたことが H 社も業務フローとして管理されていないことも指摘された。
そのほかにも、より厳格な運用のため、ログ管理ポリシー(保存期間、保存内容、またその仕組み)の整備、パスワードポリシー(桁数や文字種)の統一などの助言もなされた。
こうした取り組みは、いずれ ISMS や P マークといった資格取得の際にも必要になってくる内容であり、そうしたことを見すえた H 社としては、今回のアセスメントを通じて課題を可視化することができた。
展望
今回、コンサルティングパッケージを実施したことで、「企業の情報セキュリティの意識が高まった」と、H 社の代表は感想を述べられた。
また、「このような形で情報セキュリティに対しての現状とアクションアイテムをまとめていただいてありがたい。対応する優先順位もご提示・ご提案いただいたので、それにしたがい対応を進めていきたい」ともコメントされた。
加えて、今後 ISMS や P マーク取得のプロジェクトを進めていくにあたり、社員教育が優先であるという判断がなされ、社員教育の要望もだされている。
「今後も、お取引先の安心のみならず、自社におけるガバナンス維持という意味でも、情報セキュリティ対策を継続的に行っていきたい」、と述べられた。