[PR] 立ちはだかるリスクアセスメントの関門、日本版SOX法IT統制への対応として増加するISO27001認証取得の実務［株式会社アトラクス］

＞＞リスクアセスメントはISO27001(ISMS)認証取得の最大関門

特集特集

2007年2月6日（火） 17時00分

＞＞リスクアセスメントはISO27001(ISMS)認証取得の最大関門

情報セキュリティに対する社会的な関心の高まりと共に、ISO27001(ISMS)認証の取得を目指す企業・団体が急速に増加している。従来は大手企業による取得が中心であったが、最近では企業価値を高める目的で、また、ビジネスにおいても情報資産に対するマネジメントシステムが必須となるケースが少なくないことから、中堅・中小企業においても取得に取り組む動きが大変活発になってきた。

また、2006年6月に成立した金融商品取引法(日本版SOX法)において、IT統制は内部統制の目的を実現するために必要不可欠なものと位置づけられ、そのIT統制の構築にあたり、ISO27001(ISMS)のフレームワークを活用できることが後押しとなり、取得への取り組みにさらなる加速を見せている。

こうしてISO27001(ISMS)認証の取得を目指す企業や団体が、その最初のステップとして実施するのが、(1) 組織内にある情報資産の洗い出し、(2) 守るべき重要な情報資産の特定、(3) 情報資産に対するリスク分析、ならびに (4)リスクに対する管理策の策定といった一連の「リスクアセスメント」だ。「ここでいかに的確かつ精度の高いアセスメントを実施できるか否かにより、その後の認証取得の成否に大きな影響が出ます。しかし、これらの作業が認証取得において最も負荷の大きな作業であるため、最大の関門といわれています」と、アトラクス社CRM事業本部セキュリティ・ナビ事業グループプロデューサーの成吉新一氏は語る。

＞＞外部委託と自社での取り組みそれぞれのデメリット

企業や団体がISO27001(ISMS)認証取得のプロジェクトを立ち上げる場合、その多くがまず、検討するのが外部コンサルティングを起用するという手法だろう。専門のコンサルティングサービスを利用すれば、認証取得が確かに容易になるが、コストは最も高くなる。また、調査や文書類の作成といった「実作業」はいずれにせよ自社で対応しなければならない。これは特に、中堅・中小企業にとってかなりの負担となる。

では、自社で認証取得に取り組んだ場合はどうだろうか。自社で行えばコンサルティング費用は不要なため、外部コストは発生せず、内部工数のみになる。実際、時間さえかければ自社のみでも認証取得は可能とされる。確かに、自社で取り組めば外部に支払うコストは発生しないが、一方で認証取得を主導する担当者には大変な負荷が掛かる。また、自社のメンバーだけでゼロから検討したり、他社の事例をそのまま転用したものでは、無駄も多く、無理なルールやマニュアルを作成してしまうことが少なくない。その結果、認証を取得できたとしても、実際に運用を積み重ねていくと無理なルールや無駄なコストは大きなものとなり、社内の不満の原因になったり、業務自体にも支障が及びかねない。

さらに、中堅・中小企業にとっては、まず、認証取得を主導できるセキュリティの専門家を社内に育成しなければならないということもあり、費やす時間もかなりの長期に及ぶ。もし、せっかく社内で育成した担当者が退職してしまったら、すべてが水泡に帰すことにもなりかねない。

＞＞豊富なコンサルティングノウハウが盛り込まれた業界初のパッケージソフト

このような、外部コンサルティングサービス利用によるコストの問題と、自社取得を目指す場合の社内的な負荷についてバランスよく軽減し、ユーザ自身による容易なリスクアセスメントを可能とした業界初のISO27001(ISMS)認証取得支援パッケージソフトが「TRIANGLE 27001 Enterprise」および「TRIANGLE27001 Basic」だ。「この製品には、日本初のデータベース連動型サービスの専門企業であり、プライバシーマーク認証を国内で最初に取得したアトラクスが長年培ってきた豊富なノウハウを盛り込んでいます。また、このパッケージソフトは、全てのリスクアセスメント実作業を代行する「TRIANGLE 27001」アウトソーシングサービスで、アトラクスのコンサルタントが実際に使用しているものです。このパッケージソフトを活用することで簡単かつ高精度なリスクアセスメントの実現、作業負荷の軽減かつトータルコストの大幅圧縮、さらには期間短縮が可能です」と成吉氏は強調する。

同事業グループマネジャーの河口大介氏は、「TRIANGLE 27001 Enterpriseの導入効果として、従業員数1,000人規模の企業におけるリスクアセスメントを例に取り上げると、すべてを自社で作業する場合と比較して期間、工数共に約半分で済むと試算しています。また、自社で作業を的確に把握できるので、社内にノウハウが蓄積していくというメリットがあります」と効果を説明する。
河口氏は続けて、「中でも、作業負荷が最も大きい情報資産の洗い出し作業について、TRIANGLE 27001 Enterprise/Basicでは、情報資産の取り扱いプロセスについて、業務フローを用いて視覚的に捉えることができるため、情報資産の洗い出し漏れや作業工数を大幅に低減できます。また、業務フローで管理することで、情報資産の取り扱いプロセスの変更や実施部署の変更があった場合も、基本的にフローの書き換えだけで済み、担当者が代わっても業務フローがあるため引継ぎが容易です」と語る。

このほかにも、情報資産の洗い出しから適用宣言書作成まで機械的な作業の全てが自動化されており、各工程の精度が向上することで手戻りが少なくなり、全体の期間を短縮できる。また、人の能力に依存しないため、誰が作業しても質が均一化される。これは大きなメリットで、もし、プロジェクトメンバーに異動等があったとしても、そこでプロジェクトが滞ることがない。

成吉氏は、「TRIANGLE 27001 Enterprise/Basicは、リスクアセスメントの大きな作業負荷をいかに軽減できるかを最大のポイントとして開発しました。また、ISO27001(ISMS)認証は、取得以上に継続させていくことに大きな意義がありますが、リスクアセスメントの結果は再利用可能なので、次回以降は新規に追加された情報資産やリスクのみアセスメントすることで期間短縮が図れます。加えて、個人情報保護、品質管理、内部統制、業務改善などその他のアセスメントにも転用が可能ですので、将来的にもメリットを充分に享受できます」と語る。

ISO27001取得支援「TRIANGLE 27001」
http://www.asnavi.jp/27001/index.html
Atlux Security Navi
http://www.asnavi.jp/

(この記事は特定非営利活動法人日本セキュリティ監査協会発行 Security Eye vol.6 からの転載です)

《ScanNetSecurity》