全2回　いま企業の情報セキュリティに求められる「ISMS（ISO/ IEC27001）認証」とは？ 《連載:第2回》 ISMSを“形だけ”で終わらせない！PDCAとIT部門の役割

ISMS認証取得は企業にさまざまなメリットをもたらしますが、「形だけ」の取り組みでは十分な成果を得ることはできません。情報セキュリティを取り巻く脅威や事業環境は日々変化しています。こうした変化に対応しながら、ISMSを実効性のある仕組みとして定着させるには、「PDCAサイクル」による定期的な見直しと改善が不可欠です。

ISMSにおけるPDCAサイクル活用法

ISMSの主なプロセスをPDCAサイクル（Plan・Do・Check・Action）の流れに当てはめると、次のように整理できます。

■Plan（計画）：ISMSの構築

1.ISMS適用範囲の決定と基本方針の策定

ISMSを適用する範囲（部門・業務・システムなど）を明確化し、組織のISMSに対するビジョンや行動規範を示すISMS基本方針、及び情報セキュリティ基本方針を定めます。

2.管理組織の整備と規程・手順書などの策定

ISMS推進のための責任者や体制を整備し、基本方針をもとに具体的な規程や手順書などの文書を作成します。

3.リスクアセスメントの実施

情報資産に関わるリスクを特定・分析・評価する手順を策定し、対応方針や目標を設定します。必要に応じて管理策（アクセス制御、バックアップ、暗号化など）を選定します。

■Do（実行）：ISMSの導入・運用

4.教育・訓練の実施

従業員のセキュリティ意識を高め、ヒューマンリスクを低減するための教育・訓練プログラムを定期的に実施します。

5.セキュリティ対策の運用とインシデント管理

計画段階で選定した管理策を実際に運用し、その効果を測定します。インシデント発生時の報告・対応体制を整え、迅速な初動対応をおこないます。

■Check（点検）：ISMSの監視と見直し

6.内部監査とマネジメントレビュー

ISMSの運用状況や要求事項への適合性を客観的に確認するため、定期的に内部監査を実施します。また、経営層によるマネジメントレビューを通じて、改善の方向性や方針・体制の見直しを検討します。

■Action（処置）：ISMSの維持・改善

7.改善及び再発防止のための処置

内部監査及びマネジメントレビューで得た課題、または外部からの要求をもとに、是正処置や予防処置を講じ、プロセスの改善を図ります。

ISMS構築・運用を効率化するISMSツール

ISMSの構築・運用に取り掛かると、大小さまざまな課題に直面します。中でもよく挙げられるのが、次のような課題です。

・ISMSや情報セキュリティに関する知見を持つ人材が不足している
・提出書類の作成・管理に手間がかかる（例：数十種類の文書をExcel・Wordで作成）
・運用が属人的になりやすく、担当者の引き継ぎも難しい

こうした課題への対策として、外部コンサルタントやアウトソーシングを活用するケースもありますが、最近では自社主導によるISMS認証取得を支援するツールが登場しており、導入が進んでいます。一般的にISMSツールには、以下のような作業工数の削減や属人化の解消に役立つ多彩な機能が搭載されています。

■ISMSツールの主な機能例

・文書の自動作成機能
テンプレートに情報を入力していくだけで認証取得に必要な文書が自動生成されます。

・文書の一元管理機能
認証関連文書、内部監査・マネジメントレビューの記録、審査報告書などを一元管理できます。

・リスクアセスメント自動化機能
自社の情報資産を登録すると、リスクを自動分析し、対策案を提示します。

・教育・訓練機能
認証取得・維持に必要とされるレベルの情報セキュリティ知識をeラーニング形式で学べます。

・内部監査サポート機能
指示に従って入力するだけで、監査チェックリストや結果報告書を作成できます。

その他にも、認証取得に必要なステップを動画で解説する機能、タスク管理機能、目標の達成状況を測定する機能、審査に必要な証跡（端末の操作記録などの収集・管理機能などを備えたツールも登場しています。

ISMS新規格に対応可能なITツール

第1回目記事で触れた通り、ISMSの国際規格ISO/IEC27001は2022年に新規格ISO/IEC 27001:2022に改訂されています。その際、管理策として新たに追加された「構成管理」と「脅威インテリジェンス」についても、ITツールの活用が有効です。

・構成管理
ITシステムを構成するハードウェアやソフトウェアなどの情報と組み合わせを一元的に管理する取り組みです。構成管理データベース機能を備えた「ITサービス管理（ITSM）ツール」などを導入することで、情報の収集・登録・更新などの煩雑な作業を自動化することができます。

・脅威インテリジェンス
サイバー攻撃などの脅威に関する情報を収集・分析し、対策に役立てる取り組みです。「脅威インテリジェンスプラットフォーム（TIP）」を活用することで、一連のプロセスの迅速化することが可能です。

ISMSで求められるIT部門の役割

第１回目記事でも述べた通り、ISMS認証の取得は、情報セキュリティの強化にとどまらず、企業価値や競争力の向上にもつながる取り組みです。つまり、IT部門にとっては、自らの知識・スキルを活かし、経営により深く貢献する絶好の機会にもなります。

そのため、ITツールの導入や技術面の支援を担うだけでなく、規程の作成やリスク情報の提供、教育・訓練、内部監査といった取り組みにおいても、推進役または中核として積極的に関わっていくことが大切です。

他にも、ISMS認証を取得していることで獲得できた案件の数や売上を可視化し、経営層に報告することで、ISMSを経営と連携させることができます。こうした積み重ねが、社内におけるIT部門の存在感や信頼性を高めることにつながっていくはずです。