東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

コラム・編集後記

ISMSの導入:成功の鍵とよくある落とし穴

組織が顧客データや機密情報などの情報資産を守るためには、適切に情報セキュリティを確保する仕組みが必要となります。そのために、ISMSの導入と運用は重要になります。そこで、ISMSを導入・運用していく際に成功の鍵となるポイントと、陥りやすい失敗例をいくつか紹介します。

成功の鍵となるポイント

  • トップマネジメントのコミットメント
    ISMSの導入には経営陣からのコミットメントが不可欠です。経営層が情報セキュリティの重要性を理解し、リーダーシップを発揮することで、組織全体が情報セキュリティの確保に向けて協力的になります。
  • 従業員の教育と意識向上
    従業員への教育は、従業員に基本方針や対策基準などを理解させ、策定された実施手順を実践してもらうために重要です。定期的なトレーニングや教育プログラムを通じて、従業員が脅威に対処できるようにサポートしていくことが大切です。
  • リスク評価と適切な対応策
    リスク評価を行い、特定のリスクに対して適切な対応策を策定することで、情報資産の保護と事業の継続性を確保できます。

陥りやすい失敗例

  • 実施手順の抽象性
    実施手順が抽象的で理解しづらい場合、従業員は具体的に何を遵守して行動すればよいか分からず、セキュリティ対策が不十分になってしまいます。分かりやすい実施手順を策定し、従業員に浸透させることが重要です。
  • 不十分な監査と改善の実施
    ISMSの運用において監査と改善を怠ってしまうと、新たな脅威に適応できず、セキュリティ体制が陳腐化してしまいます。定期的な監査と、その結果をもとにした改善活動を継続的に行うことが必要です。

ISMSの導入を成功させるためには、経営層のリーダーシップ、従業員の教育、リスクマネジメントの適切な実施が欠かせません。常に変化するセキュリティ環境に適応する柔軟性や継続的な改善が、組織の情報セキュリティを確保することに繋がります。

編集後記

セミナー7日目では、具体的に実施する手順についてレベルごとに説明しました。特に、最もレベルが高く、漏れがない手法である網羅的アプローチに重点を置いた内容となりました。フレームワークにISMSを用いることで、単にセキュリティ対策を検討するだけではなく、PDCAサイクルによってISMS自体を継続的に改善し、より自社に適した対策を検討できるようになっています。緊急性や即効性についてはクイックアプローチ、ベースラインアプローチが勝りますが、じっくりと対策を検討する余裕がある場合、網羅的アプローチを推奨します。

本テキストでは、対策基準から実施手順を策定する3つの手法を説明するにあたり、クイックアプローチ、ベースラインアプローチ、網羅的アプローチの順に説明しました。クイックアプローチは、実際のセキュリティインシデントの事例について、自社での発生可能性や被害規模を検討した上で対策基準や実施手順を策定していくため、社会的に影響の大きい事案への対策がとりやすいと考えられます。ベースラインアプローチは、ガイドラインやひな形などによる既存の手法を参考にして対策基準や実施手順を策定していくため、自社に適した参考元があれば、それをもとに簡易な手順で策定ができると考えられます。網羅的アプローチは、フレームワークとしてISMSを参考にして対策基準や実施手順を策定していくため、時間はかかりますが、会社としてセキュリティを確保するにあたって高いレベルでのセキュリティ対策ができると考えられます。3つのアプローチ手法のうち、自社にあっていると考えられるものを選んで対策を検討してみてください。

次回は、作成すべきドキュメントや実施すべき対策手順を通して、組織的対策や人的対策の考え方について説明します。