初めまして
初めまして、ウェルスナビ きど と申します!
ISMSの推進業務や情報セキュリティに関連した業務・研修をやってます!
この記事で紹介する内容
ウェルスナビは今年の7月にISO/IEC 27001・27017認証(以後ISMS認証と記載します)登録を完了しました!
この記事では
「ISMS事務局をやったことあるが、いつもやってる作業がISMSの何と関係してるのかわからない!」
「審査時に管理策番号で質問されてどんな回答何の資料出せばいいか戸惑ってしまう」
「審査時期には各方面から不安や不満の声が漏れ聞こえるのでどうにかしたい」
みたいな人の助け舟になるかもしれない施策として以下2点を紹介しています!
1️⃣ISMSの支柱となる管理策と当社の対応をきちんと整理し、事務局が理解できるようにした事
2️⃣認証取得の審査直前の説明会の実施とロールプレイの実施
上記二つの施策を紹介する前に、私がウェルスナビで働くうえで大事にしている
「会社を良くするISMSをもっと皆さんに知ってもらいたい、納得して取り組んでもらいたい、その為にどうしたらいいか」
という想いを抱くきっかけや、今回取り上げた2点の施策を紹介した理由をお話します!
もし、施策を先に知りたい方は目次より飛んでいただけたらと思います。
少し長い前置き
”ISMS”や”情報セキュリティの仕事” と聞くと
- 業務内容が小難しそう
- 口うるさそう(社員に対して)
- 面倒くさい
というイメージを持たれがちです。
しかし!私はこの 負のイメージを払拭したい! と思っています。
初めはISMS = "面倒で良くわからないもの" だった
私も初めはそのような負のイメージを持っていました。それが変わったきっかけは1度目の転職により就いたISMS事務局の仕事でした。
それまでSEとして10年程働いており、ISMSは「面倒な確認テストや研修を毎年受けさせられる」というイメージでした。更に情報セキュリティ関連の知識もほぼ0。
そんな私が、そこで初めてISMSを事務局側として情報セキュリティの世界に足を踏み入れることとなり、同時に負のイメージを払拭する決意を固めることとなったのです。
ところでISMSには、毎年審査がついて回ります。
【ISMS1年のサイクル】
次年度の審査までに上記の流れを回していくことで新たなリスクの発見や、日々変化する世の中の脅威に対して自社の対応は足りているのかを確認することが出来ます。
目まぐるしく成長していく会社ほど、定期的な審査により見直しと改善の機会を与えてくれるISMS(情報セキュリティマネジメントシステム)は素晴らしいものとなるはずなのです。
それなのに!
ISMS事務局になったばかりの私は上記のすばらしさを知る事ができませんでした。
理由は
- そもそもその素晴らしさを理解していない事務局(当時の私)
- たとえ理解していてもそれを伝えることをしていない事務局(他事務局員)
がそろっていたからです。
その結果
このような、世間一般の「情報セキュリティ、ISMSめんどくさい」 の代表例みたいな仕事をしてしいました。
そんな私にきちんとISMSと向き合う機会が訪れました。それが維持審査です。
審査員の方が一つ一つの作業の結果に対し
- 不足点
- 不足することによるリスク
- そのリスクを低減するためにどうしたらいいか
を目的を交えて詳細に教えてくれたのです。
今までただの定常作業と思っていたものは会社の為を想いながらきちんと熱意をもってやっていくべきものだったのだと実感した瞬間でした。
そして、各組織へお願いする様々な事柄も”毎年やってることだから”という理由で行う。
そんなことを言われる側も、言う側にもなりたくないと強く思うようになりました。
その後色々なことがあり転職することとなった私は次の職場の採用面接でこういいました。
「ISMSや情報セキュリティは世の中では面倒なものとして捉えられています。こんなに会社の為を思って行われている数々の施策が、そのような捉え方をされていることが許せません!きちんと目的や理由を皆さんに伝えられるように仕事をしていきたいです!!!」
そして採用されたのが、ウェルスナビだったのです。
今回の2点の施策について
1️⃣ISMSの支柱となる管理策と当社の対応をきちんと整理し、事務局が理解できるようにした事
2️⃣認証取得の審査直前の説明会の実施とロールプレイの実施で目的の説明と不安の払拭
ということで、なぜ今回2点の施策を紹介するのかについてお話しします。
それぞれの施策は以下の目的があります。
- ISMSについて各組織からの質問や説明をするためには事務局自身が深く理解する必要があること
- 各組織へお願いする目的・理由(メリット) をきちんと伝える機会を作ること(すれ違いや誤解に伴うハレーションを防ぐ目的もあります)
特に一つ目の施策については非常に重要なものだと考えています。
納得して取り組むための理由や、メリットを説明できる事務局は、深く自社における取組の内容について理解していないとならないからです。
二つ目の施策は主に各組織向けになっていますが、ロールプレイに関しては組織向けだけでなく事務局に向けても非常に有意義な施策です。審査員側の目線で各組織を見ることで新しい気付き、足りない点を発見することが出来ます。
それではさっそく各施策を説明していきます。
★=施策を実施した時期(ISMS認証を取得するまでのサイクル)
1️⃣ISMS管理策と当社の対応の整理について
概要
使用したツール:Notion
ISMSでは全要求事項・管理策について適用、適用除外を書き示した適用宣言書というものがあります。
こちらは各社でフォーマットは異なりますが大体以下のようなことが記載されています。
- 管理策番号
- 管理策タイトル
- 管理策内容
- 適用か適用除外か
- 管理策を実施しているか
- その他管理策に必要な情報
参考:当社の適用宣言書の一部
ISMSでは要求・管理策に沿って審査が行われていきます。
なので一つ一つの要求・管理策の目的を知り、それに対して当社がどのように対応をしているのかを知ることがそのまま当社のISMSとは何ぞやを知る重要な要素になります。
しかし、この適用宣言書には、適用しているか?実施しているか?を書くものの、それ以外の情報が記載されていません。そこで、どのように対応を当社ではしたのか、現在どのような資料がそれにあたるのかをNotionでまとめることにしたのです。
Notion上の構成
一つの管理策(上記図①)を1つのプロジェクトと仮定し、その管理策に必要なタスクや、資料の作成をプロジェクトに連なるタスクとして登録しています(上記図②)
更に管理策を完了させるための資料が今どのような状態なのか、関連する管理策はあるかなども紐づけて見れるようにしています。
一つの管理策にどのような資料が関係しており、その資料がどのような経緯でつくられたのか、ほかに関連する管理策は何なのかがわかるようになることで管理策同士の関連性、当社のルールとISMSの関連性などが見えてきます。
【Good: 審査の応答がスムーズに!】
審査員などから各種管理策における当社の対応について質問された際、該当管理策を確認すれば関連資料とその資料の経緯をすぐに知ることができます。
そして、この策が一番効果を発揮したのはそこまで管理策に精通していない事務局経験の浅いメンバーや、ヒアリング対象となる従業員に対してでした。
特に今回同じく取得を目指したISMSクラウドセキュリティ認証の審査でも顕著にその効果が表れました。
ISO/IEC27017 ISMSクラウドセキュリティ認証審査はまだ比較的新しいISO/IEC27001のアドオン認証です。
私たち事務局内でもこの認証の取得経験があるメンバーがおらず、どのような質問や確認がされるのか不安でした。それは審査を受ける組織の方たちも同じです。
ですが、審査員と会話をする中で、「どの管理策についての質問ですか?」と確認を入れることで現場組織の方たち自らNotionを確認し自分たちでその回答を行うことが出来たのです。
審査員の方々も、基本は管理策に沿って質問しますので共通認識が相互にもてるという意味でも非常に有効だったと思います。
【Challenge: めっちゃ時間かかる!】
この施策はISMS取得するにあたり非常に役に立ったのですが、苦労した点もありました。
作るのに非常に時間がかかる点です。大体作業時間で40人日程かかりました。(期間は2~3か月程)
その管理策をどのように対応したかについて情報を集めていく為、認証取得時ならより情報も新しく集めやすいと思います。しかし認証取得後に上記の作業をしようとすると過去の情報収集と精査に時間がかかってしまう為上記作業時間より時間がかかると思われますので注意してください。
2️⃣認証取得の審査直前の説明会の実施とロールプレイの実施
概要
使用したツール:特になし
ISMS認証取得の最後の砦が本審査です。認証取得のためには全組織が外部の審査員によりヒアリングを受けます。当社では1組織あたり1.5時間~4時間をヒアリングに充てることとなりました。
もちろんISMS事務局がサポートしますが対応のメインは各組織の責任者となります。
いざ実施となった際にできるだけ落ち着いて対応できるよう説明会の実施と希望組織にはロールプレイを実施しました。
【説明会を実施した経緯と工夫】
経緯
- 審査日にかなりの時間を割かれるため、反発を避けるためにもその為の告知・説明が事前に必要だった
工夫
- 認証取得する為の審査ではあるものの、その本質は当社の現状を確認(Check)してもらうことにあります。情報セキュリティの健康診断だと思って誤魔化したりせず誠実な姿勢で審査を受けてもらうことをきちんと伝えました。
- 更に初めての審査となる方も多かったため、質疑応答の時間に事務局からあえて皆さんが不安に思っていそうな部分について質問を投げ、質問を出やすくするようにしました。
【Good:当事者意識の芽生え】
- 各組織責任者にCEOから直々に、不安ならぜひロールプレイに参加するよう促してもらえた
- 各組織責任者が当事者意識を持つことが出来た
- 後述するロールプレイを積極的に受ける流れができた
【Challenge: 誰を呼んだらいいんだ?】
- 各グループ責任者(部長相当)を参加対象とし、任意でチーム責任者(課長相当)を同席するように案内していたが、審査当日の流れを踏まえ、業務の細部まで熟知しているチーム責任者も積極的に参加できるように配慮しておくべきだった。
(特に今回は初回審査であったため、審査内容を想像しにくいグループ責任者にチーム責任者を同席させるかの判断を任せるのはあまり良い判断ではなかった。)
【ロールプレイを実施した経緯と工夫】
経緯
- 当日の流れや準備を各組織ができるように希望者に向けて用意した
工夫
- 審査で何を聞かれるのかを知ってもらうため、『よくある質問』『ISMS審査あるある』などを盛り込み、事務局が審査員になりきって実施した。
- 時間は多くは取れない為、質問の要点や提示すべき資料の説明をし、理解していただけたら次の議題というように、全ての議題を少しずつまんべんなく体験できるようにした。
【Good:これロールプレイでやったやつだ!】
- 実施後、各組織メンバーからやってよかった、イメージがわいたとポジティブな感想を率直に伝えてもらえた。
- 実際の審査内容がロールプレイで実施した内容に近しいものであった(ロールプレイでやったやつだ!)ため、各組織が自信をもって回答できていた。
【Challenge:最初から自信満々でやればよかった!】
- 実施するにあたり、効果があるか自信がなかったがいざやってみたら大好評だった
- 時間が短いが故すべてを伝えきるのは難しかった
- 実施した組織に好評だったが故にすべての組織に行えばよかったのではないかと感じた
さいごに
認証取得、ただそれだけが目的であるのであれば1️⃣も2️⃣も必須な施策ではないかと思います。
ただ、私にとって絶対に譲れないものが”より皆さんに寄り添えるわかりやすいISMSを構築する”コト。
これを実現するために1️⃣も2️⃣も必要不可欠なものでした。
今後もできるだけ難しい、面倒、よくわからないといわれるISMSをはじめとした情報セキュリティに関するあれこれをできるだけわかりやすく、なぜ?どうして?に丁寧に答えられるように活動していく予定です。
特にウェルスナビのセキュリティに関わる人達は皆、ルールを押し付けるのではなく、その裏にはどんなリスクがあるか、どうやったらビジネスとセキュリティを両立できるか、という課題と向き合って働いています。自分もこの輪の中の一員として、この先みなさまのわからない!を解決できるよう尽力していくように頑張っていく所存です。
Discussion