実例 情報セキュリティマネジメントシステムの本質化・効率化

株式会社NTTデータ『実例 情報セキュリティマネジメントシステムの本質化・効率化』（日本規格協会、2012年）は、同社のISMS改善の取り組みを綴った書籍だ。帯には「情報資産台帳は廃止できる」という扇動的な文句が掲載されているが、中身は至極まっとうである。 同社も当初は型にはまったISMSの構築を行っており、規則を細かく定めて実施していた。ところが、形骸化した運用は手間ばかり増えて現場が疲弊する。そこで、費用対効果を出して無駄な取り組みを検討した結果、(1)資産管理・リスクアセスメントと(2)媒体管理が浮かび上がった。この両者を廃止ないし改善することで、総工数は1/5以下に削減され、インシデントの数も減少したそうだ。 資産管理についての本書の主張は、「資産の識別と目録の作成とは別」というものである。ISO/IEC 27001:2005 A.7.1.1では「All assets shall be clearly identified and an inventory of all important assets drawn up and maintained.」とあるので、すべてを識別したあとに重要なものだけを目録に載せたらよいという。同社は資産は重要度の区分を行っているので、それが識別に相当すると解釈できる。 実際それで審査に通っているのだから問題ないのだろうが、私は少し意見を異にする。企業の固定資産管理では、入手した耐久財すべてを固定資産とするわけではなく、基準を設けている。ひたすらリストアップするのは無駄だからだ。ISO/IEC 27001:2005のControlはそれと同じことを言っているだけだと理解していて、区分＝識別という本書の解釈には同意しない。 ちなみに、ISO/IEC 27001:2013となる予定のDIS版を見ると、その部分は次のように変わっている――「Assets associated with information and information processing facilities should be identified and an inventory of these assets should be drawn up and maintained.」。assetsの範囲が明示的に広くなっている。 リスクアセスメントに関しては、よく見かける「リスク値＝資産価値×脅威×脆弱性」という算出方法を廃止している。かわりに、影響度と発生要因（頻度ではない）に基づいて脅威の値を求めている。また、規則の実効性を示す「確実度」を導入し、5段階評価を実施している。これらは属人性の排除にもつながっており、すばらしい実践だと私は思う。pp.80-107のリスクアセスメントの実例も参考になる。 監査についても、本書はルールではなくリスクに基づく監査であるべきだと主張し、それぞれの監査項目でリスクの有無がわかるように作成したという。これも頷ける。SOXではRCM（Risk Control Matrix）のようにリスクと管理策とを対応づけるのだが、ISMSではそうしないものが多く、不思議に感じていた。 あればよいと思った内容は費用への洞察だ。本書での効率的（efficient）の中身は工数削減が主眼だが、機会費用や期待効用といった経済学の概念を利用すれば、より深い分析ができただろう。また、書名の「本質化」が今ひとつ理解できなかった。読んだかぎりでは、本書の本質化とは効果的（effective）であることを指しているように見える。 ともあれ、本書はISMS構築・運用の書籍として極めて実践的な内容を含んでおり、一読に値する。