近年、ITシステムやネットワークは社会インフラとして不可欠なものとなっているが、一方で標的型攻撃やランサムウェアなどによる被害・影響も多発している。こうした中、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、情報セキュリティマネジメントシステムの構築・運用が必須事項となっています。

I.情報セキュリティ 及び 情報セキュリティ管理システムの概要

情報セキュリティは、大小を問わず全ての企業にとって重要な要素です。情報の保護は、企業の安定した運営を支援し、顧客やパートナーからの信頼を確保するためにも不可欠です。企業における情報セキュリティは、以下の３つの要素を含みます。

• 機密性 (Confidentiality)： 情報へのアクセスが認可された者のみが行えるようにすることを保証します。
• 完全性 (Integrity)： 情報が不正に変更または破壊されないようにすることを保証します。
• 可用性 (Availability)： 必要なときに情報が利用できることを保証します。

情報セキュリティマネジメントとは、情報の安全性を確保し漏えいや改ざんなどのリスクから守るために、組織全体で体系的な管理や運用を行うことを意味します。各担当者やシステムごとに情報セキュリティを考えるのではなく、企業全体で統一した基準・方向性からセキュリティ対策を行うのが特徴です。

情報セキュリティマネジメントシステム（ISMS：Information Security Management System ）とは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することであります。

以下は、ISMSの導入によるメリットになります。

• 重要な情報の保護： 企業が情報セキュリティに関連するリスクを特定し管理することを支援し、不正アクセス、情報の紛失、破壊などの脅威からデータを保護します。
• 法令遵守と規制対応： 企業が情報セキュリティに関連する法的要件や規制を満たすのに役立ち、罰則や法的リスクを回避します。
• 顧客の信頼と信用向上： 企業が顧客情報を保護することへのコミットメントを証明し、パートナーや顧客からの信頼を高め、信用を向上させます。
• 業務効率の改善： ISMSの導入は、情報管理プロセスの最適化、リスクの軽減、および業務効率の向上に貢献します。
• 競争力の強化： 高い情報セキュリティ基準を要求するパートナーとの契約や入札において、企業に競争優位性をもたらします。

PiraGoは常に顧客満足度の向上を目指し、顧客情報の保護と安全を確保することを約束しています。そのため、当社は2023年3月から国際標準ISO 27001に基づいて情報セキュリティ管理システム（ISMS）を導入し、ISMSの確立、維持、継続的な改善に取り組んでいます。

II. PiraGoにおけるISMSの導入実践

1. 現状評価：
企業の情報管理システムにおける現在のリスクや脆弱性を特定します。

2. 計画策定：
ISMSの導入計画を立案し、情報セキュリティに関するポリシー、プロセス、および対策を策定するために、ISO専任チームを結成します。
計画段階の最終目標は、セキュリティポリシーを作成することです。セキュリティポリシーには、対象となる情報資産や、対策を実施すべき対象者を具体的に定める必要があります。また、運用体制や社内の業務分担・人員配置の状況から見て、業務に支障をきたすことなく実現できる内容を盛り込みましょう。社内の状況や各部署の状況に詳しい担当者を加えたチームでセキュリティポリシーを策定すると、実現可能なセキュリティポリシーを作成することができます。

• 情報セキュリティに関するポリシーの周知：
  組織のリーダーが、情報セキュリティの重要性や情報の取り扱いに関する方針を宣言します。
  出入管理、重要情報のリスク管理に関するポリシーを策定しました。
  例：
  • ウイルス対策、メールの送受信時
  • クリーンデスク＆クリアスクリーンポリシー
  • Whitelistソフトウェアポリシー：会社内で使用されるソフトウェアは、すべてインストール前に検証され、全社的に情報セキュリティが確保されるようにします。

• 情報セキュリティ管理プロセスの構築：
  安全性と情報セキュリティに関する管理プロセスを構築します。

3. ISMSの構築と導入：
計画された管理措置やプロセスを実施し、全従業員がISMSについての訓練を受け、理解することを確実にします。

セキュリティポリシーを従業員全員に周知させる：
社内コミュニケーションと意識向上のためのトレーニング： セキュリティ対策を実効性あるものにするためには、従業員一人ひとりが情報セキュリティに関する正しい知識を持ち、日々の業務の中で対策を行うことが欠かせません。
PiraGoでは、全社員がISMSの規定を理解し、遵守することを確実にするために、定期的に情報セキュリティに関する意識向上のトレーニングを実施しています。

(写真：情報セキュリティに関する意識向上のトレーニング)

4. セキュリティに関する研修を行う
監査と評価：

• ISMSが効果的に機能し、ISO 27001の要求事項を遵守していることを確認するために、年に1回以上の内部監査を実施します。
• 専門家による監査評価：毎年、会社は専門家を招いて監査を実施し、ISMSの導入・構築においてISO 27001の要求事項に対する客観性と正確な理解を確保します。

(写真：2024年5月のDAS専門家による監査評価)

5. 継続的な改善：
監査と評価の結果に基づいて、ISMSの効果を高めるためのPDCAサイクルを回して、改善策を実施します。

PiraGoでは、毎月ISO委員会の会議を開催し、以下の点について議論します。

• 各部門における改善措置の実施状況
• 事象・インシデントの記録と報告： 情報セキュリティに関連する事象やインシデントを月次で記録・報告します。
  記録された事象やインシデントは、処理手順に組み込み、意識向上トレーニングのケーススタディとして活用されます。
  
  例：キーやクラウド情報、パブリック情報の漏洩が発生しやすい事象 定期的に全社的な情報セキュリティ意識調査を実施し、認識を評価します。

III. 結論

PiraGoは、ISO 27001標準に基づく情報セキュリティ管理システム（ISMS）の導入が、重要なデータの保護だけでなく、信頼性の向上、法令遵守、および業務効率の改善にも役立つと認識しています。これはデジタル時代における情報セキュリティを確保するための重要なステップであり、会社設立5周年記念のスローガン「Building A Sustainable Future」にも表れるように企業の持続可能な発展と競争力のための堅固な基盤の一つです。