ISMSでエンジニアが潰れてしまう話

みなさん、こんにちは。スカイゲートテクノロジズのサイバー事業部です。

ISMS、知る人ぞ知る（？）代表的なセキュリティ認証ですが、いざ取得を目指したり、その認証を維持しようとして、めちゃくちゃ大変だった経験ってありませんか？

今日は、「ISMSを取得しようとしたらエンジニアがとんでもない目にあった」という恐怖のお話です。

恐怖！セキュリティ委員会のこわい話

ISMSの体制づくりのキモの１つとして「セキュリティ委員会」と呼ばれるものがあります。ISMSのセキュリティマネジメントシステムを全社横断的に推進する組織体で、設置は義務ではないですし名称も自由ではありますが、多くの場合「セキュリティ委員会」という名前で設置することが多いのではないかと思います。

セキュリティ委員会のスコープは、一般的に

• 情報セキュリティマネジメントの企画と実行

• セキュリティの啓蒙活動・社内教育・注意喚起

• 規程の整備や改訂

• 内部監査結果の評価

• 経営陣への報告

などがあります。見てお分かりの通り、セキュリティ委員会はポリシーを中心した会議や文書ベースでの業務が多いのが特徴です。

初めてセキュリティマネジメントを社内に構築する会社にとって、最初の難関は「で？誰がセキュリティ委員会やるの？」でしょう。

少なくとも弊社の経験者たちが見る限り、

• 情シス部門で「セキュリティやらんと・・・」と感じているメンバー

• 人事や労務などを担当している管理部門のメンバー

• リーガル部門の担当者で「リスク気になる・・・」と迂闊にも発言してしまったメンバー

• なんか知らないけど社内の困りごとをやたら相談される社内エンジニア

などが最初のメンバーになることが多いように思えます（もちろん、違う会社さんも沢山あるのですが）。

セキュリティ委員会に指名されたメンバーは、「じゃぁISMS目指しますか」ということで初めてセキュリティ委員会の業務内容を、ググったり本を読んで把握するわけですが、その業務の雑多さに目を白黒させることになります。

飛び交うWordファイル、増える会議体

セキュリティ委員会の活動として、必要なことを一気にやろうとすると、かなりの数のメールとWordファイルが飛び交うことになります。

「規程のテンプレから叩き台作りました」「いやこの記述だと今の就業規則とかと合わないです」「情シス的にはこんなことやってないので削ってください」「リスクとしてはこれは記載しておいた方が良いのでは」・・・・

また、各種のセキュリティマネジメントシステムの計画やエビデンスのための書類も、ペーパーワークになりがちです。

「一旦、次回会議で確認しましょう」「体制整備の進捗共有するためにウィークリーですね」「内部監査担当者と打ち合わせしないと監査計画無理です」「教育どうしますか、全社巻き込んでWebでやります？」・・・

特にISMSの経験者がいない場合には、参考書やWebの情報を頼りに作っていくため、不安もつきません。

「いやこれもExcelとかで用意しておかないといけないんじゃないですかね？」「これポリシーの下の文書ってどれですか？文書番号欲しいです」「うーん、これ適用宣言書とかに追記したほうが良いのでしょうか？」・・・

あれ？実際の対策は誰がやるの？

会議体や書面の整備が進んでいくと、ポリシーを技術的な設定や制約に落としていく必要性が生じます。ところが、この段階になって手を動かせるのは、多くの場合、情報システム担当のエンジニアであったり、（義務感から）社内の雑務を拾うエンジニアです。

セキュリティ委員会に指名されてしまった結果、多くの会議体や文書作成に参加の上、本来の業務に加えてシステムの設定変更やセキュリティの実装をやらざるを得ないエンジニアメンバー。審査の日は迫ってきています。せめて情報セキュリティ規程に記載のある内容は設定に落とし込んでおかなくては・・・そんな義務感の中、残業が増え続け───

このお話はフィクションです

以上、いかがだったでしょうか？

もちろん、このお話はフィクションですが、セキュリティ委員会の経験がある方、ゼロからセキュリティマネジメントシステムを構築した経験がある方は、「わかる〜〜〜」と感じた方もいらっしゃるのでは？

実際には、事業所の規模や業務特性、カルチャーなどによってセキュリティ委員会のあり方は異なりますが、一般的に、事務局的な作業が続く委員会は、技術職の方とは相性が悪く、摩擦の原因になりがちです。

弊社では、そんな苦労を経験したメンバーが、「なるべくうまーくセキュリティ体制作れんかな」という想いからセキュリティマネジメントの構築支援・コンサルティングを提供しています。そもそも、そんな苦労を相談されて始まったこの事業、今ではいろいろな企業様のご相談を伺うようになり、サービスとして提供がスタートしました。

セキュリティ委員会の設置やセキュリティマネジメント体制の構築に不安がある方、エンジニアが主体の企業だけどセキュリティマネジメント体制をなるべく効率的にやりたい！と考えている方etc., ぜひ弊社にご相談ください。

相談は こちら から。ISMSの見積もりなどは即日お出しすることもできます。

取得済みのお客様のOKです。ぜひご相談ください。