テレワークをメインにしたらISMSはいらない?取得する意味はどれぐらいある?

FacebookLinkedInTwitter
Share
#セキュリティ#ITコンプライアンス#コンサルティング#スタートアップ#ISMS#テレワーク・リモートワーク

Written by セキュリティ事業部

2022-06-28

サイバーセキュリティ

みなさん、こんにちは。スカイゲートテクノロジズのサイバー事業部です。

2020年に新型コロナウイルスが登場して以降、多くの企業がテレワークなどの新しい働き方を模索したと思います。情報システム担当者やセキュリティ担当者の中には、急なテレワーク体制の移行で忙しい日々を過ごした、という方も多いのではないでしょうか?

今日は、「テレワーク環境でのISMSってどうなの?」というお話です。


テレワークでISMSは意味ある?認証は取得できる?

結論から言うとISMSは意味があります。また、仮にフルリモートであっても、ISMS認証の新規取得はもちろん可能です。

ISMSって何?と言う方は、こちらの記事をご覧ください。

ISMS認証取得のスケジュール感と費用感をざっくり解説 | Skygate Technologies

まず ISMS(情報セキュリティマネジメントシステム)は、 企業や組織があらゆる情報資産を適切に管理し、守るための仕組み です。ISMS認証は、この仕組みの国際...

https://www.skygate-tech.com/ja/articles/isms-certification-overview-jp

さて、ISMSは情報セキュリティマネジメントシステムで、事実上、ISO27001標準を中心とした枠組みそのもののことです。ISMSの根本は、情報資産のセキュリティを、リスクマネジメントプロセスによって管理する、という部分にありますが、この部分はテレワークでも意義を失うことはありません。

リスクマネジメントプロセス、という言葉は馴染みのないものですが、簡単に言えば「企業に起こりうる損害の可能性を、ちゃんと管理するプロセス」です。ISMSでは、情報資産の洗い出しからスタートし、それぞれの情報資産に生じるセキュリティリスクを洗い出すプロセスが一般的です。

これらのプロセスは、テレワーク環境であっても有効です。認証の取得にあたっても、実行すべきプロセスや体制づくりの根本は変わりません。

ただし、テレワーク特有の事情は考慮する必要があります。

テレワーク環境になると、セキュリティの何が変わる?

従来のオフィスで勤務する形から、テレワークに移行する際に生じる変化には、次のようなものがあります。

  • 書類やデータを自宅に持ち帰って仕事をする

  • 会社のPCに自宅のPCから接続して仕事をする

  • クラウドベースの業務にシフトし、クラウドアプリ上で業務を進める

これらは、情報資産の保存場所やそのアクセス方法が変化したと言えます。

従来のオフィスで進める業務に加えて、「自宅に持ち帰った情報資産をどう保護するか」「リモート接続の可用性や機密性をどう維持するか」「クラウドアプリケーションのリスクをどのように管理するか」といった新たなセキュリティリスクが自然と生じてきます。

すでにISMSを取得している事業所・これから取得する事業所のいずれの場合も、これらの新しいセキュリティリスクについて、リスクマネジメントプロセスで評価することが重要になります。

じゃぁリスクが増えるだけでは?→そうでもない

テレワークやリモートワークは、従来のオフィス、という安全な箱を超えて、情報資産の移動やリモートアクセスが生じます。これじゃぁ従来の方法に加えてリスクが増えるだけじゃないか、と思われる方もいるかもしれませんが、そうとも限りません。

実際のところ、情報資産の移動やリモートアクセスはすでに生じている場合があります。皆さんも書類やPC、USBを持ち歩いて出張したことがあるはずです。また、複数の事業所を持つ法人の場合には、拠点間でリモートアクセスしているケースも少なくはないはずです。

このような場合、新たに生じるリスクは多くはありません。もちろん、範囲や頻度、といった量的な変化はありますし、場合によっては新たな投資が必要な場合もあります。ただ、リスクが急増する、というわけではありません。

テレワークの手段を確保することは、BCP(事業継続計画)の一環にもなります。災害などでオフィスが利用できなくなったり、ネットワークが使えない場合、テレワークの整備は会社の事業継続の重要なインフラになります。セキュリティは、情報の機密性だけでなく、可用性=いつでも使える保証も重要な要素ですから、テレワークは1つのセキュリティ対策にもなります。

ISMSの維持審査や新規取得に影響はある?

維持審査においては、セキュリティマネジメントプロセスの中で新たに発生したリスクをしっかりとフォローできているかが重要です。テレワークを開始した場合には、そのリスクをしっかりとアセスメントしたり、規程などに反映しておくことが重要です。

新規取得においては、当初からテレワークを前提した社内ポリシーの整備やマネジメントシステムの体制構築をしておくことが重要です。在宅勤務時のリスク、BYODの管理方針やセキュリティ委員会などの議事録のペーパーレス化などを予め組み込んでおけば、オフィス勤務とテレワーク勤務の切り替えも容易ですし、マネジメントシステムの運用も効率化できることが期待できます。


すでに新型コロナウイルスが登場して2年以上が経過しました。いったんは落ち着きを見ているものの、再び感染症の拡大が起きない保証はありません。また、日本は災害列島ですから、災害時に事業を継続できる対策としてテレワークは今後も重要な役割を果たすでしょう。

こういった背景を踏まえると、テレワークも視野に入れたセキュリティマネジメントを構築しておくことはメリットが大きいはずです。

まとめ

  • テレワークでもISMSは有効に機能する

  • ポイントは新たに生じたリスクをフォローすること

  • テレワークはBCP対策にもなる


以上、いかがだったでしょうか?

弊社では、テレワークやリモートワークを中心に業務を進める法人のためのISMS認証取得支援を提供しています。Google WorkspaceやSlackなどSaaSをフル活用した体制づくりで、効率的なISMSの取得のみならず、お客様にとって本質的なリスクマネジメントと効率的な維持を実現します。

見積書は即日発行が可能です。こちら からお問い合わせください。




Follow Team Skygate

FacebookLinkedInTwitter

(C) 2020-2022 スカイゲートテクノロジズ