リスクを取り込まない適用範囲

リスクを取り込まない適用範囲にお目にかかると非常に残念です。

リスク受容基準を高くして問題を顕在化させない。問題を検出できない内部監査。報告に終始するマネジメントレビュー。リスク対応計画が周知事項伝達事項のみ。弱点を報告しないあるいは収集しない。いろいろ考えますが、これらは全て目的を忘れて、空回りさせるだけのPDCA。

しかし、もっと酷いのは適用範囲そのものをリスクのない領域に設定している組織。

よく耳にするのが、最初のシステム構築はモデルシステム～リードシステムとして進めたいから、問題の無いところで設定したい。その後、PDCAを回しつつ準じ拡大していきたいとする考え。しかし、翌年も翌々年も遂には更新のときも、当初のモデルのまま。何も変わらずに。でもその会社は認証取得していますと世間には言う訳だ。これが一番危ない。錯誤を生むことにもなるから。

※

組織の長が一方的に悪いのではない。審査員の方も適切な方向を示すべきだし、コンサルは更に具体的手順を示すべきだ。

見ていると、審査員は青二才。経験も年齢もないから、指導的な幅のあるコメントは示せない。ただの事務処理をやっているだけにしか見えない。コンサルも余計な口出しをして仕事を失いたくないのだろう。

仮にこういう事例ならどうだろう。本社には集中管理されたデータ。しかし、現場にはその元データである個人情報が、社員、アルバイト入り乱れて作成、処理されている。全国に散らばる現場。組織人数も大半が現場。其れなのに適用範囲は本社だけ。最高責任者は組織のトップではない。

スコープの記載も曖昧になるだろう。本社の人間、会社を代表する人間の名刺にはロゴマークが入る。意図的な錯誤誘発行為に見える。

｜部署ではどのようなISMS教育が行われているか？

各部署の部員が受ける教育の概要を問われる。

1. 部員の構成を確認する。
   指導的立場の人、内部監査担当、機密情報に触る人、一般部員、出入りする人・常駐する適用範囲外の人。
2. それぞれに求められる力量を確認する。
   
3. 求める力量に対応した教育計画の存在を確認する。
4. 実施状況を確認する。使ったテキスト・掛けた時間・担当した講師（講師の力量も）
5. 実施結果を確認する。目標とする時期まで終えたか。教育を受けないでセキュリティに触る業務についていないか。配属までに終えているか。抜け漏れが無いかチェックしているか。効果測定は実施されているか。未達の場合の対応は打たれているか。

※

教育は事務局が一手に引き受けることが多い。だから上記の質問は全て事務局にスルーパスして良さそうだ。

しかし、それが十分かどうか。部署固有の要求事項の有無に注意を払う必要がある。本来は部署固有のものも事務局にすくい上げて汎用化・一般化して全体の教育に反映させていくのが望ましい。

｜組織の概要はどのようですか？

組織の概要を聞くことで以下概略を確認する。

• 適用範囲との連関。スコープ外の内容が含まれて居ないかを確認する。（4.2.1a))
• 重要な情報資産の存在→資産台帳への反映。(A.7.1.1)
• 重要な情報資産の受け入れあるいは受け渡しの方法→適切な管理策が講じられているか。(A.10.3.2、A.10.8.1-3)
• 人数規模＝潜在的なリスクの大きさ。(5.2.2)
• 役割構成。（5.1c)、A.6.1.3)
• 外部サービスの利用。(A.10.2.1-3)
  
• 取引先・顧客。（A.6.2.1-3)
  

｜内部監査の実施結果はどうでしたか？

1. 監査計画の存在、チェックリストの準備（6a)、6b)、段落)
2. アサイン者の妥当性（力量、身内監査、教育）（5.2.2）
3. 結果の記録、記載されたチェックリスト、記録の承認（4.3.3）
4. 手書きの記録をパソコンで打ち直していることが多いが、その場合はタイプミスや改ざんが入り込む懸念がある。記録は紙のまま、イメージで読み込んだものとする、ファイルロックを掛けるとか工夫が必要。管理データの作成と記録の保存を混在させない工夫が必要。
5. 結果の報告（報告書、指示事項）
6. マネジメントレビューへのインプット（7.2a)）
7. 指摘事項と是正確認（8.2）

｜有効性評価はどのように行っていますか？

有効性評価についてはいずれ27000シリーズで参照ガイドがリリースされる。それとの連関は不確かだが、JIPDECがガイドを出しているものがある。

http://www.isms.jipdec.jp/doc/JIP-ISMS111-21.pdf

ISMSユーザーズガイド7章（P96)「有効性の測定」を参照すると、あまりに複雑な内容で面食らう。ガイドというよりミス･リードの懸念がある。前半で行っていることとサンプルで最後に示している目次構成の対応関係も分からない。まあ、対応させていないと言う答えだろうが、それではガイドとして中途半端。

マネジメントシステムのレビューには当然その内容として有効性評価が含まれている。それは経営品質から各サブシステムまで同じ。だから、ISMSだけを取り上げてユニークな仕組みを作ることの是非は組織ごとに検討されなければならない。

ガイドを見ていて気になるのはデカルト的な発想を進めていること。プロセスを分解していくことが果たして目的に近づく道なのかどうかです。プロセスを細切れにすると返って目的を見失う。あるいは目的との連関が曖昧になる。そういうリスクも踏まえた分析であるべきです。

※

トップダウンアプローチ。

測定プロセスだけが唐突に出てきても駄目で、方針・施策展開との連関で有効性測定も展開されなければいけない。その意味では、方針に有効性を示唆する内容を求める必要がある。あるいは、マネジメントレビューのアウトプットにて明確にされるべき事項です。

4.2.1b)の中で、

１）項では、有効性評価の指標を示唆すべき。
３）項では、上位の経営目標・管理目標（経営品質）との連関を示唆すべき。

｜文書の変更はありましたか？

｜文書の変更はありましたか？

文書は定期的に見直す見直し規定がある。その手順に乗っているかどうか。
版管理・更新管理・保管/廃棄管理・周知・承認について確認。

1. 4.3.2文書管理のa)～j)の確認

｜新たなシステムの導入はありましたか

｜新たなシステムの導入はありましたか

新たにパソコンを買い入れた、サーバーを買い入れた、システムの導入をした場合は、

1. 資産が登録管理されているか（A.7.1.1）
2. 資産利用の許可が管理されているか（A.7.1.3)
3. システム受け入れの手続きを踏んでいるか（A.10.3.2）

これらは当然、リスクアセスメントサイクルにも反映されている必要がある。導入時期の後にリスクアセスのタイミングがあればリスク分析を見ることになる。

1. 一連のリスクアセスメント（4.2.1c)～）に新たな資産が反映されていればそれで良い。
   

｜リスク値が基準を超えたらどうしますか？

｜リスク値が基準を超えたらどうしますか？

• リスク対応計画の策定(4.2.2a))
• リスク対応の選択肢（4.2.1ｆ))
• 追加の管理策の選択(4.2.1g))
  

｜.審査時の質問と確認

審査では、審査員が色々質問してくる。資料の提示を求めたり説明を求めたりしながら、まるで潜水艦ゲーム。説明の連関で質問してくることもあれば唐突に方向違いの質問も出てくる。こちらが身構える前に矢が放たれると思わず本音で回答する。そこに前の質問回答との矛盾があると戻って再確認。なんてね。

だから飾るのは愚行。隠し通せたとして誰のためにもならない。馬鹿馬鹿しい。指摘事項の件数を管理特性に入れる馬鹿マネジャーに振り回されることになる。事件事故ゼロを管理特性に入れると隠し事が増えるだけに終わる。管理指標はポジティブ指標を選ぶべき。ネガティブ指標を選ぶと失敗する。

質問が何を意図しているかを理解するのは悪くないだろう。適切な答えにつながるから。方向違いの回答をして墓穴？を掘ることもない。別に嘘をつく訳ではないのだから。

「｜」でリードするタイトルに質問を入れてみる。ラベルで規格番号が入るから簡単なクイズになるでしょうか。

ISMSの有効性

経営の期待に応えている。

即ち、

1. 事業継続上の不安が押さえ込まれている。
2. 事件事故が防止されている。
3. リスクが押さえ込まれている。
4. 変化に追従できている。
5. 常に最新の状態である。

即ち、ISMSが適切に運用されていること。

でも、誰が適切かどうか判断するんだろう。

• マネジメントレビュー
  即ち、経営者自らが判断すること。
• 外部の審査・監査
  これは難しい。
  ・特に審査機関は要注意。限られた工数の中で、サンプリングの前提でささっと見ていくが形骸化・パターン化・表層化して本質に目が届かない。
  ・コンサルは日頃付き合いのあるところは上手くない。
  ・日頃付き合いの無い、しかし能力のある個人コンサル（少人数コンサル）が良いだろう。時間をかけてじっくり見てもらう。
  

更新審査

更新審査は3年経過毎に実施される。

更新審査で特に意識されるのは「有効性」。有効性とは何か。

規格でストレートで表現される有効性は、管理策の有効性。

「管理策の有効性」も2段階の構造を持つ。１つは「管理目的」に対する有効性、もう1つは管理策の実行に対する有効性。管理策は組織としての具体的な施策に展開されるが妥当な施策展開とその実施でなければならない。(4.2.2d))

管理目的は、リスク低減そのものだから、リスク値の低下を持って有効性評価とする向きも多い。丼だね。施策が有効でも別のリスクが出ればリスクは上がる。その辺の識別をしておかないと適切なレビューは出来ない。

ISMS自体の有効性。こちらはリスク値が下がることで良さそうだ。全体の有効性は丼で十分。一方で上を見た視点もある。ISMSは機能別管理の１つの機能。その上にあるのは経営目標。経営から見て十分役割を果たしているかと言う視点。

事業継続上の不安が無い状態。事件事故が無い状態。どこから見ても安心。社会的信頼を勝ち得た状態。経営が行う顧客アンケートのセキュリティの項目のポイントが高い状態。もっとも、これは更新審査の枠組みで捕らえることでない。経営品質など上位概念での問題だ。

｜適用範囲に変更はありましたか

初回の審査でなければ前回審査時に対して変化点の確認を行う。

しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。

4.2.1a)
適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織についての変更の有無。

媒体の持出

オフィスには媒体がどれくらいあるか。

フロッピー、CD、DVD、そのうちBDも。USB。CF。SD。SDはカメラやPDAや携帯音楽。携帯そのものにも。外付けのHDD。

それらは会社のものか個人のものか。どのように識別するの。今どれだけあるの。

加えて、その中身は何が入っているの。入っているものも時々刻々変わり得る。

こんな状況でどんな管理が成立するのか。

持出記録が成立する前提が押さえられていなければ労力の無駄だ。メディアそのものの価値は無視できる当世なら、ネットワークと同じく単なる媒介ルートに過ぎない。誰も物理的にケーブルのチェックはしない。

システムとメディアとの接点管理しか存在しない。特定のパソコン以外は一切禁止する。ハード的にもソフト的にメディアの読み込みは禁止するしかあるまい。

パソコン自体もメディアと同じ扱いになる。ネットに接続する段階でチェックする。ネット～サーバーにアクセスする段階でチェックする。

※

メディアを適用範囲の外へ持ち出す時は基本は空にする。持ち込む時も。適用範囲内に保管する時も。例外は「情報」を持ち出す時、「情報」を持ち込む時。「情報」を保管する時。

・持ち出す時は、サーバーからのダウンロードと照合する。持出サーバー、持出フラグ、持出検閲ネットなどを使う。

・持ち込む時は、サーバーへのアップロードと照合する。検疫、持ち込みフラグ、など。

・保管は両方向の管理。保管状況管理。バックアップ基準との関連で適切な管理状況にあるか。

※

適用範囲の外に出たメディアの保護

暗号、パスワード。丈夫な入れ物。置き引き防止。メディア個体の管理（登録）。

蛻の殻（もぬけのから）

監査だってあちこちいろいろ出かける。会社が大きいと現場も色々。いきなり出かけるわけではないが、嫌、いきなり出かけないからか、行くと事務所はもぬけの殻というのが結構多い。大概は客先へ出かけている。朝は居たとか、夕方には戻るとか、忙しいのだ。よくある話。

オフィスに居ないのが正常という意味での、究極は派遣型ビジネスでしょう。客先に常駐する訳で、オフィスに帰るのは給料袋貰うか表彰状でも貰うかの時しかない。まあ、本籍がオフィスで現住所は客先と言う訳だ。大手メーカーの設計部の一角にそういう常駐者のスペースがある。簡易仕切りを置くときもある。

で、ＩＳＭＳなんですが、本籍が有るだけの人を適用範囲に入れてＩＳＭＳを取りたいと言うから難しい。

ＩＳＭＳの目的からすれば、現住所であるその常駐先でのＩＳＭＳにこそ入るべきで、本籍地のＩＳＭＳは本質とは言いがたい。

判別は、ＰＤＣＡが回せる範囲かどうか、責任をもってリスクに対処できるかどうか、責任区分を明確にできるかどうかでするしか有るまい。

※

隙間のような業務、例えば勤怠管理しかしない派遣先での仕事を捕らえて、適用範囲に入れてもしようがあるまい。設計でも、顧客対応でも、その人の本来業務という柱が派遣受け入れ先の管理下にあるなら、派遣先のＩＳＭＳに入れるべきだ。

むしろ、積極的に本籍側のＩＳＭＳから除外すべきだ。無理やり入れることで、本籍側からも現住所側から適当に距離を置かれて真空地帯になるリスクを生む。

識別しない識別

識別しない識別は時々あることです。重要と書いた資産は重要だから盗難に遭いやすい、標的になりやすい。文字は止めて赤色マークをつけても目立つから駄目だと。重要かどうかは現場の人間は分かっているのだから、外部の人にわかるような識別はしない。

現場のちょっと物の分かった風のマネジャーが吐く意見として珍しくない。紙ファイルでもこういう話は出るし、メディアでも出る。メディアは都度パソコンにかけないと何が入っているか分からない。そういう状態でも構わないと主張し始める。

識別してリスクを把握して管理策を打つという基本的な流れの最初の一歩で躓くことになる。ＩＳＭＳを避けて通るのがこの人の狙い。困ったことにこの人はＩＳＭＳの管理責任者だった。経営者にも現場にも良い人でいたい管理責任者は、だから実態の無いワッペンだけの認証を取得することになる。それも重大事故が起きるまでの間だが。まあロシアンルーレットに乗って仕事をしているようなものですね。

会議室にネット環境が無い。仕様がないからＬＡＮケーブルを床に這わせて会議室テーブルまで持っていく。パソコンがネットワーク利用出来る。会議の間、数時間だけのこと。ケーブルに特に保護はしない。これって、ＩＳＭＳ的には、どうなるの？

誰でも簡単にＬＡＮ延長が出来るのはゾーニングとか意味を成さない。
通路にケーブルが横たわるから躓く･破損させる懸念がある。

一番は、ＩＳＭＳの内部監査をやっている日でも業務優先でケーブルが横たわること。配線工事を許可を取ってやれば済むのにしない。この会議室テーブルは実ｈあいつもこんな使い方をしている。現象は些細なこと。問題はセキュリティに対する感性が緩むこと。いつの間にか見慣れた景色になってしまった。