商品情報セキュリティ商品

ISMSやPMSを効率よく構築、運用するための支援ツール M@gicPolicyCoSMO
JIS Q 27001:2014(ISO/IEC 27001:2013)に準拠!

資料請求
カタログ評価版パートナー様向け セミナー

昨今、個人情報保護法、不正競争防止法、J-SOX法などへのコンプライアンス、事業継続管理(BCM)、顧客サービスの向上と安全性の確保など、 様々な視点から企業の説明責任を果たすことが重要になっています。このような環境の中、それらを満たすためのインフラとして今まで以上に情報セキュリティマネジメントシステム(ISMS)や個人情報保護マネジメントシステム(PMS)の構築及び運用が重要となってきています。 しかし、効果的なISMSやPMSの構築には、多くの専門知識や時間が必要となり、現場のセキュリティ担当者に多大な負荷がかかる、一度構築したISMSやPMSを運用していくのが困難といったさまざまな問題点がでてきます。このような問題を解決し、ISMSやPMSの構築・運用・維持を効率的に支援するツールが『M@gicPolicyCoSMO(Corporate Security Management Operator)』です。

このM@gicPolicyCoSMOは、株式会社アズジェント セキュリティセンター フェロー 駒瀬彰彦の設計監修により開発されました。

駒瀬彰彦は、2012年10月15日経済産業省「工業標準化事業表彰」において、「産業技術環境局長表彰(工業標準化功労者表彰)」を受賞しました。

M@gicPolicyCoSMOの特長

  1. サーバによるデータの一元管理により、リアルタイムで作業を進めることが可能
    M@gicPolicyCoSMOは、組織内のサーバにインストールして利用するアプリケーションです。各ユーザは、イントラネットワーク経由で、M@gicPolicyCoSMOにアクセスし、様々な作業を同時に行うことが可能です。また、作業結果は、リアルタイムでM@gicPolicyCoSMO のデータベースに反映されますので、各部門が更新したデータの集計、評価、修正等の管理作業工数を大幅に削減することができます。 分散管理
  2. ISMSやPMSを構築及び運用に不可欠なPDCAサイクルの全工程に対応
    M@gicPolicyCoSMO は、ISMSやPMS活動をPDCAサイクルに沿って実施する機能を搭載しています。メニューに沿って作業していただくと、規格の要求事項に対応する活動を実施することが可能になります。 様々なISMSやPMS活動をM@gicPolicyCoSMO を利用して運用することで、組織の活動がデータベースに集約され、審査時などに慌ててデータや結果の収集に追われるようなこともなくなります。 PDCAサイクルに沿った運用
  3. 平準化された効率的なリスクアセスメントの実施
    ISMS版におけるリスクアセスメント作業においては、資産に関連する「脅威・ぜい弱性テーブル」がリストアップされますので、ツールが提供するリスクから識別・評価作業を行うことが可能となります。また、識別された脅威とぜい弱性から適切な推奨管理策を自動選別も致しますので、効果的かつ網羅的にセキュリティ管理策を選択することができます。
    PMS版では、リスク識別やリスク分析に威力を発揮する機能として、取得から廃棄・消去までの個人情報の取扱いライフサイクル毎のリスク識別テンプレートが用意されており、効率的なリスク分析を実施することが可能です。また残存リスク対策の計画管理機能も実装しています。 リスクマネジメントの作業工程比較
  4. ISMSやPMSの積極的改善のためのセキュリティ教育・訓練
    M@gicPolicyCoSMO は、教育責任者が作成した教育計画スケジュールに従い、受講者にトレーニングやテストの受講を促すTo Doリストやメールを自動的に配信します。教育責任者は、受講者の回答結果を基に、情報セキュリティや個人情報保護に関する周知度をリアルタイムで把握することができます。また、定期的にテストを実施したり、不合格者に再試を受講させることが可能です。
  5. 内部監査の実施
    ISMS版では、導入されている管理策を自動的に認識し、管理策に関連する監査項目を提示可能です。これらの項目は、ISO/IEC 27002、JIS Q 27002に対応したものです。内部監査人は、提示された監査項目や独自の監査項目を利用し、複数の内部監査人と内部監査作業を分担しながら実施することが可能です。また主任内部監査人が作成した内部監査計画に基づき、担当する内部監査内容をTo Do リストとして各内部監査人宛に配信し、内部監査を実施させることも可能です。
    PMS版では、JIS Q 15001及び「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第2版(JIPDEC発行)」に対応した標準的な内部監査項目を実装していますので、監査目的に応じて項目を選択することにより内部監査実施や点検が可能です。また、ISMS版同様提示された監査項目や独自の監査項目を利用し、複数の内部監査人と内部監査作業を分担しながら実施することが可能です。

導入パターン

導入パターン1: 【損害保険】ソニー損害保険株式会社様

■問題点
事務局のマンパワー不足
ISMS活動推進における現場の負担感の軽減
膨大な情報資産のリスクアセスメント作業の画一的かつ効率的な推進
■導入効果
M@gicPolicyCoSMOの導入により、社内で一斉かつ効率的にISMS構築に必要な作業を行うことができました。
情報セキュリティマネジメントシステム(ISMS)に着目した経緯

当社はダイレクト保険会社であり、お客様の情報を大量に保持しています。
創業から年数の浅い私たちは、「会社が存続・成長をしていくためには、お客様の信頼を得られなくてはならない」と考えてきました。たとえ業績が好調でも、情報漏洩事故などが生じて社会からの信用や信頼を失ってしまえば、一転して事業継続の危機、ひいては会社存続の危機を迎えかねないからです。
当社のビジネスモデルは「ダイレクト」であるため、お客様と直接的に電話やインターネットを通じてやり取りを行ないます。したがって通信におけるセキュリティはまさに事業継続における「肝」となります。お客様の信頼を得るために、情報セキュリティの向上に徹底的に取り組み、ISMS活動をしっかり実施していくことが重要なポイントと位置づけました。

「情報セキュリティ」を推進するにあたり、社内インフラとしてIDカード認証による入退室管理システムや監視カメラの導入などの施策をこれまで実施してきました。しかし単発的に施策を打つだけでなく、より効果的なマネジメントサイクルを回して情報セキュリティを定着化させるために、情報セキュリティマネジメントシステムを構築し、認証取得をひとつの目標として様々な活動を展開していくこととなりました。
まず、2005年に「本社関連部門(企画管理部門)」と「システム部門」を適用範囲として業界に先駆けて認証(認証基準:BS7799)を取得することができました。
しかし、我々の取組みは、当時の適用範囲にとどまらず、前述したように大切な情報資産は「お客様情報」であり、これらは契約を受けつける「カスタマーセンター(コールセンター)」や事故発生時に対応を行なう「サービスセンター」の現場部門にて多く扱っていることから、適用範囲を全社に拡大するためにさらなる推進を行ないました。その結果、2007年には全社を適用範囲とする業界初の認証(認証基準:ISO/IEC 27001)取得が実現できました。
これらの活動は、大切なお客様の情報を守り、お客様に安心して保険に入ってもらえるよう、当社のスタンスをアピールできたのと同時に、従業者ひとりひとりのセキュリティ意識向上にも大変役立ちました。

ISMS構築の問題点

ISMSを推進していく上で、一番の課題は、当社はまだまだ成長段階の会社であるため、推進における「マンパワー」がさほど豊富ではないことでした。 事務局も専任者ではなく、別に本業務を抱えた者3名が兼務して推進するという状況下に加え、現場の本業に支障をきたさないよう「現場負担感」の少ない効率的な運営を実現することが大きな課題でした。
さらに当社は全国主要都市に拠点を構えており、リスクアセスメントなどのノウハウを一様に共有することがなかなか難しく、また派遣社員や協力会社(請負)社員の方が多いことから、情報セキュリティの統制を取ることが簡単ではないことに苦労しました。

M@gicPolicyCoSMO の導入の効果/利点

ISMSの徹底推進と事務局強化を目的として、M@gicPolicyCoSMOと共に業務支援型のコンサルティングを導入しました。
M@gicPolicyCoSMOの導入により、リスクアセスメント作業の煩雑さが解消されたと共に、全国拠点において画一的な情報資産の管理とリスクアセスメントの実施が可能となりました。特にWeb上で簡単に社内の情報資産がリスク付けされて一覧管理できることは、非常にグッドポイントでした。
また、各部門には「ISMS委員」という担当者を選任しており、彼らが部門のリスクアセスメント作業を行ないましたが、M@gicPolicyCoSMOの操作は認証基準に従い、フロー化されているため、ISMSを熟知するまでに至らない委員でも簡単に作業を行うことができました。
さらにコンサルティングをお願いしたことで、当社のセキュリティの脆弱性などがしっかり洗い出され、また的確な指摘をいただくことで課題が明確化され、より効果的なリスク対応計画を作成することができました。

少ない事務局パワーでも、社内で一斉にかつ効率的にISMS構築に必要な作業を行なうことができ、ISO認証をスムーズに全社で取得できたのは、M@gicPolicyCoSMOとコンサルティング導入のおかげであると言っても過言ではないと感じています。

導入パターン2: 【電気通信事業者】株式会社 エヌ・ティ・ティピー・シーコミュニケーションズ様

■問題点
リスクアセスメント等の膨大な対策工数が、ISMS年間活動計画の妨げになっている
リスク分散手法を変更するごとに、リスクアセスメント作業が振り出しに戻る
業務分業に合わせた作業の割り振りに工数がふえる
■導入効果
M@gicPolicyCoSMOの導入により、リスクアセスメント作業工数が大幅に削減。期待通りのISMS活動を維持しています。
情報セキュリティマネジメントシステム(ISMS)に着目した経緯

私たちNTTPCコミュニケーションズは、セキュリティを事業活動の最重要事項と位置づけ、最良のセキュリティを積極的に追求してきました。私たちが提供するサービスは、大規模なインフラや高信頼な体制をベースに最適なネットワーク環境を構築するネットワーク事業、サービス・技術・製品を組み合わせてスピーディなベストソリューションを提供するオンデマンド事業、お客さまの会計業務の効率化を図る法人向け請求業務一元化事業、これらに関わるネットワーク構築、保守、システム開発等と多岐にわたっています。当社は従来より全てのソリューションにおいて、高度な情報セキュリティの確保に最大限努力するよう取り組んできました。そして、この最大限の努力を CSR(Corporate Social Responsibility) の一環として、より一層確固なる姿勢をステークホルダーに示すために2005年2月*1にISMS認証を取得しました。当初の認証取得では、一部の組織を適用範囲(スコープ)といたしましたが、2007年の継続審査(サーベイランス)時に全社へと拡大し、CSRをベースにした高度な情報セキュリティを求め、スパイラルアップ活動を続けています。 *1 認証登録番号IS 89520/JIS Q 27001:2006(ISO/IEC 27001:2005)

ISMS構築の問題点

私たちNTTPCコミュニケーションズでは、2005年にISMS認証取得してから3年が経ち取得すること以上にPDCAマネジメントサイクルを継続させていくことに大きな意義を感じておりました。しかしながら、この維持・継続していく中で、定期的に実施するリスクアセスメントの作業に膨大な対策工数が必要となり、このことがPDCAマネジメントサイクルにおける一つの課題でした。リスクアセスメント作業には、専門的な知識と多くの手間が必要です。知識という点ではリスク分析手法を変更するごとに、説明から始まり作業が振出しに戻ってしまいます。手間という点では、リスクアセスメント作業をペーパーや表計算ソフトなどを使用し、各部門毎に実施していましたので作業工数がかなりかかっておりました。また、業務分掌が複雑なため各部門への調整も支障をきたす原因でありました。もちろんリスクアセスメント作業は重要でありますが、ISMSを有効に機能させるためにISMSの内部監査や教育訓練などの多くのISMS活動を明確にし、運営管理していくことも重要なミッションですので、運用にかかる負荷が軽減できればより効果的な期待どおりの確実なISMS活動を実現できるという思いが強くありました。

M@gicPolicyCoSMO の導入の効果/利点

・効果的・効率的なリスクアセスメントの実施
・計画・対策措置の進捗管理の実施

2007年の継続審査(サーベイランス)後に、ISMS構築・運用するツール等を導入する話が持ち上がり検討しておりました。一般的にISMS関連のツールといえば文書管理に特化したものが多いですが、M@gicPolicyCoSMO はPDCAサイクルを基本としたISMS活動のリスクアセスメントや様々なISMS活動を網羅的に支援する機能を有しておりましたので、私たちが構築したISMSを引き続きトータル的に管理できるツールと判断して導入いたしました。
M@gicPolicyCoSMO は、社内ポータルサイトでISMS運用が実施できますので、リスクアセスメントにおいてもWeb上で情報資産の一元管理を行うことにより、情報資産の洗い出しが効率的に行うことができました。特に工数を要する情報資産の洗出し、資産価値の評価・グルーピング、脅威・ぜい弱性の識別・評価では、工数削減することができました。ISO/IEC27001の要求事項を満たすリスクアセスメントのプロセスと作業に必要な手法が搭載されていますので、標準化されたリスクアセスメントを適切に実施できたと思います。また、規格で要求されているリスクアセスメントの再現性についても、バラつきを最小限に抑制できたと思っております。作業の過程でリスクアセスメントの結果を様々な帳票で確認できるため、リスク受容基準や水準の決定を迅速に行うことができ、リスクアセスメントの結果に基づいた有効な管理策の選択、及び効率的なリスク対応計画が実現できました。

部門間の調整や様々な計画の進捗管理ですが、各部門に作業を依頼している場合、部門ごとの進捗・遅延部門へのサポートなどを随時管理することが重要になります。M@gicPolicyCoSMO では、ISMS活動で策定する様々なISMSの計画をイントラネットワーク環境下で支援する機能を有していますので、M@gicPolicyCoSMO 装備の機能をフルに活用することで責任者を明確にした計画のスケジュールを一括管理できました。各部門に実施させるタスクなどの管理や遅延部門の把握なども容易に把握することができ、運用がスムーズだと感じております。また、活動の記録に関しても一元管理できるので、社内外から要求があった場合、今までは資料の編集作業に時間がかかっていましたが、現在、M@gicPolicyCoSMO 内に保存されたデータを活用し、そのまま提示したり、必要に応じて加工できるため、作業工数を短縮できるようになりました。

結論としては、私たちNTTPCコミュニケーションズは、M@gicPolicyCoSMO を導入したことでその効果を最大限に引き出し、ISMS活動の効率化と共に本来のISMS活動(=PDCAマネジメントサイクルのスパイラルアップ)に注力できるようになった点を大いに評価しています。

«同社がISMS活動推進の際に社内で使用したグッズ»
・「ノートパソコン管理」シール
・「クリアデスク・クリアスクリーン」シール
・「セキュリティパトロール」腕章