見出し画像
Photo by cranefield

管理系部門がIPO準備でやること Part.09 - IT・情報システム編 その3/情報セキュリティとISMS -

長嶋邦英_Raise Value LLC.

 「管理系部門がIPO準備でやること」について、数回に分けて説明・ご紹介しています。前回は「管理系部門がIPO準備でやること Part.08 - IT・情報システム編 その2 /最強のサポートメンバー -」を説明しました。
今回は、「IT・情報システム編 その3/情報セキュリティとISMS」です。
(*着手する順序は時系列ではないので、その点はお許しください。)
(*約10分程度でお読みいただけます。)



情報セキュリティ・マネジメントの大切さ

 前回まで記事で、IPO準備において情報システム担当は「社内の全業務に関する “ 情報の引き出し ” 」であり「最強のサポートメンバー」であることを説明してきました。いろいろみてきますと、情報システム担当の働きの大切さを改めて感じます。

 ただ、皆さんの会社に情報システム担当が必ずしも在籍されているわけではないと思います。この場合、別の部門で日々の業務を遂行しながら、業務的に関係性が深いということで兼務として情報システム担当として携わっている社員、または情報システムの知識豊富であることで兼務として情報システム担当として携わっている社員、さらにはフリーランスのITエンジニアへのアウトソーシングなど、さまざまでしょう。最近では、クラウドサービスを利用することが多いので、これらの管理を外部の専門会社に委託するかたちもあります。情報システム担当が遂行すべき役割が遂行されているのであれば、その雇用形態や外部委託であっても、どれも良い選択だと考えます。逆言えば、ただ人員がいるだけで、情報システム担当が遂行すべき役割が十分に遂行されていないようなかたちだと、会社としては大きな損失を被るリスクになりますので、十分にご検討いただきたいところです。

 さて、情報システム担当が日々の業務として遂行する業務の中で、大変重要な業務があります。それは『情報セキュリティ・マネジメント』です。皆さんはもうすでにご存知のことですが、情報システム担当の業務範囲は、一般的には大きく分けると次のようになります。


  • ソフトウェア・アプリケーション管理

  • ネットワーク環境に関するもの(社内外/リモート業務推奨しているケースも含みます)

  • セキュリティに関するもの(サーバー、デバイス等のセキュリティ、ウイルス対策など)

  • 業務データ管理(バックアップ、保存等)

  • デバイス管理


 上の業務範囲は、業種・業態・業界などの要因によっては、もう少し広いかも知れません。一般的なものとご理解ください。
 上記の業務範囲から、細かく業務タスクを分けてみます。


  1. 日々の業務で使用するソフトウェア・アプリケーションの更新または更新に関する最新情報の入手と社内通知

  2. ウイルス対策

  3. 会社が使用するネットワーク環境(社内外問わず)の構成の把握と防御対策

  4. 会社が使用するネットワーク環境への不正アクセスによる被害への対策(標的型攻撃を含む)

  5. 社内無線LAN利用の管理

  6. ユーザ権限とユーザ認証の管理

  7. 日々の業務のデータのバックアップ作業

  8. ネットワーク環境およびクライアントPC等デバイスのセキュリティ診断

  9. 各種デバイスのアクセス/作業ログの適切な取得と保管

  10. テレワークで各種デバイスを利用する場合の対策と社内周知

  11. 情報セキュリティに関する社内教育


 このように、情報システム担当が担う業務タスクは広く・細かく、しかも、その細かい業務タスクにおいて、必ず稟議フローと管理表等の資料が作成されます。要は、情報システム担当が行う業務には、すべて証拠書類が残る、ということになるのです。これにより、情報システムの業務やSI( System integration )の業務では、プロセスマイニング( process mining )を用いて業務プロセスの可視化を行い、正確かつ適正な業務を行なっていることを常時確認できるようにできるのです。

 ここが情報セキュリティ・マネジメントの第一歩とご理解ください。

 情報システムに関する業務プロセスの可視化は、正確かつ適正な業務を行なっていることの証明だけではありません。この証明こそが、内部統制・IT統制(IT全般統制、IT業務処理統制)で評価項目、ISMS認証では要求事項として挙げられ、それぞれその証憑となるものなのです。

 この点もご理解いただき、そのうえで記録すべきデータの選別、業務の作業状況等に関する記録の管理、ネットワーク・デバイスのセキュリティ管理など、これらの管理レベルと管理体制を構築することが最も重要なポイントになり、この重要なポイントを押さえたうえで業務遂行していただくことこそが、「情報セキュリティ・マネジメントの大切さ」なのです。




情報セキュリティ・マネジメントは “ 無制限 ” で “ 無限大 ” ?

 IPO準備会社からいただく質問の中で最も多いのは、「内部統制はどのくらいのレベルにしたら良いか?」です。この意図は、上場準備するにあたって、会社は上場審査に通過するレベルのルールと業務実施状況を作ったら良いか?その最低限を知りたい、というものでした。誤解の無いように申しあげますが、上場準備にあたっては「最低限の準備」というものはありません。その理由は、その会社の成長状況や業績、人員構成と組織構成、その会社の業界など、多くの要素を材料に総合的に当該会社を分析したうえで、細かい点では作るべき規程・業務マニュアルの選定や業務フロー等3点セットの作成などのタスクを検討しますので、おのずと当該準備会社の要件定義と仕様書になります。これにより「上場審査にとおるための最低限の準備」というようなものは無い、という回答になるのです。

 さてここで、IPO準備における情報セキュリティ・マネジメントのレベルは、どのように考えたら良いかということですが、最低限はありませんが無制限で無限大ということもありません。その答えは「その会社に適したサイズとかたちが必要」ということになります。この点を説明します。

 世間・社会に目を向けますと、情報セキュリティに関する事件・事案が多数あります。顧客・取引先情報の漏洩やクラウドサービスの通信障害等によるサービス停止、アクセス制限による混乱など、さまざまです。

 情報セキュリティについては、大きく「情報セキュリティ・マネジメント」を構築し、この構成要素として情報セキュリティを作っていくことになります。

 この情報セキュリティ・マネジメントですが、これを検討するうえでは、情報システム全体に関するリスクを踏まえ、当該会社を取り巻く環境と社内環境を十分に認識して状況分析したり、事業内容とその規模を踏まえたマネジメント範囲の選定、またこれらを踏まえてのかかるコストの分析(コスト管理)を行い、これに必要な人員などの体制規模を検討することとなります。これらをまったく把握/検討しないまま、事業内容を同じくする競合他社の情報システム・マネジメントを真似てみたり、これよりも上をいくレベルの導入を考えたりしてしまうと、かかるコストは無尽蔵に増えてしまいます。
 そのうえ、特にセキュリティに関しては、いくらセキュリティレベルを上げたとしても、この技術は日進月歩ですので、これについていくことだけで人員と業務量、コストは上がります。逆に、そのセキュリティレベルがいくら高くても、社内の従業員の情報セキュリティに関する教育レベルが低ければ、 “ アリの一穴 ” で崩れてしまうことがあります。このように考えますと、どうやら情報セキュリティ・マネジメントのレベルを世間レベルに合わせたり、またはその上をいく、ということは必要無いかもしれません。

 では、この情報セキュリティ・マネジメントをどのように考えていくか。ポイントは次のとおりです。


  1. 情報セキュリティ・マネジメントで求められている事項・内容を把握する。 <参考> ・経済産業省:システム監査基準およびシステム管理基準(*2023(令和5)年04月26日改訂)  ・日本規格協会(JSA):ISO/IEC 27001(JIS Q 27001)情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 (こちらは正規版購入を推奨します。)

  2. 求められている事項・内容を踏まえ、会社内外の状況分析を行う。(例:SWOT分析)

  3. 会社の経営状況/環境/事業計画と状況分析結果を踏まえ、マネジメントの範囲を決める。

  4. 求められている事項・内容と会社がどの程度まで対応・実施可能かどうかを検討する。

  5. 上記4つを踏まえてコスト試算を行う。

  6. 会社の事業計画、予算案に、IT計画・ITに関する予算として盛り込む

 上記のポイントは、業務の流れに沿って挙げております。また1の参考資料にはリンクを貼付しています。

 順に説明します。

 1は、孫子の「彼を知り己を知れば百戦殆うからず」のとおり、まずは「彼を知る」ところの、情報システム全体のマネジメント体制、情報セキュリティ・システムとは何で、何をすべきかを知るための作業となります。
 経産省・システム監査基準とシステム管理基準は、内部統制・IT統制の評価(監査)に関するガイドラインです。この評価の項目として、情報セキュリティの要素を持つ項目がありますので、この点を確認してください。
 またISO27001 ( ISMS ) は、参考の参考資料で構いませんが、知っておくと便利ですし、IT統制の目的とISMSの要求要件は、共通する部分がありますので、ぜひ皆さんの目でご確認ください。

 2は、同じく孫子で「己を知る」ところの、皆さんの会社自身を調査・分析することです。例としてSWOT分析を挙げていますが、IPO準備をするうえで、まず財務、法務、事業等各デューデリジェンスと並行して必ずITデューデリジェンスも実施して、会社の状況を把握し、その内容を踏まえて分析を行うというものです。このSWOT分析では、「会社の弱み」についても検討しますが、ここで情報セキュリティについても検討する必要があります。なお、ここで「他社との比較」をしたいところですが・・・それは、少なくともここではお控えください。

 3は、情報セキュリティ・マネジメントをどの程度、どれくらいの規模を実施するかを検討して決めるものです。例えば、売上が100億円以上で、社員数も数千名規模であれば、これに見合うコストが必要ですが、仮にもし売上が数億円で社員数が数十名規模であったとしても、事業内容がECサイトでの通販事業であれば、必然的に決済サービスや顧客情報を取り扱うこととなりますので、情報セキュリティは相応のレベルが求められます。よって、情報セキュリティ・マネジメントも同じく相応の範囲とレベルの高さを求められることとなるのです。この点は、時間をかけてじっくりと検討する必要があるのではないでしょうか。

 4は、現状だけでなく、今後、少なくとも中期計画の3〜5年分の経営計画も踏まえて、会社がどの程度まで対応・実施可能かどうかを検討するものです。会社は成長していくことを前提としています。またその成長と同時に、規模(売上高・社員数増)や主要サービスの変更があるでしょう。そうなれば、必然的に情報セキュリティ・マネジメントの範囲とレベルも変化するハズです。特にIPO準備においては「成長性」も含めて上場審査の対象となります。その成長に伴ったかたちの内部管理体制を求められますので、情報システム全体のマネジメント体制、情報セキュリティ・マネジメントも必然的に変化するものなのです。

 5は、情報システム全体のマネジメント体制にかかるコストを見積もる段階です。ここでご注意いただきたいのは、情報システムを担当する方・部門は、内製化が必須ではありません。また、特に情報セキュリティに関する技術については、業界等で特有の技術を必要とすることもありますし、一般的な会社においても、情報システム担当・部門を設置するための予算計画が立てられないこともあるかと思います。必要に応じて外部委託することもご検討ください。

 6は、会社の事業計画、予算案に、IT計画・ITに関する予算として計上します。ここでの注意点は、ITに関する計画と予算は、会社全体の事業計画・予算案のなかで、例えば勘定科目でいうと販管費、一般管理費等と合算したり、また各部門にかかる費用として計上することがありますが、IPO準備期においては必ず会社の事業計画・予算案の中でも「IT計画・ITに関する予算」として項目立てしてください。これは全社統制( CLC )、IT全般統制( ITGC )での統制項目に「IT計画・ITに関する予算を作成」し、これを「会社の業務執行に係る意思決定機関(取締役会)において承認している」ことが挙げられ、これの証憑としてこのIT計画・ITに関する予算案が必要となるからです。
 なお、ISMS認証の審査資料でもこれが必要となりますので、ご準備ください。

 情報セキュリティ・マネジメントを考え出したら、対応の必要に迫られるリスクは無制限で無限大です。ただし、IPO準備にあたっては、求められる要件は、情報システム全体を戦略的な観点で構築し、情報セキュリティ・マネジメントを行うなど適切な管理体制によってリスクを低減することです。このことを認識し、十分な検討を行なってください。



ISMS認証の取得にチャレンジ!

 突然ですが、IPO準備をはじめる前に、ぜひISMS認証の取得もご検討ください。先般の記事「IT統制とISMS認証」でも説明しましたが、情報セキュリティ・マネジメントの内容と要求事項およびこれらを証明する証憑は、親和性が高いので、会社は実務を増やすことなく2つの目的にチャレンジできるのです。
 ただし、ISMS認証を維持するコスト等との比較検討や、認証取得/維持と上場維持への貢献度についても十分に検討する必要がありますので、この点は前項で説明しました「3. 会社の経営状況/環境/事業計画と状況分析結果を踏まえ、マネジメントの範囲を決める。」の段階でぜひ検討していただきたいです。

 また、ISMS認証をすでに取得している会社では、IT全般統制( ITGC )、IT業務処理統制( ITAC )の内容を検討するにあたり、対象とする情報システムの全体像が把握しやすいこと、情報システム全体の管理体制とその内容をすでに構築していること、検討する統制項目を絞りやすいこと、統制項目に対して必要とする証憑を集めやすいことまたは集めやすい環境にあることなど、すでに上場会社と同じレベルにありますので、IPO準備に必要とする期間と労力が圧縮できるものと考えます。特にIT全般/業務処理統制の体制構築にかかる期間は長めに取る傾向にありますし、事業内容や業界等によりますが、ITコンサルティング会社等専門会社による専門的なIT監査体制を必要とする場合には相応のコストがかかります。ITGC/ITACでも、ISMSでも、その評価項目と要求事項の内容は近似していることから、IPO準備とISMSの両方を見ながら準備することをお勧めします。


 今回も記事が長くなりましたが、最後までお読みいただき、ありがとうございます。

 これまで情報システム担当がIPO準備でやることについて説明してきましたが、これでもほんの一部分です。
 ただ、情報システム担当の皆さんだけでなく、他の業務(経理、人事など)を担う皆さんについても、私が説明しました内容だけではありません。細かいタスクを挙げたらキリがありません。逆に言えば、その細かいタスクを誰かが気付き、自分事としてこれを担当し完遂することが、IPO準備では最も重要です。抜け漏れがあってはいけません。ぜひ相互に協力・連携しながら、IPO準備と日々の業務遂行に努めてください。

 次回は「総務」がIPO準備でやることを説明します。




この記事が気に入ったらサポートをしてみませんか?