57%、ISMSを知らない。アンケート調査結果。

第14回の放送はISMSの認知度についての調査結果についてでした！ISMSとは？その重要性や活用方法など解説いただきました！

ニュース解説

５７％「ＩＳＭＳを知らない」アンケート調査結果（ISMS-AC） | ScanNetSecurity

こちら記事を簡単に解説していただきました

―松野）情報セキュリティ認証制度に関する認知度についての調査結果です。調査結果によると、過半数がISMSを知らないという結果で、情報セキュリティを重要と考えている企業も6割強にとどまっているとのことです。ISMS(情報セキュリティマネジメントシステム)を簡単に説明すると、「情報セキュリティを管理する仕組み」について書かれたものです。　
各企業が情報セキュリティに対してどのように取り組むべきかが要求事項や管理策としてまとめられています。記事の中に、「ISMS認証未取得組織に情報セキュリティの経営上の重要性について尋ねたところ、全体の6割が重要、またはやや重要と回答」とあります。タイトル自体は情報セキュリティの認知度に対して、どちらかというとネガティブな内容となっていますが、各企業の情報セキュリティに対する意識というのはインシデントのニュースなどでも取り上げられており、情報セキュリティに対する意識は年々あがってきていると実感できます。情報セキュリティに期待する効果についても、「顧客の信頼、社会的信頼の維持・向上が41％」とあり、自社のシステムを保護するという目的以外にも情報セキュリティへの取り組み自体が企業価値の向上そのものにつながることが認知されつつあります。

どういった企業がこういったISMSの認証・取得を目指すべき？

―松野）とにかくセキュリティ対策について何をしていいかわからない。というような企業こそがこういったISMSの認証取得をまずは目指してもいいと考えています。その理由は、ISMS自体が情報セキュリティ管理を実施するためのベストプラクティスで構成されているからです。例えば社内で突然セキュリティ担当になりお困りになられた経験を持っていらっしゃる方、少なくないと思います。「具体的に何をしたらいいかわからない」「なんでこれしなきゃいけないんだっけ」など理解ができないことで、周りの協力を得れず、十分なセキュリティ対策の効果をだせなかったことがあるのではないでしょうか。そんなときに実績のある国際規格として、まずはISMSの認証取得を目指しながら、要求事項に基づいて自社のシステムに対するセキュリティ対策として検討していけば、何もわからない状態からはそのセキュリティ対策の方向性を示すうえでも一定の効果が期待できると考えています。

ISMSのような「国際規格」に準拠する重要性とは？ 

―松野）ISMSのような国際規格に準拠することは、あくまでも一つの手段としては重要・有効です。ISMS自体は2005年に発行された国際規格でありますISO27001に吸収され、現在はISMSとISO27001は同じ意味として使われています。ISO、つまりは国際規格でありますので、グローバルなセキュリティの規格としてその有効性が認められていることがわかります。ただしISMSですとかISOの認証・取得自体を目的化し、実態にそぐわない情報セキュリティの体制を構築してしまうと、セキュリティ対策の十分な効果が得られないだけでは、業務効率自体を下げる結果を招く可能性も注意しておきたいです。先ほどの解説とは相反する部分もありますが、セキュリティ対策が進んできたと実感できている企業は効率化とセキュリティのバランスを意識した情報セキュリティ体制へ段階的にステップアップ、引き上げていことが望ましいと考えています。冒頭でもお話した、ビジネスを維持してさらに成長させていくための情報セキュリティである。ということを理解いただけるといいかなと考えています。

おわりに

基準があるとは大変有難いなか、一方で基準に準拠することに思考を奪われ、手段と目的の区別を見失うことは怖いですね。最善のセキュリティ対策をとっていけるように、十分に気を付けたいです。

記　にしもと