セキュリオの機能をISMSの観点から見てみよう【ルールブック】

情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第9回、今回はルールブック機能です！

会社のセキュリティを改善するなら情報セキュリティ教育クラウド「セキュリオ」

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「ルールブック」機能について

セキュリオ「ルールブック」機能は、ISMSで必要なマニュアル類を作成、管理、従業者への展開を実施できる機能です。

また、ISO27001規格と各ルールのマッピングを残すことも可能です。

ルールブック | 機能紹介 | セキュリオ

ISMS観点から見るルールブック機能

ルールブック機能は規格のどこに当てはまる？対応できる？

【規格本文】

1. 全般
   前提として、ISMSの運用に関するルールそのものに関連する機能なので、全体が関わると考えることができます。
   

2. 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
   ＜規格要求＞
   適用範囲を定めて、文書化した情報として利用可能な状態にする。
   
   適用範囲として図面などを作成することも多くありますが、多くの場合、適用範囲の「組織名」「住所」「事業内容」を文字として記録することは多く、それをルールブック機能のマニュアル内に残しておくことも考えられます。
   

3. 5.2 方針
   ＜規格要求＞
   方針を確立し、文書化した情報として利用可能にする。
   
   要求の一部として、「組織内に伝達する」ことが求められています。
   HPに掲載をして従業者も見られるようにするという方法を取ることも少なくないですが、HP掲載が難しい場合にはルールブック機能上に情報セキュリティ方針を載せておく、また掲載できる場合にも原本をルールブック機能で管理などすると良いかもしれません。
   

4. 6.1.2 情報セキュリティリスクアセスメント
   ＜規格要求＞
   情報セキュリティリスクアセスメントのプロセスを定め、文書化した情報を保持する。
   
   プロセスの文書化した情報として、ルールブック機能上でリスクアセスメントのマニュアルを作成、管理することが想定されます。
   

5. 6.1.3 情報セキュリティリスク対応
   ＜規格要求＞
   情報セキュリティリスク対応のプロセスを定め、文書化した情報を保持する。
   
   プロセスの文書化した情報として、ルールブック機能上でリスクアセスメントのマニュアルを作成、管理することが想定されます。
   
   また、適用宣言書の作成も求められているため、ルールブック機能内で作成、管理しても良いかもしれません。
   

6. 7.5 文書化した情報
   ＜規格要求＞
   文書作成や更新、管理などの適切な方法での実施。
   
   文書管理に関する項目なので全て該当するのが前提ですが、特に承認の証跡を残せたり、利用しやすいようになっているという点では特にマッチしていると言えるかもしれません。
   

7. 8.1 運用の計画策定及び管理
   ＜規格要求＞
   要求事項や6章の活動を実施するために必要なプロセスの計画、実施、管理。
   
   要求の一部として、「プロセスに関する基準の設定」が求められています。
   それぞれの取り組みをどのようなタイミングで行うのかといった基準をマニュアル上で設定することなども想定されます。

【附属書A】

1. 全般
   管理策によりますが、文書化要求がなくてもルール化することなどもあると思うので、その際にはルールブック機能上でマニュアルの作成、管理、展開を行うことが想定されます。
   

2. 5.1 情報セキュリティのための方針群
   ＜規格要求＞
   方針やルールを定義し、承認し、発行し、伝達し、認識させ、レビューの実施。
   
   具体的なセキュリティルールを作っていきましょうというのはこの管理策に基づくものでもあるので、各セキュリティルールをルールブック機能で作成、管理、展開することが想定されます。
   

3. 5.10 情報及びその他の関連資産の許容される利用
   ＜規格要求＞
   情報資産の許容される利用に関する規則、取扱手順の明確化、文書化、実施。
   
   たとえば媒体ごとにどう取り扱うなどの取り扱いルールをルールブック機能上で作成、管理、展開しておくことで従業者の方に適切な情報資産の利用を行ってもらうことが可能です。
   

4. 5.26 情報セキュリティインシデントへの対応
   ＜規格要求＞
   インシデントの、文書化した手順に従った対応の実施。
   
   この管理策自体で何らかの文書化要求があるわけではないですが、要求の書きっぷりからして、文書化したインシデント対応手順が存在することが前提であるともいえます。
   そのためルールブック機能上で、インシデント対応のルールを作成、管理、展開することが想定されます。
   

5. 5.31 法令、規制及び契約上の要求事項
   ＜規格要求＞
   法令、規制、契約上の要求事項、要求事項を満たすための取り組みの特定、文書化、最新状態での維持の実施。
   
   要求事項そのものは法令管理の一覧などで保有するケースが多いですが、法令等遵守のための具体的な取り組みはルールブック機能上で、文書化しておくなども考えられます。
   

6. 5.37 操作手順書
   ＜規格要求＞
   情報処理設備（PCやネットワーク機器、サーバなど）の操作手順の文書化、要員が利用可能な状態での管理の実施。
   
   操作手順書については明確な文書化要求があります。
   各設備の既存マニュアルを参照するケースもありますが、組織独自の操作方法などについてルールブック機能でマニュアル化し、展開するなども有効な活用方法になりえます。
   

7. 8.9 構成管理
   ＜規格要求＞
   ハード、ソフト、サービス、ネットワークのセキュリティ設定等の確立、文書化、実装、監視、レビューの実施。
   
   構成管理については明確な文書化要求があります。
   文書化がルール化のみとは限りませんが、たとえば基本的な共通セキュリティ設定などについてはルールブック機能上で、ルールとして作成、展開しておいても良いかもしれません。
   
   ここでは明確に文書化要求がある規格などを抜き出して紹介しましたが、前述の通りISMS規格は全てルールに落とし込まれうるものになりますので、特に規定化などが求められているものはルールブック機能を活用できると考えて問題ないでしょう。

ルールブック機能を使うメリット

ここまではルールブック機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオのルールブック機能を使うメリットについて考えてみましょう。

1. マニュアル類の更新が行いやすい
   マニュアル類の管理であるあるなのが、原本と社内共有用PDFがそれぞれ存在しており、マニュアルの更新を行う際には原本を修正した上でそれを出力し、出力したPDFを社内共有用の場所で更新するという少し面倒なケースです。
   それに比べルールブック機能であればセキュリオ側で権限をあらかじめ分けておくことで、作業できる人と見ることしかできない人などを設定できますし、また承認もこの中で実施できるので、一つの画面内で作成から展開まで完結できます。
   

2. ISMSに関する情報を一元管理できる
   あるあるその2なのがルールを作って一応社内展開もしているんだけど、従業者はお知らせだけ見て中身は見ていない、また時間が経つとどこに公開されていたか忘れてしまうというケースです。
   これについてもセキュリオのルールブック機能を活用することで、ISMSに関するものはセキュリオにあるというシンプルな意識を持ってもらい、従業者がどこでルールを確認できるか分かりやすくなる可能性があります。
   

3. ルールと規格のマッピングをセキュリオ内で一元管理できる
   あるあるその3がルールを作ったはいいものの、どこがどの規格要求に対応しているものかよくわからなくなるというケースです。
   これについてもルールブック機能では、規格と各ルールを紐づけることができるので、どのルールで各規格要求を満たしているか分かりやすく管理することが可能です。

まとめ

今回は第9回として「ルールブック」機能を取り上げました。

ISMSを運用するためには必ずマニュアルの作成が行われます。
そしてマニュアルは作成するだけでなく、従業者がきちんと参照できるようにして、かつ改善のためにアップデートしていくことも重要です。

その観点からも、従業者に簡単に展開できて、かつ更新も行いやすいルールブック機能は、ISMSをシンプルかつ効率的に運用する上で役に立つ機能と言えるのではないでしょうか。