見出し画像

セキュリオの機能をISMSの観点から見てみよう【セキュリティアウェアネス】

いしはまゆうき@LRMの情報セキュリティコンサルタント

情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第3回、今回はセキュリティアウェアネス機能です!

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「セキュリティアウェアネス」機能について

セキュリオ「セキュリティアウェアネス」機能は、定期的にテストを配信し継続的な情報セキュリティリテラシーの向上を目指すことのできる機能です。

また回答状況などから、各従業員やグループごとのセキュリティレベルを数値・グラフによって可視化することもできます。

ISMS観点から見るセキュリティアウェアネス機能

セキュリティアウェアネス機能は規格のどこに当てはまる?対応できる?

【規格本文】

  1. 6.2 情報セキュリティ目的及びそれを達成するための計画策定
    この規格要求は、情報セキュリティ目的を確定して達成するための計画立案を行うというものであり、セキュリティアウェアネス機能が直接的に対応するものではありません。

    ただ目的として「情報セキュリティリテラシーの向上」は挙げられることも多いテーマであり、その目的に対してはセキュリティアウェアネス機能を使うことで目標のための取り組みや評価指標の可視化にもつながります。

  2. 9.1 監視、測定、分析及び評価
    この規格要求は、有効性を評価するために監視・測定、分析・評価を行い、その結果の証拠を残しておくことが求められています。

    例えばセキュリティアウェアネスによってリテラシーの推移を継続的に監視、測定することで、ISMSの年間の取り組みがどの程度従業者のリテラシー向上や浸透に寄与しているか測る指標とすることもできるのではないでしょうか。また、受講記録も機能上に残るので証拠にも活用できます。

【附属書A】

  1. 5.7 脅威インテリジェンス
    こちらの要求事項では、脅威に関する情報を収集・分析して活用することが求められています。
    セキュリティアウェアネスそのものを脅威インテリジェンスとして充足させることは難しいかもしれませんが、採用されている問題は社会の脅威環境などを考慮した問題、アクションなどを含むものもあるので、脅威インテリジェンスの一部として活用することもできるかもしれません。

  2. 6.3 情報セキュリティの意識向上、教育及び訓練
    こちらの要求事項では、職務に関する情報セキュリティの方針やルールについての教育などを適切に受け、また定常的に更新することが求めらています。
    その観点では定期的にテスト配信を行い継続的に意識向上の教育を行うことができるセキュリティアウェアネスはこの要求事項を充足させるのにはとてもマッチしているかもしれません。

  3. 8.7 マルウェアに対する保護
    こちらの要求事項では、マルウェアに対する保護と合わせて、利用者の適切な認識が求められています。
    セキュリティアウェアネス機能ではマルウェアのリスクに関する設問などもあるので、利用者に適切な認識を持ってもらう一助にもなります。

セキュリティアウェアネス機能を使うメリット

ここまではセキュリティアウェアネス機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオのセキュリティアウェアネス機能を使うメリットについて考えてみましょう。

  1. 一度配信開始すればそれ以降の教育工数がかからない
    通常の従業者教育の場合、複数回実施しようとすると、その都度教材を準備して、配信してといった作業が発生します。
    一方、セキュリティアウェアネス機能の場合、はじめに対象者や周期などを設定すればその後は自動で配信し続けてくれるので、教育担当者の対応工数を大幅に削減することも可能です。

  2. 教育内容の改善に使える
    セキュリティアウェアネスの場合、長期的にリテラシーレベルを見ることができるため、結果の傾向などから、不足している部分、十分対応できている部分などを確認しながら追加での教育内容の改善などに繋げることも可能です。これにより、より組織にマッチしてレベルを上げるための有効的な教育を行うことも可能になります!

まとめ

今回は第3回として「セキュリティアウェアネス」機能を取り上げました。

セキュリティアウェアネスというだけあってやはりリテラシー向上に関する規格に対応していることがわかりますね!

その上で特筆すべきは、従来年1,2回など定期的にある程度ボリューム感のある教育を行っていたのに対し、新たな教育手法として少量ずつ継続的に行うという選択肢が提示されたことにあると思います。

いまとりあえず必要だから定期教育やってるけど、年1回だとイベント化してしまって従業者もなあなあで対応している感があるかもといった悩みがある場合には、第2の教育方法として検討してみてもいいかもしれませんね!


この記事が気に入ったらサポートをしてみませんか?