AIでISMSを効率化・有効化できるか考えてみよう！【情報セキュリティ目的】

ChatGPTをはじめとしたAIツールの利用が情報セキュリティリスクという側面もありますが、うまく付き合うことができればISMSももっと効率的・有効的なものにできるのではないでしょうか…！

そこで新たなシリーズとして、ISMSの様々な取り組みとAIツールを絡めてみた所感などについてまとめてみようと思います！

第一弾は「情報セキュリティ目的」をChatGPTと一緒に考えてみました。

※ツールによっては入力したデータを学習データとして外部出力されるなどのリスクもあります。また、積極的に推奨するものではなく、実験的な要素が強い記事ですので、自分達での利用時には利用規約の確認や、入力する情報の確認などを行なったうえで判断するようにしてください。

前提条件

今回はChatGPTを利用。
ChatGPTには目標を考えるために、組織が抱えている課題(仮)と、ISMS上要求される目標策定のための要件を依頼事項として、以下の通り相談しました。

【前提】
今私たちは以下のような課題を抱えています。
　- リモートワークの普及に伴い世界中に社員が増えてきた
　- 提供するクラウドサービスに保存されているお客様の情報管理に力を入れたい
　- クライアントからセキュリティチェックアンケートの回答を求められることが増えている。

【依頼】
上記の前提を踏まえて以下の項目を含む情報セキュリティ目標を提案してください。
　-　目標達成のための実施事項
　-　必要な資源
　-　責任者
　-　達成期限
　-　結果の評価方法

ChatGPTの提案

提案1

前提条件に記載の投げかけを行なった結果、ChatGPTは以下のようなアイデアを提案してくれました。

【目標】
社員数の増加およびクラウドサービスの利用拡大に伴い、お客様情報の安全性を確保するために、セキュリティ対策を強化し、クライアントからのセキュリティチェックアンケートに対応すること。

【実施事項】
1. セキュリティポリシーの策定と定期的な見直しの実施
2. 社員のセキュリティ意識向上のための教育プログラムの実施
3. お客様情報の暗号化やアクセス制限などのセキュリティ対策の実施
4. クライアントからのセキュリティチェックアンケートに対応するための情報収集と回答作成の体制整備

【必要な資源】
1. セキュリティポリシー策定者および教育プログラムの運営者
2. セキュリティ技術の専門家および情報システム部門の技術者
3. クライアントからのセキュリティチェックアンケートに対応するための担当者
【責任者】
情報セキュリティマネージャー

【達成期限】
1年後の年次目標として設定

【結果の評価方法】
1. セキュリティポリシーの見直しと教育プログラムの実施状況の評価
2. お客様情報のセキュリティ対策の実施状況の評価
3. クライアントからのセキュリティチェックアンケート回答率および回答内容の評価

まず、複数の課題を一つの目標にまとめられてしまったので、すごいぎゅっとしてメインテーマが何か散らかってしまっている感じがしますね…。笑

ただ全く意味のわからないもの、使えないものかというとそういうわけでもなく、ChatGPT自身が立てた目標に対する、実施事項、資源、評価方法については現実的かつ目標達成のためには理にかなっているように感じます。

提案2

ただ、やっぱり一つにぎゅっとされ過ぎているのが気になるので、追加でアイデアの提案を依頼してみたところ以下のような回答を得ることができました。

【目標1】
リモートワークにおける情報漏洩リスクを最小限に抑えるため、社員の端末やクラウドサービスへの不正アクセスを防止する。

【実施事項】
1. セキュリティポリシーの策定と社員への啓発
2. 端末のセキュリティ対策の強化（パスワード管理、マルウェア対策など）
3. クラウドサービスのセキュリティ設定の見直し
4. リモートアクセスの暗号化の強化

【必要な資源】
1. セキュリティポリシー策定者および教育プログラムの運営者
2. セキュリティ技術の専門家および情報システム部門の技術者

【責任者】
情報セキュリティマネージャー

【達成期限】
6ヶ月後の中間目標として設定

【結果の評価方法】
1. 端末のセキュリティ設定状況の評価
2. クラウドサービスのセキュリティ設定の評価
3. 不正アクセス防止の効果の評価

【目標2】
クラウドサービスに保存されているお客様の情報管理を強化し、情報漏洩を防止する。

【実施事項】
1. クラウドサービスのセキュリティ設定の見直し
2. お客様情報の暗号化やアクセス制限などのセキュリティ対策の実施
3. データのバックアップおよび災害復旧プランの策定

【必要な資源】
1. セキュリティ技術の専門家および情報システム部門の技術者
2. データ管理担当者

【責任者】
情報セキュリティマネージャー

【達成期限】
1年後の年次目標として設定

【結果の評価方法】
1. クラウドサービスのセキュリティ設定の評価
2. お客様情報のセキュリティ対策の実施

リモートワーク、クラウドサービス情報のお客様情報の管理という課題それぞれに対して目標設定をしてくれたことによって、より目的が明確化された気がしますね！
ただ、実施事項が少し概要的な書きっぷりになっているので、さらにこの点を実行可能なレベルまで具体化する作業は必要になってきそうです。

プラスα

ちなみに、実施事項のタスク化とスケジュール案もお願いしてみたらなんと以下の回答が！

【目標1：リモートワークにおける情報漏洩リスクを最小限に抑えるため、社員の端末やクラウドサービスへの不正アクセスを防止する。】

【実施事項】
1. セキュリティポリシーの策定と社員への啓発
　- 月次ニュースレターの配信（情報セキュリティポリシーの説明など）
　- オンライン研修の実施（情報セキュリティ意識向上のため）
　- 開示されたセキュリティポリシーを各社員に読ませること
　- 端末のセキュリティ対策の強化
2. パスワードの複雑性と変更頻度の強化
　- デバイスの暗号化の実施
　- マルウェア対策ソフトウェアの導入
　- 組織内の機密情報を共有しないことを定めたルールの制定
　- クラウドサービスのセキュリティ設定の見直し
3. アクセス権限を適切に設定すること
　- ログイン時に2段階認証を実施すること
　- セキュリティアップデートを行うこと
4. リモートアクセスの暗号化の強化
　- 暗号化通信を実施するためのVPN接続の設定
　- 外部からの不正アクセスを検知するシステムの導入

【スケジュール案】
- 月次ニュースレターの配信: 毎月最初の週
- オンライン研修の実施: 2回/年（6月、12月）
- セキュリティポリシーを各社員に読ませること: 3月末まで
- パスワードの複雑性と変更頻度の強化: 4月まで
- デバイスの暗号化の実施: 5月まで
- マルウェア対策ソフトウェアの導入: 6月まで
- 組織内の機密情報を共有しないことを定めたルールの制定: 6月末まで
- アクセス権限の見直し: 7月まで
- 2段階認証の実施: 8月まで

これはありがたくないですか?!

目標策定まではできるものの、うまいことスケジュール策定・タスク管理ができておらず、内部監査や審査前に急いで可能な範囲で対応するというケースが意外と多くみられます。

そういった場合には、具体的なタスクやスケジュールを考えてもらって、それを自分たちでタスク管理ツールなどで管理することでベストなスケジュールで運用していくことに活用できるかもしれません！

さいごに

今回の「情報セキュリティ目的の策定」へのAI活用を考えてみました。

しっかり課題を考慮して必要な項目も含めて提案してくれるので、自分だけでは思いつかない目的の策定に役立ちそうです。
特に「毎年目的の策定には苦労するんです…」といった皆さんにとってはうまく使いこなせれば強い味方になるかもしれません！

一方で、今回は前提としてインプットした内容が、一般的な内容、かつ分量も多くなかったからか、回答もまあまあありきたりなものだったり、少し課題に直撃するような内容でなかったようにも感じます。
この点については質問の仕方を改善することでもっとより良いパートナーになるかもしれませんね。

最後に、改めてになりますがChatGPTなどのAIツールは便利な一方で、ものによっては入力情報が学習データとして第三者に出力される懸念もあります。
利用規約や公表されている情報などを確認したうえで、どのレベル感の情報を入力するのかよく考えたうえでうまく付き合っていきましょう。