見出し画像

セキュリオの機能をISMSの観点から見てみよう【eラーニング】

いしはまゆうき@LRMの情報セキュリティコンサルタント

僕が所属しているLRM株式会社では、情報セキュリティ教育クラウド「セキュリオ」というクラウドサービスを開発・提供しています。

そしてセキュリオは「情報セキュリティ教育クラウド」という名の通り、情報セキュリティリテラシー向上に使える機能はもちろんのこと、LRMが行うセキュリティコンサル事業も活かした認証運用の機能なども色々搭載されています。

そこでLRMの情報セキュリティコンサルタントの立場から、セキュリオの各機能がどういうふうにISMSの規格をカバーしているのか整理してみようという企画の第一回、今回はeラーニング機能です!

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「eラーニング」機能について

セキュリオ「eラーニング」機能は、担当者がユーザーに教材を配信してそのテスト結果も機能上で合わせて管理することができる機能です。
また、あらかじめ60種類以上の教材も登録されているので、その中から使いたい教材を選んで配信することも可能になっています。

あらかじめ登録されている教材以外に、自分たちで作成した教材・テストを登録して配信管理することも可能です。 

ISMS観点から見るeラーニング機能

eラーニング機能は規格のどこに当てはまる?対応できる?

【規格本文】

  1. 7.2 力量
    この規格要求では、組織で必要と定めた力量を満たすこと+その証拠を残す必要があります。そしてその充足方法の一つ手段として従業者教育という形を取られることが非常に多いです。

    その点で、eラーニング機能ではISMSで押さえるべき基本的な内容などを含んだ教材なども登録されているため、組織で必要と定めた力量を満たすための教育を実施して、受けた証拠を機能上に残すことができるという点で対応できるようになっています。

  2. 7.3 認識
    この規格では、従業者が「情報セキュリティ方針」「ISMSのメリットを含む有効性に対する自らの貢献」「ISMSに適合しないデメリット」(ざっくり書いてます)を認識する必要があります。

    こちらは教育を行なったり認識したことの記録などを残すことが求められているわけではありませんが、やはり認識してもらいやすい方法の一つとしてeラーニングの教育に含めることで楽にカバーすることもできます。

【附属書A】

  1. 5.1 情報セキュリティのための方針群
    こちらの要求事項の一部に定義したルールを伝達し、認識させることが含まれています。これも教育である必要はないのですが、ルールの重要な部分を伝えて、それを認識したことをテストとして確認するという観点ではeラーニングを活用することもできますね!

  2. 6.3 情報セキュリティの意識向上、教育及び訓練
    こちらの要求事項では、職務に関連する情報セキュリティ方針やルールに関する教育などを定常的に受けることが求められています。
    こちらも教育以外の方法もなくはないですが、eラーニングを活用して教育を行なったりその記録を残すのにバッチリです。

  3. 8.7 マルウェアに対する保護
    この要求事項における対応のメインはウイルス対策ソフトの利用などが想定されますが、要求事項には「利用者の適切な認識」というワードも含まれています。
    ですので必要な情報を周知したり、eラーニングで配信されているマルウェアに関する教材を実施するなども有効的なものになるかもしれません。

eラーニングを使うメリット🤔

ここまではeラーニング機能がISMSの規格にどのように関連しているか整理してみました。
続いてISMSでセキュリオのeラーニング機能を使うメリットについて考えてみましょう。

  1. ISMSに必要な教材の準備が必要ない
    セキュリオには、ISMSやクラウド認証で必要な基本的な教材はもちろんのこと最新の情報セキュリティ情勢に合わせた教材などがあらかじめ提供されるので、自分たちで教材を準備する必要性は無くなりますね。

  2. 自分たちに合った教材を活用することもできる
    教材があらかじめ準備されているとはいえ、反対に自分たち専用の教材(例えばルールブック教材など)を使いたいというケースもあるかと思います。
    そういった場合には、自分たちで教材を作って登録することも可能なので、教育の目的に応じた教育実施にも活用できます。

  3. 担当者の工数削減
    従業者教育で意外と手間がかかるのが、テストを実施した後の採点だったりします。その点でいうとeラーニングを使えばセキュリオ側で勝手に採点して合否を判断してくれるので事務局担当者が採点に工数を策必要がなくなります。

  4. 教育関連記録の一元管理
    内製で従業者教育などを行なっていると、教育を行なった結果を別途教育記録の資料などに起票しているケースも少なからず見受けられます。
    ただ、ISMS上求められているのはあくまでも「文書化した情報」でありその形式に決まりはありませんので、eラーニングを使えば教材と一緒に受講記録もそのまま残り、それを「文書化した情報」として活用することが可能です。

まとめ

今回は初回としてeラーニング機能を取り上げてみました。

教育と聞くと「力量」や「情報セキュリティの意識向上、教育及び訓練」などが思い浮かびますが、改めて関わってくる規格を整理してみると色々と関係していることもわかりました!

eラーニングを使うことが必須ではありませんが、現在は教育の多くを手作業でおこなっていて工数削減したい、どのような教材が必要かわからないといった悩みがある場合には役立つかもしれませんね。

この記事が気に入ったらサポートをしてみませんか?