「セキュリティって、結局ルールを作って守ることだよね?」——そう言い切れるようになるまでに、僕はずいぶん遠回りした。
情報セキュリティというと、ファイアウォールやウイルス対策ソフトを思い浮かべる人が多い。でも現場でISO27001のコンサルティングをしていると、本当のセキュリティは「機器」より「仕組み」で決まると痛感する場面に何度も出くわす。
今回は、ISO27001をこれから知りたい人・導入を検討している担当者に向けて、仕組みの話を中心に書いていく。特に地方・中小規模の組織の担当者に刺さる内容を意識した。
目次
1. ISO27001とは何か:一言で言うと「仕組みの規格」
ISO27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格だ。「情報資産をどう守るか」を組織全体で仕組みとして管理・運用するための枠組みを定めている。
よく誤解されるのが、「ISO27001を取得すれば安全になる」という考え方だ。認証はあくまでも「仕組みが整っている」という証明であって、セキュリティの完成を意味しない。どんな立派な錠前も、鍵の管理がずさんでは意味がない——ISO27001が問うのは、まさにその「鍵の管理」の部分だ。
規格の構成は大きく3つに分かれる。組織の状況を把握するフェーズ、リスクを評価して対策を決めるフェーズ、そして実施・監視・改善を繰り返すフェーズだ。特定のシステムや機器を導入することより、この3つのサイクルを組織に根付かせることが本質になる。
2. なぜ「仕組み」なのか:PDCAで回す情報セキュリティ
セキュリティ対策の多くは「一度やって終わり」になりがちだ。ウイルス対策ソフトを入れた、パスワードポリシーを決めた——それ自体は正しい。ただ、脅威は日々変化するし、組織の状況も変わる。一度決めたルールが、半年後には現実と乖離していることは珍しくない。
ISO27001が重視するのはPDCAサイクルだ。Plan(計画)→Do(実施)→Check(監視・評価)→Act(改善)を継続的に回す。年に一度の内部監査や経営者レビューが義務付けられているのも、この「回し続ける」仕組みを機能させるためだ。
機器は買えば動く。でも仕組みは、意図的に維持しなければ劣化する。そのことを、現場に入るたびに実感している。
3. AIにできること、人にしかできないこと
最近は、ISO27001の運用にAIを活用する場面が増えてきた。リスクアセスメントの雛形作成、規程文書のドラフト生成、法令改正の影響チェック——こういった作業はAIが大幅に効率化してくれる。
ただ、現場に入って初めて分かることは、まだまだAIには代替できない。
具体的には2つある。現地でのサンプリングと、担当者へのヒアリングだ。この2つは、文書やデータを読むだけでは絶対に見えてこない「現実」を掘り起こす作業だからだ。
4. 現地サンプリング:紙とExcelの現場で起きていること
内部監査や審査の場面で、実際の記録を抜き取って確認する「サンプリング」という作業がある。規程通りに運用されているかを、書類・システム・現物で突き合わせる。
ここで出てくるのが、「書いてあることと、やっていることが違う」という現実だ。
例えば、情報資産台帳には「廃棄済み」と書かれているのに、倉庫に古いHDDがそのまま積まれていた——という光景は、地方の中小組織では珍しくない。規程には「施錠管理」と書いてあるが、実際にその部屋の鍵が誰の手元にあるかを誰も把握していない、というケースもある。
こうした「ズレ」は、AIがデータを解析しても見つけられない。現場に足を運び、目で確認し、手で触れることで初めて見えてくる。地味な作業だが、これがISO27001の運用品質を決める核心部分だと思っている。
5. 担当者ヒアリング:「やっているつもり」を掘り起こす作業
もうひとつ、人が行うべき作業がヒアリングだ。現場の担当者に、実際の業務フローや判断基準を直接聞く。
ヒアリングで一番難しいのは、「やっているつもり」の状態を引き出すことだ。担当者本人は正しく運用していると思っている。でも話を深掘りしていくと、実は手順の一部が抜けていたり、判断基準が属人化していたりする。
「インシデントが起きたらどうしますか?」という問いに対して、「上司に報告します」と答える。では「その上司が不在だったら?」「報告のタイミングは?」「どこまでが報告すべきインシデントですか?」——こうした問いを積み重ねることで、文書化されていない「暗黙のルール」や「穴」が浮かび上がってくる。
AIは質問の雛形を作ることはできる。でも、相手の表情や言葉の詰まり方を読みながら次の問いを変える——この対話のプロセスは、まだ人間の領域だと感じている。
6. 地方・中小規模の組織こそ、仕組みが効く
ISO27001というと「大企業が取るもの」というイメージを持つ人が多い。実際、認証取得のコストや工数を考えると、中小組織には敷居が高い面もある。
ただ、仕組みの考え方そのものは、規模に関係なく機能する。
むしろ地方・中小規模の組織の方が、担当者が少なく属人化しやすい分、仕組みを整えることの効果が大きい。「あの人しか分からない」「退職したら終わり」という状況を防ぐのに、ISO27001の考え方は直接役立つ。
認証取得を目指さなくても、情報資産の棚卸し・リスクの可視化・ルールの文書化という3ステップだけ踏めば、組織のセキュリティ水準は確実に上がる。
まず「棚卸し」から始めればいい
ISO27001は難しい規格に見える。でも、本質は「自分たちが何を持っていて、何を守る必要があるかを把握し、仕組みとして管理する」ということだ。
まず手をつけるべきは情報資産の棚卸しだ。どんなデータが、どこに、誰の管理のもとで存在しているかを一覧にする。それだけで、これまで見えていなかったリスクが浮かび上がってくる。
AIはその作業を効率化してくれる。でも、現場を歩いて目で確認する時間だけは、削れない。そこが面白いところでもある、と思っている。
次回は、情報資産台帳の作り方と、AIを使った効率化の具体例を書いていく予定だ。
→ セキュリティ業務でAIを使い始めた話はこちら:ChatGPTからClaudeに乗り換えた理由
関連記事
・AIツールの「企業姿勢」で選ぶ時代——僕がClaudeを使い始めた話
セキュリティ担当の筆者が、なぜAIツールの「企業姿勢」を重視するようになったかを書いた導入検討記。
・AIサービスに「使ってはいけない用途」を設けることの意味——AnthropicのAI倫理と利用制限の全容
AIの利用制限と企業倫理の話。セキュリティの観点からも読める解説記事。
0 件のコメント:
新しいコメントは書き込めません。