情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第16回、今回はセキュリティチェックシート/ダッシュボード機能です！

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「セキュリティチェック/ダッシュボード」機能について

セキュリオ「セキュリティチェック/ダッシュボード」機能は、セキュリティに関する質問に回答することで組織の対策状況、不足状況を把握することができる機能です。

また、チェックした結果をダッシュボードで対応事項の優先度などを確認することも可能です。

ISMS観点から見るセキュリティチェック/ダッシュボード機能

セキュリティチェック/ダッシュボード機能は規格のどこに当てはまる？対応できる？

【規格本文】

1. 6.1 リスク及び規格に対処する活動/8.2 情報セキュリティリスクアセスメント/8.3 情報セキュリティリスク対応
   ＜規格要求＞
   リスク及び機会の決定、リスクアセスメント・対策プロセスの策定・実施。
   
   セキュリティチェック機能の設問はISO/IEC27001:2013（JIS Q 27001:2014）の規格に基づいているため、一般的な情報セキュリティリスクへの対応状況に基づいたリスクの分析・対策に活用することが可能です。
   

2. 9.1 監視、測定、分析及び評価
   ＜規格要求＞
   情報セキュリティパフォーマンス及びISMSの有効性の評価。
   
   セキュリティチェック機能自体が要求事項をそのままカバーするものではないですが、例えば毎年セキュリティチェック機能で現在の対応状況をチェックすることでその年の有効性などを確認するなど、有効性評価の一指標として活用できるかもしれません。

セキュリティチェック/ダッシュボード機能を使うメリット

ここまではセキュリティチェック/ダッシュボード機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオのセキュリティチェック/ダッシュボード機能を使うメリットについて考えてみましょう。

1. 一般的なリスク分析ができる
   自分たちでISMSの規格など一般的なセキュリティの基準に取り組めているか確認するのはなかなか手間がかかります。
   その点ではセキュリティチェック機能ではあらかじめ設問が設定されており、また、対策例も記載しているため、自分たちで一から調べたり考えなくても、実情に合わせて回答をするだけで分析活動を行うことが可能です。
   

2. 対策の優先度を整理することができる
   リスク分析と合わせて手間がかかるのは、どの対策から行うべきか整理するするではないでしょうか。
   その点についても回答結果を踏まえてダッシュボード機能から優先度をチェックすることができるので、手間がかからないかもしれません。

まとめ

今回は第16回として「セキュリティチェック/ダッシュボード」機能を取り上げました。

ISMS運用機能そのものではないですが、セキュリティレベルの把握・対策の検討に活用することのできる機能なので、自分たちがどの程度取り組めているのかまず把握したいなどという場合には活用できるかもしれません。