ISMS

ISMS
読み: アイエスエムエス

読み: アイエスエムエス

ISMSとは情報を守る管理体制

ISMSはInformation Security Management Systemの略称で、組織の情報資産を守るための管理体制を体系的に構築・運用・改善する仕組みである。国際規格ISO/IEC 27001が認証基準を定めており、取得企業は第三者機関による審査を通過している。

かんたんに言うと

会社の情報を守るためのルールブックと、それが実際に機能しているかを定期的にチェックする仕組みのことである。認証を取れば「うちはちゃんとやっています」と対外的に示せる。

93の管理策と審査で情報資産を守るISMSの認証枠組み

ISMSの国際規格であるISO/IEC 27001は、情報セキュリティに関する93の管理策を付属書Aとして定めている。2022年の改訂で従来の114管理策から再編され、組織的管理策、人的管理策、物理的管理策、技術的管理策の4カテゴリに整理された。
認証を取得するには、審査機関による二段階の審査を受ける必要がある。ステージ1で文書体系を確認し、ステージ2で実際の運用状況を現地で検証する。取得後も年1回のサーベイランス審査と3年ごとの再認証審査が求められる。
つまり「一度取ったら終わり」ではない。継続的に回し続けなければ認証は維持できない。

PDCAサイクルによる継続的改善の進め方

ISMSの根幹にあるのはPDCAサイクルである。Plan(計画)でリスクを洗い出し、Do(実行)で管理策を導入し、Check(点検)で有効性を測定し、Act(改善)で不足を補う。
実際の現場では、このサイクルがきれいに回ることはまずない。年に一度の内部監査でようやく問題が表面化し、慌てて是正処置を打つケースが多い。
とはいえ、この仕組み自体に意味がある。何も回さなければ問題は永遠に放置される。年に一度でも棚卸しが強制されるだけで、情報管理の質は確実に底上げされる。

<a href="/ai-glossary/risk-assessment/">リスクアセスメント</a>の実務と落とし穴

ISMSで最も手間がかかるのがリスクアセスメントである。情報資産の洗い出しから始まり、脅威と脆弱性の特定、リスク値の算定、対応策の決定まで一連の作業が求められる。
ありがちな失敗は、Excelのリスク台帳を作ることが目的化してしまうケースである。数百行のリスク一覧を埋めることに疲弊し、肝心のリスク対応が後回しになる。
審査員が見ているのは台帳の行数ではなく、特定したリスクに対して組織が実際にどう手を打ったかという証跡である。形式より実質が問われる。

AI時代のISMS運用で変わること

LLMクラウドAIサービスの普及により、ISMSが対象とする情報資産の範囲は急速に広がっている。社員が業務でプロンプトに社内情報を入力すれば、それは外部サービスへのデータ送信にあたる。
シャドーAIの問題も深刻になっている。IT部門が把握していないAIツールを現場が勝手に使い始めるケースは珍しくない。従来のISMSの管理策では、こうしたAI固有のリスクを十分にカバーできない場面が出てきている。
ISO/IEC 42001というAIマネジメントシステムの規格が2023年に発行されており、ISMSと組み合わせて運用する企業も増え始めている。

認証取得を検討する際の現実的な判断軸

ISMS認証の取得には、コンサルティング費用、審査費用、社内工数を合わせると数百万円規模のコストがかかる。中小企業にとっては軽い投資ではない。
取得の動機として多いのは取引先からの要請である。特に官公庁案件や金融機関との取引では、ISMS認証が入札要件に含まれることがある。「あると便利」ではなく「ないと仕事が取れない」という状況で取得に動く企業が大半である。
逆に、取引要件になっていないなら、認証取得より先にデータガバナンスの実態を整備するほうが優先度は高い。認証は看板であり、中身が伴わなければ審査で指摘を受け続けるだけである。

当社の見解

当社はAIの安全運用のために3層防御を設計・実装している。万が一インシデントが発生しても数分以内に復旧できるバックアップ体制を持つ。実際にAIが暴走してテスト環境を停止させた経験があり、その教訓から「失敗を防ぐ」だけでなく「失敗しても戻せる」設計が本質だと確信している。加えて、AIは事実でないことを断定する。この前提で事実/推測の強制分離とファクトチェックを実装した。安全性は仕組みで担保するものだ。

関連用語

情報セキュリティポリシーデータガバナンスリスクアセスメントCTISO/IEC

同じ失敗を二度としないAIエージェント

今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。

当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。

古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。

相談する