確実性、継続性のある情報セキュリティ管理体制へ!
1. 課題: ISMS事務局の依頼漏れ
ISMS(情報セキュリティマネジメントシステム)を運用する企業では、情報セキュリティの維持・改善のために、様々な取り組みが行われます。これらの取り組みの多くは、ISMS 事務局から社内関係者への依頼から始まります。
従業員200名の◯◯出版社では、ISMS の一環として、年に2回、全システム(クラウドサービス含む)のアカウント状況を確認する業務が実施されています。本業務は、退職者のアカウントが削除されずに残っている、異動者のアカウントが以前の部署の権限をそのまま保持しているなど、アカウントに関する問題を早期に発見するために重要です。
しかし、対象となるシステムの数が増え(2023年度末時点50超)、事務局がシステム管理者に確認を依頼する際に依頼漏れが増えてきているという問題が生じています。
2. 解決策: 依頼タスクの自動割当
プロセスオーナーは、Google カレンダーに登録された各システムごとの予定をきっかけに、プロセスが自動開始する仕組みを組み込みます。
Before:
以下のプロセスを、対象システム(50超)に対して繰り返します。
- ISMS 事務局が確認プロセスを開始し、「アカウント状況確認依頼」工程で “システム名称” “システム管理者” を入力します。
- 指定されたシステム管理者は「アカウント状況の報告」工程で、対象システムのアカウント状況を確認し、結果を入力します。
- ISMS 事務局は「報告内容の確認」工程で、報告を確認します。
After:
予め Google カレンダーには、アカウント確認のプロセスがスタートされる予定が登録されています。予定タイトルには、対象システム名とシステム管理者のメールアドレスが入力されています。以下のプロセスが、予定数(=システム数と同じ50超)分繰り返されます。
- Google カレンダーに登録されている予定の日時になると、自動的にプロセスが開始します。
- 「x.システム名、担当者セット」工程で予定タイトルに入力されていた、システム名とシステム管理者メールアドレスが取得されます。
- システム管理者のメールアドレスを元に、該当するシステム管理者に「2.アカウント確認結果報告」工程が割り当てられます。
- システム管理者は「アカウント状況の報告」工程で、対象システムのアカウント状況を確認し、結果を入力します。
- ISMS 事務局は「報告内容の確認」工程で、報告を確認します。
- 確認後、「y.次回確認日カレンダー登録」工程で、次回(半年後)のプロセス開始の予定が Google カレンダーに自動登録されます。予定のタイトルに対象システム名とシステム管理者のメールアドレスが入力されます。
3.効果
- 確実性の向上
- カレンダーに登録された予定数(=対象システム数)のプロセスが確実にスタートします。
- 手作業での依頼時に発生していた “漏れ” が解消されます。
- 継続性の保証
- それぞれのシステムについてアカウント登録状況の確認が終わると、次回の確認日が自動的にカレンダーに登録されます。
- 情報セキュリティ管理が持続的に改善される基盤が築かれます。
- ISMS事務局のスリム化
- 手作業でのシステム管理者への依頼業務がなくなります。
- 事務局メンバは、本来の業務であるISMS全体の統括や運用に集中できるようになります。
4. 他業務での応用
例えば以下の業務で Google カレンダーの予定をトリガーに業務がスタートするようにします。
- 個別無料相談の報告業務(予定: 個別無料相談の予約日時)
- セミナー・イベント準備業務(予定: セミナー・イベントの準備開始日時)
- サービス利用状況の確認業務(予定: 重要顧客の定期確認日時)
