〜効果の測定　解説〜

　ISO27001では、BS7799-2：02と比較してISMSの効果の測定について随分強調されました。

　とはいえ、事が品質マネジメントシステムならばいくらか不良品が生成するのはやむを得ないので、不良率が低減すれば効果があるだろうとか言えます。しかし、１件でも事故・事件が起きて欲しくないISMSでは、その効果の測定はどうすれば良いのかなかなか難しいものです。事故・事件の発生が０件だったとしても、元々０件だったのであれば効果があったのかどうかわかりません。

　IPA（情報処理推進機構）がアメリカ政府文書をもとしたかなりのボリュームの報告書を作ってくれており、当初は世の中でもこれを参考にするのが一般的でした。
　 http://www.ipa.go.jp/security/fy15/development/metrics/documents/metrics_guideline.pdf
　（リンク切れになっていましたら、ご連絡下さい。）

　しかし、ここで紹介されている方法の大部分は「管理策の有効性(効果)の評価方法」というよりはむしろ、「管理策の徹底度の測定方法」と呼ぶべきものです。それに伴う誤解が、世の中に蔓延してしまう結果となりました。

　効果の測定の例として良いのは、「リスク評価で計算された年間被害予想額」とか「弱点の発見から解決までの平均日数」の様に、セキュリティポリシーに対しての効果を測定する様なものです。その様な測定を行うようにして下さい。管理策自体を評価してしまうと、あまり「ＩＳＭＳ自体の効果」を測定する事にならない傾向があります。


例えば、
「社外に情報を持って出ると、車上荒らしの危険があったり、自宅PCで作業してしまう可能性があって危険なので、なるべく社外へ情報を持って出ないようにしたい。原則的に社外への情報持ち出しを禁止して、業務上やむを得ない場合にだけ課長職者以上の承認を得て持ち出しても良い事にしよう。」
という管理策を設けていたとします。

この場合に、「情報の社外への持ち出し時に、承認を得ている率」を測定しても、ほとんど意味がありません。この管理策の目的は、”出来る限り情報を持ち出さない事”であって、”情報を社外に持ち出す場合に手続きを取る事”ではなかったからです。

「社外へ持ち出している情報の月当たり件数」などを測定しなければならないでしょう。これが減っていれば、効果があると判定出来ます。減っていなかった場合は、
　「承認者がメクラ判を押して何でも承認してしまう為、実効が上がっていない。」又は、
　「元々、業務上どうしても必要があって持ち出していたので、この管理策では解決しない。」
のどちらかだという事になり、対応を見直す必要がある事がわかります。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則