ISMS 取得後 3 ヶ月で起きやすい業務システム運用ギャップと記録要件

1. アクセスログの 「取得しているけど見ていない」 状態

認証時には 「ログを取得している」 ことが確認されますが、運用フェーズで 「見ていない」 状態になっているケースが多いです。

業務システム側で月次・週次でアクセスログのサマリを管理者にメール送付する、異常ログイン・特権操作・大量参照のアラートを自動化する、といった運用に組み込まれた仕組みを持っていないと、再認証・サーベイランス審査で指摘されます。

2. 委託先評価が業務システム外に散逸する

委託先評価が Excel・スプレッドシート・Google Drive の散らばった共有フォルダで管理されていると、評価期限・契約更新時期・AOC 取得状況がメンテされない状態になります。

業務システム上に委託先マスタを持ち、評価期限・契約更新・委託範囲・年次評価結果を 1 ヶ所で管理できる管理画面を整備すると、運用が崩れにくくなります。

3. 情報資産台帳の自動更新が止まる

認証時には情報資産台帳が用意されていても、新規システム・新規 SaaS・新規データソースの追加に台帳の更新が追いつかなくなることがほとんどです。

新規 SaaS 契約フロー・新規システム導入フローを業務システムの申請・承認画面に組み込み、承認時に情報資産台帳へ自動で項目追加されるようにすると、棚卸しの抜けを大幅に減らせます。

4. 教育記録・訓練記録の更新漏れ

情報セキュリティ教育・標的型攻撃メール訓練・入退社時手続きなど、年次・四半期次で更新される記録は、業務システム外で管理すると更新漏れが発生します。

業務システム上に教育・訓練の予定マスタと実施記録を持ち、対象者・実施日・完了状況を管理者画面で一目で確認できるようにすると、サーベイランス審査前のバタつきが減ります。

5. インシデント対応の記録が個別 Slack/メールに残る

インシデント発生時の対応記録は Slack スレッドや個別メールに残ることが多いですが、これでは事後のレビュー・再発防止策の追跡ができません。

業務システム上にインシデント管理画面を持ち、発生・検知・対応・収束・再発防止・レビューを記録できる構造にすると、年次のマネジメントレビューでの集計がはるかに楽になります。

6. アクセス権限の棚卸しが年 1 回のみ

アクセス権限の棚卸しは年 1 回が最低限ですが、これだと年度途中の異動・退職・委託先変更が漏れがちです。

業務システム上で四半期次に部署別・ロール別の権限一覧を自動生成し、管理者が確認・承認する運用フローを組み込むと、運用ギャップを大幅に減らせます。これが構造化されていると、サーベイランス審査時の指摘もほぼゼロになります。