■管理策の有効性を測定していますか
ISMS情報セキュリティマネジメントシステム国際規格ISO/IEC27001では、管理策の有効性をどのように測定するかを定義するよう組織に求めています。全ての管理策について有効性測定せよとも言っていませんし、どのような測定方法を取れとも言っていません。その結果、ISMSの認証取得企業の多くでは有効性測定はルール遵守の状況についてアンケート調査する程度にとどまっているのが実状ではないでしょうか。

■締めたネジは必ず緩む
どれほどきつく締めたネジでも時間をかけて必ず緩んでいきます。人の警戒心も時間がたてばすぐに緩んでしまいます。情報セキュリティでは脅威側の変化や高度化が日々起きていることから、これで安心という管理策は存在しないのが現実です。さらに困ったことに、管理策を講じた時点では考えもしなかった新たなリスクも生まれてきます。安定して稼働していた既存のセキュリティツールが新規に導入されたハードウェアやソフトウェアとの相性が悪く不安定になったり、体制変更や業務の多忙化によって担当者の意識やスキルが低下してしまったりといったことも珍しいことではありません。

■実は恐ろしい有効性の低下
皮肉にもISMSに取り組んでいる組織ほど潜在リスクが高くなってしまうことがあります、うちはきちんとISMS取り組んでいるのだからと経営陣が安心し、セキュリティホールを放置させてしまうからです。アンケート調査でセキュリティ意識が低くなったことが判明したからといって、教育実施したとてもマンネリ化した講義を毎年受けさせられている社員のセキュリティ意識は高くならないでしょう。標的型メール訓練にしても何度もやっていればテスト自体に慣れてくる一方で、目的意識が下がっていくかもしれません。

■情報セキュリティだけにとどまらない有効性測定の重要性
有効性測定の重要性は情報セキュリティだけにとどまりません。品質保証にしても環境マネジメントにしても、コンプライアンスや内部統制にしても、最初に導入した管理策がずっと有効性を保つことなどあり得ません。やっている、できていると思っていた取り組みが実はずっと前から効力を失っていたということも少なくないのです。手間がかかるからといって敬遠されがちな有効性測定こそ、組織の健全性を担保するための不可欠な活動です。
　有効性測定によって組織の健康状態を定期的にチェックすることは大変重要なことなのです。