外部専門会社の確立されたプログラムを利用

ISMS認証基準では、リスクアセスメントの実施やその評価、それに基づく詳細管理策の選択を記した適用宣言書の作成等を規程している。これらの作業は、専門的知識と経験を多分に要するため、職員自らが一からがんばるには荷が重すぎるし、時間の割に進まないであろう。 そのような部分は、素直に外部の専門会社に支援を依頼するのが、早道である。埼玉県では2004年7月から（株）アイネスにコンサルティングを依頼した。 リスク分析の手法等は、アイネスで構築されたプログラムを活用し、資産の洗い出し、ギャップ評価、適用宣言書の作成という過程を3～4ヶ月で進めることができた。 それでも、これらの作業は当初の予定以上に月日を費やしたと担当者は語る。それは、利用しようとしたプログラムが主に民間部門をベースに培われたものだったため、そのまま官公庁にあてはめることができず、その調整に時間を食われてしまったからだ、とのことである。 そうして、2004年11月からISMS運用が開始された。

住基ネットシステム自体が備えているセキュリティ対策を利用

住基ネットはその性格上、当初から相当なセキュリティの強度を備えた上で、運用されている。その意味では、もともとセキュリティのレベルが他のシステムや業務に比べ高く、慎重な対応がなされていた。　具体的には、住基ネット全体の仕様要件に沿って、管理区域の明確化、ICカードや鍵の利用、入退室管理、アクセス制御等が実施されている。つまり、物理的対策、技術的対策、人的対策等が適切に施され、運用されている状態であった。 今回のISMS構築を待つまでもなく、それ以前からセキュリティマネジメントが十分なレベルで動いていたのである。よって、現状のものがそのままISMS構築において利用できた。 新たにいろいろな管理策を追加する必要もなく、問題視される部分も少なく、この面では内部で培われたノウハウを最大限利用できたので、むしろ、スケジュール短縮に寄与できたと言える。

内部監査で準備を万全に

内部監査は情報政策課のセキュリティ担当によって、予備審査の約3週間前になる2005年12月2日に実施された。すでにISMS認証基準が掲げた詳細管理策のうちで、無線LANなど該当がないものは除外しているので、該当するすべての管理策に関して、もれなく実施・実装状況を調査した。
　そして、ISMS二次審査（実地審査）前の2005年2月には、12月の内部監査のフォローアップ監査を実施した。これが、実質的に目前に控えた審査のための最終点検となることから、できていない箇所については、厳しく指導した。
　その結果、3月初旬の二次審査を無事クリアし、ISMS認証取得に至った。

振り返ればギリギリのスケジュール

自治体（官公庁）の場合、予算は年度単位である。ゆえに、仕事も年度単位で完結させなくてはならない。最終的にはそのデッドラインこそが、皆の力をより一層結集させることにつながったのであろう。何はともあれ、年度末まであと数日に迫った3月25日、見事、ISMS認証取得に至った。　次回（最終回）は、ISMS運用の過程で取り入れられた独自の実施方式や、今後の課題・方向性を記す。