面接管「それでは、我が社を志望した動機はなんですか?」
志望者「動機ですか?この御社の入社案内を見たときに、激しい胸のトキメキ
を感じたからです。」
面接管「では、家族構成を教えて下さい。」
志望者「ええっと、威厳があるわりに万年ヒラ社員の父
小学生の子供を持つとは思えない程、老け込んだ母
たまに殺意を憶える計算高い弟、
パンチラ露出狂の要素をもった妹
家族全員の尻に敷かれた夫
語尾に必ずDeath(死)を付ける不吉な息子
そして、いつまで経っても声優のわからないペットです」
面接管「それは、サザエさんの家族構成でしょ、
私が聞いているのは、アナタの家族構成です。」
志望者「忘れました。」
面接管「我が社の社訓をご存じですか?」
志望者「『濡れ手に粟』です」
面接管「それは正解です、ちなみに我が社は今、ISMSの取得を
目指していますがISMSとはなんだか知っていますか?」
志望者「ISMSとは、インフォメーションセキュリティマネージメントシステム
の略で、和訳すると『情報セキュリティマネジメントシステム』
になります。いわゆる会社がセキュリティ対策について
ある一定の基準を満たしている事を証明する、
会社単位に承認される資格の様なものです。」
面接管「大筋で、正解です。ちなみに我が社のISMSの取得は、この私が
中心となって行っているのです、スゴイでしょう。
まあ、せっかくですから、ISMSについてもう少し
詳しく解説して下さい。」
志望者「はい、JIPDECの定義によれば、ISMSとは『個別の問題毎の
技術対策の他に、組織のマネジメントとして、自らのリスク評価
により必要なセキュリティレベルを決め、プランを持ち、資源配分
して、システムを運用すること』になります。
ISMSとは、そもそもは企業レベルで情報システムをどのように
運営していくかを決めたマニュアルでした。しかし、現在では
『認証を希望する事業者』の適合性を評価するための認証基準と
いう意味合いになっています。
ISMSの認証取得を希望する企業は、JIPDECの認定した審査登録機関に
申請を行い、ISMSに基づく審査を行います。
その結果報告を受けて、JIPDECが事業者を認証済み事業者として
登録すると言う流れになっているのです。
近年では、不正アクセスやコンピュータウイルス、情報漏洩などに
関する事件の多発から、企業の情報管理に対する関心が急速に
高まっており、ここ数年で、ISM(情報セキュリティ
マネジメントシステム)の認証を取得する企業が増えてきています。」
面接管「ISMSの歴史的背景について説明して下さい」
志望者「はい、1999年にイギリス規格協会(BSI)がISMSの標準規格として
『BS7799』を策定し、翌2000年、実践規範である『BS7799 Part 1』
が国際標準化機構(ISO)によって『ISO/IEC 17799』として
国際標準化されました。さらに日本国内では同規格に沿った
ガイドラインが2002年に「JIS X 5080」として標準化されています。
これを受けて、日本では、財団法人 日本情報処理開発協会(JIPDEC)
が企業のISMSがISO/IEC 17799に準拠していることを認証する
『ISMS適合性評価制度』を運用する様になりました。」
面接管「組織が保護する必要がある情報資産について説明して下さい」
志望者「組織が保護する必要がある情報資産について、『機密性、完全性、可用性』
のバランスを保ちながら、改善していくことがISMSでは大切です。
機密性・完全性・可用性とは、JIPDECは以下のように説明しています。
機密性:アクセスを認可された者だけが、情報にアクセスできることを
確実にすること。
完全性:情報および処理方法が正確であること及び完全であることを
保護すること。
可用性:認可された利用者が、必要なときに、情報及び関連する資産に
アクセスできることを確実にすること。」
面接管「ISMSの目指すべきものについて説明して下さい」
志望者「ISMSは、情報セキュリティポリシーを遵守することが最終的な目的
ではなく、そのポリシーを基にPDCA(Plan、Do、Check、Act)の
サイクルを継続的にまわすことで、情報セキュリティレベルの更なる
向上を目指す事になっています。
Plan: 情報セキュリティ対策について具体的な計画やポリシーを策定する。
↓
Do: Plan(計画)に基づいて対策の実施・運用を行う。
↓
Check: 実施した結果の監査を行う。
↓
Act: 経営陣による見直しを行い、改善する。
↓
以下、PDCAサイクルを繰り返し、情報セキュリティの継続的強化を確立する。
面接管「ISMSの適用順序について解説して下さい」
志望者「はい、ISMSの適用順序である、マネジメント枠組みは、
STEP1:情報セキュリティポリシーを策定する
STEP2:その中でISMSの適用範囲を定義する
STEP3:STEP1に基づきリスクアセスメント(評価)を実施する
STEP4:マネジメント枠組みのもとで管理するリスクを決定する
STEP5:最適なリスク評価に基づき、実施すべき管理策を選択する
STEP6:適用宣言書を作成し選択した管理策を公表する
以上の6段階構成になっています。」
面接管「アナタどうして、ISMSの事だけは完璧に知っているのですか?」
志望者「はい、聖ミカエルが堕天使ルシファーが夢枕に立って、ISMSの
重要性について懇々と論戦を繰り広げてれたからです。」
面接管「ずいぶんぶっ飛んだ夢を見るのですね。
アナタは我が社に入ったら、何をしたいですか」
志望者「社員食堂のお得さと、安月給のやるせなさを思う存分堪能したいです。」
面接管「やたら後ろ向きの志望理由なのですね、
アナタは何か資格をお持ちですか」
志望者「はい、福祉住環境コーディネータ、ケアマネージャ、言語療法士
管理栄養士、社会福祉士などを取得しています。」
面接管「スゴイ資格ばかりであることは認めますが、
どう考えても、介護系だらけで、明らかに畑違いですね、
我が社がIT系の企業だと言うことを知っていますか?」
志望者「いいえ、今知りました」
面接管「じゃあ、どうして我が社を受けたのですか!?」
志望者「だから、動機は激しい動悸を感じたからだって言ってるじゃないですか」
面接管「ダジャレで応募したのですか!」
志望者「悪いですか?」
面接管「悪くはありませんが、もう少し真剣な理由で応募して下さい!」
志望者「しかし、御社の『山田丸出しネット』という社名も
ふざけているとしか思えませんが?」
面接管「うるさい!それは山田社長のお気に入りのキャバクラ嬢が付けたんだ!
私は知らん!」
志望者「セキュリティ専門の会社なのに、その社名はマズイと思った事は
ないんですか?」
面接管「…イヤ、そうなんだけど、まあ、別に俺としちゃ給料をもらえれば
顧客情報丸出しにしようが、社内でウイルスの培養をしていようが
知った事じゃないよ」
志望者「へえ、社内ではそんな事が?」
面接管「ああ、個人情報はダダ漏れ、誰もお互いを見て見ぬ振りさ」
志望者「社員のアナタがそんな心意気では、ISMSの取得は到底おぼつかない
のではないですかね?セキュリティの第一歩は、まず社員の
意識改革からですよ」
面接管「うるさいぞ!我が社にお情けで受験させてもらっている立場の分際で
偉そうに批判するな!お前は不合格だ!さっさと帰れ!」
志望者「いいでしょう…では帰りますが、御社『山田丸出しネット』は
ISMSの認定は不許可と言うことにさせて頂きます。」
面接管「…はあ?」
志望者「まだ気づかないんですか、私はISMSの審査官ですよ、
アナタの会社の内情を調べる為に、入社志望者のフリをして
抜き打ちのテスト面接をさせて頂いていたんです。」
面接管「…そ、そんなあ」
志望者「問答無用、これで面接を終わります。」
面接管「ふ、不合格にしないで…」
*実際のISMS監査ではこのような妖しげな手口は行われない様です(笑)