＜トラスト（信頼）＞ある企業活動の継続には、情報セキュリティ管理体制の確立が欠かせない。国内においては、ISMS認証を取得する企業が6,000社を超え、現在も増え続けている。情報セキュリティ管理に関する国際規格であるISO/IEC 27001を満たしている組織を認証する仕組みがISMS認証制度だ。さらにISMS認証のアドオン認証であるISMSクラウドセキュリティ認証にも大きな注目が集まっている。

NTTグループのセキュリティのプロフェッショナルを紹介する本連載の第5回に登場するのは、情報セキュリティの国際規格のエキスパートだ。NTTテクノクロスの土屋直子は、ISMSクラウドセキュリティ認証取得のコンサルティング業務の傍ら、ISO/IEC 27000シリーズの国際標準化の舞台で活躍している。

初めて参加する国際会議の会場は、稀にみる白熱した議論で沸いていた。

開催地はニュージーランド・ハミルトン。先住民族マオリの村がかつて多数あったというこの地で、ISMSの国際規格の1つ、ISO/IEC 27002の改定に向けた議論が真っ二つに割れたのだ。

「凄く面白かったです」。NTTテクノクロスの土屋直子は、初の国際会議の会場で興奮していた。

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）は、組織が情報セキュリティを管理するための枠組みだ。そして、このISMSをはじめとする情報セキュリティのための国際規格群がISO/IEC 27000シリーズである。

その1つであるISO/IEC 27002は、ISMS実践のためのベストプラクティスを提供する規範（ガイドライン）。数あるISO/IEC 27000シリーズの中でも「とてもメジャーな規格なので、国内の会議でも、みなさん凄く熱のこもったコメントをたくさん出してきます」と土屋は言う。

国際会議となれば、なおさら議論は沸騰しがちだが、この日はとりわけ特別だった。

真っ二つに意見が割れたのは、ISO/IEC 27002の目次構成をめぐってだった。最終候補に残った2つの案それぞれの支持者間で激しい議論が交わされた末、実施された決選投票での得票数もまったくの同数に。結局、次回の国際会議へと決着は持ち越されることになった。

「今から思えば、片方の案はかなり極端なものだったのですが、もの凄く論理性のある説明で、『確かにその通りだな』と思わせる説得力があったんですよね。国際会議では、各国が自国の案を持ち込み、より多くのコメントが採用されるように英語で説明します。いかに論理的で説得力のある説明が大事か――。国際会議の大変なところであり、非常にやりがいのあるところです」

土屋は、初めての国際会議で、国際標準化の仕事の醍醐味を肌で実感していた。