はじめに
ISMSの運用の悩みは色々ありますが、情報の整理が難しいというのはどの組織でも課題なのかなと思っています。無限に増える文書、版管理が怪しい謎のエクセルファイル、行方不明のファイルなど。ここらへんがもっと楽に、ISMSに関わる全ての人が情報にアクセスできたらいいよなーという思いから、OpenISMSの開発をしました。
https://github.com/Miyu-dev/OpenISMS
ISMSはもっと身近になるべき
OpenISMSは、ISMSの認証を取得するためという観点でのアプリケーションではなく、誰もがISMSを運用でき、健全な情報セキュリティ施策を行えるようにするためのヘルパーとして開発しました。組織で導入しているソフトウェア1つにとっても、さまざまなリスクがありリスク対応が必要と思われますが、実際にはそうしたリスクの洗い出しや対応策の検討が十分に行われていないケースが多いのが現状です。
例えば、新しいSaaSを導入する際、機能や価格は詳細に検討されるものの、そのツールがどこにデータを保存するのか、どのような暗号化が施されているのか、障害時の復旧手順はどうなっているのかといったセキュリティ面での検討は後回しにされがちです。また、従業員のアカウント管理や権限設定、退職時のアクセス削除といった運用面でのリスクも見落とされることが少なくありません。
こうした「小さなリスク」の積み重ねが、結果として組織全体の情報セキュリティレベルを下げ、思わぬインシデントにつながる可能性があります。OpenISMSでは、このような日常的なIT運用の中に潜むリスクを体系的に整理し、対応できるよう支援します。専門的な知識がないユーザでも、考えられるリスクを自主的に洗い出し、自組織の規模や業務内容に応じた現実的な対応策を検討頂く一連のフローを組み込んでいるため、無理のない範囲で着実にセキュリティレベルを向上させることができると思います。
アプリケーション概要
OpenISMSは、可能な限りISO/IEC 27001:2022の要求事項を満たすような機能を実装しています(前述しておりますが、認証取得を目指したアプリケーションではないのでご留意ください)。
簡易デモは以下でご覧いただけます。※各ボタン等は機能しません
https://openisms-demo.sakatsuki.com/
基本的には、サイドメニューだけで「やらなければいけないこと・やるべきこと」がわかるようにしています(現在、内部監査機能が不足しています)。
情報システム・セキュリティ担当者の運用負荷軽減のため、シングルサインオンの設定も可能としています。JITにも対応しておりユーザはIdPからログインすることでユーザ登録も完了できるようにしています。SaaSとして直接提供しているものではありませんので、サービスプロバイダの皆様で証明書の設定等が必要にはなります。
AI主導開発の実践
このプロジェクトは、99.9%がAIで書かれたコードになり、ほぼ人間の手が介在していません(このブログは人間が書いていますw)。そもそも、私が開発未経験なのでコードを書くことができないためです。自分自身のAIの使い方や最新情報をキャッチアップするためでもあり、どこまで作りたいものが作れるものか?を試す絶好の機会でした。80%ほどがGemini(Canvas)、残りがKiroのVibe Codingになります。
バックエンド・フロントエンド技術の選定、開発環境の構築、バグ修正などを含めて完全にゼロベースでスタートさせていますが、なんとか形になりました。Git管理だけ手動でコミットさせていました。
これを機会に、ローカルLLMを動かしてみたり画像生成してみたりと寄り道がありましたが薄っぺらく理解が進んだように感じています。
実際の使用感
正直なところ「使えなくはない」的な感じです。機能としては最低限揃えられているかなと思います。ただ、情報セキュリティを担保するためのアプリケーションなのに、アプリケーション自体のセキュリティ部分が怪しいというのは致命的です。専門家ではないのでセキュリティ観点でAIにレビューさせていますが、それが正しいかどうかは自分では判断できないためです。
今後の展望
特に考えられていません。使うに値するかを第三者に評価して頂かないと何とも言えないですね。