同一フロアで別会社と設備共有する場合、ISMSではどのような境界設定が必要ですか?
20名程度の会社組織でISMSを取得しました。
その組織の同一ビルフロアー内で、組織から独立した4名程度の別会社を立ち上げて、机、ネットワーク、サーバーを共有で使うことになりました。
互いに小さな会社組織で、フロアーも狭いため、パーティションなどを置けません。
このような場合にISMS取得会社側は特に規格の何を根拠に、何をすればよいのでしょう。
同一フロアで別会社とリソースを共有する場合、ISMSの核心である「情報の機密性・完全性・可用性」をどう担保するかが問われます。物理的な仕切り(パーティション)が置けない環境では、「目に見えない境界線」を運用と技術でいかに構築するかがポイントです。
ISO/IEC 27001(2022年版)の管理策を根拠に、具体的な対策を整理します。
1. 物理的・人的境界の定義(管理策 7.2, 7.4, 8.12)
パーティション等の物理的な遮断壁がない場合、「資産の所在」と「人の識別」を明確にする必要があります。
- 視覚的な境界設定:
ラック、観葉植物、あるいは床へのラインテープや立て札などで、自社エリアと別会社エリアの境界を視覚化します。 - 識別管理の徹底:
ストラップの色を変えるなど、一目でどちらの社員か判別できる名札・入館証の着用をルール化します。 - クリアデスク・クリアスクリーンの厳格化:
離席時の画面ロックはもちろん、無人時(夜間・休日)には共有エリアに機密書類やPCを放置せず、必ず自社専用の鍵付きキャビネット等へ格納する運用を徹底します。 - 教育と契約による縛り:
別会社の社員に対しても、自社エリアの資産に触れない等のルールを周知(教育)し、会社間で機密保持契約(NDA)を締結します。
2. 技術的境界:ネットワークとサーバーの共有(管理策 8.8, 8.20, 8.21)
最もリスクが高いのが、インフラの共有です。ここを疎かにすると、審査において「管理外のアクセス」を指摘される可能性が高くなります。
- ネットワークの論理分離:
ルーターやスイッチのVLAN機能を用いて、自社と別会社のネットワークを論理的に分離します。これにより、同一回線でも互いの端末が見えない状態を作ります。 - アクセス制御の再定義:
共有サーバーを利用する場合、フォルダ単位でのアクセス権限設定を厳格に行います。自社専用フォルダには、別会社のユーザーIDでは物理的にアクセスできない設定が必須です。 - ログの監視:
共有リソースへのアクセスログを定期的に確認し、不正なアクセス試行がないか監視する体制を整えます。
3. 組織的境界:供給者関係としての管理(管理策 5.19, 5.21)
別会社からネットワークやサーバーの提供を受ける(あるいは提供する)形になるため、これは単なる「共有」ではなく「外部供給者からのサービス提供」とみなされます。
- 供給者管理の適用:
管理策「5.19 供給者関係における情報セキュリティ」に基づき、インフラの共有に関する合意事項(SLA等)を文書化します。 - 責任分界点の明確化:
障害発生時の対応窓口や、バックアップの責任がどちらにあるのかを「責任分界点」として明確にし、ISMSの「供給者管理台帳」に記載します。
4. 根拠となる規格項目
審査対応時には、以下の項目を根拠として対策を説明してください。
| 分類 | 関連管理策(ISO 27001:2022) | 実施の目的 |
|---|---|---|
| 物理 | 7.2 物理的なセキュリティ境界 | パーティションに代わる視覚的・運用的境界の正当化 |
| 技術 | 8.20 ネットワークのセキュリティ | 同一インフラ内での論理的隔離(VLAN等) |
| 技術 | 8.3 アクセス制御 | 共有サーバー内での権限分離の徹底 |
| 組織 | 5.19 供給者関係における情報セキュリティ | 共有環境における会社間の責任と合意の明確化 |
まとめ:有用性向上のアドバイス
小規模組織でリソースを共有することは、効率化の観点から合理的です。ISMSは「禁止」するものではなく、「リスクを特定し、許容範囲に収める」ための枠組みです。
弊社サポートブログの「同じフロアでグループ会社があるとき」でも解説している通り、「誰が、どの資産に、どのような権限で触れるのか」をマトリクス化し、それを契約と設定で裏付けることが、審査員の満足度を高める最短ルートとなります。
まずは、会社間での「インフラ利用合意書」の作成と、ネットワークのVLAN設定から着手されることをお勧めいたします。
