😊

CastingONE開発部でISMSを取りにいった話

2024/06/13に公開

あいさつ


株式会社CastingONEでコーポレートIT部、いわゆる情シスをやっております平向と申します。
飼っている猫が毛をばら撒く季節がやってきました。いい感じの空気清浄機を探しています。

はじめに


株式会社CastingONEの開発組織は、5月24日にセキュリティへの取り組みの一環として、
ISO/IEC27001:2022の認証(登録証番号:JQA-IM2103)を取得いたしました。

これは通称としてISMSと呼ばれるものです。
当社では以前よりプライバシーマークを取得していましたが、今回新たに認証を取得したことで、組織としてセキュリティの強化ができたと考えています。

ここでは認証取得で得られるメリットや、学びをシェアできればと思います。

ISMSとは


まずは、ISMSとは何かという基本から。

ISMSの目的

ISMSはInformation Security Management Systemという言葉の略称です。
その目的は言葉が示す通り、情報を管理下におくことで情報の漏洩、不正アクセス、改ざん、紛失などのリスクを最小限に抑えることにあります。
この目的がすなわちメリットになります。

なぜISMSなのか

ISMSは、ISO/IEC 27001といった国際標準規格に基づいて評価します。
この規格に準拠することで、世界中の企業や組織と同じ水準でセキュリティを構築できるという考え方です。

私たちがISMSを選んだ理由の一つは、組織として情報がどれだけマネジメントできているかを、確立されたフレームワークで評価したいと考えたためです。
このフレームワークを用いることで、セキュリティ管理の穴を見つけ、組織全体のセキュリティレベルを向上させることができます。

もう一点の理由は、外部の認証機関の審査を経ることで組織の情報セキュリティについて一定の説得力を持たせることができる点です。

他の案として、SoC2も認証取得の候補に上がりましたが、こちらは提供するサービス内の脆弱性やリスクを管理することが主となります。
もちろんこちらも優れたフレームワークですが、まず組織全体として「情報の取り扱い」に関する強化を先に行うべきであろうとISMSを選択しました。

推進について


どう整備していったか
ISMSを整備する過程では、SecureNaviというサービスを利用しました。
SecureNaviは、リスクアセスメント、法規制の管理、文書管理などを一元的に行えるISMSの運用を効率化するクラウドサービスです。

まずコンサルタントの利用も検討しましたが、セキュリティ規格の運用は、実際運用するとなるとスプレッドシートの管理や情報の取り扱いなど年々蓄積し複雑になっていきます。
ここが以前より課題に感じていました。
(文書などは特に運用経験者でなければ、どれが最新かわからないとかあるあるですよね。。。)

そのため、運用の手順や文書管理も含めてまるごとパッケージされているサービスを利用した方がのちのち助かると判断してSecurenNaviを導入しました。

いまでもこの判断は正解だったなと感じています。
多くの場合苦慮するリスクアセスメントも、情報を取り扱うサプライヤーを登録することで一般的に効果的とされる対応が自動的に提示されます。
そこに提示された内容を取捨選択、時にはカスタムし、提示されたリスク対策を実施することで迷うことなく進んでいけました。

個人的に嬉しかった機能は法規制管理機能で、自社に関連する法規のアップデートやそのアップデートの差分がわかる機能です。

注意

SecureNaviは比較的新しいサービスのため注意が必要です。
SecureNaviを利用しての審査を行ったことのない審査員の場合システムの有効性自体を問われる可能性もあるようです。

そういったことのないよう審査機関へ事前に問い合わせや用意を行っておきましょう。

今後の課題

継続的な改善

PDCAサイクルを回し続けることも一苦労です。計画を立てるだけでなく、実際に実行し、その効果を評価して改善するというプロセスを継続的に行うためには、組織全体の協力が不可欠です。

また、評価するための運用を共有知とすることなども行う必要があり、このあたりは今後も課題になっていきます。

まとめ


昨今では攻撃手段も多種多様で進化著しく、情報セキュリティについて意識しないで済む世界ではなくなってきたように感じています。

そのため、CastingONEでは組織として認識を共有し、皆でセキュリティについて考えられる文化を目指していきたいと考えています。
今回はその一つとして、ISMSを通じて線路を敷きました。

というのも、情報セキュリティは単なるIT部門だけの課題ではなく、全社員が関与すべき重要な課題であるためです。
捉え違いがおこっては、会社全体としてのセキュリティはなかなか向上していきません。
目線を合わせて業務を取り組んでいく、その枠組みを明示することできて嬉しく感じています。

この投稿を通じて、「組織のセキュリティを任されたが何から着手すればいいだろう」と悩まれている情報システム担当者の方の一助になれば幸いです。

おわりに


CastingONEではいっしょに働いてくれるエンジニアを募集中です。社員でもフリーランスでも大歓迎なので、ご気軽にご連絡ください!

https://www.wantedly.com/projects/1130967
https://www.wantedly.com/projects/768663

Discussion