About ME
生まれたて0歳ベンチャーで、コーポレート何でも屋さんをしている相澤です。
法人営業から事業開発を経て、前職で情シスの立ち上げを経験。まだまだ情シス2年生。
気がついたら何でも屋になっているのは情シスあるあるだと思いますが、私は何でも屋が情シスに収まったパターンです笑
はじめに
今回は、本創業1ヶ月でISMS / SOC2Type1を取得した話です。
プレスリリースはこちら👇
設立(法人登記)は本創業より前ですが、設立日起算でも半年とちょっと。
明らかに早いタイミングで取得した背景や、これから取得する方に伝えたいことをご紹介します💁♂️
ISMSってなに? / SOC2ってなに?
ISMSとは
ChatGPT曰く、
ISMS(情報セキュリティマネジメントシステム)とは、
組織の情報資産を守るための管理体制や仕組みのことです。
国際規格ISO/IEC 27001に基づき、リスクに応じたセキュリティ対策を継続的に改善していきます。
メリットとしては、情報漏洩リスクの低減、取引先からの信頼向上、法令遵守の強化などが挙げられます。
要するに、「会社で情報統制しっかりやっているよ」の国際規格です。
SOC2とは
ChatGPT曰く、
SOC2(Service Organization Control 2)とは、
クラウドサービスなどを提供する企業の内部統制が適切かどうかを第三者が監査・報告する仕組みです。
セキュリティ・可用性・機密性などの観点で評価されます。
メリットとしては、顧客や取引先に対して信頼性を証明でき、ビジネスの競争力向上にもつながります。
要するに、「信頼性の高いSaaSを提供していますよ」の国際規格です。
弊社は国内外にサービス提供いているSaaS企業なので、
「会社としても、製品も、適切に管理・内部統制されていますよ」の証明として取得しました。
⚠️昨今、セキュリティ・内部統制は最重要ですので⚠️
どうやって取得する? コンサル/外注? ツール?
今回、ISMS・SOC2ともに、ツール活用で認証取得しました。
具体的には、
ISMS:SecureNavi
SOC2:Vanta
にお世話になりました🙏
※紹介報酬などは受け取っていないので、気になる方には率直な感想もお伝えしますw
自社のリソースにもよるものの、ざっくりこんなイメージ
▼コンサル/外注
・丸っと任せられる
・外部の方なので、社内事情共有工数が意外とかかる
・社内規定の確認やデータの保管場所など、社内人員への確認が多く発生する
・コストは高め
・社内事情をキャッチアップしてもらう工数もかかる
▼ツール
・基本社内リソースでの対応
・担当者によっては、社内の土地勘(情報)があるので、スムーズに準備が進む
・外注・コンサルよりはコストが低い
・ツール代+人件費
ちなみに参考までに、
弊社が見積を取った際には「コンサル/外注」「ツール」で大体5倍の費用差がありました💦
(厳密には社内人員の稼働工数も掛かるので、もう少し差は縮まりますが・・・)
ツールの良し悪し、気になりますよね・・・?
取得を検討している方には、率直な使用感を共有させていただきます!
(回し者ではないので、「悪し」も含めて・・・w)
特にSOC2のVantaは英語のツールなのですが、
日本語サポートしてくださる会社の助けもあってスムーズに進んだので、そちらもオススメさせていただきます👍
▼連絡先
X:https://x.com/aizawa_283
今後の取り組み
時代の流れに沿って、今回の認証取得に留まらず、より統制を強化していきます。
(クラウドセキュリティ(ISO27017)とか、SOC2Type2とか、ゼロトラストとか・・・頑張ろう。)
Next→
近いうちに大型イベントに出展する予定で、私が主担当で進めているのでレポを書こうかと・・・
もしかしたら、別の認証取得の裏話の方が先に出るかも・・・・?
ご興味持っていただける方はフォローも是非お願いします🙏
DRESS CODEのProduct & Technologyチームによるテックブログです! プロダクトマネジメントからモデリング、アーキテクチャ、フロントエンド、バックエンド、SRE、セキュリティなどなど様々なテーマで情報を発信しています!
Discussion