【優勝ピッチ解説(2)】スマートラウンドでISMS認証を取得した背景および得た知見
初めまして、株式会社スマートラウンドCTOの小山(@doyaaaaaken)です。
昨年末Startup CTO of the year 2022というイベントに出場して優勝し、その際のピッチ内容について解説する連続記事を書いています。
今回の記事はその2本目の記事となります。
なお優勝ピッチ解説シリーズの他の記事はこちらで公開しています。👇
- 🔗【優勝ピッチ解説(1)】スマートラウンドの開発体制ではスクラムをどう改変したか?
- 🔗【優勝ピッチ解説(3)】Server-Side Kotlin Meetupが日本最大のサーバサイドKotlin勉強会になるまで
また🔗ピッチ資料はこちらで公開しているので、そちらもよければ併せてご覧ください!
(ピッチで実際に話した内容の全文はログミーさんが書き起こし記事にしてくださっていますので、お時間ある方はぜひそちらもご覧ください!)
前提:スマートラウンドとは
スマートラウンドは スタートアップと投資家の日々の実務を効率化するコミュニケーションプラットフォーム『smartround』 を開発・運営しているスタートアップです。
現在(2023年2月)時点で、3,500社ものスタートアップからご利用いただいております。
「スタートアップ・投資家の多対多の関係で生じる大きな非効率」を解消し、スタートアップ業界全体の生産性の底上げに貢献しようとしています!
スタートアップに対しては、株・ストックオプション・株主総会関連書類・財務情報など株式会社の根幹に関わる書類の管理・作成にまつわる業務を効率化し、投資家の方々とコミュニケーションを円滑に行うためのサービス群を提供しています。
これらの業務はスタートアップ成功の要でもある経営層がやることが多く、大きな負担となっています。
smartroundはこうした負担を軽減しスタートアップが事業に集中できる環境を作り出すことを目指し、会社として 『スタートアップが可能性を最大限に発揮できる世界を作る』 というミッションを掲げています。
また投資家に対しては、投資検討中・投資実行後のスタートアップの情報を効率的に管理するサービス群を提供し、スタートアップへの投資や支援により集中できる環境を作り出すことを目指しています。
スマートラウンドはこういった スタートアップと投資家のための業務効率化・データ管理のためのサービス群を1つにまとめて提供するプラットフォーム です。
ピッチ内でもこのスライドで、スマートラウンドが様々な業務効率化アプリケーションを包含したプラットフォームであることについて紹介しました
会社としては創業してまだ5年未満の若い会社です。
先日シリーズA資金調達を行ったばかりで、これからアクセルを踏み事業・組織拡大していき始めたばかりのフェーズの会社です。
今回のテーマ:ISMS認証
今回の記事のテーマは 『スマートラウンドでISMS認証を取得した背景および得た知見』 です。
ISMSとは?
そもそも「ISMSとはなにか」がわからない方も多くいらっしゃると思うので簡単な説明をします。
ISMSとは Information Security Management System(情報セキュリティマネジメントシステム)の略 です。
エンジニアであれば "セキュリティ" というとシステムの脆弱性などをイメージとして思い浮かべる方が多い気がしますが、システムのセキュリティではなく会社という組織の体制に関するセキュリティ(="コーポレートセキュリティ")です。
会社の情報を守るため、リスクを把握し、適切に管理・運用するための仕組み のことをISMSと呼びます。
このISMSに関する要求事項をまとめた国際規格がISO 27001
として定められており、この規格に沿った情報セキュリティ運用をきちんと行っているか第三者機関から認証を受けることをISMS認証取得と呼びます。
テーマとして選んだ背景
ISMSは有名な情報セキュリティ認証で、スタートアップでもセキュリティを意識している企業(特にBtoB企業)で導入されているのをよく見かけます。
しかしその割には、ネットで調べると「ISMSのメリット・デメリット」などの一般論はたくさん出てくるのですが、 「実際に導入した企業がどのような考えで導入し、導入後にどのように感じているのか」という情報は見つけられませんでした。
(おそらく導入経験者の絶対数が少なく、またセキュリティというセンシティブな領域なので具体的に語りづらいからではないかと推測しています)
ISMS認証の取得は100~300万円近くかかり、また運用負担もそれなりにあるため、初期のスタートアップの投資としては比較的大きなものになります。
そのため私自身も導入を検討する際には判断に非常に迷いました。
5社ほどにヒアリングをさせていただいたのですが、答えを出すときになってもどれが最良の選択肢かまだ自信はなく、最終的には出した答えを正解にするしかないと腹を括っていました。
自身がそうした経験をしているため、この分野に少しでも興味がある方にとっては参考になるかもしれないテーマなので記事として取り上げてみました。
この道の専門家の方から見ると少し知識不足の部分もあるかもしれませんが、ご容赦ください。
(誤っている点があればぜひご指摘ください)
情報セキュリティを高める必要があった理由
スマートラウンドが情報セキュリティを高める必要があった理由は、ピッチ内でも以下のスライドで説明させていただきました。
会社として扱っている情報の機密性が高く、会社としてもコロナ禍を機にフルリモート勤務に移行したため、そんな特殊な状況下での情報セキュリティについて考える必要があったためです。
なお プロダクトの非機能要件の中でも、セキュリティがダントツで重要だと位置づけていました。
smartroundは株主総会や資金調達や月次株主報告などのタイミングでアクセスするサービスなので、同時アクセスユーザ数やアクセス頻度が少ないサービスです。
そのためパフォーマンスや可用性への要件は厳しくありません。
その一方、扱うデータが株式会社の根幹に関わるような書類や株や契約書など、重要なものばかりであったためセキュリティが大事でした。
本番ピッチでは使われなかったボツスライド。自分で作ったスライドですが、見た目が奇抜なためかデザイナーの方に採用していただけずお蔵入りしました笑
検討内容の時系列
ここまで背景事情について説明してきました。
ここからはスマートラウンドで私自身が具体的に考えてきたこと・やってきたことについて紹介します。
1. 初期検討
ここまで説明してきたようにセキュリティが重要課題であったため、「セキュリティをどう改善するか」は組織の規模が小さい段階から大きな関心事でした。
初めの頃は、四半期ごとに代表やテックリードを含めた会議体を設け、現状の課題や四半期で取るべきアクションについて話しあってきました。
しかしこのスタイルだと、 行う施策は具体的かつ費用対効果が大きい一方、どうしても散発的となり網羅性がない という課題意識がずっとありました。
そのためシリーズAが近くなってきたタイミングで、組織拡大する前に本格的に情報セキュリティ管理の仕組みについて検討をしはじめました。
スマートラウンドよりもフェーズが進んでいるスタートアップを中心として、ISMS導入経験者やセキュリティのプロなど5名ほどにヒアリングをし、その中でISMSだけでなくTRUSTeなどの別認証の話や「情報セキュリティ管理」というトピック全体についてお話を伺いました。
ISMSについてある程度出てきた意見としては、 「運用負荷が高く形骸化しやすい(=認証要件として要求される書類だけ整備し、実態が伴っていない状態になりやすい)問題がある」 ことと 「認証取得コストや運用負荷が高いので、スマートラウンドの規模であればビジネス要求または法的要件起点で取ったほうがいいのではないか」 という意見でした。
またISMS取得に際してコンサルタントを雇った人からは「基本的にコンサルタントの人と話せば、その人が書類整備など色々やってくれた」とも聞き、なんとなくの印象として認証を取ること自体は情報セキュリティ管理の強化に直結しないのではないかとも感じました。
スマートラウンドが対象とする顧客は、スタートアップ・投資家(VC)・士業の方々の方々なのですが、意外にもISMS等の第三者認証取得をサービス導入に際して直接的に求められたことはほぼなく、急ぎISMSを取得する必要は特にない状況でした。
そういった事情もありヒアリングした意見を参考にしつつその時点でのスマートラウンドの人員・キャッシュ状況なども踏まえ、 「現時点ではISMSは導入せず、ヒアリングさせていただいたプロの方から費用対効果が高い初期対応としておすすめしていただいた情報資産管理・リスクアセスメント(※これらはISMSにも定められています)の2つだけをやること」 を少し不安を抱えつつも決断しました。
2. SaaS SecureNaviとの偶然の出会い
その2, 3ヶ月後にたまたまSecureNaviというISMS認証取得・運用SaaSを知る機会に恵まれました。
ヒアリングした会社のうちISMS導入していた会社についてはすべてISMSコンサルタントを利用しており、様々な書類の作成・メンテナンスのコストが高いことを困り事としてあげていましたが、 SecureNaviはこれらの書類作成・管理がSaaS内で電子データで行われるのでラク という謳い文句のサービスでした。
また料金がコンサルタントに比べて低いという点や、導入者自身がSaaS内の学習コンテンツを参考に自身の手でデータを入力しながら学べるという点にも、強い魅力を感じました。
このサービスであれば 「ISMS取得をしながらも、それを通じた情報セキュリティ管理体制強化が達成できるのではないか」 と感じ、デモを申し込み触ってみたところ、ISMS取得までのステップが20ステップ強にまとまっておりプロセスを通じてしっかり情報セキュリティについて学べるような設計になっていました。
結果が予想がつかない中での高額の投資になるので迷いましたが、 2,3ヶ月前に行った「ISMSを導入しない」という判断をひるがえし、SecureNaviと通じたISMS導入を決断しました。
投資を最大限無駄にしないようにするため、CTOである自分自身が情報セキュリティ管理を深く理解し活用していくべく、自身の手で導入していくことにしました。
ピッチ内ではこれらのスライドを使って説明しました
3. ISMS導入
ISMSの導入は、週1で数時間作業する方式で進め、作業自体は全部で大体2~3ヶ月ほどで完了しました(※認証団体との調整時間などの待ち時間は除いています)。
SecureNaviの方との月1のMTGやチャットサポートはありつつも、基本的にはSecureNavi上にある学習コンテンツやネットの情報の検索を駆使してISMSについて学びながら、情報セキュリティ管理関連のデータを整備していく作業でした。
細かな項目についてどのように入力すればいいか迷う部分はありつつも、 基本的な情報セキュリティ管理の概念は作業を通じてすんなりと理解できました。
実はISMS導入を決める前にもISMSの本を何冊か買って読んでいたのですが、そのときにはお恥ずかしながら情報セキュリティの概念についてまるでピンと来ませんでした。
すんなり理解できた理由は恐らく、本は抽象的な理論が中心ですが(例:以下画像のような内容)、 SecureNaviだと実際の社内情報を元に具体的なデータ作成を行うので、情報セキュリティ管理の経験がない自身にとって解像度が上がりやすい方法だったから ではないかと考えています。
『ISO/IEC 27001の要求事項』の一部(SecureNavi Blogより引用 https://secure-navi.jp/blog/000066 )。本ではこれらの内容について説明されているが、具体的なアウトプット例がなかったので、情報セキュリティ管理の経験がない自身が読んでもあまりピンと来ませんでした
そうこうして、ISMS認証取得のための準備が完了し、認証会社からの審査を(コロナ禍真っ只中ということもあり)リモートで受けました。
私以外にも、各部門ごとに現場の人間1名が審査員から審査を受けることになっており、(私含め)みな自身のせいで審査に落ちたりしないかヒヤヒヤしながら審査を受けたのは良い思い出ですw
4. ISMS運用
ちょうどISMSの導入が完了する直前ぐらいのタイミングで、1人目SREエンジニアとして@shonansurvivorsさんが入社したのですが、SREだけでなくコーポレートIT全般の責任者もそのままお任せできそうな優秀な方だったので、コーポレートIT業務の引き継ぎと同時にISMS責任者として運用もお願いしました。
(ちなみに@shonansurvivorsさんが入社半年強でやってきたことについて、こちらのテックブログ記事にも書かれています。人気記事なので特にSREエンジニアの方は必見です!)
ISMS導入後は、ISMSのフレームワークに則って月1でISMS委員会を開催しており、@shonansurvivorsとCTOである私の他、各部門から選ばれたISMS委員1名が参加し、情報セキュリティについて話し合っています。
確認すべき事項についても、ISMSフレームワークに大枠が定められているため、漏れがない安心感があります。
ISMSフレームワーク自体は項目がたくさん盛り込まれておりなかなか重厚なのですが、SecureNaviはSaaSでありデータのメンテナンスが書類と比べて楽なこともあり、 認証取得完了した後の運用についてもそこまで負担なくできています。
まとめ:総合的な感想
事前のヒアリングでも出てきた「ISMSは重い」「ISMSは形骸化しやすい」などの点については、実際に導入・運用してみてその通りだと感じました。
スマートラウンドでもISMS内の項目について必ずしも全部をしっかりと活用しているわけではなく、自社にとって重要でない部分については要件上最低限必要なデータだけ整えるなど省力化はしていたりします。
一方で、あくまで非専門家である私個人の印象にはなりますが、さすがに重いと呼ばれるだけあって情報セキュリティ管理として基本的な枠組みがしっかり揃っているのが良い点だと感じました。
特に私のようにプロダクト開発は得意でも情報セキュリティの知識・経験がなかった人間にとっては、まずは基本の型を学べるという意味で入り口としては良かったです。
恥を忍ばず言うと、会社として比較的大きな金額・時間を投資しISMSを取得したことは、(非常に申し訳ない言い方になりますが)情報セキュリティについての知識・経験がない新米CTOだった自分に必要な勉強料 でもあったと感じています。
その投資がなければ情報セキュリティという会社の重要課題に対して、我流の管理体制を作って対処し、結局セキュリティについて不安が拭えないままだっただろうと想像しています。
国際規格として定められている基礎の型を身につけた ことで、胸を張って「情報セキュリティ管理をしっかり行っている」と言えるようになりました。
またトップマネジメントである自身がISMS導入作業を通じて情報セキュリティの概念について深く理解しただけではなく、 その後のISMS運用を通じてISMS責任者・委員会メンバーを中心として組織全体で情報セキュリティに関する理解が深まっていっています。
ISMSは3年サイクルで認証再取得が必要ですが、3年後には認証を取らずとも自分たちで学んだ型を応用し体制構築することも可能になっているでしょう。
再取得するかどうかは初回取得時とは違って、より営業観点に寄った判断になるだろうと思っています。
なおISMSはあくまで管理のための枠組みなので、その具体的な中身として自分たちの会社に必要なセキュリティ施策を自分たち自身で考えていく必要があります。
ISMSによる管理を活かして組織として上手くPDCAを回し、お客様から預かっているデータや会社としての情報資産を守るべく、セキュリティを今後も継続的に改善していきます。
おわりに
いかがだったでしょうか。この記事が少しでも他のエンジニアの方やCTOの参考になれば幸いです!
この記事の続きとして、優勝ピッチ解説シリーズは時間がある際に書いていく予定なので、よろしければぜひこのスマートラウンドのZennアカウントもフォローしてください!
最後に宣伝としてスマートラウンドの採用情報を貼っておきます。
昨年9月にシリーズA資金調達を行い、エンジニアもデザイナーもその他職種も、全ポジション積極採用中です!
この記事の例のように、コーポレートIT領域についてもスタートアップらしくゼロから急ピッチで改善が進んでいるので、そういった部分にも関わってみたい方も大歓迎です!
@shonansurvivorsが今SREとコーポレートの責任者を兼任しており忙しい状況なので、色々とお任せできる仕事がたくさんあります!
コーポレートIT専任でやりたい人の他、 スタートアップの2人目のSREエンジニアに挑戦しつつ、『事業に貢献するコーポレートIT』領域にも少し興味をお持ちの方 にもオススメできる環境です!
「今は転職する気はないけど、ちょっと興味を持ったので話を聞いてみたい」という方も歓迎ですので、ご興味ある方お待ちしてます!
採用ページ
会社紹介スライド(※時間がない人向け)
エンジニア組織紹介スライド(※時間がない人向け)
Discussion