入社して半年が経ち、私が行ってきた仕事のプレスリリースが出たのでここで振り返りもかねてブログを書いてみることにしました。

転職して決まる私のミッション

私がモニクルにコーポレートエンジニアとして入社してから、まず初めに取り組むミッションとして、上場準備の中でも特にIT統制とそれに並行してISMSの認証を取得したいという話がありました。私が以前在籍していた企業でもISMSを取得はしていましたが、私自身が認証の新規取得や継続には関わっておらず、事務局としての業務はゼロからのスタートになります。ですが、以前の職場で開発業務も、情シス的な役割も担ってきた私だからこそ、やる意味がありそうだと思い、チャレンジしようと思いました。

ISMSを取得にいたる背景

そもそも弊社がISMSを取得するに至った理由についてですが、弊社はグループ会社が保険・証券を扱っていたり、弊社も保険・証券業界に対するサービスを提供することから、以前より情報セキュリティの強化は課題となっていました。
また、弊社はIPOを目指しており、それに伴いIT統制を強化する必要があり、その一貫でISMSの認証を取得することとなりました。実際に監査法人とのMTGの中で弊社のIT統制としてやるべきところを相談するなかで、ISMSの認証を取得するプロセスで作成する規程やルールなどで要求事項を充足できる部分があることがわかりました。

ISMSを取得するにあたり準備したもの

ISMSの認証取得するにあたり、コンサルを利用して取得する方法もありましたが、弊社が利用したのはISMSオートメーションツールであるSecureNaviでした。ゼロベースでISMSの認証を取得する、かつなるべく最短で取得する必要がありましたのでSaaSサービスを利用することとしました。
また人員面では事務局として以下の役割で人選が行われました。トップマネージメントとしてCTO、内部監査責任者としてCAO（Chief Administrative Officer）、ISMS責任者として私の計３名で取り組み始めました。
CTOが旗振りを行い、組織における情報セキュリティの思いや考え、方向性を示し、CAOが過去のPマークの維持や監査対応で得た知見を共有してくれたおかげで、私はひたすら必要なドキュメントやルール作りや、社内への適用に集中することができました。このチームを構築することが一番重要な準備だったのではないかと今となっては思います。

SecureNaviを利用するメリット

使用開始して驚いたのは、かなりシステマチックにやることが決まっていることでした。30ステップくらいのタスクが提示されており、何をやれば良いのかすべてヒント付きで示されていました。SecureNaviの回し者ではないですが、このステップ通りにやって、認証審査の準備が整い審査に臨めるというのは驚きでした。
私が以前勤めていた企業ではISMSを新規取得するにあたって、様々なドキュメントを作成し、コンサルにも頼りながら準備を整えている印象でしたので、ISMSオートメーションとも呼べるシステムで完結するのは単純にスゴイものが来たと思いました。
もちろん、何もかもができるわけではなく、ISMSの規格要求事項で求められる最低限のドキュメントに絞って準備を進める形になっています。そのため、個別に必要なドキュメントがある場合は別途用意する必要があります。
弊社ではSecureNavi上で必要なドキュメントを管理しつつ、必要に応じたドキュメントを別途GoogleDriveなどで管理する運用で進めました。
また、SecureNaviがサジェストしてくれる機能が強力で、一番時間がかかるリスクアセスメントも効率的に進めることができ、管理策に含まれる114項目（＊）とリスクとの対応付けなどがわかりやすく、ここもこのサービスの強味だと感じました（＊ISO/IEC 27001:2013で取得したので114ですが、2022年の改訂版では93項目になっています）。
その他いろいろな便利機能がありますが、そちらは、SecureNaviのサイトを御覧ください。（ホントに回し者ではございませんｗ）

https://secure-navi.jp

SecureNaviを利用するデメリット

ここまで便利さを強調してきたSecureNaviですが、デメリットもあります。それも、根本的なところです。
やるべきことをSecureNaviがステップで示しており、その通りに登録していけば準備が整うため、ISMSが求める規格要求事項・管理策とリスクとか定めたものがどう繋がっているのか、なぜこういった施策をとるのかが理解しなくてもできてしまう点にあります。これはSecureNaviの担当者も言っていたことですが、あまりにも簡単にできるため、なぜこれをやっているのか、理解できていない人が多いと認証機関から指摘されることが増えているとのことでした。
とはいえ弊社では、CTOから「認証取得は結果であって、情報セキュリティ管理を強化したいというのが本質であり本音なので、中身をしっかり作り込んでいきましょう」という声がけがあり、「この施策は何のためにあるんだろう？」と徹底的に理解し議論するところから始まり、具体的な運用にフォーカスして取り組んでいきました。
また、利用している中で、SecureNaviから提案される管理策も一般的なものではあるものの、自社にはマッチしない施策もあったため、修正や自社の独自施策の追加なども行う必要がありました。当然の事ですが、サービスがサジェストしてくる内容を何でも鵜呑みにするのではなく、自社にマッチするかどうかを判断する必要があり、そこに時間がかかった印象です。ただ、一から作るよりも格段に早く構築はできると思います。

ISMSの運用開始するまでのスケジュール感

ちなみに、弊社がISMSを新規取得するにあたってゼロから構築し運用開始するまでは、このようなスケジュール感で準備を進めていきました。

1か月目

• 人員や役割の選定

• 組織の状況の確定

• 情報セキュリティ方針の策定

• 情報セキュリティ目標の策定

2か月目

• 力量の見直し

• リスクアセスメント・対応マニュアルの策定

• 情報資産の洗い出し

• リスクアセスメントの実施

• 情報セキュリティ継続の検証

3か月目

• リスク対応計画の確定

• 情報セキュリティマニュアル・適用宣言書の制定

• 委託先の検証

4か月目

• 運用開始

見てわかるように運用開始まで約3か月で組み上げてスタートを切りました。
もともとISMS自体、情報セキュリティに関する取り組みのPDCAを回していくものでしたので、まずは最低限の規定やマニュアルを準備して実際に運用を開始して改善していくこと前提で進めた所もあります。

次回

続きの運用開始～審査～認証取得まで、どのような感じで進めたのかは、また別途書こうかと思います。