Notice: Constant FORCE_SSL_ADMIN already defined in /srv/wordpress/wp-config.php on line 119
祝ISMS! 取得までの道のりを語る | CYDAS BLOG | 株式会社サイダス【CYDAS】

祝ISMS! 取得までの道のりを語る

2020/11/24

情報セキュリティの国際規格であるISMS。お客様の個人情報を扱うシステムベンダーとして、セキュリティレベル向上に日々取り組むサイダスも、2020年10月に取得しました。

今回は、ISMS取得プロジェクトのキーパーソンとして大活躍した経営管理部マネージャーの大河内さんと、外部コンサルタントとしてプロジェクトに伴走してくれた日本パープルの杉本さんにお話を伺いました。

ISMS取得の経緯

ーISMS取得のプロジェクトが動き出したのはいつですか?

大河内:
今後、サイダスがさらに事業を拡大していくにあたって、国際規格のISMSを取得しておくべきだろうという話が出たのが、去年の11月です。
そこで、プライバシーマークの運用支援でお世話になっている日本パープルの杉本さんにお声がけして12月にキックオフをしましたが、社内メンバーの入れ替わり等の関係もあり、しばらく止まってしまって…

杉本:
大河内さんは、当初あくまでサポートメンバー的な立ち位置でしたよね。

大河内:
そうですね、しかしキックオフから2ヶ月くらい何も進展がない状態は非常にやばいぞ…ということで、中心となって進めていくことになりました。
普段は経営管理部で経理をやっていて、セキュリティに詳しいわけではないので少し戸惑いましたが、やるしかないなと。

ーISMS取得には、どのくらいの期間を要するのが一般的なのでしょうか?

杉本:
8-10ヶ月くらいが平均ですね。
サイダス様の場合、一度ストップしてから本格的に動き出したのが今年の2月、取得が10月だったので、結構なスピード感だったと思います。

ISMSをとると何がいいの?

ーそもそもISMSを取得すると何が変わるんでしょうか?

杉本:
ISMSとは、インフォメーションセキュリティマネジメントシステムの略称で、情報セキュリティを管理する仕組みのことを指します。
2020年10月現在、ISMSを取得している企業は日本国内で6280社。緩やかに伸び続けている認証の市場なんです。プライバシーマーク(Pマーク)とセットで取得するケースも多いですね。
違いとしては、プライバシーマークは「個人情報の保護に特化した国内規格」であり、 ISMSは「情報セキュリティ全般の国際規格」であるという点が挙げられます。
エンドユーザーや規模の小さい事業者様には、Pマークのブランド力は高いですし、外資系企業や金融業等、ISMSを取得しているからこそ取引ができる企業様もいます。
ですから、どちらも取得しておくことで営業的に有利になることはもちろん、信頼度の向上など見えない効果も大きいと思います。

取得のハードル

ーISMSの取得には、どんなハードルがありましたか?

大河内:
サイダスには、CTOの吉田さんもいますし、セキュリティのレベルは元々低くないんです。
ただ、やるべきことをきちんとやっていても、それを証明するものが何もない状態だったので、書類に落とし込んでいく作業が大変でした。

杉本:
審査のベースとなる様式や文章は汎用的なものなので、サイダス様の規程やルール・基準に合わせて、削ぎ落としたり肉付けしたりしてブラッシュアップしていきました。

ー大河内さんはISMSの作業と並行して、いつもの経理業務もあったと思います。

大河内:
経理業務の話で言うと、毎月15日の取締役会までは、その準備に追われてISMSの作業はできないので、杉本さんにはかなり調整してもらいましたね。この半年で一番やりとりした相手かもしれないです笑

杉本:
大河内さんの忙しくなるタイミングを見計らいつつ、それまでに揃えられる書類を揃えたり、ミーティングをずらしたり…

息のあったトークを繰り広げる二人

セキュリティへの意識を本質的に高める

杉本:
ISMSの取得は、会社全体の情報セキュリティに関わってくるプロジェクトなので、本来は様々な役割の人が多面的に携わるべきです。
そうはいっても、プロジェクトの初期は、それぞれの仕事もある中で簡単に人をアサインできず、ごく限られたメンバーで進めていくしかないような閉じた空気感が漂っていました。
俯瞰して見ることのできるメンバーをどんどん巻き込んでいく今のプロジェクトの空気感を作り上げたのは、まさに大河内さんだなあと、社外の視点から見ていて感じます。

大河内:
褒められてる笑
もちろん一人でできるものではないので、あらゆる場面で色々な人に協力してもらいながら進めていきました。
特に情報セキュリティ規程の適用範囲を決める業務フロー図作成は重いタスクだったんですが、あゆみちゃんが頑張ってくれて…

杉本:
とにかくスピード重視で審査を通したい、という方針の企業様もいます。その場合は私たちもコンサルタントとして、お客様に合わせたご提案をします。

しかし、大河内さんは、「別の人が担当になった時に困らないように、規程の言葉をもっとわかりやすく変えよう」という風に、その場限りにならないための気づきをたくさん発信してくれました。

取ってからが本番!

杉本:
ISMSは取得してからがスタートです。運転免許証と違って更新することもすごく大変なんです。この後も、社内のセキュリティレベル改善のサイクルを回し続ける必要があります。

大河内:
社内でも、プロジェクトに関わるメンバーを増やして、今後の運用に向けた準備をしています。
自分の部署以外の業務の流れを見て、「こういう情報もらった時どうしてますか?」と確認していく内部監査の仕事は、色々な部署のことが分かって経験値があがるんじゃないかなあ。

杉本:
内部監査業務や、委員会業務を順番で経験させるという方針で行う企業さんも多いですね。不平等感が払拭されるのはもちろん、経験値が積み上がりますし、他部署の方とコミュニケーションを取りやすくなるといったメリットもあります。

サイダスの防衛隊として

大河内:
経理の仕事もISMSの仕事も、立場上、社員のみんなに注意やお願いをすることが多くて。普段の生活はズボラだし、口うるさく言いたくないんですけど。私はみんなのお母さんじゃない!って笑
だけどどこか、サイダス防衛隊みたいな気持ちでいるのかもしれません。
もちろん本当に会社を守っているのは、さらに上層部かもしれないですが、私の日々の仕事がサイダスを守る一助になってればいいなと。
そんな気持ちで日々働いています。