ISMS認証取得!プロジェクトの裏側に迫る
こんにちは!採用担当の枝野です。
Smart相談室は今年5月に、情報セキュリティマネジメントシステム(ISMS)の国際規格である「ISO/IEC 27001」を取得しました。
導入企業さまの増加や、組織の拡大に伴って、改めて情報セキュリティ体制の見直し・改善を実施するとともに、セキュリティ研修を定期的に行うなど、組織全体でのセキュリティ意識も高めています。
この一大プロジェクトを推進したのは、エンジニアリンググループのチーフを務める長濱さん。セキュリティ関連の経験があるわけでもなく、担当でもないのですが…今回のプロジェクトをやり遂げてくださいました!今回はその裏側をインタビューしてきました。
本質を見極めて行動に移す
(枝野)今日はよろしくお願いします!私は11月に入社したんですが、その際に入社オリエンとしてセキュリティ研修(*)をしていただきました。しっかりしている会社だなと思ったのを覚えているのですが、後から聞いたらそのときが初めての研修実施だったんですよね。この研修はどういう経緯で始まったんですか?
(*)Smart相談室では新入社員に対して、2時間のセキュリティオリエンテーションを実施しています。
(長濱さん)昨年の2月ぐらいに、これからさらに事業を拡大していこうという話をしていたときに、ISMSやPマークなどを取得することが必要なんじゃないかという提起があって。当時のマネージャーに「じゃあ、僕が動きましょうか」と話して、進めていきました。
進め方としては、一番初めは、そもそもISMSやPマークを取得して何をすればいいのか、というところから自分で整理していきました。ある程度進んだ段階で、どういうふうに進めていくのが良いか、例えば自分一人でやるのか、それともコンサルタントを入れてお願いするのか、もしくはSmartHR社に協力してもらうのかを考えていきました。
最適な方法が見えてきた段階で、マネージャーに予算や工数、運用などの話をしてGOがでたので、その段階でCEOの藤田さんに1on1で「やります」ってお話したんですよね。藤田さんの反応は「いいねいいね」って感じでした。
そのあとは金額と工数のところで、いろんなコンサルティング会社に話を聞いて選定を進めました。何ができるのか、できないのか、どこまで対応してくれるのかなどを整理して、ある1社にお願いして動いていくことにしました。
ただ、本格稼働するにあたって、「ISMSを取得します」って言ってるだけじゃダメで、社内的にちゃんとセキュリティ意識を高めなきゃいけないなと考えたんですね。そこで藤田さんに「社内のセキュリティオリエンテーションをやった方がいいですよ。僕、それを作ろうと思うんですけどどうですか?」って話をして、OKもらったんでそこからバーっと作成して。で、枝野さんが入社のときに、初めてオリエンテーションを実施しました。
(枝野)聞いてる印象だと「やりましょうか?」と積極的に手を挙げられたのかなって印象なんですけど、なにか葛藤はありましたか?
(長濱さん)そうですね、自分の専任領域ではなかったのは少し葛藤がありました。もともとやっぱりサーバーとかプログラムの開発とかそういうことをメインでやってたんで。
VPNなどの情報セキュリティみたいなことも一部やってましたけど、規格を取るために何か行動するとか、実際に運用するっていうのは完全に専門外の分野ですからね。でも他にやる人がいないなって思ったんで、進めていこうと思いました。
(枝野)事業を拡大していくにあたって、会社や事業のことを開発視点から考えるとISMSやPマークが必要だなっていうお気持ちはあったんですか?
(長濱さん)個人的にはあまりなかったです。ISMSやPマークは取得しただけでは意味がなくて、ちゃんと運用されているかどうかというところがお客さまにとっても重要だと思うんですよね。
ですが、世間一般としてはISMSやPマークというラベルがあることによる安心感はあると思います。なので、さらに多くの企業さまにSmart相談室を使っていただくにあたって必要なものだと思っていますね。
意味のあるISMS取得にするために
(枝野)今振り返って大変だったなということはありますか?
(長濱さん)ISMSがどういうものかちゃんとわかっていない状態で、堅苦しい文書を読まないといけなくて、とっつきづらいっていうのありましたね。審査を受けるためにいろんな書類の準備が必要なんですけど、例えば、「これは何の記録で、なんで残してるんだ?」とかわからないことも多くて。その辺の全体像が見えなくて大変でしたね。
(枝野)「もうこれは一番しんどかった」みたいな、記憶に残っているものってありますか?
(長濱さん)リスクアセスメントを読み解くのが一番大変でした。簡単に言うと、「今想定されるリスクを洗い出せてますか?」「それに対して対応できていますか?」っていうことを表にして確認するんですけど、すべての組み合わせにおいて、対応策をちゃんと準備しないといけないんですね。
もちろんコンサルについてもらっていたので、その準備自体はそこまで大変じゃないんですけど、それを読み解くのが大変なんですね。
例えば、情報資産っていうのはユーティリティとかクラウドデータとか、会社でみんなが持っているPCとか、契約書とか、紙のものでもデータのものでもいっぱいあるじゃないですか。それらに対して、例えば、火災が起きた、ビルが潰れた、人が持ち出した、誰かが盗んだみたいな。そういうリスクとの組み合わせが全パターンあるわけですよ。
(枝野)無限ですね。
(長濱さん)そうです。脅威とデータを全部組み合わせて対応を決めなければならないので、かなりの数の組み合わせがあります。
数が多いのもですが、何が書いてあるのかもよくわかんなくて。本来だったら自分たちで全部作んなきゃいけないんですよね。自分たちで作ればもっともっと大変だったんだろうけど、今回はコンサルに準備していただいた分、出来上がっているものに対する理解が一番大変でした。
(枝野)コンサルにはどのように関わってもらっていたのですか?
(長濱さん)がっつり入ってもらって、プロジェクトを推進してもらいました。コンサルを入れない場合には、だいたい対応者の1年間の工数が必要なんですよ。だけど、コンサルにお願いした場合には担当者の工数はだいたい1ヶ月あれば足りるんです。コンサル費用と自分のお給料を天秤にかけたら、コンサルにお願いした方が明らかに安いんですよ。なので、がっつり入ってもらいましたね。
(枝野)なるほど。とはいえ負荷や工数はしっかりかかっているのではないかと思ったのですが、ご自身の業務とのバランスはいかがでしたか?
(長濱さん)バランスが取れないっていうほどではなかったです。毎週ネクストアクションとして宿題が出されるんですよ。その宿題を着実にこなしていきました。
多分忙しいと、この宿題の優先順位が下がってしまうこともあるのかもしれないですけど、今回はちゃんと意味のあるISMS取得にするためにしっかりやっていきました。
(枝野)ISMSの取得をゴールにせず、その後の運用にも重きを置いていたからこそなんですね。
(長濱さん)そうですね。ISMSを取得するだけだったら、別に自分がやる必要性もないんですよ。全部勝手にやってくれるコンサルもいるだろうし。
だけど、それは意味がないことだと思ったんで、しっかり取り組んでいきました。
運用はみんなでやるしかないからこそ
(枝野)現在、定期的な新入社員への研修であったりとか、カウンセラーさんや業務委託の方々への研修も実施されていると思うんですけども、ちゃんと運用することがなぜ必要か、長濱さんのお考えを伺いたいです。
(長濱さん)ちゃんと運用することは、自分一人だけでやってできるものではないです。結局僕がどんなにセキュリティ大事だからやってねって言っても、関心がなかったりとか、あれってなんだったんだろうねって忘れられてたら、絶対そこからトラブルって生まれるんですよ。であれば、もう定期的にちゃんと研修や運用をやっていくしか方法がないなって思っています。
(枝野)そうですね。私は入社時のオリエンのおかげで、セキュリティはちゃんとしないといけないっていうのはすごくインパクトに残っていて。働きかけによって意識付けることっていうのが本当に重要だなと思うので、おっしゃる通りですね。
(長濱さん)多分この会社の規模で、あそこまでのことをやってるところはそんなにないと思います。
(枝野)ないですね。私は大手企業に勤めていたこともあるんですが、その時並みの内容ですね。研修のされ方とか、中身とか、頻度とかはほぼほぼ変わらないです。
Smart相談室ならではのセキュリティの重要性
(枝野)Smart相談室は、サービス上センシティブな個人情報を取り扱うので、セキュリティは本当に大事ですよね。
(長濱さん)他の会社の情報に比べて、かなり機微情報が含まれていますよね。しかもその機微情報が、マイナンバーカードとかそういう機械的に処理できるものじゃなくて、その人の感情とかがそのまま文章に出てたりすることがあるので、おそらくは最も知られたくないことだと思うんです。そういうところをちゃんとカバーできるような運用方法が必要だなと思います。
(枝野)そうですよね。そのためにはなにが一番重要でしょうか?
(長濱さん)そうですね、一人ひとりの意識じゃないですかね、結局のところは。まずこういうときに最初に必要だと思われるのはルールだと思うんです。例えば、外部に出していい文書レベルはどうなんだとか、データについてどこまで業務委託の方に開示していいのかとか。
でも、ルールって個人個人がちゃんとして、整備できていれば作る必要性はないんです。その判断基準がみんなバラバラになっちゃうから、ルールを作んなきゃいけないって話で。個々人のセキュリティに対する考え方がしっかりしていて、そこを常にブラッシュアップしていくこと自体が必要なんだと思います。
誰でもISMSの責任者になれるレベルに
(枝野)最終的に、メンバー一人ひとりがどういう状態になっていってほしいですか?
(長濱さん)理想でいくと、誰でもISMSの責任者になっているレベルですね。ISMSの責任者って、セキュリティのこと全般を少しずつ知識として習得しなきゃいけない。で、しかも運用もできなきゃいけないので、全社員が責任者をできるレベルであれば非常に強いですよね。
(枝野)理想とはおっしゃってましたけど、そこに近い意識をみんなが持っていると、クライアントさまもユーザーさまも安心して使えますよね。
(長濱さん)そうですね。例えばクライアントさまから契約の際に「セキュリティ大丈夫なんですか?」みたいな質問をされたときに、営業担当がしっかり全部正しく回答してくれたら「あ、ここ大丈夫そうだな」とクライアントさまも安心しますよね。
(枝野)信頼度上がりますね。ある意味、一人ひとりのスキルですね。
(長濱さん)情報セキュリティに関して強い営業ってそんなにいないとは思うんですよね。そういう意味でも、力としてつけるのは大変だけど、信用できる営業パーソンの一要素にはなると思います。これはエンジニアでも同じですね。職種は関係ないと思います。
(枝野)本当にそうですね。自分自身、知識を深めていきたいなと思いました。ありがとうございました!
◼️Smart相談室へのお問い合わせ・取材依頼は以下よりご連絡ください。
・お問い合わせフォーム:https://smart-sou.co.jp/contact
・メールアドレス:pr@smart-sou.co.jp