株式会社Conoris Technologiesは、2023年11月16日付で、ISMS認証を取得しました。
ISMSとは情報セキュリティマネジメントシステム(Information Security Management System)の頭文字を取った略称で、自社の情報セキュリティリスクを管理する仕組みを指します。そして、ISO/IEC 27001とはISMSの構築・運用方法を定めた国際規格を指します(この国際規格ISO/IEC 27001をJIS規格としたものがJIS X 27001です)。したがって、Conoris Technologiesで行ったことはISO/IEC 27001に則ってISMSを構築し、審査を通してそのことが認められたということなのですが、ここまでをひっくるめて「ISMSを取得した」と表現することにします。
弊社がISMS取得に至った最も大きな理由は、顧客の要求に応える必要があったからです。弊社は、「業務が効率化・なくなる気持ち良さを世の中へ」というビジョンのもと、日本企業の安心、安全なDXを支えるセキュリティチェック支援サービス「Conoris」シリーズを開発しています。顧客は大企業が中心で、弊社としては、日本の大企業に向けて情報セキュリティプロダクトを提供する企業に対して期待されるセキュリティレベルを実現する必要がありました。そのためには、ISMSの取得が欠かせなかったというわけです。
企業が何らかのSaaSを利用しようと考えると、そのSaaS事業者に自社のセキュリティチェックシートを記入させることが常ですが、多くの企業では、何らかのセキュリティ認証を取得している場合には、関連する質問項目を省略するという仕組みをとっています。その中にはISMSも含まれていることが多く、SaaS事業者の視点からは、SaaS事業者がISMSを取得することで、取引先に対して一定のセキュリティレベルが確保されていることを示せるというメリットがあります。
一方で、SaaS事業者のうち、特にスタートアップ企業が感じやすいデメリットとしては、ISMSのための業務、および、ISMSを遵守するための余分な業務が増える、ということが挙げられます。ですから、弊社のような、創業数年の従業員数一桁台という小規模なスタートアップ企業でISMS取得というと、メリットは理解できるもののデメリットの大きさが見えず二の足をふむケースや、メリットに期待して取得してみたもののISMSに関する業務が重くのしかかってきて困っているケースを聞くことがあります。
そこで、このブログでは、弊社がISMSを取得するまでの道のりをお伝えしつつ、ISMSにまつわる不安を払拭するために弊社がとったアプローチを紹介します。
この先は、弊社がISMSを実質2ヶ月で取得した話なのですが、ISMSの取得までに踏む工程は、どの会社でもほぼ変わりがありません。ですので、先に本稿でお伝えしたいことをまとめることにします。
ISO/IEC27001は、自由度の高いISMSを構築できるものなので、ISMS認証の取得を求められる場合は、自社の規模や実情に合ったシステムの構築を目指していくことが大切です。
そのためには、業務負担を無闇に増やすことのないよう、ISMSが本来求めていることは何か?ということを出発点に、必要十分な成果物を定め、そこから逆算した効率的なISMS認証取得を目指していくことが重要です。
コンサルタントを入れたりするとありがちなこととしては、「言われたからやった」結果、業務負担がやたらに重いISMS、コストパフォーマンスの悪いISMSが出来上がってしまうことです。自社のISMS構築に必要なことは何か、すなわち成果物が基準です。それに対して知識や力が不足していると分かったときには、調べたり、書籍にあたったり、またはコンサルタントに尋ねたりと、知識を賢く使っていく姿勢をとることで、コストパフォーマンスの悪いISMSを防ぐことができます。「成果物から逆算した効率的なISMS認証取得」を目指しましょう。
以下は、そのための道のりを詳しく書いたものです。
弊社のISMS取得の時系列は以下の通りです。
2023年6月 : ISMS取得までのスケジュールを決める
2023年7月 : 審査機関選定、審査日程決定、情報セキュリティ基本方針策定
2023年8月 : リスクアセスメント、規程類作成等ISMS管理策の実施
2023年9月 : 内部監査とマネジメントレビュー
2023年10月 : 審査機関による審査(第一段階審査・第二段階審査)
2023年11月 : ISMS認定証発行
ISMS取得にかかる作業の大半は、リスクアセスメント、規程類作成等ISMS管理策の実施が大半を占めますが、弊社ではこの作業を2ヶ月で実施しました。
ISMS認証にかかる費用として見積もったのは以下の通りです。
審査費用 : 約75万円 - 外部コンサルティングやISMS支援SaaSは使わない想定
審査以外の費用 : 約80万円 - エンドポイントセキュリティなど
弊社のISMS取得方針は、ISMSがそもそも何を求めているのかに沿って、ISMSを満たす最小のイシューを見極め、なるべく余計なことはしない、ということを方針としました。
過去にISMSを取得した組織にいた経験があると、「ISMS」という言葉を聞いて、分厚い規程や身動きのとれないルールを思い出すことも多いのではないでしょうか。こういったISMSの負のイメージがなぜ起こるのか、ですが、私たちは、ISMSがそもそも何を求めているのか、すなわち、成果物から逆算していないからではないか?と考えます。
ISMSを取得する場合、多くの企業では審査機関と契約するほか、コンサルタントを入れるなどして認証取得の迅速化と効率化を図ります。しかし、コンサルタントが持っている雛型、特に分書類が自社の実情と合っているとは限らず、そのことを認識しないまま当てはめてしまうと、結果として分厚い規程や身動きのとれないルールができあがりがちです。
弊社は2020年創業の小規模なスタートアップ企業です。従業員数も一桁台です。弊社のような企業で、自社の実情に合わない大規模なISMSを導入してしまうと、事業そのものが成り立たなくなってしまいます。弊社のミッション「業務が効率化する・なくなる気持ち良さを世の中へ」に照らしても、分厚い規程や身動きのとれないルールができることは避けたいところです。
ISO/IEC27001を実際に読んでみると分かりますが、ISO/IEC27001自体が求める要求事項は極めて簡潔に書かれています。そして、ISMSそのものは、ISO/IEC27001の要求事項に反しない限り、大きな裁量のもとに構築することができます。
したがって、ISMSを取得する際には、ISMSを取得する際に必要な成果物を、自社の身の丈に合わせて定義してよく、また、そうすることが無駄のない方法と言えます。
ISMS取得の時系列に書いた通り、ISMS取得までのスケジュールを決めたのは2023年6月のことでした。その時点で、ISMS審査機関となる会社を調べつつ、10月中には審査を済ませて11月中には認証を取得するという目標を立てました。
ISMS審査機関の選定にあたっては、①スケジュール(特に一次審査・二次審査・認証までの間隔)②審査対象への理解度③ISO/IEC27001:2022への対応スピード④コストの順で決めていきました。短期間でISMSを取得したいという意思がまずあったのと、弊社の場合フルリモートワークを採用したスタートアップであることから、その理解度の高低によって審査の迅速さが分かれると判断したこと、そしてちょうど、ISO/IEC27001は2013(2013年版)から2022(2022年版)に改訂されたばかりで、各審査機関もその対応準備に追われていて、用意ができるまでばらつきがあったことです。
相見積もりを取っていくうちに、コストはほぼどの会社も変わらないことに気づいたため、スケジュールの柔軟性が最も優先度の高い基準となりました。
また、認定機関(各国に1つで、審査会社(認証機関)を認定する機関)の国にもこだわらないこととしました。日本の場合、認定機関がISMS-ACである審査機関が多いのですが、中にはアメリカのANABを認定機関とした審査機関もあります。しかし、認定機関がどこであれISO/IEC27001に準拠しているかどうかが肝心なことで、認定機関の国にこだわると、より重要なスケジュールなどの選定条件が満たせなくなるおそれがあったためです。
今回のISMS取得にあたっては、以下の成果物を定義しました。
多くの組織では、ISMSを構築するにあたって、情報セキュリティ管理規程のもと、様々な基準や標準や手順が作られていっているのではないでしょうか。確かに、組織の規模によっては規程を変更する手数がかかることもありますから、変更の頻度や手数に応じて基準や標準や手順を細分化することで組織全体として動きやすくすることは効果的です。しかし、各従業員の目線では、規程のもとに様々な基準や標準や手順が作られる以上、結果として遵守すべき内容が多岐に渡ってしまいます。
弊社のような小規模な組織で無闇に文書を細分化することは見合わないと考え、ISMSの管理策を実施する方法は「情報セキュリティ管理規程」ひとつにまとめるという判断をしました。
さて、次は、これら9つの文書・記録をいかに最小限の労力で作り上げていくかが課題です。
実は、独立行政法人情報処理推進機構(IPA)セキュリティセンターの『中小企業の情報セキュリティ対策ガイドライン』がこのときに強い味方となります。
独立行政法人情報処理推進機構(IPA)セキュリティセンター
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html
『中小企業の情報セキュリティ対策ガイドライン』には「ISMS」という言葉の記載こそありませんが、「付録2:情報セキュリティ基本方針(サンプル)」と「付録5:情報セキュリティ関連規程(サンプル)」は自社の実情に合わせて微修正するだけで使うことができます。
そして「付録7:リスク分析シート」は、ほぼそのままISMSのリスクアセスメントに使うことができます。弊社では実際にはGoogle Workspaceを全面的に使っていたことから、ExcelファイルからGoogle Spreadsheetに修正したことと、リスク対応基準の数値を調整したことが主な相違点です。
弊社が『中小企業の情報セキュリティ対策ガイドライン』に注目したのは、企業の規模に注目した雛形であったということが大きな理由です。ISMSコンサルタントもISMSのための規程類などを雛形として出してきますが、ISMSを取得するための雛形と企業の規模に注目した雛形とではカスタマイズのしやすさが大きく違います。すなわち、ISMSを取得するための雛形を自社の規模に合わせてカスタマイズすることはなかなか難しいのですが、企業の規模に注目した雛形をISMSのためにカスタマイズすることは、要件が明確なぶん、比較的容易だということです。
最適な成果物の解が決まりさえすれば文書作成は比較的容易にできます。前述の『中小企業の情報セキュリティ対策ガイドライン』の「付録2:情報セキュリティ基本方針(サンプル)」はほぼそのまま、また、「付録5:情報セキュリティ関連規程(サンプル)」は、フルリモートワーク・エンドポイントをのぞいてオンプレミスITが存在しないという弊社の特徴に合わせて書き換える必要はありましたが、標準や基準を参照するつくりではなく、何十もの規程や標準や基準も合わせて修正するような事態には至りませんでした。
『中小企業の情報セキュリティ対策ガイドライン』にないものは『情報セキュリティ目的・年間計画』・『ISO/IEC27001マニュアル』・『適用宣言書』・『内部監査手順書』ですが、これらは比較的容易に作成できます。作成のポイントは、ISMSを解説した書籍などにまとまっていますので、ここでは、ISMS取得推進を担当した筆者が気をつけたことをまとめておきます。
ISO/IEC27001の要求事項は「しなければならない」と記載されていますので、これを「する」と定める、すなわちそのように語尾を書き換えることが最も簡単な作成方法です。
なお、弊社はフルリモートワーク・クラウドベースの働き方をしてはいますが、業務基盤をクラウドにどんなに寄せても、エンドポイント対策、すなわちPCのアンチマルウェアや遠隔管理といったソフトウェアの導入は必要です。
実のところ、ISMS取得推進担当の筆者はセキュリティ認証や基準といったことには多少の知見があったものの、エンドポイントセキュリティの選定に関しての知見がいまひとつで、外部の人的リソース、すなわち業務委託で情報システム担当者を入れることとなり、結果的には当初予定よりは人件費がかさむこととなりました。今回の件をきっかけに非常に優秀な”副業情シス”の方にJOINいただくことができ、ISMSに限らず社内ITアーキテクチャを考えていく上で心強い味方ができたのは、今後の会社の成長を考えると嬉しい誤算でした。
内部監査は、ISMS取得推進担当の筆者が行うと中立性が保てなくなると考えCTOに依頼しました。内部監査自体は滞りなく完了し、改善すべきポイントも発見できたのですが、審査の際に問題になったのが、CTOがエンジニア部門を内部監査してしまったことです。実は、ISMS取得推進担当の筆者が一切内部監査を実施してはいけないわけではなく、筆者が属していない部門への内部監査は筆者が行い、筆者自身がISMSを遵守しているかといった点については別の内部監査員を立てて内部監査を受けるということでよかったとのこと。これは筆者が内部監査の中立性を誤解していたために起こったことでした。
ISMSの態勢が整ったところで、審査機関による審査を受けます。初回の審査には第一段階審査と第二段階審査があり、第一段階では主に書類をチェックし、第二段階では実際の業務をチェックします。
気をつけたいのは、審査機関によって、第一段階と第二段階の間隔に開きがあることです。各審査機関には取得までのスケジュールを示した上で、10月に第一段階審査、第二段階審査とも完了させたい旨を伝えたのですが、第一段階と第二段階の間隔を1週間以上としている審査機関もあれば1ヶ月以上としている審査機関もあり、弊社はこの間隔が短い審査期間を選択しました。
フルリモートワークの弊社ではありますが、ISMSでは拠点住所があることは必須ですので、弊社でもレンタルオフィスを借りて登記を行うこととしました。これは審査前に済ませていたため、審査会場は基本的にそのレンタルオフィスの会議スペースを使います。
第一段階審査は主に経営者へのインタビューと物理的なオフィスの確認、その後、作成した書類の確認が行われます。基本的なスケジュールは1日なのですが、審査機関から提示されるスケジュールは標準的なもので、会社の規模によってはそこまで時間がかからないというケースもあります。弊社の場合も予定よりかなり早く終わりましたが、主に物理的なオフィスの確認は30分の予定が3分で終わるほど短かったこと、そして、書類に関しても必要最小限の分量に収めていたことで極めてスムーズに進んだことが理由として挙げられます。
第一段階審査では、観察事項として、遵守する法令等の記載に不備(書き方が少々不明瞭だった)があったことが指摘されました。
第二段階審査では、経営者へのインタビューと物理的なオフィスの確認を再度行ったのち、部門ごとに審査員がインタビューを行い、ISMSがシステムとして機能しているかどうかを確認します。基本的なスケジュールは1日半で、初日がまる1日、2日目が半日かかる想定です。ただ、前述の通り、会社の規模によって所要時間が短くなることは往々にしてあり、弊社の場合は初日が2/3日ほど、2日目は午後2時ごろ終了予定が繰り上がって正午ごろには終わりました。
ここでのトラブルは、レンタルオフィスの制約事項で、月あたりの会議スペース貸し出し可能時間数が、審査のために確保する必要のある時間数を下回ってしまったことです。こういったことはなかなかないと思いますが、今回は審査機関に事情を説明したうえで、第二段階審査の初日の午後を、別途予約した貸会議室で実施しました。
審査結果は、審査員からその日のうちに伝えられます。したがって、2日目の最後に認証取得ができると知らされますが、審査員が審査機関に認証取得を推薦し、審査機関で審査そのものの妥当性を判断する形をとるため、審査から認証取得までは1ヶ月以上の間が空いてしまいます。
ISMS取得には1年以上かかる会社もある中、弊社は比較的速いペースでISMSを取得できましたが、すべてが順風満帆だったわけではありません。
新型コロナウイルス感染症は2023年5月に第2類感染症から第5類感染症に扱いが移されましたが、その後急速に蔓延し、筆者もついに9月に感染、発症してしまいました。
発症すると業務にあたることが非常に辛く、実質2週間ほど業務が止まってしまったことは非常に悔しいことでした。結果、本来9月中旬には内部監査とマネジメントレビューを終えて、改善まで行った上で10月の審査に臨むつもりでしたが、内部監査とマネジメントレビューを終えたところで審査の時期が来てしまいました。
「エンドポイントセキュリティ類の導入」でも記載の通り、当初想定がなかった副業情シスの方に参画をいただくことで対応できましたが、このソフトを使えば管理策は実現できると当初考えていたことの中には、実際には実現できないことがあとで分かったものもあり、自身の能力を過信せず、不足しているリソースをより的確に見極める必要があったことも反省点です。
一部当初想定外のことはあったものの、全体として、予定スケジュール内に許容範囲なコストで取得審査を終えることができました。また、弊社はセキュリティ領域のスタートアップということもあり、CxOや他の社内メンバー始め、セキュリティへ理解が高いメンバーが多く、そういった点は進める上でのアドバンテージになったかと思います。この場を借りて、協力いただいた社内メンバーに御礼ができればと思います。
SaaS事業者、特にスタートアップ企業は、ISMS認証を取得することで業務負担が増えるデメリットを感じやすいのですが、SaaS事業者がISMSを取得することで、取引先、特に大企業を取引先とする場合に一定のセキュリティレベルが確保されていることを示せるというメリットがあります。
ですので、スタートアップ企業は、成果物から逆算した効率的なISMS認証取得を達成することで、その後の事業成長において大きなアドバンテージとなります。
この記事をもとに、SaaS事業を営むスタートアップ企業が、ISMS取得においても、「業務が効率化する・なくなる気持ち良さ」を感じていただくことができれば、筆者としては幸いです。