ISMS取得奮闘記

こんにちは。当社の管理部門に所属している永目です。
プレスリリースの通り、弊社は2022年8月にISMSを取得いたしました。
簡単な道のりではありませんでしたが、ここでは取得までを振り返り、どのような流れを経たのか、また得られた気づきをご紹介していきます。

わたしは事務系全般に関わる業務担当として新たに入社したのですが、入社後間もなく「ISMS認証を取得せよ」といったミッションを与えられました。

当時の私は「ISMSとはなんのこと・・？」といった状態。
右も左もわからない中、新入社員として通常業務を覚えつつISMSを推進してゆくには個人の力では難しく、代表の横山と二人三脚で取得を目指すことになりました。

１．ISMSとは？取得の目的

〇ISMSとは
「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」の略。
簡単にいうと、企業や組織の情報セキュリティを管理する仕組みのことです。
ISMS は技術的な対策のみならず、人的・組織的対策についても言及されており、網羅的に定義されていることが特徴です。

〇ISMS認証を取得するためには
JISQ27001という規格の要求事項（ISMSの取得・運用の際に守るべきルールのようなもの）を適切に満たして第三者機関の審査を受けることで、ISMS認証を取得できます。

〇なぜ取得を目指すのか
入社早々聞かされたのは、「またお客さんからISMSとった？と聞かれた」とか、「これからとる、ということでしのいで何とか案件獲得できた」といった、きわどい状況だったこと。

きっかけはこれらのような顧客からの要望でしたが、顧客データを扱うソリューション企業としてセキュリティ対策を強化する必要性を感じたため取得を目指すことになりました。

２．認証取得までのステップ、審査に向けた準備（いざ取得に向けて！）

ISMS認証取得までのステップは大きく分けて以下の通りです。（引用：SecureNaVi）

〇取得方法を検討する
複数業務を並行して進めるため、時間を取られすぎることは避けたかったので、外部の力を借りることは必須でした。コンサルタントにお願いしようかと考えていた矢先に、最近はノウハウが内包されたクラウドサービスがあることを知りました。
検討の結果、「SecureNavi」というサービスを利用することに。
SecureNavi だけで ISMS の構築から文書の管理、審査までがほぼツール内で完結するので効率的に進めることができました。

〇ISMSを構築する
SecureNavi上で設定した計画に基づいて以下の作業を進め、第一次審査に臨みます。
・情報資産、組織の課題の洗い出し
・社内セキュリティのルール設定
・リスクの洗い出しと対応策（リスクアセスメント）
・委託先へのセキュリティ状況モニタリング
・社員への周知　..etc

特に社内セキュリティルールの設定は108項目もあり、ボリューム大！
それぞれの項目に対しルールを設定した上で、遵守状況をチェックし必要なものは是正するなど、準備にかなり時間を要しました。

しかし、インシデント発生時の対応やクラウドのアクセス権の管理、PCの廃棄ルールなどを明示することで
今まで曖昧だった対応が明確になりセキュリティリスクの軽減につながったと実感しています。
弊社の場合はこれらをおおよそ４ヶ月ほどかけて準備を行ってきました。

３．審査を受ける（いよいよ本番！）

初回の審査は第一段階審査と第二段階審査の2回の審査に分けて行われます。
通常、この2回の審査は、2週間〜1ヶ月程度の間を開けて設定され、審査の間に内部監査とマネジメントレビューという作業を行います。
各審査の概要は下記のとおりです。

〇第一段階審査（1日間）※１
文書確認を中心としたマネジメントシステムの構築・運用確認の審査です。
PDCAサイクルで言うと、P(計画)の部分。

〇第二段階審査（3日間）※１
構築したISMSが実際に運用されているのか、有効に機能しているのかを審査されます。つまり、きちんとルールを守っているかということを見られます。
PDCAサイクルで言うと、D(運用)、C(評価)が実施済みで、A(改善)が実施済みまたは計画をしている状態になっていることがポイントです。

審査というと一つでも欠陥があれば即失格！となるイメージがあり、不安いっぱいで当日を迎えましたが実際の審査の雰囲気は、全く想像していたものとは違っていました。
質問責めではなく、自社の事業や組織についての丁寧なインタビューを重ね、ISMS各作業における意義や目的を説明しながら有効性を確認してゆくといった流れ。
さながら業務提携を行うパートナーに自社の事業や組織を理解してもらうような、また講義を受講しているかのような時間で、審査という雰囲気は感じられず終始穏やかでした。
不完全な作業については是正対象となり「次回の審査までに改善すべきと事項」として報告されますが、審査不適合とはなりませんので、これから審査を迎える皆さんもご安心ください。
（弊社もとてもヒヤリとしました！！）

※１：日数は審査対象の規模や内容によって変動あり

４．審査を終えて

怒涛の準備～審査を終え、一か月ほどして認証を受けます。
今回審査を通して得られたことや気づきが多くありましたのでご紹介します。

〇得られたもの

個人として
ISMSを通して自社のハード・ソフト両面での理解を深められました。
入社間もない私にとっては非常に有意義で、通常業務を習得するうえで役立つ知識が多くありました。
任命頂いて感謝しています。

会社として
ISMS構築を通して自社の課題やリスクを明確化し、改善する仕組みづくりが可能になりました。
また、おそらく今後の案件獲得にもプラスになることでしょう。（このあたりは私の担当外ですが…）

〇気づき
より組織課題にフォーカスしたISMSを構築する必要があること。
ISMS担当のみでの運用では仕組みが浸透せず空回りの恐れがあるため、社員への周知や巻き込んだ運用をきちんと行う必要があること。

今回はISMSを情報セキュリティのハード側面のみで構築していましたが、組織や人的リスクからマネジメントに紐づけることで有効性がより得られる仕組みなのだと審査を経て学びました。
自社に浸透しない仕組みを構築しても、形骸化し只の作業となってしまうので要注意です。

〇意識が変わったもの
認証取得が終わりではなく、スタートであるということ。
当初は審査を通過し「認証を取得すること」が目標でした。
もちろん誤りではありませんが、ISMSを構築した後もPDCAサイクルを意識し継続すること、状況に応じてアップデートしていくことが重要だと考えるようになりました。

無事ISMS取得を果たした当社ですが、早速2年目の計画～運用を開始しております。
今後もセキュリティレベルの維持と、より良い組織づくりのためにISMSを活用しながら邁進してゆきます。
引き続きよろしくお願いいたします。