「本当に私に出来るのだろうかという不安は、専門家とメンバーの協力が解消してくれました」ISMS取得までの道のり

2020年11月にBaseconnectはISO27001（以下ISMS）を取得しました。そこでプロジェクトを担当したコーポレートチームの小引さんにインタビューを実施。情報セキュリティ領域分野に未経験の状態から挑戦し、そこからどのように社内メンバーを巻き込みながら取得まで至ったのかを聞いてみました。

小引 友理　コーポレート チーム 労務担当　
立命館大学法学部出身。新卒で三菱東京UFJ銀行に入行。その後、事業会社の会計・経理等の知識を深めるため、監査法人トーマツに入社。数多くの企業の経理業務を担当する。2020年に労務担当としてBaseconnect株式会社に入社。

ISMS取得までのスケジュール
2～3月…検討開始・コンサルティング会社選定
4～6月…書類作成・現場担当者へのヒアリング
7～9月上旬…「社内セキュリティ研修」を実施
9月上旬～10月…審査
11月…ISMSの認定を取得

分からないことが分からない状態からのスタート

今回、ISMS取得を目指すことになったきっかけは、社外からセキュリティヒアリングシートに対する回答依頼が来ることが増えていて、その回答はISMSを取得していたら、全て網羅できるものだったからです。また、会社としてもお客様からお預かりした大切な情報を守るために、セキュリテイ体制の強化を最優先事項と捉えており、整備が必要なタイミングでした。

ISO27001（ISMS認証）とは
「情報セキュリティマネジメントシステム」とも呼ばれている、情報セキュリティに関する国際規格の1つ。取得する際には、日本情報経済社会推進協会によって認定された第三者機関からの審査で、審査条件を満たす必要がある。ISMS認証は、情報セキュリティに関するルールが整備および実施されつづけていることを確認するため、3年に1度継続的に審査を受ける。

最初プロジェクトリーダーを任されたとき、未経験だったこともあって「大役の責任を果たせるのだろうか......。」という気持ちで一杯でした。とにかく情報セキュリティに関わる書籍をたくさん読んで、インターネットでも検索をして調べていると、コンサルティング会社に依頼をして伴走してもらいながら準備を進めるのが良いということを知ったんです。

そこで、まずはコンサルティング会社を選定することからスタートしました。必要なサポートが受けられて、予算にあったサービスを提供している会社を探していて、Googleドライブや、チャットツールであるSlackを使用している会社であれば、ITスタートアップ企業との相性が良いのではないかと感じました。またBaseconnectと同じコミュニケーションツールを使っていれば、社内の関係者への情報共有もスムーズに行えるのではないかと選択の決め手になりました。

やるならば最短での取得を目指したい

お願いするコンサルティング会社が決まってからは、担当者の方に指導してもらいながら、一緒に下記のような準備を進めていました。そして、担当の方から「最短で取得できるのは半年です。」という言葉を聞いて、せっかく取得を目指すならば、半年を目指そうと思ったんです。その時に今の自分に出来ることからどんどん行動して前に進めていくんだと覚悟が決まったことを覚えています。

準備段階にしたこと

1.雛形を元に全社の情報資産を洗い出す。各チームにヒアリングを実施。
2.洗い出した情報資産に対して、それぞれ情報セキュリティの観点からリスクを一覧にした管理表を作成。
3.セキュリティに関する会社としての基本方針や、情報管理の方法、問題が発生したときの対応方法などをまとめたハンドブックを作成。
4.全社共通のセキュリティソフトの導入、社内セキュリティ研修の実施。

こうした準備を行いながら最も不安に感じたのは、今後も社内の状況は変化していくという前提に立った時、会社の情報資産をきちんと網羅し続けて、リスク管理まで出来るのかということでした。日々の業務が各チームごとに異なる中で、私1人で隅々まで把握して管理することは難しいと感じたんです。このままではISMS認証の取得は出来ても、継続的に上手く運用が出来ないと思いました。

メンバーとの信頼関係が何よりの支えに

そこで、現場の各部門毎にセキュリティ担当者の役割を担ってくれるメンバーを募り、担当者同士がチームごとのリスク対応状況を共有し合う「情報セキュリティ委員会」という場を定期的に設定することにしました。メンバーが現場のことを1番理解していると感じていたので、そのメンバーがセキュリティ担当者を担ってくれたことで信頼して任せることが出来たんです。

各部門のセキュリティ担当者の役割
情報資産の増減に応じて都度リスクを洗い出し、一覧として書き出した管理シートを更新する。日々の業務の中で、リスクやセキュリティに対して常にアンテナを高く張ってもらう。

その結果、各部門のセキュリティ担当者が責任の重みをしっかりと受けとめて、私では気付けなかったリスクを指摘してくれるなど、積極的に意見をくれたことがとても嬉しかったです。また、チームに相談が必要になった時に、聞く人が明確になったことで、コミュニケーションや連携がスムーズに取れるようになりました。

審査は2回に分けて実施されるのですが、第1段階審査は初めて審査員の方を迎えることになり、質問されたことに対して受け答えをしながらとても緊張したのを覚えています。いよいよ最終の第2段階審査の前日は、出来ることは全てやったと自分に言い聞かせながら、頑張ってくれた各チームのセキュリティ担当者の顔を思い浮かべていましたが、夜は寝られませんでした。(笑)

審査終了後、審査員の方から認定をいただけたときの達成感は今でも忘れられないですし、半年という最短期間での取得を実現できたのは、自分1人ではなくメンバーの皆と力を合わせたおかげだと心から感じています。

Baseconnectには「情報はオープンにして共有する」という文化があるのですが、今回のISMS取得を通して「情報を隠すのではなく、見るべき人が見れるようにする」というかたちで整備し直すことが出来ました。大切な情報資産を守るという観点から、お客様からお預かりした情報など徹底して管理しながらも、事業戦略や会社としての方針、今チームでどんな議論が行われているかなどは社内のチャットツールやドキュメント管理ツールを通して、メンバーはいつでも知ることが出来ます。今後も大切な情報を守るためセキュリテイを最優先事項として捉えて、日々改善に取り組んでいきたいと思います。