見出し画像

カミナシが早期にISMSを取得した理由

こんにちは!カスタマーサクセスの小林です。
本日、ISMS取得について発表しました。

私はカスタマーサクセスを担当しながら、カミナシの社内システム責任者としてISMS取得に関わってきたので、今回はそのことについて記事にしていきたいと思います。
これからISMSを取得しようと考えているスタートアップの方に、少しでも参考になれば嬉しいです。

ちなみに「ISMSってなぁに?」という感じの人にも分かりやすく説明をしますと、

情報セキュリティマネジメントシステム
(Information Security Management System)
組織における情報資産のセキュリティを管理するための枠組み

を指します。

この認証は、団体が定めた一定基準をクリアすることによって与えられるようなものではなく、「ISO27001」という国際規格に準拠したかたちで、自社の業務に関わるリスクを適切にマネジメントできていることを示すものとなっています。

なぜISMSの取得が必要なのか

我々が提供するカミナシのサービスは、所謂クラウドサービスです。
オンプレのシステムと異なり、カスタマーは我々が契約しているクラウドへ会社の情報を預けることになります。
そのため、クラウドを通じてお預かりする情報が、きちんと適切に管理されているということを対外的に証明する必要が出てきました。

サービスを導入する企業側は

・利用するサービスが安全かどうか
・きちんと管理されたシステムなのか
・どうやってセキュリティを担保してるか

そんなことをチェックして、安全だと思ったサービスを契約します。
よく言われる、セキュリティチェックというものです。

プロダクトの正式ローンチ以降、大手企業からの問い合わせや導入をいただいていることもあり、あわせてセキュリティチェックを受けるケースも増えてきました。
そこで、多くのカスタマーの方々に安心してもらえるよう、早い段階からISMS取得に向けて動き始めたのです。

スタートアップのISMS取得は誰が担当すべき?

これ、本当に難しい問題なんですけど・・・。
適正みたいなものはあると思うので、こういう人が向いているというのを挙げてみます。ちなみに、以下を兼ね備えた人を1人選ぶのではなく、以下の素質がある人を2人以上アサインすることが大事です。

・管理することが嫌いじゃない
・社内調整が嫌いじゃない
・セキュリティの知見が少しある

なぜ管理したり社内調整したりすることが嫌いじゃない人が必要かというと、ISMSを取得するためには少なからず社内の運用を変えたり、これまで管理していなかったことを管理する必要が出てきます。
そのため、人にお願いをしなければならない場面も増えますし、管理するということは管理がうまく行っていない場面では是正してうもらう必要があります。
ですから、そういったことが苦手という人には向いていないと言えます。

また、セキュリティの知見があった方がいいという点については、社員へのセキュリティ教育などが発生したり、セキュリティ情報を自ら取りに行ったりすることが増えるので、得意な人がいるならアサインしたほうがいいと言えます。

ちなみになぜ私がやることになったかという点については、自ら手を挙げたからです。元々わたしはネットワークエンジニアというキャリアがあり、少し前に情報セキュリティマネジメントの資格も取得してたので適性があると思ったのです(笑)

立候補した当時は、まだカミナシのプロダクトがピボットする前で、まだまだCSの業務にも余裕があった頃。
当時は兼務でもいける思ったのですが、その後CS業務がかなり多忙になり、並行して進めるのはかなりキツかったです。

それが結果的にCSチームにとって大打撃となるのですが、それはまた別のお話し。


苦労したのはツールやソフトの運用・導入ルール

画像1

いくつか苦労した点はあるのですが、今でも課題が残っていて、なおかつ苦労した話しをひとつ。

完全にスタートアップあるあるだと思いますけど、カミナシはシャドーITに陥っていて、セキュリティレベルは決して良いとは言えない状態でした。
(※シャドーITとは、どんなサービスが契約されて使われているのか誰も管理されていない、どこにも情報がまとまっていない状態のことです)

好きなツールを好きなタイミングで契約して使えるという状態は、良く言えば『効率よく業務を回すために個々に裁量がある状態』とも言えます。
ですが、裏を返すと『誰が何を使ってるか分からないし、もしかしたら悪意のあるソフトがインストールされてる可能性がある』という状態。

実際には、スタートアップの初期メンバーってITリテラシーが高いメンバーが多いので、セキュリティ的に怪しいサービスを契約して危険に晒されるケースは稀だと思います。
でも、それがずっと続いてしまうと、メンバーが増えてきた時に管理できません。

とはいえ、ツールやソフトの導入のルールをガチガチに固めてしまうと、特にエンジニアは開発スピードに影響が出てしまうのも事実です。

そのため、運用ルールを設計するときに、今のやり方を劇的に変えたりせずに、なおかつメンバーからの不満が出ないように考えるのが大変でした。

そこにプラスして、導入してるツールの情報整理も大変でした。
誰がアカウントを持っていて、誰が管理アカウントになっているのか…
それらを洗い出して、文書に落とし込むの作業に時間がかかりました。

そして、それを維持するためには、文書の更新が必要です。
Google Formで、使いたいツールやアカウント増設の申請をするとSlackに自動通知が行くように設定してみたものの、この運用も成功してるかどうかでいうと怪しい。
まだまだ課題が残ってます。


これからISMS取得を検討している方へのアドバイス

取得するためには時間もお金もかかります。
取れれば、必ず大型商談が進むとも限りません。
ISMSは規定のレベルに達してるかどうかではなく、自社で決めたルールにきちんと理由を設けて運用が出来てるか…というものを示しています。
そのため、設計したルールが運用出来ているかどうかを判定してもらうことになり、実際にカミナシは取得を決めてから10ヶ月程度の時間を要しました。

本当に今なの?
というのは考えた方がいいし、メンバー選出も考えないと確実にリソース不足に陥ります。
だいたい月に2回くらい、担当コンサルとの1日がかりのMTGがあったのですが、ルールの策定や文書の作成、文書の修正点を指摘していただいたりしながら進めていくような流れになります。

また、ISMSを取得するためには、コンサルを入れずして行うのは無理に近いです。誰にコンサルティングしてもらうか、そこは拘った方がいいなと思いました。
業務委託を請け負っている企業、顧客情報を扱う企業、オンプレの開発してる企業、SaaSの開発をしてる企業…
当然、業務内容も違うのですが、それぞれ情報セキュリティの管理も手法も異なります。
だから、自分たちの運用をなるべく変に変えずに運用設計できるよう、寄り添ってくれるコンサルタントかどうかという点もとても大事かなって思いました。

おわりに

ISMSは取得して終わりではなく、毎年監査があります。
自分たちの決めた運用がきちんと回っているか、リスクマネジメントが出来ているか。出来ていない場合、どう見直して変えていくのか。それを毎年ずっと繰り返していきます。
自社の状態に合ったセキュリティレベルで常に管理できるよう、わたしも含めてISMSに関わるメンバーみんなで頑張っていきたいと思います!

ISMSのプロジェクトが動き始めてからがけっこう忙しくて、MTGで1日が終わってしまったり、文書の作成で1日が終わってしまうような日もありました。

何事もなく無事に取得できたのは、社員みんなの協力があったからです。
本当にありがとうございました。

iOS の画像 (5)

おしまい。



サポートいただけたら泣いて喜びます。 イベントの参加費や交通費に使わせていただきます(^^)