名称未定ドキュメント"Que"

ゴーゴーカレーでロースカツビジネスルー増し頼んでキャベツを4回おかわりするブログ

ISMS取得たいへんという話

pyspa Advent Calendar 2024、2日目の記事です。

1日目は id:cco さんの 赤ちゃんが生まれてやってよかったこと・あってよかったもの - unnamed でした。

3日目は id:rokujyouhitoma さんの 情報処理安全確保支援士登録・登録後の脇道 - rokujyouhitoma's blog です。

adventar.org

ISMSをとるぞ!

ぼちぼち転職して1年になります。会社もめでたく9月で設立1周年を迎えました。 社員番号2番で入社したのですが、ぼちぼち会社の人数も30人くらいになって、すごく会社っぽくなってきました。 とはいえ、やりたいこと、解決したい課題は山程あるけど人がぜんぜん足りたいという状況。採用につなげるための会社のブログも立ち上がったりして、私も社員紹介という形で1記事書かせてもらいました。

そんな感じで、急速に会社らしくなってきているのではありますが、会社の制度や仕組みはまだまだ作っている最中です。仕組みづくりの一環として「ISMSをとるぞ!」という事になりました。 社のブログで、私の仕事のうちの40%くらいは情シス作業につかっていると書いたのですが、さらにその半分くらいはこのISMS取得に時間をかけました。

情報系の会社にお勤めの皆さんはISMSは聞いたことあったり、年一で研修を受けたりしていると思います。 まぁ、でも、実際のところ「やれ」と言われて研修を受けたりしている程度で、どういう資格なのか、どうやって認証を受けるのかなどはほとんどの人が知らないのではないでしょうか。

今回、会社でISMSの認証取得のため、主担当として作業をしてきた経験をここで紹介したいと思います。

まだ、認証は取れていなくて1月に第2回の審査を受ける予定なので、それが終わるまでは気が抜けない毎日です……。

ISMSとは

ISMS (Information Security Management System / 情報セキュリティマネジメントシステム) とは JIS Q 27001 という規格に定められた、企業における総合的な情報セキュリティの管理運用体制に関する認証資格です。

情報マネジメントシステム認定センターの説明を引用します。

近年、ITシステムやネットワークは社会インフラとして不可欠なものとなっているが、一方で標的型攻撃やランサムウェアなどによる被害・影響も多発している。こうした中、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。

ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。

ここでいう情報セキュリティとは、例えば以下のようなものがあります。

  • 会社のパソコンの管理方法
  • オフィスへの入室の方法
  • USBメモリの管理方法
  • サーバのログの管理方法
  • などなど

というような感じで、非常に広い範囲のセキュリティの話をしています。

さらに、やり方を決めて終わりではなく、「決めたことが有効に作用しているか」「新たなリスクはないか」「実情にあってないものがないか」などを洗い出し、改善していく、PDCAの回し方自体もISMSの中で取り決めていきます。

つまり、ISMSは取得がゴールではなく、取得したら常にPDCAを回して洗練してくことが求められる、結構ハードな認証資格なのです。

ISMSはどうやって取得するの?

ISMSの取得は認証機関による審査を受け、それに合格する必要があります。しかし、まぁ、30人くらいしかいない会社にISMSの規格について熟知している人がいようはずもありません。全て自分たちで準備して認証を受けるなど不可能です。 当社の法務担当は弁護士資格をもった弁護士なのですが、弁護士のパワーを持ってしても独力での取得は不可能です。

というわけで、ISMSの取得のコンサル会社があり、そこに支援をお願いすることにしました。

私達がお願いしたコンサル会社では、ISMSの取得に必要なドキュメントの雛形が一揃用意してあり、それを当社に合わせた形でカスタマイズしていく……というのがISMS取得までの作業です。

当社の場合、基本的には3つの文書を中心にISMSを構築していきました。「セキュリティハンドブック」「情報セキュリティマニュアル」「マネジメントシステムマニュアル」の3つです。

なぁんだ3つだけか、簡単やんと思ったら大間違い。これらに付随して、例えば「アカウント管理表」「USBメモリ貸出台帳」「情報資産管理台帳」などなどの様々な台帳やドキュメントの整備がやってきます。また、これらで決めたことを全社に普及させていく必要もあり、この普及、教育が一番頭を悩ませる部分となるのでした。

基本の3文書をつくるのが大変だった……。

基本の3文章はそれぞれ、表紙や目次もいれて20ページにもみたない分量なのですが、これを作るのが大変でした。

雛形を元に、コンサルの方を毎週読み合わせを行いながら、当社とマッチしない部分を当社のものに書き換え、実際に運用できそうかを検討する……。ということを延々とやっていました。雛形自体がオンプレのサーバを持っていることが前提になっていたり、いま当社が入居しているWeWorkのようなシェアオフィスを想定していなかったりするので、そういった部分を適切な形に書き換えたり。オフィスの要件として監視カメラの設置や入退室の履歴、非常食の備蓄などについての記述があったりするのですが、そういった部分は持ち帰ってWeWorkのコミュニティマネージャーに問い合わせたりすることもありました。(WeWorkは慣れたもので「ISMSの取得で……」というと必要な情報をぽんぽんだしてくれて非常に助かりました)

基本の3文書も「こうしなさい」というわけではなくて「あなたの会社にあった方法に書き換えてください」というものだったので、非常に柔軟にできたのは良かったです。

よく「会社の決まりでこうなってるから〜〜」と、不合理な作業をしないといけないことになるという話は耳にしますが、ある程度の"幅"をもって運用で柔軟に対処できるような取り決めになったのではないかなぁと思っています。

広めるのが大変

さて、文書が完成し、ISMSの体制が整ったら、次はこれを広める作業です。これは正直、うまくいってない。

普段仕事をする上で知っておかなければならないルールや決まり、連絡先などは「セキュリティハンドブック」にまとめてあります。14ページ程度のドキュメントです。 最初はこれをパワポに内容まとめて会社に発出しようかとおもったのですが、14ページといっても見出しとかが多くて文章は少ないし、このまま出してええやろと思って「読んでおいてね」でアナウンスしました。

が、これ多分、ほとんどの人が読んでねぇや……。

やはり、文字がたくさん書いてあるPDFなんてどんなに内容が薄くて簡単でも誰も読まん。面倒でもイラストやのイラストをふんだんに使ってパワポにまとめて発出しないと誰も読んでくれない。

がんばって作ったものを誰も読んでくれないのは悲しい……。ましてや今後これを運用して、より洗練させていく必要があるわけです。

読め! という業務命令を無視してるやつが悪いということは簡単ですが、伝える努力を怠った私の落ち度も大きい。ちゃんと広め、伝えていく、これは今後の課題です。

とはいえ、1月には第2段階審査が待ち受けており、そこでは偉い人なんかも審査対象なので、偉い人向けに噛み砕いたわかりやすい資料をさっさと作らねばならない……。

審査が大変!

すでに第一段階審査は終了し、こちらは軽微な指摘事項だけでなんとかパスしました。

審査員は初老の感じのいい紳士でもとは銀行でシステム周りをやられていたという方でした (フラグ)

第一段階審査は、こちらが準備したドキュメントが規格を満たしているかどうかを確認していきます。規格の番号とそれに対応するドキュメントを、一つづつ確認していくという作業です。

その中で、システム運用にまつわる項目を審査しているときに

  • 審査員「運用と開発は明確に分けなくていいのですか?」
  • hidesuke「いまはDevOpsという考え方があって」
  • 審査員「ライブラリアンなどは置かないのですか?」
 _人人人人人人人人人_
 > ライブラリアン <
 ï¿£Y^Y^Y^Y^Y^Y^Y^Y^Y^ï¿£

私が社会人になった20年前にはすでにほぼ絶滅していた職業の名前をまさか審査のなかで「置かないか?」と提案されるとは思ってもみませんでした。やー、歴史ですね。

運用が大変

まとめ

というわけで、ISMSの準備という稀有な経験をしたのでここで紹介しました。

大変ではあったのだけれども、いろいろ必要な"決め"が足りていないできたばっかりので会社で、情報セキュリティに関するルールや考え方が急速に整備できたので、ISMSの取得というのはよかったと思います。自前でここまでのことをするのはなかなかに難しいし、一部考え方が古くなっている部分はあるにせよ、規格化されているので、論点はよく整備されており、高速に仕組みをつくるのには丁度よかったと思います。

最後に宣伝ですが、まだまだやらないといけないことはなんでもやるフェーズの当社、全職種積極採用中です。

社会課題の解決に興味のある方は是非お声掛けください! もちろん、カジュアル面談からやっています!

Theoria technologies | 認知症との向き合い方を、テクノロジーで変えていく。

是非、お問い合わせください!

www.youtube.com

それでは、よい年末を