こんにちわ @kotetsu-sr です。
本業はサービス開発者なのですが、ここ1年半くらいはその傍ら社内システムやセキュリティ管理にも携わってきました。社員数100名未満くらいの中小企業の場合、開発者が本業の傍ら社内システムやセキュリティのお守りをすることが多いと思いますが、弊社も例に漏れずそのパターンでした。そんな中、2020年5月からISMS(情報セキュリティマネジメントシステム)認証の取得に向けてプロジェクトチームを組織し、2021年1月にISMS認証を取得しました。認証取得だけでなく社内のセキュリティレベルの向上やシステム環境の改善など、諸々メリットはあったので2年目の継続審査を前にして、これまでを振り返っておきたいと思います。
SaaSを利用したISMS構築
社内に認証取得ノウハウがない場合、多くは専門のコンサルティング会社にお手伝いしてもらうことが多いと思います。いずれもISMSの認証を取得するための Word や Excel ベースのドキュメントのテンプレートがあり、コンサルタントのアドバイスを受けながら自社に合わせた形でそれを編集する形になるようでした。認証取得までは良いかもしれませんが「ドキュメントの保守運用が大変になりそう」というのが正直な感想でした。だからといって、Git で MarkDown 形式のドキュメントを管理して...みたいなことはエンジニア以外にはハードルが高いので、あまり現実的ではありません。そんなときにISMSについて検索していて、たまたま目にはいったのが SecureNavi という ISMS 認証の取得を支援してくれる SaaS でした。文書のバージョン管理などもこのサービスの中で完結できるので、Word / Excel での苦行を強いられるのよりは良さそうくらいの気持ちでコンタクトを取って話を聞いたところ、自社で SaaS 型でサービスを提供している我々とも相性が良さそうなので、プロジェクトメンバーで話し合って早速導入を決定しました。先日インタビュー記事が公開されたので興味のある方はどうぞ。
全社の情報セキュリティに対する主体性が向上
SecureNavi を選択したことでまずはプロジェクトメンバーが主体的にならなくては物事が進まないため半ば強制的に主体性を持って活動しました。プロジェクトメンバーが定期的に全社へ情報発信することにより、全従業員への情報セキュリティの意識付けができ、セキュリティに関する質問や相談が増えました。またセキュリティインシデントが発生しても、それを隠すことなく報告できるような空気感になってきたと思います。このように SecureNavi 上でインシデントの管理から、是正処置の管理などを元に改善活動を行っています。
各種システムや機器の運用改善が捗るようになった
情報資産を起点にリスクアセスメントとリスク対応を計画することで、対応前後のリスクレベルが可視化することができるようになっています。これにより、これまで不安や不便を感じつつも利用していたシステムの改善も、優先度と具体的な対応計画を明確にして実行することができました。
実際には NAS を廃止してクラウドストレージでファイルを管理を統一したり、Slack の運用ルールを定めるなどを行ってきました。利便性を極力落とさず、セキュリティを考慮した運用するにはそれなりに一筋縄ではいかない部分はあったので、それはまた別記事で紹介したいと思います。