コードタクトでは、創業当初からリモートワークを前提とした組織づくりをしていたことから、情報セキュリティ対策は最優先で取り組んできました。リモートであってもオフィス同等の安全なセキュリティ環境で作業ができるよう仕組みを整えてきたので、セキュリティマネジメントはかなり進んでいると社外からの評価をいただいていました。
今回は、そんなコードタクトでISMS認証を取得するまでの背景と現在の取り組みについて、ご紹介したいと思います。
ISMS取得前の社内環境
新しく入社した人は、基本リモートワークとなるため、入社初日から一度もオフィスへ出社することなくリモートで勤務をスタートすることがほとんどです。そのため、入社前の契約書のやりとりや入社手続きはクラウドサービスを活用しています。
また、入社後の各種IDやアクセス管理については、クラウドID管理サービスを導入しており、業務を行う際には必ずこのサービスからシングルサインオンによりアプリケーションにアクセスする必要があります。これを行うことで、不正アクセスやデータ漏洩のリスクを減らし、リモート環境においても、社内のネットワークやアプリケーション、ドキュメント、データなどのリソースへ安全にアクセスすることが可能になります。社内のセキュリティをリスクにさらすことなく、業務を行うことができる状態です。
新型コロナウイルスの流行に伴い、多くの企業がリモート勤務への移行に戸惑う中でも、当社では一定程度以上のセキュリティやリモート勤務での体制ができていました。そのため、働き方自体の大きな変化はなく、社内のセキュリティ面でも心配はいりませんでした。
ISMS取得の背景
上記のように、社内では既に一定程度のセキュリティ体制は整っていたものの、学校ではGIGAスクール構想やコロナの影響によるICTを活用した授業の普及が進み、企業でもオンライン研修が増加する中で、当社が提供するサービスであるスクールタクト/チームタクトをユーザーの皆様に安心して利用していただくために、第三者機関による認証を取得する流れとなりました。当社のサービスでは個人情報の取り扱いを制限していることから、個人情報を取り扱うプライバシーマークではなく、情報資産全体への適切な対策が取られていることを証明するISMS認証の取得を目指すこととなりました。
ISMSとは…
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。
引用:https://isms.jp/isms/index.html
一般的に、ISMS認証を取得することで、得られるメリットは大きく3つあります。
1、社内にあるデータの有効活用や作業効率を改善し、情報資産の適切な管理を行うことが可能
2、セキュリティ効率の改善を行い、リスクアセスメントを実施
3、社員の情報保護意識の向上や事業継続性の向上を促進し、セキュリティリスクを低減させることが可能
当社では、社内でのセキュリティ対策が取れていたことから、既に行われていた対策や対応を第三者機関に認証してもらうことで、現在サービスを利用しているユーザーやこれから使用を予定しているユーザーがより安心してサービスを利用することができるメリットがありました。
取得に向けた活動
2021年秋から取得に向けて、社内の整備を始めました。ISMS事務局を設け、部門別の管理者や体制の構築、情報資産のリスト化、個人情報取扱い業務の把握、規程類の整備などがありました。
具体的には、「そもそも情報資産とは何を指すのか」ということを明確にし、社内にある情報資産を洗い出しました。例えば、見積や受注情報、契約書などの取引情報、パソコンなどのハードウェアやWebアプリなどのソフトウェア、会社が保有し使用している設備、要員などがあります。洗い出してみると、想定よりも多くの情報資産を社内に保有していることを事務局側で改めて認識することができました。それらの資産が、それぞれ適切な場所に保存され、アクセスできる人が適切かどうかなどを確認するのですが、元々セキュリティ対策がなされた状態であっても、1つ1つの情報を確認していくことはかなりの時間を要しました。
規程についても、既に社内で取り組んでいることやメンバーが当たり前に行っていることであっても文字に起こし、実際の運用に合うよう見直しと修正を繰り返し行いました。
2回の審査を実施
審査は、全2回行われました。審査員より規程の確認をはじめ、実際の運用に関することや管理方法の確認など細かくヒアリングが行われました。1回目の審査では、大きな指摘事項はなく、実際の運用に見合った規程の微修正や不要な記載の削除などのみで終了することができました。
審査期間中には、エンドポイントセキュリティサービスの導入を開始していましたが、それをさらに強化するためにMDM(Mobile Device Management)の導入を追加し、ネットワーク上の悪意や不正を検知して取り締まることだけでなく、情報端末そのものを守ることが可能な体制を構築しました。他にも、既に社内で利用していたサービスを活用して、ワークフローの整備を行うなど実際の運用面での整備も進みました。
2回目の審査では、前回の審査での指摘事項がきちんと修正・対応がされているのか、規程に則した運用がされているのかという確認が行われました。2回目の審査でも、大きな指摘事項はなく、ドキュメントやスプレッドシートでの資産管理を、業務改善サービスの活用に変更し、ISMSオートメーションツールを導入し役割管理や法規制管理を行っていることを、審査員から先進的な取り組みとして評価していただく場面もありました。
*プレスリリース
*関連記事
PR TIMES
ReseEd
ISMS取得後の体制について
ISMS事務局で事前準備を万全に行い、さらに全社的な協力もあり、無事ISMS認証が取得できました。これにより、情報資産管理の安全性が対外的に証明されたので、ユーザーの皆様により安心感を持ってサービスをご利用いただけることとなりました。
しかし、ISMSは認証を取得して終了ではありません。セキュリティマネジメントを継続していくことが重要であり、毎年行われる審査に問題なく通過できるようより良い体制作りが必要です。社内の情報資産を適切に管理していきながら、全てのユーザーが安心できるサービスの提供を行っていきたいと思います。
規程では、メンバーへの年に1回のISMSに関する教育が定められていますが、当社では必要に応じて社内研修の実施やチーム内でセキュリティに関する勉強会などを行っています。今後もメンバーのセキュリティ意識を高めていきたいと思います。
また、ISMSの取得と並行して作成していたセキュリティチェックシートも公開しました。これらの活動が、ユーザーの皆様の安心感につながるよう今後も情報セキュリティシステムの運用・管理・体制強化に努めていきたいと思います。
【参考】
◆情報セキュリティポリシー
◆個人情報保護ポリシー
◆コーポレート・プライバシーポリシー
◆利用規約
◆スクールタクト プライバシーポリシー
◆スクールタクト セキュリティチェックシート
◆チームタクト プライバシーポリシー
◆チームタクト セキュリティチェックシート
いかがでしたか?今後も社内の取り組みについてご紹介していきたいと思います。
コードタクトにご興味いただいた方は、ぜひ下記よりご応募ください!