こんにちは、VPoP（ぶいぴーおーぴー）の片田です。

先日、homie株式会社ではISMS認証の取得をしました。

今回はその取り組みの過程の中で見えた、個人的にやってて良かったポイント・こうしてたら良かったポイントを紹介していこうと思います。

 はじめに

homie株式会社ではサービスの性質上、個人情報を扱わさせていただく機会が多く、セキュリティに関しては立ち上げ当初から最重要視してきました。

ISMS取得以前から、システムのセキュリティには最善の注意を払い、オフィスなどの物理的な環境もセキュアにするなどの対策を練ってきましたが、多くのクライアント様に弊社のサービス「HOTLEAD」を導入をしていただけるようになり、ISMS認証等で強固なセキュリティ体制を示せることがより一層求められてきました。

そのような経緯もあり、昨年2021年の8月にセキュリティ認証を取得する意思決定を行い、全社を挙げてセキュリティ体制の整備を行っていくことになったのです。

ISMSとは

ISMS（情報セキュリティマネジメントシステム）とは、組織に必要なセキュリティ基準を定め、情報の機密性・完全性・可用性を管理し、運用する（また、そのシステムが有効に働いているかを認定する）ことです。

つまり簡単に言い表すと、その組織のセキュリティ体制がルール通りしっかり運用できているかの認証です。
ISMSはISO27001という規格で、文字通りISO（International Organization for Standardization; 国際標準化機構）という組織が定めている認証になるので、国際的に認定されることになります。

他にも似たようなものに、プライバシーマーク（Pマーク）がありますが、こちらは日本国内でのみ有効な認証となり、ISMSの定めている認証基準とも多少なりとも異なるようです。（あまり詳しくありませんが）

やってて良かったポイント

ここからは認証取得の取り組みの前や取り組みの中でやってて良かったことを紹介していきます。
認証取得まで手が出なくとも、こうしたポイントを日々気にしておくと、いざ取得するとなった時に少なからずプラスに働くかと思いますので、ぜひ参考にしてみてください。

1. 認証取得前からセキュリティには注意を払う

「はじめに」でも書いている通り、homieでは認証取得以前からセキュリティには細心の注意を払っていました。当然といえば当然なのですが、そうした日々のセキュリティに対する関心が今回はポジティブに働いたと思っています。

書類やフォルダは整理しておく
契約書類や仕様書類などは、どの会社でも必ず発生してしまうと思います。
紙であれば、重要書類はフォルダに整理して鍵付きキャビネットに収納しておく、いらない書類はPDF化してシュレッダーで破棄しておくなどのルールを決めておくのがベターです。

homieでは部門毎にではありますが、暗黙的に書類の取り扱いがルール化されていたので、このルールを全社的に統一する作業だけで事足りました。
これが仮に何も決まっておらず、書類をかき集めて、ゼロベースでルール化する必要があったら…と思うとゾッとするので、ある程度はルール決めをしておいた方が良いかと思います。

データは電子で持っておく
これに関しては、運が良かったというか、たまたまITの会社だったので、ほとんどのデータを電子化して保管することを徹底していました。
homieでは元々、Google Driveに権限を分けて電子データを保管していたので、より詳細にフォルダ切りを行い、そのフォルダ毎に適切な権限管理を徹底するだけで作業が終了しました。

紙のデータでもきちんとフォルダ分けして、キャビネットキーの権限管理を徹底していれば問題ないと思うのですが、電子データで持っておくと、書類整理が必要なタイミングでもドラッグ＆ドロップ程度で済むのでおすすめです。

システムの運用・保守
HOTLEADのコンポーネントは全てAWS上でマイクロサービス化されており、ソースコードはGithub上で管理されています。
なので、基本的にはAWSやGithubが推奨している運用に従ってシステム開発を行っていたため、システム周りでの大きな指摘は特にありませんでした。

ただし、オンプレ運用やレガシーなコードを運用している会社は多少注意した方が良いかもしれません。
というのも、システムでは重要なデータを扱う機会が多いので、他の部門に比べるとツッコミは多かったので、セキュリティ懸念のあるシステムだと指摘される可能性は高いと思います。

homieの場合、指摘が入らなかったので難なくクリアしましたが、システムで指摘が入ると開発工数がかかってしまい、認証取得時期が延びる可能性も出てくると思うので、注意が必要かと思います。

2. 主導して動くセキュリティ責任者を1人決める

今回、セキュリティ責任者は私自身が担当しましたが、各所問い合わせから文書作成まで一貫して作業することになりました。

正直、文書の作成等はかなり大変だったのですが、取り組みを始める早い段階から私が責任者となり、単独で物事をゴリゴリ進められたのはかなり有効だったと感じています。
また、全社的にルール化を行う必要があり、基本的には意思決定の連続なので、誰かしら意思決定者が存在していないと、何も進まない状態になってしまうのは想像に容易いです。

ISMS内でも「情報セキュリティ責任者」という役割の規定がありますが、その前段階から取り組みの責任者は決めておいた方がより良いと思います。

3. 各部門の担当者を決める

セキュリティ責任者を決めることも重要ですが、各部門の担当者を決めることも同じぐらい重要でした。そして、私の立場からするとすごく助かりました。
私自身、homie立ち上げから関わっているものの、それぞれの部門の詳細な運用方法はサービス開始からまだ一年くらいなのにもかかわらず、わからない部分がとても多くなっていました。

そのため各部門から一人だけ担当者を選出し、その部門に関する作業をすべてお願いしました。
その結果、私自身が分からない部分もかなりスムーズに作業完了することができました。

ISMSでも、部門毎に担当者を決めるなどの分業体制（マネージメント体制）を確立することも目的の一つとされているので、その点も踏まえて選出すると良いかもしれません。

こうしてたら良かったポイント

ここからは、やってて良かったポイントと対比して、もっとこうしてたら良かったと思ったことを紹介します。
あくまで私個人の考えも盛り込んでいますが、弊社で失敗したポイントが少しでも参考になればと思います。

1.「ルールでガチガチになる」という思い過ごしを捨てる

ISMSの取り組みを始める以前は、「ルールでガチガチになるから考えた方がいいよ」というお話をよく耳にしました。
そのような第三者からの声も踏まえ、homieでは認証取得の話が出てから半年ほど寝かせてたという経緯があります。

確かに書類作成してルールをまとめていくこと自体への大変さはありました。
しかし、私個人の考えとしては、「ルールでガチガチになる」という点は些か過度な表現だったと感じています。
ISMS認証取得に向けて取り組んだ内容としては、「重要な情報を扱う会社（法人）として自明でやらなければならないセキュリティ関連の事項を明文化して徹底する」作業なので、むしろやっていない状態の方が問題があると思います。（もちろん、認証取得はせずともルール明文化・徹底している会社は素晴らしいと思いますが）
また、会社毎に同じルールを適用しなければならないという話では全くないので、その会社毎に適切なルールを明文化し徹底するという観点でも何も問題はないと思います。

また、認証取得の取り組みを通じて、暗黙的にやっていることが会社として共通認識を持てるようになったことも、以前にはない大きなメリットだと感じています。

2. 早めから始める

ISMS取得に向けての作業は大きく分けて二つあります。
一つ目は、これまで何度も登場した「社内ルールの明文化と徹底」（主に書類作成）。
二つ目が、「社内ルールが正しく運用されているか」審査を受けることです。
一つ目に関しては、各々の会社内で書類作成を進めていけば問題ないのですが、二つ目に関しては、審査機関に日程を調整していただく必要があります。
今回homieでは、8月頃に認証機関にお話をさせていただいて、最速で調整していただいた結果、最終審査までに約4ヶ月間かかりました。（恐らく早い方だと思います）

多くのスタートアップの場合、クライアント様からISMS認証取得が求められ始めてそこから約4ヶ月経つと、より多くのクライアント様から要望をいただくことになります。
弊社でも多くのクライアント様にお待ちいただく結果となってしまいました。
今ではもっと早くから取り組みを開始していれば良かったと思っています。

おそらく、スタートアップのスピード感だと「うちの会社は今後認証必要かもな」って思ったタイミングで始めるぐらいが丁度良いのではないかと思います。

おわりに

今回はhomie株式会社でのISMS認証取得に向けての取り組みの一部を紹介させていただきました。
短期間での取得を目指したため、かなりみっちり取り組むことになり、私自身セキュリティについて深く考える4ヶ月間となりました。
ISMSの基準はクリアすることができましたが、まだまだ突き詰めるべきことは多いと感じていますし、今後も持続的にセキュリティ強化を行なっていこうと思います。
また、この記事が少しでも認証取得で悩んでいる方への参考になればと思います。