株式会社レヴィ ブログ

システムデザインで価値を生み出す、株式会社レヴィの公式ブログです。

祝! ISMS取得企業となりました。

こんにちは、セキュリティロールの幸田です。最近は蒸し暑い日が続きますね、私は先月まで生活拠点がトルコにあったため日本の気候にはほとほと参っているところです。。 夏は諦めるとして、日本のつらくてかゆい花粉の時期は地中海性気候の中、快適に過ごしておりました。中東への疎開、とりわけ花粉症で悩む皆様にはおすすめのライフハックです。

さて、レヴィメンバーにはこの様に海外から参加しているメンバーが数名在籍しているため、 リモートでも研修をこなせるようにクラウドを大活用して業務に取組んでいます。アクセス範囲を制限し、お客様の情報を厳格に取り扱っておりますが、外から見える指標がなかったことからこの度、ISMS 認証(ISO27001)を取得しました。

ISMSといえばセキュリティに関する仕組みですが、最近はビックネームな組織の情報漏洩がニュースで目立ちます。どの企業様も情報セキュリティへの関心が非常に高まったのではないでしょうか。 また、パートナーへの依頼や SaaS を利用するときも本当に情報を預けて大丈夫なのか...?と判断の指標に迷うことが多くなることかと思います。

そんな SaaS のサービスである Balus を提供するレヴィではどのように情報資産を守っているか、クラウドを多用しているベンチャーがどのように情報資産の管理を行なっているのか、今回のブログでは紹介していきたいと考えています。

情報資産の扱い方

情報資産とは組織で扱う様々な要素を指します(電子データや書類等)。 レヴィでは Google Drive など、殆どがクラウドに保存したデータであるため、業務に携わるメンバー全てにアカウントを発行した上でアクセス制限をしています。業務に関係のないデータはセキュリティ担当の私ですら閲覧できないほどです。

一方で、企業ではどうしても契約書などの紙媒体の資料も存在します。そういったアンチ SDGs な情報資産は施錠可能なキャビネットにより一ヶ所で保管しています。 その上でキャビネット自体は人事労務、経営に携わる人間のみ鍵を扱える様にしています。

また、社内の情報を全てリスト化して把握するのは大変なので、どの情報を誰が扱えるべきなのか、ロールを分断するべき情報であるのかはモデリングをして認識を合わせました。下の図をみていただければわかる通り、Balus と情報資産管理は非常に相性が良いです。

情報資産管理モデリング
情報資産管理モデリング

ISMS を取得するために取り組んだこと。

ISMS 取得企業になるために、以下の様な順序で取り組みました。

  1. 情報資産の洗い出し
  2. リスク値の算定
  3. 情報セキュリティ対策(社内ルール)の策定

おおよそ、取得までに 5 ヶ月を要しました。 それぞれのフェーズで社内の各業務を監督するメンバーを招集し通常業務の傍ら、ヒアリングを行いました。情報セキュリティのルール策定といえば、組織では嫌われる職務になりがちですが、レヴィメンバーは全員が「セキュリティに対して圧倒的当事者であれ」というマインドを持っていたために非常に首尾よく進みました。

さらに、ISMS 認証を取得するにあたり ISO27001 運用支援コンサルも依頼しました。 レヴィ内には、ISMS 運用経験を持つメンバーが在籍していたものの、認証取得自体は初めての経験なので依頼して正解でした。

ISO27001 の運用支援を依頼したメリットも挙げておきます。

  1. 外部からみた組織の課題に気づけた。
  2. 情報資産を管理するためのモデルケースを知ることができた。
  3. ISMS を取得できるという安心感を得た。

1,2 については、社内の情報資産管理について手探りで運用していた部分がありましたが、運用支援のプロに相談することでコストの少ない手段へ変更できました。 3 について誤解を恐れずに言うと、コンサルの言う通りにすることで ISMS 認証が取得できます。IS027001 の要項について、満たすべき物のフォーマットを提示してくれるため、案内に従いつつレヴィ内の業務を阻害しない仕組み作りに注力できました。

ISMS 取得企業になるために大事なこと

ISMS取得を目指すときに大事なことをお伝えします。月並みですが全社員に浸透させることが重要です。情報セキュリティ担当だけが理解していればいい訳ではありませんので、組織全体を巻き込むにはどうしたら良いか、多くのセキュリティ担当者が頭を抱える部分であるかと思います。 レヴィの場合は、全員が情報資産の取り扱い、とりわけセキュリティ意識を高めてもらうためにモデリングを行いました。 特に、二次審査の時には各部門向けへのヒアリングもあるため、責任者にはより時間をかけてモデリングを定期的に実施しました。この際もモデリングを行いながら組織を巻き込むことに成功しています。

二次審査の流れ
二次審査の流れ

まとめ

以前より情報資産においては厳格な取り扱いをしておりましたが、この度第三者機関より ISO27001 準拠企業とのお墨付きを頂戴しました。

今後も弊社営業は大手を振ってお客様の情報を扱うに相応しい法人格ですよというアピールをしていきますので、レヴィに携わる皆様も安心して個人情報をお預けくださいませ。

エンジニアの幸田将司です。レヴィのセキュリティを担当しています。
エンジニアの幸田将司です。レヴィのセキュリティを担当しています。