2018年7月10日火曜日

グルージェントはなぜISO27017/ISMSクラウドセキュリティ認証を取得したのか?

先週、弊社のコーポレートサイトのニュース記事で発表させていただきましたが、グルージェントは6月にクラウドセキュリティの国際規格であるISO27017/ISMSクラウドセキュリティ(以降、ISMSクラウドセキュリティ)認証をGluegent GateならびにGluegent Flowで取得しました。 



今回は弊社がなぜISMSクラウドセキュリティ認証を取得しようとしたのか、その理由や背景をご紹介します。

ISMSクラウドセキュリティ認証取得を目指した理由

弊社が認証取得を目指した理由は色々あるのですが、大きくは以下の3点になります。
  1. 自社サービスの信頼性向上
  2. 社内のセキュリティ体制の強化
  3. 競合会社との差別化
1. 自社サービスの信頼性向上
ここ数年でクラウドサービス導入を検討する企業は増えてきています。
大企業やISMS取得企業など商談中にセキュリティチェックシートの回答が求められることが多くなってきています。
第三者機関による認証を取得しておくことで、この回答作業やお客様側の確認を省力化できることが期待されます。

2. 社内のセキュリティ体制の強化
クラウドサービスであるGluegentシリーズの提供を開始して今年で8年目になりますが、そのサービス提供に関わる開発・運用についてプロセス化している部分もあれば、少なからず人に依存してしまっている部分もありました。現在は少数精鋭としてセキュリティ意識も一定の水準をキープできていると自負しておりますが、今後企業規模を大きくしていった際に、社員増加によってセキュリティ意識や運用面での水準を一定に保つことは難しくなることも想定されます。その対策としてセキュリティポリシーやルールを会社として明確にし、意識できる体制作りが必要になってきたと考えました。

3. 競合会社との差別化

弊社が提供しているクラウドサービスは競合が多い市場ですが、機能レベルの比較だけをしようとするとユーザ視点では機能差が分かりづらいと言われることがあります。その中で、クラウドセキュリティ認証まで取得していることで国内企業の中で、差別化につながるのではないかと考えました。


ゴール設定
2017年5月頃、専門のコンサルティング会社に相談し、まずゴール設定から着手しました。2017年度のゴール設定は以下としました。
  • 1年以内にISMS/ISO27001(以降、ISMS)認証およびISMSクラウドセキュリティ認証の両取得
  • 適用範囲
ISMSクラウドセキュリティ認証を取得するためにはISMSも必要ですが、同時に取得可能であったため、同時取得を目指しました。認証対象としては、ISMS認証は全社とし、ISMSクラウドセキュリティ認証は時間的制約もあったことから、弊社の主力サービスであるGluegent GateおよびGluegent Flowの2サービスにしました。Gluegentシリーズの中でこの2サービスにした理由は弊社サービスの中でも強くセキュリティが求められているものだったため、できるだけ早く第三者機関のお墨付きを取りたかったためです。


活動内容
ゴール設定後、以下の活動を進めてまいりました。
  • ISMSクラウドセキュリティ認証に関する要求事項に対して現在行っている実施内容を整理し、その中で要求事項を満たしていない点や改善すべき点の洗い出しを実施
    • 上記で確認した課題については社内の開発およびサポート部門と協力しながら解決策を検討しつつ、改善していった。
    • 社外に公開すべき情報として対応を実施
      • 社外に向けての取り組みの1例:
        • 「情報セキュリテイ方針」ページをコーポレートサイトに新設
        • 「セキュリティに関する取り組み」についてをGluegent Gate/Gluegent Flowのマニュアルサイトに公開
  • 並行して、ISMS認証で要求される情報マネジメントシステムの構築作業
    • 各ルール作りおよびドキュメント整備
    • プロセス化および情報共有が求められる点についてはGluegentシリーズのサービスをフル活用(活用方法については後日ブログでご紹介する予定です)
  • 従業員教育への教育
    • 新たに作成した情報セキュリティ運用ガイドを徐々に浸透させていった。

審査結果と成果
2018年3月下旬に第一段階審査、4月下旬に第二段階審査を受審しました。その結果、大きな問題も特になく、6月に無事ISMS/ISMSクラウドセキュリティ認証が取得できました。
また、認証取得もさることながら、今回の活動を通じて社内におけるセキュリティ体制・ルールの土台が整備でき、かつ、社員の情報セキュリティ意識を向上させるきっかけに繋がったことも認証取得を目指した意義としては大きいと考えています。


以上、弊社がISMSクラウドセキュリティ認証取得を目指した背景や活動内容についてご紹介致しました。
ISMSクラウドセキュリティ認証はクラウドサービスの開発/運用においてセキュリティに関する弊社の取り組みが問題ないことを第三者機関により認められたことを意味しますが、その認証が取得できたから終わり、というものではありません。当然ですが、今回確立した情報セキュリティ体制や日々の運用ルール・プロセスを適切に運用していかなければ意味がありません。また、運用を進めていくにつれ、課題や不足点は必ず出てきます。これらの課題についてPDCAサイクルをきちんと回し、常に改善にしていくようにしなければならないと考えています。
なお、Gluegent GateおよびGluegent Flow以外のGluegentシリーズサービスについても次年度以降にISMSクラウドセキュリティ認証対象に含めるべく準備を進めておりますのでご期待ください。引き続き、グルージェントをよろしくお願いします。


 Gluegent Gate