　どうもみなさんこんにちは。株式会社イプシロンソフトウェアで代表をやっております、渡部です。弊社ではISO27001という情報セキュリティマネジメントシステム(ISMS)の国際規格の認証を通っておりまして、今日はそのあたりの話をしてみたいと思います。どっちかというとマネージャーとか経営者向けの話になっちゃいますかね。現場の人にはちょっと眠たい話にはなっちゃうかもしれませんね。かくいう私ももともとプログラマとして普通に働いておりましたので若干こういう決まりだか認証だかそういう話になってくると若干眠ｔ　ゲフンゲフン、そうですね、元々私自身もエンジニアとして働いておりましたので現場の気持ちもよく分かります、ですので働きやすい環境が整っていると思います(必死)。弊社では一緒に働いてくれる仲間を募集しておりますのでご興味がある方は一番下のリンクより是非お話を聞きに来てください。

ISO27001ってなんですか？

　ISO27001とは情報セキュリティマネジメントシステム(ISMS)について定めている国際規格で…ってもうこの話の段階でだいぶご覧になっている方は眠くなっているはずですね。ダメ、ダメ、ブラウザバックしないで、ね、ね？もうちょっと話を聞いていってください、お願いします。すっごい乱暴で雑に言っちゃえば「Pマークっぽいものの国際版みたいな感じ」です。結構違うけど。このあたりの違いも含めてご興味ある人はググって調べてみてください。

　今回は「で、ぶっちゃけISO27001って取るの大変なの？メリットってなんなの？」みたいなところに絞ってお話してみたいと思います。

ISO27001の認証通るのって大変ですか？

　ぶっちゃけた話、「まともに運用されているIT系会社なら比較的簡単に取れる」みたいな感じかなと思います。さすがに、「個人情報が入ったデータベースのダンプデータ入れたUSBメモリ持ったままはしご酒」みたいなことやってたら受からないと思いますが、まともなIT企業だったらその辺りきちんとされてるはずなので問題はないはずです。使われていないアカウントはちゃんと権限を棚卸しするとか、全員にAdministratorを割り当てないとか、OSのアップデートをきちんと行うとかそういう当たり前のことをきちんとやっていれば働き方を大きく変更することなく取れるんじゃないでしょうか。

　ただ、普通のIT企業とかでも普段あんまり意識していないポイントが認証取得には必要になってきます。そのあたりをもう少し深掘りしてご紹介できればと思います。

つらかったポイント(1) : 書類仕事がだいぶ多い

　なんといっても一番つらかったのは書類仕事が多かったことです。見たことも聞いたこともないような書類をどう書けばいいかとかさすがに分からないので、コンサルの方にヒヤリングしてもらいながら一緒に作っていくことにしました。書類を作る中で内部的な気づきも得ることができたので、まぁぶっちゃけ面倒ではありますが　実際に作ってみてよかったなと感じています。

　たとえばうちの会社とかだと、多くのIT企業がやっているように情報セキュリティポリシーとかがあって外部に公開しています。

つらかったポイント(2) : BCP

　BCPというのは事業継続計画の略称でございまして、IT関連の現場で働いていてあんまり耳にしない言葉なのではないかなと思います。例えば自然災害やテロなどが起こって事業の継続性が危ぶまれた場合に、そこからどうやって事業を復旧するかみたいな計画になります。代替えのオフィスをどうやって用意するのか、みたいな計画を用意するわけです。

　昨今ではわりとIT企業の中ではリモートワークが一般化してきましたね。弊社でもリモートワークのための内部規定みたいなのがあってリモートワークしたい人はできるみたいな感じになりました。そういう意味で言えば固定のオフィスがある場合に比べて復旧しやすい環境がだいぶ整ってきたかとは思うのですが、IT企業にとっての何よりの資産はオフィスではなくてデータです。

　災害が発生しデータが物理的になくなってしまった場合にバックアップからどうやって復旧するかみたいな設計は普段あんまり考えないので、ISO27001を取るにあたって深く考えさせられるポイントでした。当然、今までもデータのバックアップは取っていました。ただ、バックアップと本データが物理的に近くにあると火災で両方消失、みたいなことも考えられるわけです。確かに。だからどういうワークフローを組んでどうバックアップしていくのかは考えるのが大変ですね。あまり凝ったことをやりすぎると作業量もお金もかかってしまいますが、バックアップはあくまでも保険であって普段はあまり役立つことはありません。そのあたりのバランス感覚も重要になりそうですね。

ISO27001を取ることのメリット

　ISO27001を取得したことについては社内外に対してメリットがあるかなと思っています。まず社外向けの話で言えば、商談しているときに「ISO27001取っていますから適切に情報管理等行なえますよ」みたいなお話をさせていただくと商談相手に納得感や安心感をもってもらいやすいのかなと感じています。

　社内に対しては一人ひとりの意識が高まっているなと感じています。例えばうちの会社ではセキュリティホールのニュースが出た場合にチャットに投稿して情報共有するみたいなこととかが自発的に行われるようになっていて良い文化だなと思っています。

株式会社イプシロンソフトウェア's job postings

ISO27001を取るにあたってどんな感じだったか

渡部晋司

株式会社イプシロンソフトウェア / 代表取締役社長

セキュリティリモートワーク ISMS ISO27001

1 Likes

株式会社イプシロンソフトウェア

私たち株式会社イプシロンソフトウェアは、島根県松江市に本拠地を置く企業です。ゲームの開発や各種ソフトウェアの受託開発を行う目的で、2016年6月に設立されました。ビデオゲームが誕生してから多くの時間が経ち、多くの人が様々なゲームを楽しむようになりました。そしてそれは幅広い年代の方や性別を超え、今やゲームをプレイするということは多くの方がごく自然に体験するものとなりました。ゲームを楽しみ、クリアしたときの達成感や喜びを世界中の多くの方々に新しい体験として提供したい。そしてその体験が長い年月が経ったあとで思い出として記憶に残るような作品となるようにしたい。それこそが我々が目指すことです。 ■主な業務内容■ 受託開発を中心に、自社プロダクト開発も行っています。受託開発ではWebサービス開発を中心に、ゲーム開発やシステム開発などに対応可能。クライアントのご要望に合わせて、開発・運用・調査・技術研究といったオーダーメイドの業務設計を行うことができます。また、自社プロダクト開発では、世界に通用するゲーム開発を行っていく予定です。 ■実績と今後の展望■ 情報セキュリティマネジメントシステムの国際標準規格「ISO/IEC 27001:2013」を取得し、機密情報の適切な保持を最重要経営課題としています。開発実績は多岐にわたり、様々な分野に対応可能。今後の展望として、大きな展示会やイベントで紹介されるような、世界に認められるゲームを開発していきたいと考えています。

Invitation from 株式会社イプシロンソフトウェア

If this story triggered your interest, have a chat with the team?