はじめに

この記事は 【初心者優先枠】corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#2 の1日目の記事です。

トリコ株式会社CTOの @lifina です。

自身が所属する会社でISO27001（ISMS）認証を取得しました。
IT系ではなく美容系D2C企業であり、正社員情シス専属が0人からのスタートで、コンサルに丸投げすることなくISMS認証を取得するという結構なレアケースだと思うのですが、どこかの誰かの参考になればと思い記事にします。

国際規格に基づく情報セキュリティマネジメントシステム（ISMS）認証を取得 | トリコ株式会社

注意点

この記事は以下の点で参考にならない場合があります。

• 基本的に運がいいです
• CTOという地位を使って、割と会社を動かすことができます
• 会社の人たちは、必要性を説明すると自分事として動いてくれます

会社紹介

• 創業5期目、社員が30~40人規模、全体で70~80人規模の会社です
• オリジナルの分析から自分にあった商品をお届けするパーソナライズビューティケアブランド「FUJIMI」を運営しています
• リアルオフィスがありますし、倉庫もありますし、店舗もあります
• 2021年に、ポーラ・オルビスホールディングスにグループ入りしています
  • パーソナライズビューティケアFUJIMIを提供するトリコ、ポーラ・オルビスホールディングスにグループ入りのお知らせ。｜トリコ株式会社のプレスリリース
• 詳しくはこちら

ISMS認証を取得するに至った経緯

弊社はB2B SaaS企業ではなくD2C企業であるため、事業拡大においてISMS認証が求められることはありません。
(B2B SaaS企業において、他の企業に導入してもらうために一定のセキュリティレベルを担保していることを証明するため、ISMS認証を取得することを想定しています。）

そんな中で弊社がISMS認証を取得するに至った経緯は、「きちんとしたセキュリティルールを整え、それが外部から監査されることで品質を担保し、今まで以上にお客様が安心して商品を購入できる体制を整えること」に尽きます。
（厳密にはこの目的だとISO27701の方が良いのですが、ISO27001の本審査直前くらいでISO27701の存在を知りました。）
これが目的である以上、コンサルに丸投げすることはなく自社で運用を回す体制を整える必要があります。

取得までの流れ

どういう体制で取得するか

自分たちでやると決めたものの、会社にISO27001に関するノウハウがある人がいないため、あくまで自走しながらもアドバイスをくれる存在が必要になります。
今回はTwitterで良い評判を見かけており、WordやExcelを管理しなくても良くなるという最高のメリットがあるSecureNaviさんを選択しました。

secure-navi.jp

しかし、いくらSecureNaviさんと言えども他の業務も行いながら片手間で取得できるほどISO27001は甘くなく、我々は採用に走ることになります。

どうやって採用するか

弊社には去年の7月から副業スーパーアドバイザーとして @rotomx に参画してもらっています。 その縁もあり、情シス転職ミートアップの第4回に出演させていただきました。

corp-engr.connpass.com

直近で LUMINEの店舗 のオープンも控えていたため、「店舗構築経験があり、ISMSも運用でき、1人目情シスとして働ける人」という相当なレア人材を募集していましたが、良いご縁があり正社員としてジョインしていただくことになりました。
（ 本来ここで死ぬほど苦労してもおかしくないのにも関わらず、大変スムーズにいけたので @rotomx と情シスSlackには大変感謝しております...🙏）

何をするか

正社員情シスがジョインしてくれたおかげで馬力の問題は解決し、あとはSecureNaviに積まれている大量のTODOを消化していくだけとなりました。
TODOは主に現状の棚卸と改善できるポイントの改善になるので、全部署を巻き込みながら地道に進めていく必要があります。
全部署に1人ずつISMSの担当者を任命し、各部署が持っている情報資産の洗い出しや取り扱いルールの策定等をISMS担当者主導で実施してもらいました。

この体制はすごく良く、

• 情シスにISMSに関する職務が一極集中しない
• 各部署は創業から今までのできごとをふりかえりつつ、情報資産以外にも日頃の運用の見直し等を行うことができる
• ISMS担当者のセキュリティ意識が向上する

等メリットもあったので、各メンバーが協力的な会社なのであればぜひお勧めしたいと思っています。

情シスっぽい仕事としては、

• MDMの導入
• EDRの導入
• PC支給ルールの策定、スペックの決定
• ほぼ全社員PCリプレイス
• リモートワーク時等も含めた情報セキュリティマニュアルの作成
• 各SaaSの棚卸と権限整備

などを行っています。

本審査・認定

ISMSやっていくぞ！のキックオフから5ヶ月、実際に各部署の担当者を巻き込んでからは2ヶ月弱で本審査を迎えました。
事前に内部監査で厳し目に見ていたこともあり、本審査では特に大きな問題もなくスムーズに乗り切ることができました。
本審査から2ヶ月経った後、正式な書類が届きました。

🤘 pic.twitter.com/NADN6NdDdD

— Lifina (@Lifina) 2022年6月29日

振り返り

やるぞ！というCTO1人の意気込みから始まったISO27001（ISMS）認証取得ですが、

• 経営陣の巻き込みと予算確保
• 採用
• 色々なツールの導入やルールの構築
• 全社巻き込み

等様々なことをやっていったことで、「今まで以上にお客様が安心して商品を購入できる体制を整えること」はできたかなと思っています。
会社としても、ISO27001（ISMS）を通じて「形骸化しない情報セキュリティ体制の構築」ができており、投資した分のリターンは確実にできました。
周りの人々の協力がある前提ですが、半年程度でこの体制が構築できたことは他の会社に置いても参考になる事例かと思いますので、これを読んでいる方の会社でも有意義なISO27001（ISMS）認証取得をチャレンジしてみるきっかけとなればと思っています。