株式会社WellGo　代表取締役 兼 CTO　楠本　拓矢氏
ＳＯＭＰＯシステムズ株式会社　ITサービス本部シニアアドバイザー　岸　正之氏
ISMS専門部会　主査、ITSMS専門部会　委員
株式会社アズジェント セキュリティ・プラス ラボ　シニアフェロー　駒瀬　彰彦氏
ITSMS専門部会　副主査
株式会社ヒルアビット　代表取締役　黒崎 寛之　氏
JIPDECセキュリティマネジメント推進室　室長　成田　康正

• 印刷用PDF

2021年3月10日に開催されたISMS・ITSMSウェビナー「効果的なITサービスの設計から運用の仕組み～安全で安定したITサービス運用のために～」では、ISMSクラウドセキュリティ認証取得の取組みについて、株式会社WellGo　代表取締役 兼 CTO　楠本　拓矢氏、ITSMS認証の効果的な運用についてＳＯＭＰＯシステムズ株式会社　ITサービス本部　シニアアドバイザー　岸　正之氏にそれぞれ講演いただいた後、ISMS専門部会主査　駒瀬　彰彦氏、ITSMS専門部会　副主査　黒崎　寛之氏を交えたディスカッションで、企業が抱える課題や効果的な認証運用方法等についてお話を伺いました。

本レポートでは、JIPDEC事務局が要約した当日のディスカッション内容をご紹介します。
（当日の全プログラムの内容は以下をご覧ください）

• ISMS・ITSMSウェビナー「効果的なITサービスの設計から運用の仕組み ～安全で安定したITサービス運用のために～」（2021.3.10開催）

ISMSクラウドセキュリティ認証は、JIS Q 27001および27017に基づく、クラウドサービスを扱う事業者に対するISMS認証です。ISMSの認証取得が前提となっており、ISO/IEC 27017はガイドラインという位置づけになります。

認証を受けるにあたっては、まずクラウドセキュリティの適用範囲を決め、次にクラウド固有のリスクを特定して、評価・対策を行います。この時に、リスク対策としてISO/IEC 27017を用いることになります。詳細については、「ISMSユーザーズガイド追補」（発行：JIPDEC）で解説していますので、ぜひご参照ください。

認証の対象となるのは、クラウドサービスプロバイダー（CSP）、クラウドサービスカスタマー（CSC）双方で、どちらか一方、または両方の立場で認証を取得することができます。また、CSPが認証取得する場合はISMS認証と異なり、拠点ごとではなくサービス（提供形態）ごとに取得することになります。現在、認定機関である(一社)情報マネジメントシステム認定センター（ISMS-AC）の認定を受けたISMSクラウドセキュリティ認証機関は13組織、実際の認証取得組織は215です。

なお、ISMSクラウドセキュリティ認証の他には、ISO/IEC 27701に基づくプライバシーマネジメントに関する認証（ISMS-PIMS認証）が2020年より開始されています。こちらも、ISMS認証を取得していることが前提となります。

Q:マネジメントシステムを導入・運用しようとしても、トップマネジメントの関与が希薄で、推進力を失ってしまうという声はたびたび聞かれます。経営層を巻き込んで、ITSMS、ISMSを効果的に導入・運用していくためのポイントはどのようなことでしょうか？

A: SOMPOシステムズの場合、トップマネジメント層の意識が非常に高く、自社の社会的使命とITSMSを同じレベルで位置付けて構築することができています。また、教育の機会においても、経営層がメンバーに語る場面を作ることで、メンバーの意識向上、活動の活性化につながっています。
経営層を巻き込むためには、見せ方の工夫も必要だと思います。ISO/IEC 20000は、サービス品質やコスト等、経営層がコミットメントしているものを取り込むことができます。経営層の関心事とリンクさせることによりISO/IEC 20000が企業経営に貢献するものとして理解・認識され、積極的に関与せざるを得ない状況を作ることもできます。

A:WellGoは、スタートアップ企業なので、不祥事・情報流出等が起こればビジネス自体が頓挫してしまうという強い危機意識を持っています。このため、単にISMSを構築するだけでなくしっかりと運用していかなければ会社の存亡に関わるということを、経営者が自ら発信し全社で危機意識を共有しています。ISMSを業務システムの中にしっかりと組み込んでいくためには、経営層の力が必要となるので、現場からも経営層と危機意識を共有できるようなアピールが必要だと思います。

Q:今回取り組み事例の中でSLA、SLOの活用といった点もお話いただきました。ISMSご担当者には、SLOになじみがない方もいらっしゃると思いますが、部門管理目標を策定、部門間の役割分掌の明確化といったものととらえてください。その上で、各部門においてマネジメントシステムが形骸化しないような試みもされているというお話でしたが、具体的にはどのような指標を作り、どのように測定しているのでしょうか？

A:SLAは賠償等法的な部分に関わってくるのでどうしても安全な数値になりがちになることから、SOMPOシステムズでは、よりチャレンジングに取り組むため「事業会社の業務を止めない」という大前提の中でSLOの数値を設定しています。例えば、あるオンラインサービスの可用性が99.9とすると、1年間に停止できるのは10数時間となります。この10数時間を、そのサービスが持つリスクの低減策を明確にし、緊急対応可能な体制を組み、要員のスキルを向上させることで、ギリギリのところまで削減し、99.99に近づけようと取り組むことができる、これがSLOの長所であると思っています。

A:WellGOでも、SLAは遵守できない場合に法的リスクがあるため、SLOを選択しています。SLOの数値は過去の実績に基づいて算出しています。１年目はバッファを持った数値としていましたが、その後毎年取組みと見直しにより、より目標を高い数値にしています。お客様から要請があった場合は実現可能性を検討した上で、すべてのお客様に適用するようにしています。

Q:SLOを設定しても、測定頻度が少ないと形骸化してしまうことも考えられます。実際にSLOの測定頻度はどの程度としているのでしょうか？

A:SOMPOシステムズでは、毎月お客様との間で開催するITサービス委員会においてSLO、KGI、KPIも含む重要指標の結果を報告しています。また、その場でお客様とコミュニケーションを取り、需要予測や今後のイベント等の情報を得て次のサービスにつなげる取組みをすることで、サービス形骸化を防止しています。

A:WellGoでは、自発的に見直すのはISMS認証の更新時期が一番大きなタイミングとなります。その他に、特に大口のお客様と契約する場合などは、お客様がすでに持っている指標にどこまで合わせられるかを検討して指標を見直す場合もあります。

Q:今後DXを進めつつ、従業員の満足度を高めていくためにどのようなことが考えられますか？

A:ISO/IEC 20000の活動の中にDXの取組みを取り込んでいくことができると考えています。データやデジタル技術を活用し新たなビジネスモデルが作られる時、そこには必ず顧客がいる、つまりサービスができるということです。ISO/IEC 20000はレガシーシステムを管理するものではなく、サービスを管理するためのものなので、十分に活用することができると考えています。

A:WellGoで社員に配布しているセキュリティハンドブックにはペーパーレス化への取組みも含まれています。セキュアな方向へ進もうとするとき、紙をなくしデジタル管理をしっかり行うことがセキュリティ水準を向上させるキーだと考えています。セキュリティを向上させようとすれば、ペーパーレス化は進み、デジタル化することで業務効率も上がり、結果としてDXにつながります。ISMSの取組みを通じて、古い体制・非効率な業務を刷新していかないとセキュリティは担保できないとアピールしながら社内変革を進めていきたいと思います。

以上