無法地帯の一人情シスは辛いよ①

こんにちは。楽太郎です。
今回は、私が勤める情報システム部に配属されてからの日々の出来事についてお伝えします。

こちらは80%は無料記事です。
残りの20%は「有料」としています。

情シスのあるあるネタに共感して頂き、日々の業務の解決の糸口にして頂ければと思います。よろしくお願いします。

１．突然の情シス任命

世の中をコロナが蔓延し、緊急事態宣言真っ只中の2020年5月、ある人からの着信が入った。それは会社の上司にあたるR氏からだった。

電話の内容は、世の中コロナの影響でリモートワークが広まるなか、会社でもリモートワークを推し進める必要があり、その準備や体制を構築する必要があるとのことだった。

社内でパソコンなどの資産管理やセキュリティに関する活動を推進する必要があり、それをやれる人材が必要で、その為に、会社で情報システム部という部署を立ち上げて、そういった資産管理やセキュリティに対する活動をしてくれる人を探しているとのことだった。

私「オレ以外に何名の人が情報システム部に入るんですか？」

R「一人だよ」

私「たった一人でその情報システム部の業務を全部やるんですか？」

R「そうだよ」

私「情報システム部の業務って何をやれば良いんですか？」

R「それを一から考えるんだよ」

私「はぁ…」

で、その情報システム部の業務をやれそうな人を社内で探してるんだけど、それに白羽の矢がたったのが私だった。

新しく立ち上げる部署で、たった一人でやる色々なことをやらされる羽目になることに一抹の不安を感じた私は、しばらく考える時間が欲しいと伝えた。数日後やるかやらないか回答することにした。

「なんか面倒くさいことやらされそうだなぁ」
というのが正直な気持ちで、ほぼ断るつもりでいた。

他にも懸念点があった。

それは、情報システム部の勤務となると当然毎日会社に出社する必要があるのもネックだった。当時の私は、車で30分ほどの現場に配属されており、情報システム部の勤務となると片道2時間半ほどの都内にある本社に出社する羽目になるのが大きなネックとなっていた。

本社に近くに引っ越せば済む話だが、都内に住むことに抵抗がある私にとっては引っ越すことは選択肢からは外していた。

数日考えたが、やはり断ることを決意した。

２．メリットはリモート勤務

そして数日後、R氏に断りの電話をした。

私「毎日本社に通うのは現実的に厳しいので無理かと思います」

R「いや、リモートワークで良いんだよ」

私「えっ！リモートワークでも良いんですか？」

R「良いよ！まぁなんか出社しなければ出来ないこともあると思うけど、その時は出社してもらうけど、基本的に家で仕事して良いんだよ！都内に引っ越すのイヤでしょ？」

以外にもR氏は私の事情をいろいろ汲んでくれたようだった。

まさか家で仕事ができるとは、ある意味これは美味しいい話なのでは？

過去には片道3時間通勤していたこともあり、通勤の厳しさをイヤというほど実感していた私は、この“リモートワーク”という響きに惹かれ情報システム部をやることを決意した。

３．まず何をやれば良いの？

情シスをやることを決意した私にさっそくR氏はさっそくやることリストを提示してきた。

その内容は…

• ホームページの更新管理、むしろ現状のホームページがダサいから変えて

• 情報資産の管理

• 社員へのセキュリティ教育

• 情報セキュリティの方針作成

• 情報セキュリティのルール作成

• 機器の購入フロー作成

• 社内開発環境構築

• 社内機器のリプレース

• 社内サーバー運用

• 社外からのアクセス用のVPN構築

• ISO27001の取得

• 経費申請フロー作成

• 歓迎会送迎会の幹事　←　これも情シスがやるの？

• その他モロモロ…

多いなぁ…
早くもやる気を失った

R「とりあえずこれだけやってね」

私「これだけ？…」

R「簡単でしょ？」

私「やったことない事や、あんまり分からないこともあるんですが、これ全部オレ一人でやるんですか？」

R「そう！分からないことがあったら自分で調べてやってみて！」

私「このISO27001って何ですか？」

R「あーISOね。これは情報セキュリティの認証の資格みたいなもん。これを　　　　　取れば会社が情報セキュリティの取り組みをちゃんとやっている！って証明する感じ。これを取れば、新たな取引き先の拡大もできる！ってわけよ」

私「このISOをどうやって取れば良いんですか？」

R「知らない！」

私「知らないんですか？」

R「だからそれも調べてね！ってこと」

私「これもオレ1人ですか？」

R「そう！まぁ社内の人に相談して進めても良いよ」

私「社内に詳しい人居るんですか？」

R「多分居ない」

私「ウチって情報セキュリティのルールとかありましたっけ？」

R「無いよ。だからそれらを一から作ってちゃんとやってね！ってこと」

私「けっこうやる事多くないですか？」

R「大丈夫だよこれくらい。じゃあ後はよろしく」

私「あっちょっと…」

こうして、様々なことを丸投げされてしばし呆然としていた。

まいったなぁ…

４．ISO27001取得を目指せ！ところでISOってなに？👀

とりあえずISO27001を取れ！って言われたけど、そもそもISO27001とは何なのかそれを調べることにした。
関連書籍を購入して、どうすれば取れるのか、どんな作業が必要になるのか調査開始！

取得するには、情報セキュリティの基本方針や様々なルール作成や資産の管理書式など資料やルール作成が必要になるらしい。あとはISO27001の運用に伴う役割の取り決め。あとは運用できているか確認する内部監査や外部監査をやる必要らしい。

どう考えても素人の私一人でやるのは難しそう…

その後色々調査してみると、ISO27001の取得を手助けしてくれるコンサル会社があるらしいことを発見した。

これだ！と思い、そのコンサル会社のホームページを閲覧してみる。
やはりISO27001取得をサポートしてくれるらしい。料金はソコソコ掛かるらしいが、認証取得を目指すにはコンサル会社を活用するのが一般的らしい。

ネットで調べた情報をもとにコンサル会社にコンタクトを取ることにしてみた。

その後コンサル会社から無料セミナー案内のメールを受信し、セミナーに参加してみることにした。

セミナーと言ってもコンサル会社と私の1対1のオンラインセミナーだった。

オンラインセミナーに参加すると、以前に不祥事で東京都知事をお辞めになられた方に風貌が似ている60代ぐらいの男性がモニター越しに現れた。

その方から色々説明を受けたが顔が怖いからなのか若干威圧感を感じる。
話も終盤に差し掛かり、そこで私が質問をしてみた。

私「ISO27001取得を取るのってコンサル会社を利用しなくても取れるものなのですか？」

若干都知事の顔が引きつった。
何か変なこと言ったかな？？

「あのですね楽太郎さん。車の免許を取るとき普通に教習所に行きますよね？教習所を通わずに一発合格を目指す人が居るかもしれませんが、そんなことする人ほとんど居ませんよね？それと同じですよ。ISO27001を取得するのならコンサル会社を使うのが当たり前ですよ！！」

私「そうですよね…」

若干気まずくなったが、セミナーを無事に終わった。

とは言えやはり認証取得を目指すには、コンサル会社を使うのがもはや常識だというのは確証が持てた。費用も70万程度ということだった。

さっそくRにこの事を伝え、コンサル会社の利用の有無を相談することにした。

私「ISO27001を取得するのにコンサル会社を使うのが普通らしいんですけど、これ申し込んでも良いですか？」

R「コンサル会社でしょう？お金が掛かるからダメだよ」

私「え？コンサル会社ダメですか？」

R「ダメだよ！そんな予算ないよ」

私「70万程度ですよ？」

R「ダメだよ高いよ」

私「オレ進め方分からないし無理ですよ…」

R「じゃあ、取引先のS社が前にISO27001を取ったからそこの人に聞いてみたら」

私「はぁ…」

そして後日S社に向かい、どうやってISO27001を取得したのか聞いてみることにした。
そこにはS社の社長KさんとS社の情シス担当のTさんが出迎えてくれた。

S社の会議室にてどのようにISO27001の認証を取得したの聞いてみると…

私「あの～S社さんはどのようにしてISO27001の認証を取得したのですか？」

Tさんはパワーポイントの資料を見せながらどのようにして取得したのか話始める…

S「まずISOを取得するための体制を作ります。体制として社内から5人を選抜してそれぞれの役割を決めます」

5人か…ウチはオレ1人だし、スタート時点で違うな…

S「そしてアレコレこーしてあーして…」