IVRyがISO/IEC 27001の認証を取得するまでの道のりを振り返ってみる

はじめに

こんにちは。株式会社IVRy (アイブリー) のコーポレートエンジニアのueda (chama) です。
当社ではお客さまにより安心してサービスをご利用いただけるようにプロダクトや社内ITのセキュリティの向上に努めています。
その一環で、2024年8月にISO/IEC 27001認証を取得しました！ 認証の詳細に関しては以下をご参照ください。

対話型音声AI SaaSのIVRy（アイブリー）、情報セキュリティマネジメントシステム（ISMS）の国際規格「ISO/IEC 27001」認証を取得 | IVRy（アイブリー）

この記事では認証取得するまでに取り組んできたことを、簡単に振り返っていきたいと思います。

取得までの流れ

特別なことはなく、基本に忠実に、段階的に準備を進めました。これは当初の推進メンバーにISMS構築の主担当経験者がいなかったため、教科書どおりに段階を進めるのがもっとも効果的・効率的だろう、という考えでした。

1. 審査機関の選定

2. ISMSの適用範囲の決定

3. 情報セキュリティ方針の策定

4. ISMS文書の作成

5. リスクアセスメント

6. 従業員への教育

7. 内部監査

8. マネジメントレビュー

9. ISMS審査機関による審査 (計2回)

審査期間の選定から2回目の審査まで、およそ5ヶ月程度でした。審査日程の都合もあったのですが、結果として無理なく準備できたので、ちょうどよい時間軸だったように思います。
以降は準備段階で特に重要だったと感じたポイントをご紹介していきます。

組織の課題や、社内外の期待を整理する

ISMSの適用範囲を決定する前に、まず組織の課題や社内外の期待をしっかりと整理しました。これをテキトーにやると、あとになって「なぜISMSを構築するのか。なぜ認証を取得するのか」という揺り戻しや失速が起こり得ると考えたからです。
一部だけご紹介すると、以下のようなものがありました。

• セキュアなサービスをお客さまに継続的に提供する必要がある。安心してIVRyを選択・導入していただきたい

• また電気通信事業者として、個人情報などの保護に関するガイドラインに準拠する必要がある

• 一方で組織の急拡大に伴い、社員のセキュリティ意識や理解度にバラつきが生じているのではないか (仮説)

この段階でしっかり言語化したおかげで、後工程でブレることなく、全社を巻き込んで推進できたのではないかと思います👌

情報資産の洗い出しと、リスクアセスメント

この工程がもっとも手間と時間がかかりました。全工程でかけた工数のうち7割ぐらいはリスクアセスに割いたのではないでしょうか。
当社はまだまだ成長途中のスタートアップ企業です。しかし、それでも多種多様な情報・データやクラウドサービスが存在しています。ISMS構築に着手するよりも前から、一定以上のセキュリティレベルで運用されていたため、主な重労働は情報資産を洗い出しであり、アセスメントはさほど苦労しない想定ではありました。
ただ、コーポレートITチームだけで対応するのは現実的ではないため、この段階からエンジニア、セールス、マーケティング、バックオフィスなど各現場から担当者をアサインして巻き込みました。みな不慣れではありましたが、共通の目的に向けて当事者意識をバリバリ発揮してくれて、ホントにありがたかったです… 🙏
複数人で取り組んだ手前、結果に以下のようなバラつきはありました。これは想定内の致し方ないものなので、出揃ったところでコーポレートITチームの方で横串でチェックして、チューニングしていきました。

• 情報資産の抽象化・細分化のバランス (細かすぎると運用できず形骸化する恐れがある。一方で抽象的すぎると意味のある管理や改善ができない)

• リスクとそのレベルの評価のズレ (引いて見ると同程度のリスクレベルになるはずが、担当者が違えば評価がズレる。多くの場合、慎重になって基準以上にリスクを高く見積もってしまう)

組織規模が大きくなるにつれ、コーポレートITチームでチューニングしきるのはむずかしくなっていくのは自明なので、現場で適切に運用を回しきれるように改善を重ねていきたいと思います💪

従業員への教育

当社がISO/IEC 27001の構築・運用に使用しているSecureNaviは教材とテストのテンプレートが提供されているので、それをベースに準備し、全従業員に展開しました。
セキュリティやコンプライアンスのテストはなかなか進捗しないというのが一般的なあるあるだと思いますが、これまたありがたいことに当社では強度高く追いかけなくても順調に進みました👏
工夫した点は、広報とその後の追いかけ用に、セキュリティテストが終わるまで出れないSlackチャンネルを作ったことです。
「✅ とリアクションするとメンショングループから外れ、本人にチャンネル退出OKと伝える」というワークフローを仕込みました。副次的なねらいで「未完了の社員にプレッシャーをかける」があったのですが、ねらい通りに機能したのではないかと思います😊

マネジメントレビュー

今回はCEOをはじめとしたトップマネジメントのレビューの場を設け、目的のおさらい、準備状況やリスクアセスメント結果の報告、リスク対策の方針や手段擦り合わせなどを行いました。形だけでチャンチャンで終わらせず、しっかりと意味のある対話やフィードバックを得られたのはとてもよかったと思っています。
実はマネジメントレビューに並行して、いわゆるゼロトラストモデルの社内IT環境の構築の決裁を得ていたのですが、同じ時期に抽象と具体手段の話を一気に詰めて、解像度をグッと高められたのもよかった点かなと思います。 (当社の社内IT環境のアップデートについては別の機会にご紹介します！)

まとめ

「ISO/IEC 27001の認証を取得することは目的ではなく結果。目的はあくまで当初掲げた課題を解決して社内外の期待に応えること」という意識をもって取り組むことで、意味のあるセキュリティのアップデートが進められたかなと思っています。
当社はまだスタートラインに立っただけなので、この先もしっかりとISMSを運用して、みなさまに安心してご利用いただけるサービスを提供できるよう頑張っていきます！💪
ちなみに… 当社ではセキュリティもそれ以外もやりたいことがまだまだたくさんあるのですが、それに対して人が全然足りません！
攻めも守りもガンガン進めていくIVRyにすこしでも興味を持ってくださった方は、ぜひ以下のページもご覧ください 🙌

IVRy採用概要 | Notion