ISMSへの「愛のカタチ」
今回はSecureNavi株式会社の芳賀として記事を書きます。
「 SecureNavi Advent Calendar 2024」という企画の12月12日にエントリーしています。
(良かったら 他の記事も読んでみてください)
SecureNavi株式会社に入社して、約半年。現在は、カスターサクセスを担当しています。
入社前後のエントリー記事もありますので、良かったらこちらも。
この企画に参加するにあたり、何を書こうか結構迷ったんですが、自分が入社して良かったなと思うことの一つである「ISMS好きがたくさんいてISMSに関する相談・議論相手に困らない」点に今回は着目しました。
SecureNaviは情報セキュリティ領域のSaaSを提供する会社ということもあり、ISMSや情報セキュリティのことが好きな人が多いなぁと思っていますが、この"好き"の方向が少しずつ違っていて。
例えば、鉄道オタクの方々って、「撮り鉄」「乗り鉄」「音鉄」など、好きのジャンルが分かれてますよね?
それと似たように、ISMSや情報セキュリティの"推しかた"は人によって多様なんです。
今回は、SecureNavi株式会社に溢れるISMSへの「愛のカタチ」について、ほんの一部ではありますがご紹介し、そこから自分がどのようなことを学ばせてもらったり刺激を受けているかについてお伝えしていきます。
※ 次章よりメンバー紹介をしていきますが、あくまで自分が「この人ってここが好きだよねぇ(詳しいよねぇ)」という点を主観的に書いていますので、ご本人の本心とは違うところがあるかもしれませんが何卒ご容赦ください。
守備範囲広め、情報セキュリティ規格が好き
(Iさん)
いきなりラスボスが登場しますが、弊社CEOである Iさんは「情報セキュリティに関する規格全般が好き」というタイプの人です。
実は世の中にはISMSの他、Pマーク、ISMAP、SOC2、3省2ガイドライン、TISAX…と「情報セキュリティに関する規格」が溢れています。
この世の中に溢れかえった規格たちを読み「この規格と、この規格はここは同じこと書いているけど、ここは違うぞ🤨」などと分析にして楽しみます。
Iさんはこのタイプで、ここに新規事業のFit&Gapというプロダクトの原点があると思っています。(あくまで自分の主観です)
知識の深さがすごい、ISMS周辺規格が好き
(Fさん)
ISMSを含めたISO規格には、ファミリー規格と呼ばれる周辺の規格が整備されています。
ISMSであれば、要求事項(仕組み構築のために守るべき事項)が記載された27001のほか、27000(用語)、27002(管理策)、27005(リスク管理)…などが存在してて、27001をより深く理解するためには読むべきものではありますが、読みこめている人は少数派なのが現状だと思います。
そんな中、弊社コンサルティング部門所属のFさんは、周辺規格にも精通していて、ISMSに関する解釈についてアドバイスやアイデアをくれます。
例えるなら、漫画の本編だけでなくスピンオフドラマ、外伝、ノベライズなどを読みこみ、伏線回収まで理解するほど、ディテールを知るのが好きなタイプです。
実践・知見・経験が強み、管理策が好き
(Kさん)
ISO27001は、情報セキュリティを良くしていくための仕組みについて基本的な要件が書かれた「本文」と、実施すべき情報セキュリティ対策の指針が書かれた「管理策(附属書A)」で構成されています。
(ちなみに、附属書Aをより詳細に記載したものがISO27002です。)
この管理策を、どう組織に当てはめていこうか、ここが世のISMS事務局・構築メンバーが最も頭を悩ませるところで、ISMSに関する規格要求事項の知識だけでなく、情報セキュリティに関する知識(弊社が言う"理系のセキュリティ")も求められるところでもあります。
カスタマーサクセスの同僚でもあり、生粋の"情シス畑"Kさんは、複数社で情シス部門やISMS事務局を担ってきた強者で、この管理策に関する知識がすごいです。
管理策に書かれていることを、どうやって具体化するか、どうやって現場に落とし込むか、Kさんはここを考えるのが、多分大好きです。
かく言う自分は"業界横断"、ISO本文が好き
じゃあ、自分はどこが好きかというと、ISO本文、が好きなんです。
ISO規格というのは、情報セキュリティ(ISMS / 27000シリーズ)だけあるわけではなく、品質(QMS / 9000シリーズ)、環境(EMS / 14000シリーズ)など、様々なジャンルが整備されています。
自分のキャリアが飲料製造からスタートしているのもあり、最初に触れ合い、深く学んだのは食品安全衛生(FSMS / 22000シリーズ)でした。
そこからIT企業へ転職したことを機にISMSに触れ、情シスやISMS事務局を担い、今日に至ります。
情報セキュリティと食品安全、まったく異なるジャンルではありますが「〇〇を良くしていくための仕組み」という点では共通です。
対峙しているものが、マルウェア(コンピュータウイルス)なのか微生物や細菌なのか、の違いだけです。
複数のISO規格に触れ合ってきた中で、リスクを特定し、対策していく手法(リスクアセスメント)だったり、いわゆるPDCAサイクルと言われる改善手法といったISO規格の主に本文に書かれている「〇〇を良くしていくための仕組み」について思慮することが好きになりました。
また、複数のISO規格を読むと「ここは同じようなこと書いてるな」「ここはISMS独自の記載だったのか!?」といった共通点・相違点が見つかり、これがまた面白いのです。
例えば、ISO27001の場合「トップマネジメント」という言葉は4回登場しますが、ISO9001の場合は5回です。トップマネジメントに求める役割がISO
9001のほうが1個多いことを示します。
また、ISO27001の場合「あらかじめ定められた間隔で」という言葉は3回登場しますが、ISO9001の場合は2回です。ISO27001のほうが、定期的にやることが1回多いです。
この微妙な違いを見つけ、解釈を深めていくのがとても面白いんです。
(全ては語りきれないのでここまでに😅)
最後に
ここまでSecureNavi内に溢れるISMSへの「愛のカタチ」について、ご紹介してきました。
ISMS事務局を担当される方の多くの悩みだと思いますが、社内でISMSについて相談・議論できる相手って、そういないですよね?本を買って調べたり、セミナーを受講したりするものの、それでも試行錯誤しながら孤独に答えを出していく。
実は自分も過去のキャリアの中でISMS事務局を担当し、そのような経験をしてきました。
一方、SecureNaviには本記事でご紹介した方々の他にも、ISMS事務局経験者、ISMS審査員資格保有者、セキュリティ関連資格保有者、理系セキュリティ出身者…といった異なる知見を持ったメンバーが多く在籍しているので、相談・議論相手にはまったく困らない環境です。
そんなプロフェッショナルが多い環境の中でも「SecureNaviに入社するまでセキュリティ業界は初めて!」というメンバーもたくさんいらっしゃいます。そんな方でも、日々分からないことはslackに投稿すれば、メンバーが詳しく教えてくれます。
自分の場合、勉強中の方を見かけると嬉しくなって詳しすぎる説明をしてしまったりすることもあるので気をつけねば…とも思っています(苦笑)。
自分のように多少の経験がありISMSを軸においたキャリアを歩みたい方も、この業界が未経験でもSecureNaviというスタートアップで挑戦してみたい方にも魅力的な会社だと思います。
メンバー募集中です!
この記事を読んでISMSや情報セキュリティについて熱語りできる環境に興味が湧いた!という方がいらっしゃったら、ぜひ弊社CEOの井崎(Iさん)とカジュアル面談してみてください!
私が所属するカスタマーサクセスもメンバー募集しています!
次回の記事は、営業部 FSチームの奥村さん、加藤さんの「入社半年で感じるフィールドセールスチームの魅力と成長のチャンス」です。お楽しみに!