2.9K Views
March 14, 23
スライド概要
2023.03.14 に開催された「JBUG(Japan Backlog User Group)宮城 #0 ゆるふわからガチまでPMに聞く!LT大会&ボドゲ体験会もあるよ」で発表した資料です
東北のIT企業で経営管理をしています。
JBUG (Japan Backlog User Group) 宮城 #0 ⼈⼒ SecureNavi 誕⽣までの軌跡 〜 極⼩メンバーの会社で ISMS を爆速取得したマネジメント 〜 Takahito KIKUCHI (heptagon inc.)
菊池 崇仁 <Takahito KIKUCHI> 株式会社ヘプタゴン (heptagon inc.) Business Development ⾃ ⼰ 紹 介 https://takagerbera.com/ https://www.facebook.com/takagerbera/ Business 4/5 Technology 3/5 Creativity 3.5/5 JBUG (Japan Backlog User Group)宮城 #0 2
会社概要 社名 株 式 会 社 株式会社ヘプタゴン (heptagon inc.) 顔を知らない100万⼈の幸せよりも 企業理念 ⾃分たちの⾝近な100⼈を • 案件ベースで 9 割以上が東北のお客様 • 100 社 300 プロジェクトを超える プロジェクトを AWS 上で構築‧稼働 テクノロジーで幸せに 設⽴ 拠点 事業内容 2012年7⽉ 本社(⻘森県三沢市)、三沢オフィス(同市)、 仙台オフィス(宮城県仙台市) • クラウドインフラの構築、保守、運⽤ • クラウドネイティブなシステム開発 • クラウド導⼊に関するコンサルティング • 内製化⽀援 2020年に東北の企業では 初となるAWS アドバンストティア サービスパートナーに認定 JBUG (Japan Backlog User Group)宮城 #0 3
2022年11⽉に ISO/IEC 27001(ISMS) の認証を取得 株 式 会 社 JBUG (Japan Backlog User Group)宮城 #0 4
ISMS(ISO/IEC 27001) は情報セキュリティの国際規格 “ 情報セキュリティマネジメントシステム (ISMS) とは、個別の問題毎の技術対策の他に、組織の マネジメントとして、⾃らのリスクアセスメントにより必要なセキュリティレベルを決め、 ISMS プランを持ち、資源を配分して、システムを運⽤することである。 ISO/IEC 27001は、ISMSの要求事項を定めた国際規格であり、組織が ISMS を確⽴し、実施し、 維持し、継続的に改善するための要求事項を提供することを⽬的として作成されている。 ISO/IEC 27001では、組織は、⾃らのニーズおよび⽬的、情報セキュリティ要求事項、組織が ⽤いているプロセス、ならびに組織の規模及び構造を考慮して、ISMS の確⽴および実施を⾏う。 ” ※ https://isms.jp/isms/ より引⽤、⼀部改変 JBUG (Japan Backlog User Group)宮城 #0 5
⼀般的な ISMS 取得までのスケジュール ISMS ※ https://jmaqa.jma.or.jp/27001isms/flow.html より引⽤ JBUG (Japan Backlog User Group)宮城 #0 6
ISMS 取得に向けた⼀般的な社内体制 ISMS ※ https://thinkit.co.jp/free/project/9/4/1.html より引⽤ JBUG (Japan Backlog User Group)宮城 #0 7
ISMS の⽂書体系 ISMS に対する企業としての指針 情報 セキュリティ⽅針 ISMS で定められている 114 の 管理策のうち⾃社に適⽤する ISMS ものを⽰す書類 ISMS に則って定めた 適⽤宣⾔書 ⾃社内のルール類 ISMS 基本規則 情報セキュリティに関する社内規定 記録、管理台帳、チェックリストなど JBUG (Japan Backlog User Group)宮城 #0 8
ISMS 取得の実態 ISMS ひたすら⽂章作り… JBUG (Japan Backlog User Group)宮城 #0 9
ヘプタゴンはこれで ISMS 取得しました 取得期間 ISMS 取 得 向 5 か⽉ 社内体制の⼈数 3⼈ 取 組 (準備期間4か⽉、審査期間2か⽉。 (代表と私とテクニカルリード) 作った⽂章類 必要とされる 全ての⽂章類 +α (とにかく全部やった💪) 審査期間の1か⽉は準備期間と重複) JBUG (Japan Backlog User Group)宮城 #0 10
ISMS 取得にあたりやったこと ü 情報をとにかく収集する ü ざっくりとゴールを決めて、逆算でやることを考える ISMS 取 得 向 取 組 ü スコープを定めて「やらないこと」を明確化する ü すべて⾃分⼀⼈でやろうとしない ü 会社の未来を想像し、共⽣できるあり⽅を考え抜く JBUG (Japan Backlog User Group)宮城 #0 11
情報をとにかく収集する まずはとにかくインプット。最速取得メソッドを導き出せ! ISMS 取 得 向 取 組 背景 n 会社全体はもとより菊池⾃⾝も ISMS 取得は初の試み n 転職して1か⽉後から取り組みを開始したので、会社の内部事情もよく分かってない状態 n 「フルリモートワーク」「極⼩チーム」という特殊事例の掛け合わせ (機能別組織ではあるが、⼀般的な会社の考え⽅がほぼ当てはまらない) JBUG (Japan Backlog User Group)宮城 #0 12
ざっくりとゴールを決めて、逆算でやることを考える やれる確信が持てた段階でゴールを設定せよ! リスケのリスクを恐れるな! ISMS 取 得 向 取 組 背景 n 他社事例を拝⾒して、外部コンサルを取り⼊れながら短期決戦という⽅針に決定 n 取り組み開始時は「遅くとも2023年初頭までに取得」ぐらいのざっくりとした⽬標設定 n ⽬標は進⾏状況や会社に対する解像度が上がった段階で、また変えればよいぐらいの意識 n ざっくりとした⽬標設定でも、プロ相⼿には適切なアンカリングとして機能する JBUG (Japan Backlog User Group)宮城 #0 13
スコープを定めて「やらないこと」を明確化する 100点を取ることが⽬的じゃない 置かれた環境での最適解を⽬指せ! ISMS 取 得 向 取 組 背景 n 進めるうちに ISMS は「オフィス出社」「イントラネット」が前提の作りと理解 n 幸い ISMS は「規格の趣旨に沿ったルール」であればよいので、当社のスタイルである 「フルリモート」「クラウド」を前提としたルール設計を実施 n 優先度や事業運営上のリスクが⾼くない思われる箇所は「やらないこと」と⾒なし、 スコープから外すことで、意思決定の⾼速化と負担軽減に寄与 JBUG (Japan Backlog User Group)宮城 #0 14
すべて⾃分⼀⼈でやろうとしない 適材適所を意識し、⾃分が成すべきことに集中せよ! ISMS 取 得 向 取 組 背景 n 右も左も分からない状態で、取得に必要な⼯程の全てを抱えるのは極めて⾼リスク n 各⼯程の遂⾏に適切な能⼒を持っている⼈の⼒を借り、菊池は「計画⽴案」の部分に注⼒ (ex. エンジニアリング部⾨のこと → テックリード、会社全体のこと → 代表、 ISMS 取得におけるベストプラクティス → 外部コンサルタント n ⾃分の⼒が及ばないことを恥じず「こうしたいので⼒を貸してほしい」と素直に伝える JBUG (Japan Backlog User Group)宮城 #0 15
会社の未来を想像し、共⽣できるあり⽅を考え抜く ルールを決めて終わりじゃない 営みを意識した「あり⽅」を考えろ! ISMS 取 得 向 取 組 背景 n ISMSもソフトウェアと同じく「使われなければ意味がない」 n 要求事項とのバランスを取りつつ、当社の事業におけるライフサイクルの中で ⾃然に満たせるような制度設計を⼼がける n 適切なタイミングで、テクニカルリード以外のエンジニアにも参画してもらうことで 取り組み事態の認知度と⾃分事化をしてもらう JBUG (Japan Backlog User Group)宮城 #0 16
ISMS 取得による効果 n ISMS の取得証明が求められる案件に対する貢献 n 情報セキュリティ規則の明⽂化 ISMS 取 得 n 共通⾔語によるコミュニケーションの発⽣ 向 取 組 JBUG (Japan Backlog User Group)宮城 #0 17
何故「⼈⼒ SecureNavi」と呼ばれるのか 最 後 HEP は菊池さんほぼ⼀⼈で ISMS 取ったんだって? そんなん⼈⼒ SecureNavi やんw https://speakerdeck.com/digitalcube/ismswo3keyue-tebao-su-qu-de-sitahurosiekutomanesimentonokotu JBUG (Japan Backlog User Group)宮城 #0 18