2016年8月に、従来のいわゆる「ISMS認証」の追加認証として「ISMSクラウドセキュリティ認証」という認証制度が始まりました。

私個人の主観的な印象ですが、クラウドと聞くと、どちらかと言うと大企業よりも、中小・ベンチャー企業を想像してしまいます。実際、決して少なくない数のクラウドサービスは、いわゆるWebベンチャー企業と呼ばれるような企業から誕生しています。

そのため、この新しい認証制度が発表されたときは、Webベンチャー企業を中心に流行るのではないかと、私は勝手にイメージしていました。

しかし、現実問題、こういった「認証」を取得するためには、社内ルールを整備する必要があるため、ベンチャー特有の機動力が失われてしまう可能性があることや、認証取得には様々なコストがかかることなど、取得に向けた壁はいくつも存在していることと思います。

取得すべきか否か、判断に迷っているWebベンチャー企業も多いのではないでしょうか。

しかし、実際、既にISO27017認証を取得しているベンチャー企業も存在しています。

何をもってベンチャーというかは議論の余地がありますが、定義によってはベンチャーに該当する可能性のある企業を、いくつかピックアップしてみました。

ISO27017認証を取得しているベンチャー企業

株式会社スタディスト

提供サービス:クラウド型マニュアル作成・共有ツール『Teachme Biz』

[参考リンク] スタディスト「スタディスト、国内初のISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証を取得」2016年11月1日

ワークスモバイルジャパン株式会社

提供サービス:ビジネス版LINE「Works Mobile」

[参考リンク] PR TIMES「Works Mobile、クラウドセキュリティに関する国際規格 “ISO/IEC 27017”、および個人情報保護に関する国際規格 “ISO/IEC 27018” を同時取得」2016年8月9日

株式会社L is B

提供サービス:クラウドメッセンジャーサービス「direct」

[参考リンク] direct「セキュリティに対する取り組み」2016年12月19日

ISO27017取得のメリット

この記事を書いている私も、実際にいくつもの組織の27017認証取得のお手伝いをさせていただいたコンサルタントでもあり、AWSを利用してクラウドサービス開発を行うWebエンジニアでもありますので、せっかくのこの機会に、「ベンチャー企業とISO27017の相性って、実際の所どうなの?」という点を、いくつかのメリットとデメリットを列挙する形で、見ていきたいと思います。

(1)商談相手からの「セキュリティ大丈夫?」の質問に自信を持って回答できる

「ISMS認証制度」が開始された当時からISMS認証を取得し、維持してきた、いうなればISMSのアーリーアダプター層に話を聞くと、しばしば「昔はISMSが差別化要因になっていたが、最近はほとんどの会社が取得しているので、あまり差別化のためには使えなくなった」という感想をいただきます。

実際、国内でISMS認証を取得している組織は既に5,000組織を超え、業界によっては「ISMSは持ってて当たり前」のようなところもあります。

それに比べて、ISMSクラウドセキュリティ(ISO27017)認証制度は、始まったばかりであること、ISMS制度を運営する組織が提供する権威ある認証制度であること、などから、ISMSと比べると、競合他社との十分な差別化要因になりえます。

2017年1月現在、ISMSクラウドセキュリティ認証を取得している企業は、まだ6社しかありません。

もちろん、今後はますます増えていくことが予想されていますが、今ならまだ「ISMSクラウドセキュリティ認証のアーリーアダプター」として、先行者利益を享受できる段階にあります。

ベンチャー企業の場合は、商談において、「サービス自体は良いのだが、信頼性やセキュリティの面で不安が…」という理由で、サービス導入が見送られるケースも、場合によっては考えられます。

そんなサービスの本質とは関係のない、「漠然とした不安」というしょうもない理由で導入見送りとなってしまう悲しい事態を回避するためにも、このISMSクラウドセキュリティ認証は有効に機能すると考えられます。

(2)顧客のセキュリティに関する安心を得るためのコミュニケーション手段を整備できる

すごく曖昧な言葉を使いました。

「コミュニケーション手段」とは、例えば契約の内容であったり、何かサービスで障害が発生してしまったときの顧客への連絡手段であったり、顧客がサービスのバグやぜい弱性を発見したときの緊急連絡窓口を設けることであったり、要は「サービスの直接的な提供以外の部分での顧客とのやり取り」のことを、ここでは「コミュニケーション手段」と呼んでまとめました。

正直申し上げると、ISO27017を取得したからといって、サービスのセキュリティ関連バグや障害件数が0になるわけではありません。

しかし、冷静に考えると、「クラウドサービスの利用者に『安心して』自社のサービスを使ってもらう」ということを目標とする場合、ただバグや障害を減らすだけでは、それは達成できないと思います。

それ以外にも、「障害が起こったときは、~という手段でX分以内に連絡しますよ」であるとか、「お客様がもしサービスを退会することになった場合、預けて頂いたデータは完全に物理削除しますよ」であるとか、「バックアップは日次でn世代分保管しています。もしバックアップデータを取り出したい場合は、取り出すことは可能ですので、~という手続きを踏んでください」であるとか、そういった内容を、お客様にお伝えする仕組みが必要だと思っています。

それこそが、最初に定義した「コミュニケーション手段」であり、それを整備することで、お客様からセキュリティに関する安心感を得ることが可能になります。

そして、そのコミュニケーション手段を整備するためには、ISO27017はうってつけです。

なぜなら、そういったコミュニケーションに必要な内容が、国際標準のISO規格の管理策として網羅的に掲載されているからです。

ISO27017 取得のデメリット

(1)やっぱりコストが高い

ここで明確にX円と述べることが出来ないのが残念ですが、やはり認証取得にはコストがかかります。

自社で、自力で取得する場合は審査費用がかかりますし、コンサルタントを導入する場合は、それに加えてコンサルティング費用が発生してしまいます。

ちなみに、それ以外の設備投資などの費用は、ISMSに比べると、あまり発生しないケースが多いです。

詳細な値段は分かりませんが、30人程度のベンチャー企業だと、審査費用で50万~100万程度、コンサルティング費用も、50万~100万程度が相場ではないでしょうか(ISMSクラウドセキュリティ認証は、ISMS認証の取得が前提ですので、ISMS認証を取得していない場合は、これのざっくり2倍強程度の費用が必要だと思います)。

そして、認証を一度取得すると、1年に1回審査がありますから、認証の維持費用も必要です。

金額面のコストだけではなく、人的コストも必要となります。

コンサルタントを導入しない場合は、最低でもISO27017規格を理解し、その規格が意図することを読み解き、その意図は自社サービスでは何に該当するのかを検討する必要があります。

コンサルを導入する場合も、お打ち合わせの時間や、内部監査などを実施する時間が必要となってきます。

(2)ルールを整備し、そのルールを守る必要がある

主語が大きすぎるかもしれませんが、ベンチャー企業の強みの1つは機動力だと思います。

最低限のルール(例えば、コーディング規約など)はもちろん必要ですが、ルールの数と機動力は、おおよそ負の相関が見られるのが世の常であり、業務フローをルールでがんじがらめにしてしまうと、機動力が低下してしまいます。

ここはコンサルの腕の見せどころであり、いかに規格の意図を汲みつつ、いかにセキュリティレベルを確保しつつ、いかに業務の邪魔をしないルールをつくるか、というのは難しいところなのですが、やはりクラウドセキュリティレベルを向上させるためには、どうしても業務フローを、非効率に見える方向に変更せざるを得ないケースが、いくつか発生します(コンサルを導入しない場合も、同じだと思います)。

ISMSクラウドセキュリティ認証を取得するためには、どうしても、そこを妥協いただく必要があります。

例えば、リリースのたびに詳細なリリースノートを書いたり、脆弱性のパッチの対応状況を配信したり、サーバの秘密鍵の管理を徹底したり、などが考えられます(ここに挙げたのはあくまで例であり、ISO27017準拠のために必ず実施しないといけないわけではありません)。

以上、ISO27017認証を取得するためのメリットとデメリットを2つずつご紹介しました。

ベンチャー企業はISO27017を取得すべき!とか、取得すべきでない!とか、そういった単一的な答えがあるわけではありませんが、少しでも、御社の取得検討の判断材料になれば幸いです。

お問い合わせいただければ、お見積りやご訪問など、いつでも対応いたしますので、お気軽にご連絡ください。

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

ベンチャー企業がISO27017を取得するメリットとデメリット

Posted in ISO27017

2016年8月に、従来のいわゆる「ISMS認証」の追加認証として「ISMSクラウドセキュリティ認証」という認証制度が始まりました。

私個人の主観的な印象ですが、クラウドと聞くと、どちらかと言うと大企業よりも、中小・ベンチャー企業を想像してしまいます。実際、決して少なくない数のクラウドサービスは、いわゆるWebベンチャー企業と呼ばれるような企業から誕生しています。

そのため、この新しい認証制度が発表されたときは、Webベンチャー企業を中心に流行るのではないかと、私は勝手にイメージしていました。

しかし、現実問題、こういった「認証」を取得するためには、社内ルールを整備する必要があるため、ベンチャー特有の機動力が失われてしまう可能性があることや、認証取得には様々なコストがかかることなど、取得に向けた壁はいくつも存在していることと思います。

取得すべきか否か、判断に迷っているWebベンチャー企業も多いのではないでしょうか。

しかし、実際、既にISO27017認証を取得しているベンチャー企業も存在しています。

何をもってベンチャーというかは議論の余地がありますが、定義によってはベンチャーに該当する可能性のある企業を、いくつかピックアップしてみました。

ISO27017認証を取得しているベンチャー企業

株式会社スタディスト

提供サービス:クラウド型マニュアル作成・共有ツール『Teachme Biz』

[参考リンク] スタディスト「スタディスト、国内初のISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証を取得」2016年11月1日

ワークスモバイルジャパン株式会社

提供サービス:ビジネス版LINE「Works Mobile」

[参考リンク] PR TIMES「Works Mobile、クラウドセキュリティに関する国際規格 “ISO/IEC 27017”、および個人情報保護に関する国際規格 “ISO/IEC 27018” を同時取得」2016年8月9日

株式会社L is B

提供サービス:クラウドメッセンジャーサービス「direct」

[参考リンク] direct「セキュリティに対する取り組み」2016年12月19日

ISO27017取得のメリット

この記事を書いている私も、実際にいくつもの組織の27017認証取得のお手伝いをさせていただいたコンサルタントでもあり、AWSを利用してクラウドサービス開発を行うWebエンジニアでもありますので、せっかくのこの機会に、「ベンチャー企業とISO27017の相性って、実際の所どうなの?」という点を、いくつかのメリットとデメリットを列挙する形で、見ていきたいと思います。

(1)商談相手からの「セキュリティ大丈夫?」の質問に自信を持って回答できる

「ISMS認証制度」が開始された当時からISMS認証を取得し、維持してきた、いうなればISMSのアーリーアダプター層に話を聞くと、しばしば「昔はISMSが差別化要因になっていたが、最近はほとんどの会社が取得しているので、あまり差別化のためには使えなくなった」という感想をいただきます。

実際、国内でISMS認証を取得している組織は既に5,000組織を超え、業界によっては「ISMSは持ってて当たり前」のようなところもあります。

それに比べて、ISMSクラウドセキュリティ(ISO27017)認証制度は、始まったばかりであること、ISMS制度を運営する組織が提供する権威ある認証制度であること、などから、ISMSと比べると、競合他社との十分な差別化要因になりえます。

2017年1月現在、ISMSクラウドセキュリティ認証を取得している企業は、まだ6社しかありません。

もちろん、今後はますます増えていくことが予想されていますが、今ならまだ「ISMSクラウドセキュリティ認証のアーリーアダプター」として、先行者利益を享受できる段階にあります。

ベンチャー企業の場合は、商談において、「サービス自体は良いのだが、信頼性やセキュリティの面で不安が…」という理由で、サービス導入が見送られるケースも、場合によっては考えられます。

そんなサービスの本質とは関係のない、「漠然とした不安」というしょうもない理由で導入見送りとなってしまう悲しい事態を回避するためにも、このISMSクラウドセキュリティ認証は有効に機能すると考えられます。

(2)顧客のセキュリティに関する安心を得るためのコミュニケーション手段を整備できる

すごく曖昧な言葉を使いました。

「コミュニケーション手段」とは、例えば契約の内容であったり、何かサービスで障害が発生してしまったときの顧客への連絡手段であったり、顧客がサービスのバグやぜい弱性を発見したときの緊急連絡窓口を設けることであったり、要は「サービスの直接的な提供以外の部分での顧客とのやり取り」のことを、ここでは「コミュニケーション手段」と呼んでまとめました。

正直申し上げると、ISO27017を取得したからといって、サービスのセキュリティ関連バグや障害件数が0になるわけではありません。

しかし、冷静に考えると、「クラウドサービスの利用者に『安心して』自社のサービスを使ってもらう」ということを目標とする場合、ただバグや障害を減らすだけでは、それは達成できないと思います。

それ以外にも、「障害が起こったときは、~という手段でX分以内に連絡しますよ」であるとか、「お客様がもしサービスを退会することになった場合、預けて頂いたデータは完全に物理削除しますよ」であるとか、「バックアップは日次でn世代分保管しています。もしバックアップデータを取り出したい場合は、取り出すことは可能ですので、~という手続きを踏んでください」であるとか、そういった内容を、お客様にお伝えする仕組みが必要だと思っています。

それこそが、最初に定義した「コミュニケーション手段」であり、それを整備することで、お客様からセキュリティに関する安心感を得ることが可能になります。

そして、そのコミュニケーション手段を整備するためには、ISO27017はうってつけです。

なぜなら、そういったコミュニケーションに必要な内容が、国際標準のISO規格の管理策として網羅的に掲載されているからです。

ISO27017 取得のデメリット

(1)やっぱりコストが高い

ここで明確にX円と述べることが出来ないのが残念ですが、やはり認証取得にはコストがかかります。

自社で、自力で取得する場合は審査費用がかかりますし、コンサルタントを導入する場合は、それに加えてコンサルティング費用が発生してしまいます。

ちなみに、それ以外の設備投資などの費用は、ISMSに比べると、あまり発生しないケースが多いです。

詳細な値段は分かりませんが、30人程度のベンチャー企業だと、審査費用で50万~100万程度、コンサルティング費用も、50万~100万程度が相場ではないでしょうか(ISMSクラウドセキュリティ認証は、ISMS認証の取得が前提ですので、ISMS認証を取得していない場合は、これのざっくり2倍強程度の費用が必要だと思います)。

そして、認証を一度取得すると、1年に1回審査がありますから、認証の維持費用も必要です。

金額面のコストだけではなく、人的コストも必要となります。

コンサルタントを導入しない場合は、最低でもISO27017規格を理解し、その規格が意図することを読み解き、その意図は自社サービスでは何に該当するのかを検討する必要があります。

コンサルを導入する場合も、お打ち合わせの時間や、内部監査などを実施する時間が必要となってきます。

(2)ルールを整備し、そのルールを守る必要がある

主語が大きすぎるかもしれませんが、ベンチャー企業の強みの1つは機動力だと思います。

最低限のルール(例えば、コーディング規約など)はもちろん必要ですが、ルールの数と機動力は、おおよそ負の相関が見られるのが世の常であり、業務フローをルールでがんじがらめにしてしまうと、機動力が低下してしまいます。

ここはコンサルの腕の見せどころであり、いかに規格の意図を汲みつつ、いかにセキュリティレベルを確保しつつ、いかに業務の邪魔をしないルールをつくるか、というのは難しいところなのですが、やはりクラウドセキュリティレベルを向上させるためには、どうしても業務フローを、非効率に見える方向に変更せざるを得ないケースが、いくつか発生します(コンサルを導入しない場合も、同じだと思います)。

ISMSクラウドセキュリティ認証を取得するためには、どうしても、そこを妥協いただく必要があります。

例えば、リリースのたびに詳細なリリースノートを書いたり、脆弱性のパッチの対応状況を配信したり、サーバの秘密鍵の管理を徹底したり、などが考えられます(ここに挙げたのはあくまで例であり、ISO27017準拠のために必ず実施しないといけないわけではありません)。

以上、ISO27017認証を取得するためのメリットとデメリットを2つずつご紹介しました。

ベンチャー企業はISO27017を取得すべき!とか、取得すべきでない!とか、そういった単一的な答えがあるわけではありませんが、少しでも、御社の取得検討の判断材料になれば幸いです。

お問い合わせいただければ、お見積りやご訪問など、いつでも対応いたしますので、お気軽にご連絡ください。

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする