自社サービス開発・運用会社でのISMS取得は業界的に多いのか?
開発だけでも様々な種類の形態が存在します。
その中でも、「自社サービス開発・運用」は自社で開発するサービスの企画、設計、実装、運用までを全て行います。
ISMSはISO/IEC27001という規格に対する準拠性を確認するもので、その規格のセクションの1つに「A.14 システムの取得、開発及び保守」があります。
このセクションでは、開発環境やシステムセキュリティの試験、受け入れテスト、ネットワーク通信のセキュリティなど、開発や運用を業務として行う際に、構築しておくべきチェック項目が記載されています。そのため、社内のルールをしっかりとしたいという理由から、構築に取り組む自社サービス開発・運用会社も存在します。
さらに、クラウドサービスが普及してきたこともあり、2016年から開始したISMSクラウドセキュリティ認証や、クラウドにおける個人情報保護に関するISO27018認証を取得する組織が増えてきています。
自社サービス開発・運用会社がISMSを取得するメリット
取得のメリットは3つ考えられます。
開発に関するセキュリティを配慮した基盤ルールを作成することができる
例えば、「セキュリティに配慮した開発環境があるか」や、「セキュリティ機能の試験を開発期間中に実施する」といったチェック項目が規格にあります。今までに作成したルールは、どちらかというと効率重視でセキュリティに配慮した点は少ないという組織も少なからず存在します。そのため、この機会にセキュリティを配慮したルールを作成できることが大きなメリットとなります。
インシデント発生時の利用者への報告方法を見直すことができる
システムまたはサービスの中でインシデントが発生した場合、従業員や契約相手に報告しなければいけないとされており、さらに手順を決めているだけでなく、インシデント発生時の対応について文書化しなければいけないとされています。そのため、インシデント対応を見直すいいきっかけになります。
外部委託したくなった時に適用するルールを、あらかじめ作成しておくことができる
自社内だけで開発や運用等を実施するということを曲げなければ不要ですが、ある出来事から外部に任せることが決まったとした時、外部委託するにはどうすればいいんだと焦る必要がなくなります。
自社サービス開発・運用会社がISMS取得をする際に注意すべき点
開発の側面と運用の側面で注意すべき資産等は異なってきます。
| 開発で注意すべき点 | 運用で注意すべき点 |
|---|---|
| ソースコードや設計書の管理 環境の構築 |
顧客データの管理 ログ取得及び監視 |
ただし、いずれもアクセス権が鍵となることが共通しています。
「誰でもアクセスしていい情報なのか」、「特定の人だけアクセスしていい情報なのか」、あらかじめしっかりとアクセス権を設定するようにしましょう。
そして、不正なアクセスがあった場合に察知できるようログ取得と監視体制の構築を行いましょう。
ISMS構築や審査においてチェックしたいポイント
セクション3で注意すべき点を記載しましたが、「ISMS構築のために」ということで自社内のルールがすでにしっかりと構築されているなら大きく変える必要がありません。
ただし、自社内のルールを守らずに開発や運用を行っていると、審査時にルールと一致していないことから指摘されてしまいます。
自社内のルールが時代に追いついていないことから違反を起こしたのか、それともルールを認知していないことからの開発・運用違反なのか。柔軟な社内ルールを含むISMS構築を行うように心がけるといいかもしれません。
