LRMでクラウドセキュリティ認証を取得することが決定したのは、2017年6月の社内会議でした。

代表の幸松が「そろそろISO27017の審査が始まってから１年経つよね。セキュリオ(LRMが提供している情報セキュリティ教育クラウドサービス)を開発しているし、コンサルティングで認証取得サポートをしているんだから、自社でISO27017を取得しない理由はないでしょ。取得しよう。」という一言を述べたのがきっかけです。

それから、クラウドセキュリティ認証を取得するための体制構築等の取り組みが始まりました。

以下では、LRMがクラウドセキュリティ認証取得の取り組みをおこなう中で、苦労した点をご紹介します。

１：大変だったこと：サービスと管理策のギャップ分析

まずはじめに、利用している「AWS」・提供している「セキュリオ」の2サービスとISO27017の管理策に書かれている内容とで、どれだけの違いがあるかを確認するギャップ分析を行いました。

AWSは今までISO27017認証取得コンサルティングを提供させていただいた多くの企業様でも活用されていたIaaSであることから、違いがどれだけあるのか算出することは比較的簡単でした。

しかし、自社サービスである「セキュリオ」の分析には苦労しました。

というのも、eラーニングサービスを主体としたサービスの分析をおこなうのは初めてだったので、管理策と比較したときに、どれだけの対策が必要となるか見極めるのがとても難しかったのです。

２：大変だったこと：追加対策の取り組み

続けて、ギャップ分析で足りていないと気づいた部分に対して何をしないといけないかを明確化した後、明確化された対策等を1つずつ対応していくというフェーズへ移りました。

上記で、AWSにおけるギャップ分析はそこまで難しくなかったと述べました。

しかし、運用においては実際にどう対応すればよいかの見極めや、AWS との契約状態をどうするべきかの検討が大変でした。

検討の結果、準拠法をワシントン州法から日本法に変更するという取り組みを実施しました。

特に、契約状態については法務関連資料を読み返す必要があり、一部英語の資料だったこともあり、さらに大変でした。

管理策の中には、ユーザーが使いやすくするためのシステムを提供するだけではなく、ユーザーが不自由なく利用できるように、様々な情報提供をしましょうと書かれています。

自社サービス「セキュリオ」においては追加しなければいけない機能の開発もさることながら、使い方を記したマニュアルの整備やISO27017の管理策に記載されている利用者との合意に関してで、当時は足りていない部分がありました。

認証を取得するための対応はそこまで大変ではありませんが、その後継続的に整備しながら運用していくことを考えると、どういったフローが最適かを考えながらまとめあげることが大変でした。

３：大変だったこと：対応できるメンバーが少ない

何より今回の取り組みに当たって大変だったことは、対応できるメンバーの数が少なかったということです。

クラウドセキュリティ専任者を設けるだけのリソースはなく、担当となったメンバーは通常業務を並行しながら審査までに対応する必要があり、対応に追われてしまうということが度々ありました。

ただ、今回の取り組みによって、どれだけクラウドセキュリティ認証を取得するためにエネルギーが必要なのかを把握することができたので、弊社は今後よりいっそう口だけコンサルティングではなく、お客様に寄り添ったコンサルティングを提供できるのではないかと思います。

大変だったけど、取得して、良かった！

もちろん弊社としては、認証取得前もセキュリティを保った開発、運用を心がけてセキュリオを提供していました。

しかし、今回の取り組みによって国際規格に沿ったセキュリティ基準のサービスへとセキュリオをブラッシュアップすることができましたし、何より自信を持って「セキュリオはISO27017という国際的な認証を取得しているサービスです」とお客様へご提案できるようになりました。

これは、他のサービスと比較するにあたって、良い判断材料になるのではないでしょうか。

そしてなによりも、クラウドサービスに特化したセキュリティ体制を構築することの大変さを、自社でも認証を取得しようと動いたことにより改めて実感できました。

ただ、クラウドサービスは年々新たな脅威に見舞われます。

「セキュリオ」では、上記認証を取得した1年後にはISO27018認証も取得しました。

今後もISO規格にとどまらず、様々な文献を参考に、脅威から守る対策をとっていきたいです。