概要

Garoon、kintone等のグループウェア、情報共有サービスを開発・提供するサイボウズ株式会社は、近年はソフトウェアのライセンス販売に加え、サーバーやセキュリティなどの運用環境も提供するクラウドサービスを実施しています。
これらクラウドサービスのISO/IEC27017認証取得にあたり、NTTテクノクロスの「クラウドセキュリティ認証取得コンサルティング」を依頼した経緯やメリットについて、セキュリティ室の中井戸 志麻氏にお話をうかがいました。

セキュリティ室の業務について


おもに製品のインシデント対応チーム(Cy-PSIRT)と連携し、セキュリティのインシデント対応チームなど、対外的にはCy-SIRT(サイサート)の名称でセキュリティ業務全般を行っています。 また社内のセキュリティ教育や、認証取得の活動、セキュリティ事故が起こった場合にどのような対応を取るべきか、そのアドバイスや手順をお伝えする事が主な業務です。

課題

万全なセキュリティ体制の構築・維持のためにISMS(ISO/IEC27001)を取得


サイボウズでは、製品としてのセキュリティはもちろん、社としてきちんとしたセキュリティ体制を構築・維持していることを示すことが大切と考えており、2011年に、まずは一番メジャーな情報セキュリティの第三者認証であるISMS(情報 セキュリティマネジメントシステム ISO/IEC27001)の認証を、社内の主軸となっている運用本部や開発本部のメンバーが関わり取得しました。

ISO/IEC27017の取得を目指した理由


昨今、各社から様々なクラウドサービスが出てくるなか、お客様のクラウドサービス選定理由に、セキュリティ面を挙げられることが多くなっています。 当初サイボウズの製品を導入する際に、何十項目ものチェックシートを記入して頂くやり取りがあり、そういった姿勢を見ていてセキュリティ面を重視されているお客様が多い事がわかりました。そのため、更に高いレベルの認証である、クラウドサービスに対応した情報セキュリティ認証ISO/IEC27017の取得に向けて2019年1月から動き出しました。

解決へのアプローチ

NTTテクノクロスとの関わり

ISO/IEC27017の認証を取得するには自社だけの力では難しく、特にISO/IEC27017はISMSより新しい規格のISO認証なので、周りにノウハウを持っている人間がいないこともあり、ハードルが高い挑戦になると思いました。 資格の取得には規格をしっかり理解して、それに対してどのようなアウトプットをして審査を受ければいいのか、そういったノウハウを持っている方に支援していただくのが一番の近道だと思い、ISMS取得時から長年支援をして頂き、信頼と安心のあったNTTテクノクロス社のコンサルチームに支援して頂く事を決めました。

ソリューションとその成果

ISO/IEC27017の取得に向けたNTTテクノクロスの支援


規格で求められていることに対して、審査でどのレベルまで求められるかなど、規格書が難解な言葉で書かれていてわかりにくく、仮に私たちが理解できたとしても、各部門がセキュリティ対策を実践しなければならないので噛み砕いて説明しなければなりません。 また認証取得のためには、規格で求められている多数の要求事項(管理策)に対して一つ一つ、各部門でどのように実施しているかを確認して、出来ていない部分があれば対応しなければなりません。ですから、細かいスケジュール管理が必要ですし、なぜそれが必要かを各部門に説得しなければなりません。 そのような時に、NTTテクノクロスがISO/IEC27017の専門用語を噛み砕いて説明したり、出来ていない際の対応について専門家目線でサポートしてくれたことにより、私たちも説得力を持って説明でき、各部門とコミュニケーションがしっかり取れた状態で審査に臨めました。

NTTテクノクロスの強みとは


NTTテクノクロス社とは、ISMSの取得・支援サポートをして頂いた頃から定期的に情報交換などをしてきました。 担当したコンサルタントの土屋さん(NTTテクノクロス セキュアシステム事業部)は、ISO/IEC27001やISO/IEC27017などの国際規格の開発を行うISO/IEC JTC1 SC27 WG1国内委員会委員を務められているという事なので、これは完璧だろうと思いました。 土屋さんは、ISO/IEC JTC1 SC27 WG1委員会の国際会議に参加し、この規格の制定検討を作った背景などにも関わられているので、そこに関してダイレクトに話を伺うことができるのは他社にはないメリットだと思います。 認証に関するプロフェッショナルとしての知識と、これまでの背景をご存知であるということは、安心感と心強さをもたらしてくれました。

ISO/IEC27017を取得して変わったこと


社内ではISO/IEC27017を取得して活動する中で、セキュリティの教育を受けたり、ヒアリングに対応しなければならないなど、セキュリティとの接点が増えてきたので、日常の気付きのようなものが各部門から出てくるようになりました。社外的にも、取得してからは受注件数が急増しました。 今でもチェックリストをお配りして確認事項のチェックは行いますが、ISO/IEC27017の取得が加わったことで、受け手側、お客様の信頼度やセキュリティのレベルを測るための評価は簡単になりましたし、より安全なものだと判断していただけるようになったと思います。

サイボウズ株式会社様 ISO/IEC27017認証登録証(2019年12月取得)

今後の展開

継続したセキュリティ強化に向けての取り組み

新しい制度への取り組みとして、高いセキュリティ水準の確保と、円滑な導入を目指した新たな評価制度のISMAP登録を進めています。 ISMAPは、政府にクラウドサービスを導入する企業を対象に登録が求められるほか、高いセキュリティ基準を満たしている証にもなるため、今後はクラウドサービスを選定・利用する際の評価基準の1つになると想定されています。 まだ制度(制度の運用)が開始されたばかりなので、弊社でもNTTテクノクロス社の支援を受けて登録に向けたプロジェクトが始動しました。 セキュリティやクラウドの世界は日々変化しているので、引き続きNTTテクノクロスに情報セキュリティの国際規格やクラウド評価制度の最新動向を共有していただき、継続的に製品や体制のセキュリティ強化を進めていきたいと考えています。

お客様プロフィール

 お客様プロフィール
設立 1997年8月8日
事業概要 グループウェアの開発、販売、運用 チームワーク強化メソッドの開発、販売、提供
資本金 613百万円(2019年12月末時点)
従業員数 741名(2019年12月末 連結)
URL https://cybozu.co.jp

※2020年12月現在