サイボウズ株式会社　様

ISMAP登録を目指した理由

今回、新たに登録を目指したISMAPは、政府機関に対してクラウドサービスを提供する事業者が、満たすべきセキュリティ基準の評価制度として、2020年6月に運用が開始されました。制度自体がまだ改善の余地を残す始動段階にある中で、サイボウズ社がいち早くISMAP登録に着手したのは、すでにクラウドサービスを官公庁に提供してきた実績があり、今後も政府機関への調達に尽力していくために不可欠だったからです。　
ISMAP登録はコストのかかるセキュリティ投資でしたが、高いセキュリティ水準の確保を対外的にアピールできること、将来的には民間事業者への適用拡大も期待されることから、社内でも理解が得られ、事前に稟議書を通すことができました。NTTテクノクロス社のコンサルタントに依頼した内部監査をもとに、第三者機関による外部監査のプロセスを経て、2021年9月、サイボウズ社独自のクラウド基盤であるcybozu.comと、そのクラウド上で提供されるグループウェアのGaroon、kintoneが、「ISMAPクラウドサービスリスト」の登録に至りました。

NTTテクノクロス社には、2011年のISMS（ISO/IEC27001）認証でのコンサルティング以来、10年超にわたり情報セキュリティ認証の取得に関するご支援をお願いしてきました。
ISMAPは、これまでに取得してきたISO/IEC27001やISO/IEC27017といった国際水準のセキュリティ基準を踏まえた構成となっています。そのため、NTTテクノクロス社による継続的なサポートの中で、サイボウズ社の情報セキュリティマネジメントやセキュリティ管理策の取り組みを具体的にご理解いただいていることは、ISMAPの登録準備を効率的に進める上でも大変有意義なことでした。
例えば、ISMAPは従来認証と比較して膨大な数の証跡提出を求められる精密な制度となっています。証跡の収集は負荷のかかる作業となりましたが、開発や運用部門の中でもどのチームにどういった質問を投げかけるべきか、サイボウズ社の社内体制を細部までしっかり把握した上で、各部署にわかりやすく説明してくださるので証跡をスムーズに集めることができました。

ISMAPに関する他社にはない経験とノウハウ

ISMAPの特徴は、1157項目もの大量の管理策基準です。登録準備の中で苦慮したのが、この1000を超えるセキュリティ管理策それぞれが、ISMAPに登録する自社製品にとって必要か否かを取捨選択することでした。非採用の管理策についても理由の明文化が求められることから、まずは難解な管理策の内容をすべて解釈することから始めなければなりませんでした。
参考にできる他社の事例もなく、社内には管理策を理解するノウハウを持つ人材もいない中で、非常に心強かったのがコンサルタントの支援です。何よりNTTテクノクロス社は、経済産業省のISMAP制度検討において、監査を試行するサンプリング事業を引き受けるなど、積極的に制度の設立に携わってきた強みがあります。ISMAPの評価制度とクラウドサービスの両面に精通した深い知見があるからこそ、ISMAPの管理策基準をサイボウズ社のセキュリティ活動に照らし合わせて読み解くことができ、私たちは誰もが理解しやすいかたちでそれらの解説を受けられたのだと思います。
解釈を深められたおかげで、自社に必要な管理策を選定することができました。
さらに、文章化が難しい管理策の非採用理由についても、具体的な書き方の参考事例を提示してアドバイスを頂けたので、提出書類を作成する負担も大幅に軽減されました。

業界の人脈を駆使した手厚い支援

ISMAPの定まらない制度規定への対応にも苦労はありましたが、コンサルタントを通じて、業界内の人脈を駆使した有識者の意見を伺うこともでき、他社にはない手厚い支援を実感しました。
こうして最終的に選定した管理策に基づきNTTテクノクロス社による内部監査を実施。その経験を活かすかたちで外部機関の監査に臨むことができたのです。
予期していなかったのが、外部監査を終えた申請後に、運営元から多角的な切り口で質問を受けたことです。その際、運営元とのやり取りに対応し切れずに困惑してしまい、コンサルティングは終了していたものの、ご担当者に再度、助けを求めました。ISMAP制度の立ち上げ自体に関わられ、制度背景を熟知しているからこそ可能な観点から、制度設計上の意図を踏まえたアドバイスを頂けました。自分たちの考える方向性があながち間違えではないことを認識でき、非常に安堵した記憶があります。

ISMAP登録製品のアピール力を実感

日本発のセキュリティ認証制度であるISMAPは、業界内でも信頼性の高い評価基準であり、サイボウズ社のクラウドサービスをご検討頂いているお客様からも、ISMAP登録の有無を確認する問い合わせが着実に増えています。社内向けに実施したISMAPの勉強会では「自社製品をアピールしやすくなった」と営業メンバーからも声が上がるほどです。営業活動で「ISMAPに登録しています」と言えることは、サイボウズ社のセキュリティ水準の高さを民間事業者にも強力にアピールできるキーワードになると思います。改めて、ハードルの高いプロジェクトに挑戦してよかったと実感しました。

サイボウズ社はグローバルを見据え、世界でも通用する国際的な認証制度の取得を検討したいと考えています。認証への取り組みは自社の情報セキュリティが一定の基準に達しているかを確認するための指標にもなります。大手外資系クラウドサービス企業は、コンプライアンス認証に関して圧倒的な取得数があり、サイボウズ社も追随したい考えです。
クラウドセキュリティの脅威は絶えず変化していきます。NTTテクノクロス社とは長年築いてきた信頼があり、気軽に相談しやすい関係性を構築しているので、これからも引き続きクラウドセキュリティに関する最新の認証制度や国際規格動向について情報提供をお願いしていきたいです。