ISO/IEC 27001:2022 来年の移行審査に向けて 検討中の新規格対応の話/ISMS

Transcript

1. ISO/IEC 27001:2022
 来年の移行審査に向けて
 検討中の新規格対応の話
 みんなのマーケット株式会社 
 コーポレート本部
 1

2. 2 はじめに（想定読者）
 弊社では2020年2月に情報セキュリティマネジメントシステム（ISMS）の国際認証規格である
 「ISO/IEC 27001」を取得し、今日まで維持しています。
 
 取得した認証は3年間有効ですが、維持するには毎年維持審査をクリアし、更新する際も審査をクリアする
 必要があります。また、ISMS規格が改訂された際も新しい規格に則って、情報セキュリティ対策を徹底する
 必要があり、3年以内に移行審査を受ける必要があります。
 ※規格は2022年10月に改訂（日本語版は2023年9月に発行）されました。

   
 
 弊社では一度更新審査を受け、2025年に維持審査と共に移行審査を受ける予定です。
 そのため、現在規格改訂に伴い社内の情報セキュリティルール等について見直しをしています。
 
 このスライドでは、弊社での規格改訂の対応内容についてご紹介します。
 同じく規格改訂対応中の方、これからISMSに取り組んでいく方のご参考になれば幸いです。


3. 3 【ISO/IEC 27001の構成】
 　「本文」と「附属書A」から成り立っています。
 
 　・本文　　 ：ISMSを構築する上で、必ず対応しなければならない事項が記載されています。　　　　　　　　 
 　　　　　　 　

   リスクアセスメント、内部監査、マネジメントレビュー等。
 　・附属書A：本文に記載されている要求事項を実現するために、具体的にどのような管理が必要なのかが
 　　　　　　 記載されています。
 
 【変更点】
 　・本文　　 ：軽微な変更（言い回しが異なる/内容が分割されて小項目が追加された）のみなため、　
 　　　　　　 　本スライド内では割愛します。
 　・附属書A：カテゴリが纏められてコンパクトになり管理策の数は減少しましたが、新たな管理策が11個 増えました。本スライド内では、新規追加された管理策をピックアップし対策内容について
 ご紹介します（極力費用対効果を高める方法で検討しています）。
 ISMSの規格の今回の変更点


4. 4 新規追加された管理策（既に対応済のため今回は対応しない項目について）
 新規追加された11個の管理策のうち、9個は既にこれまでから対応・運用できているため、
 今回は新規での対応はしないこととしました（軽微なマニュアル修正はあり）。
 下記、現状の対応内容についてご紹介します。
 ※2024年5月現在の情報であり、今後方針が変わる可能性もあります。 
 
 • 5.7

   脅威インテリジェンス 
 ※セキュリティ脅威に関する情報を収集、分析して社内活用することが求められています。 
 →セキュリオというサービスを利用して最新の情報セキュリティ事情を収集し、定期的にその内容を含む 
 　 テストを実施しています。また、情シス担当者以外にも気付いた社員が各々、情報セキュリティに関する 
 情報をSlackで共有しています。 
 
 • 5.23 クラウドサービスの利用における情報セキュリティ 
 ※クラウドサービスの選定基準、利用手続き、管理方法、終了手続きのルール化等の対応が求められています。 
 →新規にサービスを利用する際は専用フォームでの申請を必須としており、サービスは一つのシートに 
 　 纏めて管理しています。マニュアルにも利用手続き、終了時のフロー等を記載しており、退職者が発生 
 　 した都度アカウントの棚卸しを行っています。 


5. 5 • 5.30 事業継続のためのICTの備え 
 ※非常時でもシステムが継続的に利用できるようにすることが求められています。 
 →年に1回BCP試験を実施しており、弊社が運営しているくらしのマーケットのソースコードやデータ 
 　

   ベースのバックアップデータのリストアを実施しています。 
 
 • 7.4 物理的セキュリティの監視 
 ※従業員不在時の入退室の監視が求められています。 
 →従業員不在時は執務エリアを施錠＆動体検知を作動させています（施錠、解錠時はログが残る）。 
 　そのため、何か/誰かが侵入した際は警備会社へ通知され、そこから情報を得ることができるように 
 　 なっています。
 
 • 8.10 情報の削除
 ※不要な情報を削除することが求められています。 
 →情報資産は台帳に纏めて 保管期限等を記載しており、定期的に情報資産の見直しを実施しています。 
 　 その際、保管期限が過ぎているデータや不要なデータを削除しています。 
 新規追加された管理策（既に対応済のため今回は対応しない項目について）


6. 6 • 8.12 データ漏えい防止
 ※システムやネットワークに対し、情報漏えい防止機能を設定することが求められています。 →出店者/ユーザーへ情報を送信するツールには、送信禁止ワードや送信前確認の設定をしています。 　
 
 • 8.16

   監視活動
 ※システムやネットワークに不正な挙動がないことを確認することが求められています。 
 →セキュリティソフトやシステム側で異常を検知するよう設定しており、異常を検知した際はアラートが通知され、 
 　 ログを元に確認できるようにしています。 
 
 • 8.23 ウェブフィルタリング
 ※Webサイトへのアクセスを管理することが求められています。 
 →全社員の端末へセキュリティソフトを導入しており、悪意のあるコンテンツを含む Webサイトを検出しブロック 　 しています。 • 8.28 セキュリティに配慮したコーディング 
 ※コーディング規約の制定や、脆弱性が含まれないコードを作成することが求められています。 　　　　→コーディング規約を制定し、それに則ってコーディング、レビューを実施しています。 新規追加された管理策（既に対応済のため今回は対応しない項目について）


7. 7 続いては、新規追加された11個の管理策のうち、新規対応が必要なのか確認中/今後仕組みとして
 新たに追加しようと検討している管理策2個についてご紹介します。
 
 • 8.9 構成管理
 ※ハードウェア、ソフトウェア、ネットワーク等の構成（スクリーンセーバーの起動時間やデータのアクセス権限等）が正しく設定 　 されているか、不正に変更されていないか確認することが求められています。

   
 →ハードウェアの構成管理を明文化した上で、定期的に全社員に確認を求める対応にします。 
 
 
 新規追加された管理策（現在対応内容について検討中の項目について）


8. 8 • 8.11 データマスキング 
 ※必要に応じて個人情報をマスキング（伏せ字）することが求められています。 
 →万が一情報が漏洩した際、被害を最小限に抑えるため、外部共有可能なシステム等で扱っている 
 　

   情報はアクセス権の見直しや不要となったデータの削除を定期的に実施しています。 
 　 その他のシステムで扱っている情報についても閲覧者は担当者のみとしています。 
 　 さらなる情報管理強化のため、権限者毎の閲覧範囲の設定の精緻化にも取り組んでまいります。 
 
 　 また、弊社ではリモートワークの社員が9割のため、主にSlackでコミュニケーションを行っています。 
 　 個人情報を扱うやり取りについては全社員が閲覧可能なチャンネル上ではやり取りしないことを徹底し 
 　 ています。弊社では社員増加スピードが加速しているため、定期的な注意喚起を励行していく予定です。 
 
 新規追加された管理策（現在対応内容について検討中の項目について）


9. 9 今回ご紹介した内容は、次回審査を受けた際、審査員のアドバイスを元に内容を改善したり、 今後も組織の成長に合わせて見直し/改善を行っていく予定です。 他にも弊社では、リソースも踏まえた適切な対応を目指して運用しています。 ISMSの枠組み以外にも、取り組みを進めたい事項が複数あります。 そんな弊社では、一緒にセキュリティ強化に取り組んでいただける方を募集しています！ 「もっとこのようにしたら良いのでは？」、「こんなことをしてみたい！」という方、 ご応募お待ちしております！ 
 最後に


10. 会社紹介
 10

11. 私たちのプロダクト 生活の「困った」を解決できるプロが集まる プラットフォーム「くらしのマーケット」 頼める出張サービスの種類 事業者の数 400種類以上！
 90,000事業者を突破！
 エアコンクリーニング、引越し、庭木剪定..などの生活関連サービス 日本全国の事業者が登録、売上を伸ばしている 11

12. 私たちのビジョン 正直者が馬鹿を見ない世界を作る
 テスト前に必死で勉強したのに、先輩から過去問をもらっていた友達が自分よりいい成績を取った…
 会社のことを思って地味な仕事も引き受けてきたのに、上司に気に入られている同期が昇進した…
 
 世の中では、不条理なことが起きます。
 でも、悪賢い人が得をして、正直な人が損をする世界なんて嫌です。
 
 江戸時代の思想家、石田梅岩は「二重の利を取り、甘き毒を喰ひ、自死するようなこと多かるべし」
 つまり、悪賢い者には必ず報いがあると説きました。


    さらに「実の商人は、先も立ち、我も立つことを思うなり」とも表し、
 まず相手の利害を優先し、その結果として自身も利益を得ることが商人の本文だと説きました。
 
 私たちは、先も立ち、我も立つ、正直な人が報われる世の中を作ります。
 12

13. 私たちのミッション 「人と人」が関わるサービスを、
 安心して取引できる仕組みを提供する
 私たちは、くらしのマーケットを通じて、
 世の中のあらゆるサービスをインターネットで安心して取引できる仕組みを提供していきます。
 インターネットでモノを買う時、みんなが楽天市場やAmazonを利用するように、
 サービスを買う時は、みんながくらしのマーケットを利用してくれる…そんな世界を目指します。
 
 多くのベンチャー企業が、自社の成長をアピールしますが、いちばん重要なことは、
 その会社がその時に「どれだけ成長しているか」ではなく、その会社が今後「どこまで成長できるか」です。


    
 みんなのマーケットは巨大な市場に挑んでいます。私たちと一緒に、大きく成長していきましょう。
 13

14. 書いた人 2021年 みんなのマーケット入社。コーポレート本部で情報システム （いわゆる情シス）として、社内のセキュリティ対策に取り組んだり、 みんなが使用するPCの準備等をしています。 
 入社研修も担当しています。 
 なかの コーポレート本部・情シス担当

    前回のスライドでも載せたキックボクシングの写真。 現在は諸事情で退会してしまったので、また落ち着い たら再開したいです。
 14

15. 15 JOIN OUR TEAM!