2025年、ソニックガーデンは「納品のない受託開発事業」でISMS（情報セキュリティマネジメントシステム）認証を取得しました。

形だけではなく本当に意味のある認証を目指して、方針検討とパートナー選びに8ヶ月、実際のルール策定に7ヶ月と、1年以上の長い時間をかけて取得に取り組みました。

ルールより信頼を重んじるソニックガーデンにとって、ISMSは相性が悪いように思えたこともありましたが、実際に取り組んでみると、思いがけない共通点が見えてきました。

セキュリティへの取り組みを見直し、レベルアップを図ったISMSプロジェクトの舞台裏を、ISMS事務局と広報を兼務している私・shin3が振り返ります。

---

中途入社でISMS取得担当に

まずは簡単に自己紹介をさせてください。私は昨年10月に中途入社し、広報とISMS取得プロジェクトを並行してきました。珍しい組み合わせですが、以前在籍していたSIerがISMSを取得していて馴染みがあったこと、書類仕事が嫌いではなかったこと、そして広報の前提として会社を理解するきっかけになるだろうという狙いで、入社直後からISMS取得プロジェクトに参加しました。

とはいえ、最初は社内のこともISMSのことも何もわからないので、戸惑うばかりでした。
ISMSとは「ISO/IEC 27001の規格に沿ってセキュリティのPDCAサイクルを回すマネジメントシステムを整備すること」なのですが、そう言われても具体像が掴めず、規格の本文を読んでも堅い文言が並んでいるばかりで、意味がとれませんでした。外部の研修を受けたり、本を読んだり、社内向けに資料を作ったりしながら、少しずつ理解を深めていきました。

なぜISMSを？： 信頼を証明し、さらに強くするために

今回のISMS取得の狙いは、大きく2つありました。

１つ目は、お客さまに安心してソフトウェア開発を任せていただくことです。

長年一緒にプロダクトを育ててきたお客さまの規模が大きくなったり、上場したりする中で、セキュリティの要求レベルが上がってきていました。また、大企業と新規にお付き合いすることも増え、今後取引条件としてISMS認証が必要になる会社が出てくるかもしれない、という予想がありました。

既に取得しているPマークの「個人情報保護」から、個人情報以外の重要な情報も含めた管理体制を国際基準で認証し、情報資産を預けられる信頼できる会社だということを示す狙いがありました。

２つ目の狙いは、この機にセキュリティのレベルを上げることです。

ソフトウェア開発を行う企業として当然セキュリティへの取り組みは続けてきました。しかし、現場の対策の積み上げで構築してきた部分もあり、全体として抜け漏れがないのか、改善点がないのか、改めて外部の目を入れてレベルアップしたい、という思いがありました。

また、ソニックガーデンではこの数年「徒弟制度」による若手の「弟子」の採用を進めており、創業以来のベテランぞろいだった組織とは性質が変わってきました。そのため、今まで暗黙の了解になっていたようなセキュリティ対策を明文化して、経験の浅い弟子たちに共有する必要がありました。

このような背景があり、今回のISMS取得プロジェクトが動き始めました。

自分たちの言葉で、ルールを“仕組み”にする

全体の方針を2024年の年末に決め、2025年の年明けから本格的に取得プロジェクトが始まりました。

体制としては、私をISMS事務局とし、開発案件やインフラを担当するプログラマや、情シス担当のプログラマ、そしてコーポレート部門を巻き込んで進めました。全員が兼務なので、事務局の私がPM兼雑用係として立ち回り、お膳立てしつつ各担当に専門性を発揮していただくことになりました。

また、外部のコンサルティング会社として、単にISMSを取得するだけでなくセキュリティマネジメント自体の改善も手伝ってくださる知見のあるコンサルタントを探して、LRM株式会社様に伴走していただきました。（セキュリティと現場の運用を両立させる仕組みを一緒に考えていただきました。ありがとうございました！）

1月から担当コンサルタントを交えて毎週の定例会を行い、ISMSの要求事項にあわせたリスクの洗い出しやルールの制定を行っていきました。

まずは「リスクの洗い出し」から始まるのですが、早速難しい議論になりました。
「納品をしない我々にとって、本当に致命的なリスクはどこにあるのか？」
「オフィスがない我々にとって、災害時の事業継続のリスクとは何か？」
といった、一般的な想定が当てはまらない問いを立てて、改めて自社の業務を点検しました。この議論を通じて、単に文書を整えるだけでなく、「自分たちは何を守るべきか」を改めて考える貴重な機会になりました。

リスクを洗い出したら、リスクに対応する仕組みを明文化し、ルールを作っていきます。ひな形をそのまま使って短期間で整えることもできましたが、私たちはあえて時間をかけて、一行ずつ精査し、ソニックガーデンの働き方や、「納品のない受託開発」の実態にあうよう、自分たちの言葉に書き換えていきました。

無駄なルールを徹底的になくしてきたソニックガーデンが、“ルールの塊”とも言えるISMSにどう向き合うのか。その難題への答えは「大量のルールを一文ずつ磨き込んで、全部実態にあった意味のあるルールにする」という真正面からのアプローチでした。

こうして作ったルールを社内展開する時にも、印象的な出来事がありました。整備した「セキュリティハンドブック」を公開し、全体ミーティングにあわせてレビューを依頼したところ、40件以上のコメントが寄せられました。
結果として出来上がったばかりのハンドブックの改訂に追われることにはなりましたが、一人ひとりがセキュリティに向き合うことで全体のルールが改善されていくダイナミックな動きを体験できました。

審査を通して見えた、“納品のない受託開発”の本質

半年かけて磨き上げたルールが、いよいよ外部の目にさらされる日が来ました。

外部機関による審査では、1次審査と2次審査をあわせて4日ほど、審査員の方々から各担当者にヒアリングが行われました。リスクの捉え方や、運用の現実性といった本質的な問いかけが続き、濃密な時間でした。

大変な審査ではありましたが、セキュリティレベルを高める狙いで厳格に審査してくださる審査機関を選んでいたので、期待通りの展開でした。

審査員とのやりとりの中で印象的だったのは、「納品のない受託開発」という事業モデルについての解釈です。今回、ソニックガーデンはISMSを「会社全体」ではなく「納品のない受託開発事業」を対象に取得したのですが、その範囲の定義についての審査の中で、

「お話をうかがうと、”受託開発”という名前ではありますが、開発だけでなく企画から運用まで全部やっていますね」

という話になり、結果として、認証範囲が

「納品のない受託開発事業における、顧客向けクラウドサービスの企画、設計、構築、開発、運用、保守及び提供」

という長い表現になりました。第三者機関の審査員が私たちの事業の特徴を理解してくださった上で、認定対象として「納品のない受託開発」という言葉が認められたのは、うれしい出来事でした。

認証後の延長戦、移転審査

厳しい審査を経て8月に無事に認証を受けたのですが、ちょうどそのタイミングでオフィス移転をしてしまったので、すぐに「移転審査」を受けて認定証の住所を更新する必要が発生しました。

ISMS取得を検討している時に、オフィス移転の計画があったら、引っ越し後に審査が入るスケジュールにすることをおすすめします。そして、移転は延期になることがあるので気をつけましょう……という、汎用性のない知見を得ました。

ともあれ、移転審査も無事に終わり、この10月に現状の住所で認定を受け直すことができました。私がプロジェクトに加わってからちょうど丸1年かけて、ようやく一区切りです。

取得の効果：正攻法がちゃんと回る安心

改めて取得に向けた1年間の取り組みを思い返すと、「ISMSの要求事項にあわせて新しいことを始めた」というより「これまでやってきたことの答え合わせ」という感覚がありました。

ISMSの要求事項を点検していくと、社内で運用している「毎月セキュリティ上のリマインドを送る自作ツール」や「バックアップ訓練の自動化」などで、すでに要求のほとんどが、日常業務に仕組みとして出来上がっていました。

中途入社した私としては、準備と審査を通じて「国際基準級のことを、自発的にやっていた！」ことがどんどん明らかになっていったので、先人の今までの取り組みへのリスペクトが止まりませんでした。

一方で、ISMS取得のために網羅的に社内のリスクを確認した結果、「決済が絡むプログラムはとりわけリスクが高いので、さらなる安全策を講じたほうが良い」といった、具体的な改善策を見つけることもできました。

そして、発見した改善を、ISMSで整備したPDCAサイクルの中に組み込んでいけるので、属人性や暗黙知に頼らないセキュリティ改善のプロセスが回せるようになった、ということも効果と言えます。当たり前のようではありますが、正攻法をきちんとやり続ける仕組みを整えられたことが収穫でした。

まとめ：ISMSはセキュリティの「ふりかえり」だった。

取得プロジェクトの中での発見は、自社の取り組みを文書化＝言語化した上で、国際基準と比較することで得られました。

この考え方は、ソニックガーデンの文化として大切にしている「ふりかえり」に似ています。「ふりかえり」では、自分の仕事をふりかえって改善点を見つけていくのですが、客観的にふりかえるためには言語化がポイントになります。

参考記事：ソニックガーデンにおける「ふりかえりと言語化」
https://kuranuki.sonicgarden.jp/archives/30725

当初、ISMSで「ルールを作る」イメージでしたが、終わってみると「やってきたことを言語化した」という側面が大きかったです。

そう考えると、ISMS取得活動は、「会社全体のセキュリティマネジメントを言語化して、ふりかえりする」という活動でした。であれば、ソニックガーデンにとって大変相性の良い取り組みだったのではないか、ということを、この文章を書くことで、改めて気づきました。これも言語化の効果ですね。

また、言語化と言えば、私がやっている広報の役割は「会社の活動を客観的に言語化して発信すること」ですので、「セキュリティという切り口で事業活動を言語化する取り組み」を1年間間近で見られたことは、会社や社員を理解するためにも、広報での言語化の参考としても、大いに役立つ経験でした。広報とISMS取得の兼任、おすすめです……という、汎用性のない知見を得ました。

今後も日々のセキュリティの取り組みは続きますし、ISMSの更新審査や対象領域の拡大など考えることは沢山あるのですが、まずは初回取得の舞台裏を記録して、筆を置きます。

・ISMS取得に関するお知らせはこちら（広報担当としての私が書きました）
https://www.sonicgarden.jp/blog_articles/5135