NEWS

株式会社カオピーズソフトウェアは、情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO27001:2013の認証を2018年9月28日付で取得し、10月18日に認証機関であるDAS Certificationから認証書を受領しました。

本認証の適用範囲は、営業からシステムの要件定義、設計、開発、評価まで、ソフトウェア開発業務に係る全ての工程になります。

カオピーズ代表のホアン氏（左）がISO27001認証書を受領

デジタル化が加速する中で、顧客情報や企業の機密データを守るための情報セキュリティ対策は、今やあらゆる企業にとって不可欠です。特に、オフショア開発を展開する企業においては「データの安全性」が取引先にとって大きな懸念材料となります。
そこで、カオピーズは国際的な情報セキュリティ基準「ISO27001」に準拠したISMS（情報セキュリティマネジメントシステム）を導入・運用し、2023年11月に正式な認証を取得しました。

ISMSとは？ISO27001認証の基礎知識

ISMS（情報セキュリティマネジメントシステム）とは

ISMS（Information Security Management System）とは、企業が保有する情報資産を組織的・継続的に守るための枠組みです。
情報の「機密性・完全性・可用性」を確保することを目的とし、社内のルールや体制、リスク評価、対策、監査などを総合的にマネジメントします。

ISO27001認証とは

ISO27001は、ISMSの国際標準規格です。独立した第三者機関による審査を通過することで認証され、情報管理の信頼性を対外的に証明することができます。
日本をはじめとしたグローバル企業との取引において、ISO27001認証の有無は重要な判断基準となっています。

カオピーズがISMSを導入した背景と目的

昨年の10月にQMS/ISO9001:2015認証（品質マネジメントシステム）を取得した後、直ぐにISMS/ISO27001認証取得のための準備作業に着手しました。1年近くの時間を掛け、10段階（*）に分けて体制、プロセス、文書などを備えました。

（*）ISMS/ISO27001認証取得までの流れ:

1. 適用範囲の検討
2. 方針決定
3. リスクアセスメント
4. 内部規定や手順書の作成
5. 従業員教育
6. 内部審査
7. 経営陣によるマネジメントレビュー
8. 認証機関による審査
9. 取得
10. 運用・保守

ISMS/ISO27001認証取得の準備作業の反省会

カオピーズでは、日本やシンガポールなど多国籍のクライアントと開発プロジェクトを行っており、顧客情報の管理や知的財産の保護が極めて重要です。
ISMSを導入した目的は、以下のような課題に対応するためでした：
・顧客企業のセキュリティ要件に応えるため
・開発メンバーのセキュリティ意識向上
・万一のインシデントに対する対応力強化
・国際的な信頼の獲得と競争優位性の確立

カオピーズのISMS運用体制と取り組み

情報資産のリスク評価と管理プロセス

カオピーズでは、ITオフショア開発・ラボ開発のサービスを提供している中、案件遂行期間中は必ずお客様から機密情報をお預かりしております。社内で使用するすべての情報資産に対してリスクアセスメントを実施し、重要度に応じた管理策を定義します。定期的なレビューも行っています。

従来は独自に情報セキュリティマネジメントに取り組んでまいりました。
この度ISMS/ISO270001:2013の認証取得によって、さらに従業員全員の情報セキュリティに関する認識を高めることができます。プロセスと体制の改善を行う機会となりました。

カオピーズの情報セキュリティと品質マネジメント委員会、PMOと認証機関DASの代表者

アクセス権限とネットワークセキュリティ

・権限管理：各プロジェクトに応じたアクセス制限の徹底
・ネットワーク：VPNの活用やファイアウォール設定で通信経路を保護
・パスワード管理：定期更新と多要素認証の導入

人的セキュリティ教育の強化

・新入社員・既存社員へのISMS研修の定期実施
・セキュリティポリシーの浸透・遵守状況のモニタリング

カオピーズは今後もセキュリティ強化を継続

カオピーズでは、ISO27001認証取得にとどまらず、セキュリティ水準の継続的な向上を目指しています。
お客様のビジネスとデータを守ることを最優先に、技術・教育・運用体制の全方位からセキュリティを強化してまいります。

今後も情報セキュリティ基本方針を全従業員が認識し、情報セキュリティマネジメントの維持・向上に努め、お客様の信頼をより一層高めることができるよう取り組んでまいります。