Technology

ISMS（ISO/IEC 27001:2022）認証

ISMS認証取得／認定登録番号 GIJP-1473-IC

2025年08月15日

当社は、情報セキュリティマネジメントシステム（ISMS）の国際規格 ISO/IEC 27001:2022 の認証を GCERTI より取得しています。（認定登録番号：GIJP-1473-IC、認証登録範囲：システム開発）。

お客様・パートナーの重要な情報資産を守るため、全社員を対象とした定期的な情報セキュリティテストを実施し、結果に基づく教育と是正で運用の実効性を高めています。

ISMSはゴールではなく、セキュリティ水準とサービス品質を継続的に向上させる起点と位置づけ、今後も取り組みを強化してまいります。

取得の背景

昨今のDXの進展により、開発プロセスそのもののセキュリティ統制が経営KPIに直結する時代が到来しております。当社は「先端技術 × DX戦略」を強みに、機密性・完全性・可用性の確保を経営課題として捉え、ISMS認証取得に取り組みました。

お客様・パートナーへの提供価値

安心の第三者認証	国際基準に沿ったリスク評価と管理策で、委託先管理・ベンダー評価要件に適合しやすい体制。
ライフサイクル全体の統制	要件、設計・実装、テスト、リリースの各工程で情報取扱い基準を明確化。
未然防止と迅速対応	ルール運用、定期テストと訓練、監査のサイクルでインシデントの抑止と影響最小化。
品質の継続向上	セキュリティを“作り込み（by design）”で実践し、プロダクト／サービスの信頼性を強化。

継続的改善（今後の取り組み）

定期的なリスク評価・内部監査・社員テストの継続と高度化
従業員・委託先への啓発活動の拡充
脆弱性情報への迅速対応と是正プロセスの強化
ガバナンス × エンジニアリング連携の深化による「セキュリティ・バイ・デザイン」の徹底

取得概要

認証登録組織	Ragate株式会社
認証規格	ISO/IEC 27001:2022
認証登録範囲	システム開発
認証機関	GCERTI
初回認証日	2024年12月13日
認定登録番号	GIJP-1473-IC

この記事を書いた人

アライアンス・SA営業柳澤大志

過去にエンジニア人材関連企業でデジタルマーケティングを駆使した顧客獲得に従事し、成果を上げた。現在はAWSを活用し、高度な顧客エンゲージメント強化策の構築に注力。さらに、マーケティング戦略の立案やBPR（ビジネスプロセス・リエンジニアリング）の推進支援を通じて、クライアントのビジネス成長を加速させている。

【保有資格・認定】

AWS認定ソリューションアーキテクト・アソシエイト

記事をシェア

ISMSは情報セキュリティマネジメントシステムの国際規格で、ISO/IEC 27001:2022が最新版となります。この認証は、組織が情報資産を適切に管理し、機密性・完全性・可用性を確保する仕組みを持っていることを第三者機関が証明するものです。システム開発会社においては、顧客から預かる機密情報や個人情報を扱う機会が多いため、開発プロセス全体でのセキュリティ統制が経営上の重要課題となっています。特に企業のDX推進が加速する中で、委託先やベンダーを選定する際の評価基準として、ISMS認証の有無が判断材料になるケースが増えています。認証取得により、要件定義から設計・実装・テスト・リリースまでの各工程で情報取扱い基準が明確化され、取引先に対して具体的な安心材料を提供できます。

ISMS認証取得企業への依頼には、主に4つの明確なメリットがあります。第一に、国際基準に沿ったリスク評価と管理策が実施されているため、委託先管理やベンダー評価の要件に適合しやすく、社内稟議や監査対応がスムーズになります。第二に、開発ライフサイクル全体で情報取扱い基準が明確化されているため、プロジェクトのどの段階でも一貫したセキュリティレベルが保たれます。第三に、定期的な内部監査や社員向けセキュリティテストの実施により、インシデントの未然防止と万が一の際の迅速な対応体制が整備されています。第四に、セキュリティを後付けではなく設計段階から組み込む「セキュリティ・バイ・デザイン」の考え方が浸透しているため、プロダクトやサービスの信頼性が継続的に向上します。

ISMS認証はゴールではなく、セキュリティ水準を継続的に向上させる起点として機能します。認証取得後も定期的なリスク評価、内部監査、全社員を対象としたセキュリティテストを実施し、その結果に基づいて教育と是正措置を繰り返すPDCAサイクルが回り続けます。また、脆弱性情報への迅速な対応体制を整備し、新たに発見された脅威に対しても速やかに是正プロセスを実行します。さらに、ガバナンス部門とエンジニアリング部門の連携を深化させることで、経営層の方針が現場の開発プロセスに確実に反映される体制を構築しています。認証機関による定期的な審査もあるため、外部からのチェック機能も働きます。

認証範囲を「システム開発」に設定しているのは、当社の中核事業であり、最も多くの顧客情報や機密データを取り扱う領域だからです。システム開発においては、要件定義段階での顧客の事業戦略情報、設計・実装段階でのソースコードや技術仕様、テスト段階での実データやログ情報など、多様かつ機密性の高い情報資産を扱います。認証範囲を明確に定めることで、最もリスクが高く管理が必要な業務プロセスに対して集中的にリソースを投入し、実効性の高いセキュリティ統制を実現しています。もちろん、認証範囲外の業務においても基本的なセキュリティ対策は実施されており、全社的な情報管理体制の中で適切に運用されています。

ISMSの枠組みの中で、インシデント対応プロセスが明確に定義されています。まず、定期的な訓練と社員テストにより、インシデントの初期兆候を早期に検知できる体制を構築しています。実際にインシデントが発生した場合は、影響範囲の特定、関係者への報告、応急措置の実施といった初動対応を迅速に行います。その後、原因分析と再発防止策の策定を行い、必要に応じて顧客やパートナーへの適切な情報開示を実施します。また、内部監査や認証機関の審査を通じて、対応プロセスの実効性を定期的に検証し、改善を続けています。この継続的な改善サイクルにより、インシデントの抑止と影響最小化を実現しています。

DXやクラウド移行プロジェクトでは、既存システムからの機密データ移行、新旧システムの並行稼働期間における情報管理、クラウド環境でのアクセス制御など、従来とは異なるセキュリティ課題が発生します。ISMS認証取得企業として、これらの課題に対して国際基準に基づいたリスク評価と管理策を提供できます。特にAWSなどのクラウド環境においては、責任共有モデルに基づいた適切な役割分担と、Infrastructure as Codeによる構成管理の透明性確保が重要になりますが、これらをISMSのプロセスに組み込んで運用しています。また、プロジェクト期間中も定期的なセキュリティレビューを実施し、変化する脅威環境に応じた対策を講じることで、安全なDX推進を支援します。