もう1つの本業はクラウドセキュリティ認証のコンサルタント

ISO/IEC 27002をはじめ、複数のISO/IEC 27000シリーズの国際標準化で活躍している土屋。この仕事は、会社や周囲から与えられたものではない。自ら掴んだ仕事だった。

大学卒業後、NTTソフトウェア（現NTTテクノクロス）に入社した土屋が最初に配属されたのは、セキュリティアプリケーションを開発する部署だった。その部署で約2年を過ごした後、異動したのがISMSなど情報セキュリティのコンサルティングを担当する部署。以来、一貫してISMS認証（ISO/IEC 27001）取得支援や情報セキュリティマネジメントのコンサルタントとして活動しているが、近年、主に担当しているのはISMSクラウドセキュリティ認証（ISO/IEC 27017）の取得支援だ。

ISMSが情報セキュリティ管理全般を対象にした認証制度なのに対して、ISMSクラウドセキュリティ認証はその名の通り、クラウド分野に特化した認証制度である。

クラウドサービスを提供している事業者およびクラウドサービスを利用している組織を対象に、ISO/IEC 27017で規定されたクラウド分野のセキュリティ対策の要件をしっかり満たしているかどうかを審査して認証する。ISO/IEC 27017の国際標準化が完了したのは2015年。国内では2017年に認証制度がスタートし、約300社が取得している。ISMS認証をすでに有していることが、ISMSクラウドセキュリティ認証取得の必須条件だ。

「政府もクラウドファーストを掲げるなか、ISMSクラウドセキュリティ認証が入札条件の1つとなるケースや、顧客から認証が求められるケースも増えており、取得企業は右肩上がりに増加しています」

本認証を取得するためには、クラウドセキュリティに関するリスク評価、従業員研修、内部監査などを実施する必要があるが、企業が自身で実施することが難しい場合は、コンサルタントに委託することも多い。

このようなコンサルティングサービスを提供する企業は少なくないが、NTTテクノクロスの特色は「手厚いサポート」だという。国際標準化に携わっている者ならではの規格の豊富な知見をベースに、その企業の詳細な状況をISO/IEC 27017の要件に当てはめ、その企業に最適となる対応方法を提案している。具体的には、保つべきセキュリティレベルと企業にとってのコストや運用負担のバランスを取って、何が最善の提案かを常に考えている。

このようにコンサルタントとしても活躍する土屋に、標準化に関わるきっかけをもたらしたのは、現在の主業務であるISMSクラウドセキュリティ認証の国際規格ISO/IEC 27017だった。

国際標準化との出会い

大学時代は、国際社会学を専攻していたという土屋。「アメリカのマイノリティの差別や不平等などについて勉強していました」

いつか国際関係の仕事に携わりたいとの思いは社会人になってからも消えず、学生時代から好きだった英語の勉強をコツコツと続けていた。

そうしたなかチャンスを運んできたのが、ISO/IEC 27017を和訳する仕事だった。「経済産業省の委託プロジェクトの仕事でした。日本のクラウドセキュリティ監査制度の基本となるクラウド情報セキュリティ管理基準を、新たに策定されたISO/IEC 27017に準拠するための改訂プロジェクトです。このプロジェクトのメンバーとしてこの国際規格の英文の和訳を担当しました」

この和訳が、クラウド情報セキュリティ管理基準改訂プロジェクトの中心的な役割を担ったISO委員や、他のISO/IEC 27000シリーズのISO委員の目にもとまった。「標準化活動と親和性のある和訳だったのだと思います」

国際規格であるISO/IEC 27000シリーズの日本版規格は、日本規格協会（JSA）のJIS原案作成委員会で作成されるが、ISO委員の多くがJIS原案作成委員会の委員を兼任している。

「ISO/IEC 27017のJIS化に携わりたい」。そう意を決した土屋は、クラウド情報セキュリティ管理基準改訂プロジェクトの中心的な役割を担ったISO委員に「えいやっ」とメールを送信する。

「すると『僕からクラウドセキュリティのJIS原案作成委員会の委員長に紹介しておきますね』とすぐにお返事が返ってきたんです」

これまで英語のスキルアップやセキュリティに関する知識習得の積み重ねがJIS原案作成委員会でも着実な成果として有識者に理解され、さらにこのような土屋の自発的な行動により2016年にISO/IEC 27000シリーズのISO委員となった。

ISO委員としての活動は、最初は国内委員会の参加のみだったが、国際会議にコメントを提出するようになると、国内委員会内での存在感を高めた。「『土屋さんのコメントは国際会議で有効だったよ』などと国際会議に行った方からは言ってもらえて、『自分も国際会議に行ってみたいな』と思うようになりました」

そして、初めて国際会議に参加したのが2017年のニュージーランドでの会議だった。新型コロナの感染拡大以降、オンライン開催へと変わったが、土屋は日本代表の1人として、ISO/IEC 27002やISO/IEC 27017、サイバーセキュリティに関する国際規格であるISO/IEC 27100などの標準化に携わり続けている。

tomorrow is another day

土屋が標準化活動やコンサルティング業務において心がけていることがある。

「その提案は、利用者や顧客にとって本当に役立つものなのか――。この軸だけは、ぶれてはいけないと思っています」

標準化の会議は、様々な関係者の思惑が交錯する場でもある。仮に、セキュリティの国際規格で、ある特定のソリューションが推奨されれば、関連ソリューションを提供するベンダーは利益を得ることができる。

「標準化活動では、ユーザーにとって本当に役に立つ規格にしていくことが大切です」

情報セキュリティマネジメントのコンサルタントとして、土屋はユーザー企業の声を長年じかに聞いてきた。その声を「規格に反映していく」ことが自身に課している役割の1つだ。

土屋が耳にしてきた声の中にはコンサルタントへの批判もある。「コンサルティング業者が儲けるため、わざと規格の文書は難しくなっているのではないか」という批判だ。

「確かに一般ユーザーには、凄く分かりにくいのが現状です。規格を作る側として、この壁を乗り越えていきたい。コンサルタントが不要になるくらい、分かりやすい規格作りに貢献していきたいです」

土屋が好きな言葉がある。「tomorrow is another day」――。映画『風と共に去りぬ』の最後のセリフとして有名な言葉だ。「明日、また頑張ろうと前向きになれる言葉で、とても好きなんです」

英語の勉強をはじめ、努力を積み重ねることで、土屋は国際標準化の舞台での活躍というanother dayに出会った。

今、土屋が思い描くanother dayの1つは、一般ユーザーにも分かりやすいISO/IEC 27000シリーズが実現した明日である。

そして、もう1つのanother dayは、「国際会議の場で、いなくてはならない存在として、海外の専門家からも、真に頼られる国際エキスパートとなること」。

努力していれば、きっと今日とは違う明日が来る――。そんな気持ちで土屋は今日も前を向いて歩く。