「クラウドセキュリティの情報が
少ない中実績を信じてLRMに依頼
しました。結果は満足しています」
（管理本部 経営企画室
室長・橋本晃伸氏）

–　御社がクラウドセキュリティ認証を取得した目的をお話しください。

今回、弊社がクラウドセキュリティ認証を取得した目的は、『スマートセッション』の競争力強化です。

『スマートセッション』をリリースした当初は、オンプレミス型からスタートし、翌年にクラウド版の提供を開始しました。導入件数ではまだオンプレミス型が上回っていますが、近年の傾向としてはクラウド版の方が伸びています。
弊社としては管理のしやすさやコストなどを考えてもクラウド版の方に優位性があるため、現在はクラウド版のPRに注力しています。

ただ、そこでネックとなるのがクラウドそのものに対する企業の不信感です。『スマートセッション』は、製品自体は非常に高くご評価いただけます。新規のお客様にもデモを見ていただければ、ほとんどの場合すぐに気に入っていただけます。しかしクラウド版の場合は、クラウドに対する漠然とした不安感や不信感を理由に導入が見送られるケースが少なくありません。ペーパーレス会議システムの主な活用シーンは経営会議や役員会議です。そのような場で扱われる機密性の高い資料を、クラウドに置くことに対する抵抗感は根強く残っています。そのため、クラウド版を安心して導入していただくには、セキュリティ面の不安感を払しょくする必要がありました。

このような課題を抱えているのは競合製品を扱う他社も同様です。そのような状況下で優位性を確保するためにもすでに広く認知されたISMSのアドオン認証であるクラウドセキュリティ認証の取得は効果的であると考えました。

–　御社はISMS/ISO27001（以下、ISMS）認証を取得していますが、ISMSだけでは優位性を保つことはできませんか。

ISMSは競合他社もほとんどが取得しており、クラウド製品の提供においては差別化にはなりません。
また、ISMSにはクラウドに特化した規定はありません。不安感を払しょくするにはISMSだけでは不十分です。

コンサルティングを依頼する前に参加したLRMのセミナーでも言っていましたが、現在自治体などの入札条件にISMSやプライバシーマークの取得が掲げられているように、近い将来はISMSクラウドセキュリティ認証も入札条件に含められるようになることが予想されます。そうなった時、入札に必要な仕様書に「ISO27017/ISMSクラウドセキュリティ認証取得」という1行を書くことが出来れば優位に戦えます。すでにある自治体ではそのような動きが始まっているという情報を得ていたこともあり、競合他社が未取得のうちに速やかに取得したいと考えました。

–　クラウドセキュリティ認証取得にあたって、ご不安などはありませんでしたか。

「セミナーでは、将来、クラウド
セキュリティ認証が入札条件
に入るかもしれないという話
が印象に残りました」
（取締役 営業本部長・市原雄爾氏）

認証取得の準備にかかる負担の大きさが不安でした。ISMS認証の新規取得では、1年かけてマネジメントシステムを構築しました。しかも、文書類の作成などの作業では、開発現場にも大きな負担がかかりました。中には1年間の準備期間中、業務時間の8割を準備作業に割いた技術者もいました。
その経験があったため、現場からは「取得時にISMSと同じような負担が強いられるのは困る」という声も挙がっていました。

しかし全体的には、クラウドセキュリティ認証を取るメリットは大きいという認識で一致していたため、まずはコンサルティング会社探しから始めました。
その時に知ったのがLRMのセミナーです。当時はISMSクラウドセキュリティ認証に関するまとまった情報は他にはほとんどなかったので、まずは情報収集の一環として、LRM主催のセミナーに参加しました。それが2016年11月です。

–　これまでISMSの新規取得や運用・更新にはコンサルティング会社は関与していなかったのでしょうか。

新規取得時はコンサルティングを受けましたが、取得後の運用・更新は全て自社で行ってきました。
新規取得時は、ISOに向き合うことが初めてだったため、規格をどう解釈して良いかわからず重たすぎるルールを作ってしまいましたが、長年運用する中で審査員からの指摘などを受けて、かなり整理することができました。2013年版への対応も自社で行いました。

したがって、ISMSの運用に対する不安はありませんが、クラウドセキュリティ認証に関しては初めての規格で公開されている事例も少ないため、自分たちだけで取得するのは困難だと考えました。規格を正しく解釈できないままマネジメントシステムを構築すると、的外れな成果物が出来上がるだけです。

もちろんこれまで、自社なりの取り組みは行ってきました。しかし『スマートセッション』クラウド版は、弊社初のクラウドサービスであり、また他社の運用方法に関する情報も多くは出回っていません。そんな中で明確な根拠が持てないまま運用ルールを決めてきました。適切な運用ルールになっているのか、必要以上の重たいルールになっていないかという不安は常にありました。そういう意味でもコンサルティング会社のサポートは必要でした。

–　そのような背景の中で参加されたLRMのセミナーはいかがでしたか。

まず、セミナーの会場が満席だったことから、クラウドセキュリティ認証に対する注目度の高さがわかりました。

次に、先ほど申し上げた通り、将来的には自治体などが入札条件の1つに加える可能性に触れられていたことから、早急に取得する必要があると感じました。評価制度運営を担うJIPDECの動向などと絡めた説明には説得力がありました。

さらにISMS認証取得時ほど重い負担がかかることはないという感覚を得ることは出来ました。

–　そのセミナーがLRMへのご依頼の決め手となったのですか。

実際に進めていくには、個別の機会を設けて話を聞かなければいけないと思っていたため、資料を持ち帰り社内で詳しく精査し、話し合いました。改めて資料を読み返してみても、ISMSの時のように1年もかかるようなイメージではなかったため、すぐに着手することにしました。

–　認証の取得期限は決めていましたか。

2017年5月を取得期限として定めました。ISMS認証の更新審査が5月に控えていたためそのタイミングに合わせて一緒に審査を迎えたいと考えたことが理由です。タイミングがずれると、審査の準備を2回行う必要があり、負担が増してしまいます。それを避けるには、今回のISMS認証の更新審査に間に合わなければ、1年遅らせるしかありません。
クラウドセキュリティ認証の取得事例は国内ではまだ多くはないので、取得時期が早ければ早いほどPR効果は高まります。逆に、１年遅れるとPR効果は薄れると考えました。この時期は逃したくないと思い、早速LRMから具体的な話を聞くことにしました。

「規格が求めていることは何かを理解できるまでが非常に早かった。井崎さんの説明は非常に分かりやすかったです」
（NEXT事業部 専門技術職・
久野哲治氏）

–　LRM以外のコンサルティング会社も検討はされましたか。

他に対応できるコンサルティング会社は見つかりませんでした。ISMS認証取得時は業界大手のコンサルティング会社に依頼しましたが、クラウドセキュリティ認証には対応していませんでした。

–　コンサルティング会社の選択肢が他にないということに関して、ご不安はありませんでしたか。

正直に言うと、新しいコンサルティング会社に依頼することに不安はありました。特に心配だったのが、規格に対する正しい解釈が得られるかどうかです。
それがコンサルティング会社にサポートを依頼する最大の目的なので、要点を得た説明をしていただけなければ価値がありません。また、解釈の仕方に柔軟性がないことも問題です。弊社の業務や製品に対する配慮がなく、凝り固まった解釈をもとに進められても、弊社としてはやりづらいだけです。弊社の実情に合わせた柔軟な解釈をしていただけることが重要でした。これらの要求が満たされさえすれば、弊社の社員なら自分たちで意見を出し合って、しっかり運用できるルールを作ることはできると考えていました。

話を聞くだけでは、実際のところの確証は得られませんが、LRMはすでにクラウドセキュリティ認証の取得実績を持っていたので、その実績を信じて依頼しました。

–　LRMは東京と大阪に拠点を置く会社です。費用面に関してはいかがでしたか。

金額に関しても相場感が把握できませんし、妥当な金額かどうかを判断できる基準はありません。
ただ、LRMの見積もりを見て、特に疑問に思う要素はありませんでした。

–　LRMの担当者と最初にお会いした時のご印象はいかがでしたか。

井崎さんはセミナーでスピーカーをされていた方でもあったので、LRMの中でもそれ相応の信頼を置かれている方であるという認識を持ちました。井崎さんに対する不安や不信はありませんでした。

–　認証取得の準備はどのように進みましたか。

LRMと一緒に取り組んだのは、主にマネジメントシステムの構築と文書作成です。1月からスタートして4月までの間に5回のミーティングを行い、その中で進めました。

具体的には、まずLRMから規格の項目ごとに求められていることを説明してもらい、その規格を『スマートセッション』の製品の状態や運用手順などに照らし合わせて、当てはまると思われる要素を弊社からLRMに説明しました。
そして、その内容が規格に当てはまれば文書に反映させ、当てはまらなければ改善策を提案してもらいました。
規格で求められていることを読み違えると無駄な作業をすることになりますが、今回は規格を1つずつ説明していただき、それに合う部分を弊社の状況の中から探し出すことが出来たため、非常にスムーズにルール作りを進めることができました。

文書類は、この打ち合わせの内容をもとにLRMがドラフト版を作成し、できたものを弊社がチェックするという手順で完成させました。

以上がコンサルティングの大きな流れです。

–　今回、クラウドセキュリティのマネジメントシステムを構築する中で、サービス運用面で大きく変わった点はありましたか。

「井崎さんは話しやすかった。
LRMは情報セキュリティの新
しい課題が生まれた時にまず
は相談する相手になりました」
（取締役 NEXT事業部
事業本部長・幸村信樹氏）

これまで我々が独自に構築してきた運用ルールは、クラウドセキュリティ認証における要求事項を概ねカバーしていたので、大きく変わった点はありません。
一部、規格の要求に合わなかった点のみ、LRMのアドバイスに基づいて補いました。具体的には以下の2点です。

（１）顧客へのマニュアルと利用規約の整備
顧客に提供するマニュアルと利用規約において、規格が要求している表現が抜けている部分がいくつかありました。特に弊社が利用しているクラウド基盤に関する要素が抜け落ちていました。そこで井崎さんのアドバイスをもとに、クラウド基盤の提供者に確認すべき点を確認し、マニュアルや利用規約に反映しました。

（２）データベースのバックアップ機能の改修
こちらは製品そのものの改修です。これまでデータベースのバックアップは、弊社が手動で取っていましたが、お客様自身がお客様のタイミングで取る仕組みを追加しました。

–　従業員教育はどうされましたか。

まず、概ね文書が出来たところで井崎さんに来ていただき、部署の全員に2回に分けて講義をしてもらいました。
テキストはLRMが作成し、『スマートセッション』を活用して行いました。
その上で情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使ってテストを実施しました。〇か×で答える簡単なテストでしたが、eラーニングを使うことで、全員のテスト実施状況が把握でき、マネジメントレビューや審査で用いる実施記録も残すことが出来ました。

その後、内部監査、マネジメントレビューを自社で行い、審査に臨みました。