株式会社クオリティア 様 – ISO27017&ISO27018認証同時新規取得 –

サービスプロバイダー事業が成長した今、ISMSクラウドセキュリティとISO27018の認証取得は必然であると認識しました。難解な規格の理解は大変でしたが信頼関係を築いてきたLRMのサポートがあったので不安なく取り組めました

株式会社クオリティアは、ISMS/ISO27001認証新規取得から約5年が経過した2017年11月、ISO27017/ISMSクラウドセキュリティ認証とISO27018認証を同時取得しました。今回もLRMにコンサルティングをご依頼いただきました。両認証取得に取り組んだ理由と、取得までの経緯、そして取り組みの成果について、取締役 クラウドサービス開発本部 本部長・野村維左夫氏とISMS事務局のお2人にお話を伺いました。

(株式会社クオリティアについて)

Webメールを中心とした「コミュニケーションセキュリティ」に関わるパッケージ製品やクラウドサービスを開発・提供する企業。主力製品『Active! mail』は、一般企業・教育機関・官公庁・自治体などが採用。累計アカウント数は1,300万を超え、国内売上シェアではトップクラスを誇っている。この他、メール誤送信対策『Active! gate』、アンチスパム『Active! hunter』、メールアーカイブ『Active! vault』、さらに標的型メール攻撃対策『Active! zone』などの製品を販売。近年は、クラウドサービスも成長し、同社のビジネスの新しい柱となっている。クラウド型メール統合サービス『Active! world』をはじめ、法人向け大容量ストレージ『Active! drive SS』、既存製品のクラウド版である『Active! gate SS』および『Active! vault SS』などのサービスをグローバルに展開する。開発・品質管理・販売・サービス運用・顧客サポートを全て自社で行うことで、顧客ニーズを迅速に汲み取り、製品やサービス、サポートに反映できることが強みだ。1993年10月、株式会社トランスウエアとして設立し、2015年10月子会社のディープソフト株式会社と合併し社名を変更して現在に至っている。
本社;東京都中央区。従業員数;90名(2017年4月現在)。

LRMのサポートでISO27017/ISMSクラウドセキュリティ&ISO27018認証を同時取得

– 2012年のISMS/ISO27001(以下、ISMS)認証取得に続き、ISO27017/ISMSクラウドセキュリティ認証とISO27018認証を同時取得されたと伺いました。

その通りです。弊社は2017年10月末、ISMSの維持審査のタイミングに合わせた拡大審査という形で、ISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証とISO27018認証の審査を受け、11月下旬に両認証を取得することが出来ました。

2012年のISMS認証新規取得に引き続き、今回もコンサルティングはLRMの幸松さんに依頼しました。

–  両認証の適用範囲を教えてください。

両認証とも適用範囲は、弊社が提供する4つのクラウド型サービス(『Active! world』『Active! gate SS』『Active! vault SS』『Active! drive SS』) の運用を担うクラウドサービス運用部です。対象サービスは、全サービスです。ISMSクラウドセキュリティ認証については、サービスの基盤としてAWSを一部利用しているため、CSP(Cloud Service Provider=クラウドサービス事業者)とCSC(Cloud Service Customer=クラウドサービス利用者)、両方の立場で取得しました。

ISO27017/ISMSクラウドセキュリティ&ISO27018認証取得はサービス提供者として必然

– ISMS認証取得から5年、御社における情報セキュリティマネジメントシステム運用の取り組みは、どのように発展してきましたか。

弊社は2012年、経営統合する前のトランスウエア時代にISMS認証を取得しました。その後、子会社との経営統合によって事業規模は拡大しましたが、ISMS認証取得時に築いたISMS事務局と情報セキュリティ委員会による運用体制はそのまま引継ぎ、メンバーを入れ替えながらも、年間スケジュールに沿った活動を行ってきました。その継続的な活動により、全従業員の間で、セキュリティ関連の製品やサービスを提供する会社として、情報セキュリティインシデントは絶対に起こすことはできないという認識を共有するに至っています。

— 取り組みが社内に定着する中、新たにISMSクラウドセキュリティ認証とISO27018認証を同時取得された理由をお話しください。

弊社が提供するクラウドサービスの規模拡大に合わせ、クラウドサービスを提供するための環境整備として、ISMSクラウドセキュリティ認証とISO27018認証を取得しました。

ISMS認証を取得した当時はまだ、弊社のクラウドサービスはスタートしたばかりでした。弊社は自社をソフトウェアのメーカーと位置づけており、売上比率でもパッケージ製品が圧倒的な割合を占めていました。しかしクオリティアを設立した2015年には、クラウドサービスが成長し、売上比率も上昇していました。そこで、それ以降、弊社はクラウドサービスプロバイダとしてのビジネスにさらに注力する方針を掲げて、事業を推進してきました。

そのような中、ISMSクラウドセキュリティ認証とISO27018認証が制度化された際は、クラウドサービスを提供する企業の責任として、弊社が両認証を取得することは必然であるとの認識を持ちました。

「ISMSクラウドセキュリティとISO27018の認証取得は弊社にとって必然でした」(取締役クラウドサービス開発本部本部長・野村維左夫氏)

「ISMSクラウドセキュリティと
ISO27018の認証取得は弊社
にとって必然でした」(取締役
クラウドサービス開発本部
本部長・野村維左夫氏)

— 制度がスタートしたばかりの情報が少ない段階で両認証を取得することについて、ご不安はございませんでしたか。

LRMのサポートもあるので、不安はありませんでした。近年、お客様からは、弊社の情報セキュリティ体制に対する問い合わせが増えており、社会全体の情報セキュリティに対する関心はますます高まっていると認識していたため、むしろ早期に取得すべきと考えました。

そもそも両認証制度が始まったことは、LRMの幸松さんからのご案内で知りました。LRMとはISMS認証取得以降も、ISMS運用改善サポート『情報セキュリティ倶楽部』を契約し、年1回の訪問を含めたサポートを受け、信頼関係を築いてきました。2017年1月に両認証のご案内をいただいた当時、次の弊社の取り組みとして、社内体制を見直すためにQMS/ISO9001の構築を検討し始めていましたが、急きょ中断し、ISMSクラウドセキュリティ認証とISO27018認証の同時取得に取り組むことを決めました。

ISMSクラウドセキュリティ認証は最近注目され始めていますが、実際に国内で取得している企業はまだ、両手で数えられるほどです。メールソリューションを提供する企業としてはおそらく弊社が初めてでしょう。ISO27018との同時取得も、非常に珍しい状況です。

–  ISMSクラウドセキュリティとISO27018の両認証を取得することで、ISMS事務局のご負担が増えるというご心配などはございませんでしたか。

負担が増えることには心配していませんでしたが、両認証ともサービスの運用に関わってくるため、ISMS事務局と情報セキュリティ委員会のメンバーだけでは対応できないという懸念は持っていました。そこで今回はLRMとの打ち合わせから審査まで、サービス運用を担うクラウドサービス運用部のメンバーにも参加してもらいました。

ISO27017/ISMSクラウドセキュリティ&ISO27018認証取得に向けた取り組み

– ISMSクラウドセキュリティとISO27018の認証取得に向けた準備は計画通りに進みましたか。

「当初の計画より審査日程が早まりましたが、LRMのサポートで無事に間に合いました」

「当初の計画より審査日程が
早まりましたが、LRMのサポート
で無事に間に合いました」

新規認証をご案内いただいた際、同年9月に予定していた次のISMS維持審査とタイミングを合わせて認証取得をおこないたいと考え、幸松さんに相談したところ、半年で準備ができるとのご判断だったため、4月に準備をスタートしました。

ただ準備が進み、審査会社と審査の日程を調整するにあたり、弊社が希望する日程で審査会社側の日程を確保することができない状況に陥りました。ISMSクラウドセキュリティとISO27018の両認証に対応できる審査員が現段階では限定されていることに加え、ISMSクラウドセキュリティ認証の取得企業が増えてきていることが要因です。

その結果、当初の計画より審査日程が早まり慌ただしい作業になりましたが、
幸松さんのサポートにより、何とか準備を間に合わせることが出来ました。

– 両認証取得に向けた準備は、具体的にどのようなことをされましたか。

ISMSクラウドセキュリティおよびISO27018の認証取得に向けた作業は、いずれもサービスのユーザーが安心して利用するための情報公開体制を整備することがメインです。成果物は、各サービスの利用規約やセキュリティのホワイトペーパーなどの文書類です。ISMSクラウドセキュリティに関しては、CSCとしてAWSの利用規約なども揃えました。

作業の大まかな流れは次の通りです。

まずは、ISMSですでに洗い出してある情報資産に対し、各規格の対象となるものを選別してマーキングしました。

次にISMSクラウドセキュリティの管理策79個、ISO27018の管理策50個をそれぞれ検討し、タスクリストを作って、それをもとに必要な文書を揃えて行きました。

順番としてはISMSクラウドセキュリティの中にISO27018を包含している部分もあるため、ISMSクラウドセキュリティの管理策79個を一通り検討し、次にISO27018を検討するという流れで進めました。

– 従業員教育や内部監査などは、ISMSクラウドセキュリティとISO27018、別々で行う必要があるのですか。

従業員教育も内部監査も、ISMS認証を含めて一括して実施しました。

従業員教育に関しては、ISMSクラウドセキュリティとISO27018は、管理策を決めて必要なものを揃えていく作業なので、特に実施すべきことはありません。ISMS認証の維持審査に向けて実施する従業員教育の中で、新規取得する2つの認証について説明した程度です。

内部監査は、通常は社内の内部監査員が実施していますが、今回は従来になかったクラウド領域も含まれていたため、LRMに審査員を代行してもらいました。特にクラウドサービス運用部の監査では念入りにチェックしてもらいました。

–  審査はいかがでしたか。

従来のISMSだけの審査と比べると、大がかりな審査でした。審査日数は3日間に渡り、審査員の人数もいつもより多い3名体制で行われました。ISMSだけの時は、審査員は1人、日程は2日間でした。また今回は、審査員からの質問で使用される規格の専門用語が難解で、質問の意図を把握するのに苦労しました。審査後に議事録をまとめるのにも時間がかかりました。

ただ、3日間のうち、初日は幸松さんが同席してくれ、我々が対応しきれないところを補足していただいたため、非常に助かりました。

審査結果は、ISMSの継続審査も含めて改善の機会をいくつかいただきましたが、不適合はなく、11月下旬、両認証を取得しました。

従来の体制では対応しきれないことが社内の活動を深めるきっかけに

– ISMSクラウドセキュリティ認証とISO27018認証を取得したことで、サービス運用に関して変わった点はありますか。

「ISMSの取り組みを業務改善の一環として見直すきっかけにしたいと考えています」

「ISMSの取り組みを業務改善
の一環として見直すきっかけ
にしたいと考えています」

大きく変わった点はありません。ただ、規格に基づいて利用規約やホワイトペーパーなどを整備したことで、これまで意識の上だけで行動していたことが、明文化されたルールに則って行動しているという状態になりました。逆に言えば、サービス運用の現場は、利用規約などに明示したことは確実に遂行する必要が生まれました。それが結果として、情報セキュリティマネジメントシステムの維持活動そのものを、従来以上に深めるきっかけになりました。

– 詳しくお聞きしてよろしいですか。

これまでの継続的な活動を通して情報セキュリティ意識は全社に浸透しました。また、ISMS事務局と情報セキュリティ委員会による情報セキュリティマネジメントシステムの運用体制も安定してきました。その一方で、活動をさらに深めていくためには、情報セキュリティ委員会のメンバーだけではなく、一般の社員も活動に参加してもらう必要性を感じていました。

今回のISMSクラウドセキュリティ認証とISO27018認証の同時取得は、実際にサービスの運用に携わっている者でなければ対応できないことから、クラウドサービス運用部のメンバーを巻き込んだ活動となりました。その結果、実際に参加した社員の情報セキュリティに対する意識は、これまで以上に高まっています。

審査会社からいただいた「改善の機会」は、さっそく審査対応をしてくれた社員と情報セキュリティ委員会のメンバーにフィードバックし、今後の取り組み課題として共有しました。そこから様々な会話が生まれ、自然と活発な意見が交わされるようになっています。

この状況を活かして、情報セキュリティマネジメントシステムを維持する活動を、単に認証を維持するためだけの独立したものではなく、業務改善の一環として見直すきっかけにしていきたいと考えています。

難解なクラウドセキュリティの規格をLRMがわかりやすく説明

– ISMSクラウドセキュリティ認証とISO27018認証の同時取得におけるLRMの働きを、どのようにご評価されますか。

ISMSクラウドセキュリティ認証とISO27018認証の新規取得に関しては、細かい技術的な知識を持たないISMS事務局にとって、それぞれの規格が何を目的とし、何を要求しているのかを理解することが大変でした。その難解な規格をISMS事務局メンバーが理解するために、幸松さんは資料を用い、簡潔に噛み砕いて説明してくれました。

また、今回はクラウドサービス運用部のメンバーにも打ち合わせに参加してもらいましたが、これまではISMS事務局側から現場に協力を求めるにしても技術的なことが理解できていないことで、なぜそれをやる必要があるのかを論理的に説明できないもどかしさを感じていました。今回は、現場の担当者に幸松さんが直接話をしてくださったため、ISMS事務局としては、そういったストレスを抱える必要はありませんでした。

今回の2つの認証新規取得は、LRMからの案内を受けてスタートしたプロジェクトです。ISMS認証新規取得や運用保守サポートで築いた実績と信頼もあるため、不安を抱えることもなく認証取得に臨むことが出来ました。

「弊社の取り組みが活性化するためにも、LRMのような客観的な情報を提供していただける存在は貴重です」

「弊社の取り組みが活性化するためにも、LRMのような客観的な情報を
提供していただける存在は貴重です」

LRMは情報セキュリティの監査役

– ISMS認証新規取得以降、5年に渡ってLRMのISMS運用保守サービス『情報セキュリティ倶楽部』を継続されてきた理由をお話し下さい。

情報セキュリティマネジメントシステムの運用において、第三者的な立場からのご意見をいただける機会は多くはありません。社内の取り組みを活性化するためにも、LRMのような客観的な情報を提供していただける存在は大変貴重です。

今回の拡大審査でも「改善の機会」をいただきました。それらを来年の維持審査に向けて1つずつ解決していくことが、目下の課題です。また、ISMSクラウドセキュリティ認証とISO27018認証に関しては、今後も新しいサービスがリリースされますので、それをどこまで認証範囲に入れていくかも検討する必要があります。情報セキュリティマネジメントシステムを運用し続ける取り組みには課題が尽きません。

これらの課題に向き合う際、社内の人間だけで対応していると、おざなりになってしまう危険があります。
LRMには今後も情報セキュリティに関する監査役として、第三者的な立場からのアドバイスを期待しています。

株式会社クオリティア様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。

株式会社クオリティア様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ 株式会社クオリティア様のWebサイト
※ 取材日時 2017年12月

※弊社では、株式会社クオリティア様のISMS取得もお手伝いさせていただきました。
 株式会社クオリティア様のISMS事例ページ

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
ISO27017認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る