アイネオ株式会社様 – 顧客事例 –

ISMSのルール作りでは社内の意見を調整するのが大変。難航した時はLRMに他社の事例や標準的な対策を教えてもらって参考にしました

アイネオ株式会社は、成長が加速するクラウドPBXサービス『iPBX』の事業規模拡大に備えるためにISMS/ISO27001認証を取得しました。コンサルティング会社選定の経緯や取り組みの成果について、情報セキュリティ管理者を務める上城千枝氏にお話を伺いました。

(アイネオ株式会社について)

電話とWeb会議、チャットが統合されたクラウドサービス『iPBX Hosting』を提供する会社。バイリンガルサポートを武器に主として外資系企業へのIT活用サポートサービスで発展してきた。創業当時からオンプレミス型PBX(デジタルPBX、IP-PBX)の構築・導入・保守サポートを行ってきたが、2014年秋にクラウドPBXとして『iPBX Hosting』をリリースすると、一般におけるクラウドそのものに対する認知拡大と並行して売上シェアを伸ばしてきた。
同社のクラウドPBXの特徴は、世界トップクラスのメーカーのPBXシステムをベースにプラットフォームを構築している点にある。フリーのPBXソフトを使って構築する場合と比較して、セキュリティや安定性の高いシステムを提供できることがメリットであり、長年にわたってテレコミュニケーション分野で蓄積してきた技術力の高さと併せ、大手通信会社とのコンペティションにおいても勝てる強みとなっている。
設立:1997年5月。本社:東京都千代田区。従業員数:約20名(2018年3月現在)。

LRMへの依頼:ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社はLRMにISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。
2017年6月コンサルティングがスタートして、2017年12月に認証を取得しました。LRMの担当者・井崎さんには非常に助けていただき、予定通りに認証を取得することが出来ました。

サービス拡大に備えた体制整備を目的にISMS/ISO27001認証を取得

大手企業への導入も増加しているクラウドPBXサービス『iPBX』のWebサイト

大手企業への導入も
増加している。
>>クラウドPBXサービス『iPBX』のWebサイト

— ISMS認証取得の目的をお話し下さい。

ISMS認証取得の目的は、現在注力しているクラウド型PBX『iPBX』のサービス拡大に向けた体制整備です。サービスが拡大するにつれ、お客様からISMS認証取得に対するご要望をいただく機会が増えていました。ちょうど社内では、体系的な情報セキュリティルールを明確に定める必要性を感じていたので、ISMS認証取得が体制整備の機会になると考えました。

— 上城様が情報セキュリティ管理者にアサインされた理由をお話し下さい。

私は営業サポートやカスタマーサポートなど幅広い役割を担っています。会社全体を最も俯瞰的に見て把握しているということから、業務改善のためのシステム選定・管理などにも携わっています。今回、ISMS認証取得の情報セキュリティ管理者にアサインされたのもその一環です。ただ、最初は何もわからなかったので、コンサルティング会社を選ぶ段階までは手探り状態でした。

ISMS/ISO27001認証取得後を見据えてコンサルティング会社を選定

— 最初に着手されたことは何ですか。

まずはコンサルティング会社を探し始めました。自社取得は一切考えていませんでした。2017年6月末に社内でISMS認証取得を決定すると、早速複数のコンサルティング会社に問い合わせました。

— 問い合わせをしたコンサルティング会社はどのようにピックアップしましたか。

まずは話を聞いてみようと考え、インターネット検索で上位表示された会社へランダムにメールを送りました。その中で返信があった会社は3社ありましたが、そのうち1社はインターネット上での評判があまり良くなかったので選考対象から外しました。LRMを含めた2社と会って話を聞いた結果、ISMS認証取得後の運用を見越しLRMに依頼しました。

— その時点で認証取得後の運用についても考えておられたのですか。

はい。ISMS認証取得後もコンサルティング会社のサポートを受けることで運用が楽になるのではないかというイメージはありました。実際に運用サポートを依頼するかどうかの判断はしていませんでしたが、依頼することになった時に社内での承認が得やすいと思われたLRMを選びました。

— どのような点でLRMの方が承認を得やすいと思われましたか。

社内で検討する材料として最もわかりやすかったのが料金です。LRMの方が料金体系が明解で、ISMS認証取得後の運用コストを把握しやすかったです。取り組み内容に関しては社内で比較検討し判断できるだけの知識がないため、深くは検討していません。あとはコンサルタントとの相性次第ですが、その点は実際に始まってみないとわからないと思っていました。

LRMと一緒に作成したタスクリストをもとに情報セキュリティ体制を整備

「ISMS認証取得後のサポートも見越してLRMに依頼しました」(情報セキュリティ管理者・上城千枝氏)

「ISMS認証取得後のサポートも見越してLRMに依頼しました」
(情報セキュリティ管理者・上城千枝氏)

— ISMS認証取得の目的として社内の体制整備を挙げておられました。目的を達成する上でのご希望やご心配など、LRMに予め相談したことはありましたか。

まずスケジュールがあります。2017年中に取得できるようスケジュールを組んでいただきました。

次に可能な限り負担の軽いルールにしたいという希望は伝えました。今回は期間が短かったため、最低限のベース作りを目指しました。
ただ1つ問題がありました。そのタイミングでお客様からセキュリティシートへの回答が求められており、そちらも意識してルールを作る必要がありました。しかもセキュリティシートの中で要求されているレベルが高めであったため、LRMに相談して一緒に精査しながら進めていただけるよう依頼しました。

— 結果から伺います。希望したスケジュール通りにISMS認証が取得できたことは最低限の成果だと思いますが、目指していた社内体制の整備や負担の軽いルール作りに関しては実現できましたか。

目指した結果は得ることが出来ました。進め方としては、LRMが作成した文書類のひな形をベースに、お客様からいただいたセキュリティシートをチェックしながら、取り組むべき施策と取り組まない施策を分け、取り組むべき施策をタスクリストにまとめました。そしてそのタスクに社内で取り組みながら、今すぐ出来ないことがあれば取得後の課題として残すという判断をしていきました。
そのような取り組みを通して、社内の情報セキュリティ体制が整備されていきました。

— 取り組むべき施策と取り組まない施策というのはどのような基準で分けたのですか。

弊社の現状では実行が難しい施策や、弊社の業務には関係のない施策は削除しました。

— リストアップしたタスクというのはどのような内容のものですか。

ほとんどは、日々の業務の中で実際にはやっていた内容です。しかし統一したルールを定めていないものもいくつかありました。

例を挙げると各種パスワードがあります。システムへのログインパスワードなどは従来も設定していましたが、桁数などのルールは厳密に決めていませんでした。インシデント報告もあります。業務の中で何かが起きれば社内で報告することは当然ですが、フローは確立していませんでした。そこでインシデント報告の流れを明確にしました。USBメモリのルールもあります。もともとUSBメモリは使っていませんでした。今回も原則としては使わないことにしていますが、営業などで必要になった場合は管理者が管理するパスワードロック付きのUSBメモリを使用することにしました。その他、クリアデスク・クリアスクリーン、顧客管理などに関しても、従業員がおのおのの基準でやっていたことですが、ルールを統一してマニュアルに明記しました。

— ルールを遂行していくために必要な環境の具体例を挙げることは可能でしょうか。

例えば顧客管理の一環として「問い合わせ記録を残す」というルールを決めました。このルールを遂行するには情報を一元的に集約する必要があります。そこでクラウドCRM『ZOHO』を導入しました。これによって全社的に顧客情報を共有し誰でも的確な対応が出来るようになりました。今後における顧客管理業務の効率化が期待できます。

— ISMS認証取得後の課題として残したものには、どのようなものがありますか。

例えばシステムの操作ログの管理があります。これまでログ管理はバラバラに取っていました。それを統一するための準備としてツールを導入したり、管理ルールを文書にまとめたりする必要がありましたが、今回は時間的な制約があったため認証取得後の課題にしました。

LRMから聞いた他社の事例や標準的な取り組みを参考にルール作り

— 今回、情報セキュリティ管理者として初めてISMS認証取得に取り組まれました。最もご苦労されたことは何ですか。

最も苦労したのは社内の調整です。ルール構築においては、社内の意見を聞かなければ判断できないこともありました。そのようなケースに遭遇した場合は、LRMとの打ち合わせの場ではいったん保留にして社内で議論しましたが、様々な意見を集約してルールをまとめていくのに時間がかかりました。

— 社内の調整が難航した場合は、どのような方法でルールを決めましたか。

LRMに相談し、他社の事例や標準的なルールを教えてもらい参考にしました。

— 文書類の作成は大変ではなかったですか。

マニュアルなど審査を受ける際に必要な書類は全てテンプレートが揃っていましたし、作成は井崎さんが担ってくれたので作業の手間はかかりませんでした。

— LRMとの打ち合わせは何回ぐらい行いましたか。

1回2時間程度の打ち合わせを8回実施しました。その後、内部監査を行いました。

— 従業員教育はいかがでしたか。

従業員教育は、他のISMSのタスクと並行して実施しました。LRMの情報セキュリティ特化型eラーニングシステム『Seculio』を活用し、各自都合の良いタイミングで実施してもらいました。

「管理者の負担を軽減できる『Seculio』。ISMS認証取得後の従業員教育にも活用していきます」

— 『Seculio』は使いやすかったですか。

管理者にとってもユーザー側にとってもUIがわかりやすく操作が簡単でした。また、教材が用意されているので、管理者の負担軽減にもつながります。今回、従業員教育において弊社が行ったことは、システム内におけるユーザー登録と教材の配信、そして実施状況の管理のみです。

一度使って便利さが実感できたため、ISMS認証取得後の運用においても活用していくことにしました。
新規取得時の教育内容は「ISMSは何か」という一般的な内容でしたが、『Seculio』上には様々な教材があり、その中から状況に応じて教材を選んで実施することが出来ます。自分たちで教材を作る手間を省きつつ、充実した教育を実施できることがメリットですね。

— 内部監査はどうされましたか。

内部監査のサポートもコンサルティングメニューに入っています。井崎さんに内部監査員を代行してもらって実施しました。内部監査の結果、いくつかタスク漏れが見つかったため、それらを潰した上で審査を迎えました。

— 審査を受けられた際、緊張はされませんでしたか。

LRMと一緒に時間をかけて準備をし、内部審査で明らかとなったエラーも改善して臨めたので特に不安はありませんでした。結果としても不適合はなく、軽微な指摘事項だけで済みました。

— 今後の課題をお話し下さい。

今後の課題は次年度に残したタスクの消化をしながら、社内に情報セキュリティ活動の定着を図ることです。
現状で可能な範囲でのルールを定めることが出来ましたので、ここからが本番だと思っています。
まだISMSの運用に会社全体が慣れていない面もあるので、慣れていくことも大事かなと感じています。

「最低限のルール作りが出来たばかり。ここからがスタートです」(左;上城氏)※右は弊社 井崎

「最低限のルール作りが出来たばかり。ここからがスタートです」(左;上城氏)
※右は弊社 井崎

法令台帳の更新とeラーニングが魅力。『情報セキュリティ倶楽部』を契約

— LRMのコンサルティングはいかがでしたか。

やりやすくて良かったです。特にルール作りでは非常に助けてもらいました。そもそもISMSに関しては私自身未経験分野でした。前職時代も触れたことがありませんでしたので、他社の取り組み方がとても気になりました。
LRMに教えていただいた情報はとても参考になりました。

— コンサルティング会社選定の際に運用まで見据えたとおっしゃっていましたが、ISMSの運用改善サポート『情報セキュリティ倶楽部』は契約されましたか。

はい、契約しました。『情報セキュリティ倶楽部』を契約することでISMS運用の負担を軽減することが出来ます。
新規取得に向けて井崎さんと一緒にやったことを振り返ると、ISMS運用において最も大変そうだと思ったのが法令台帳の更新です。自分たちで最新情報を集めるのは、何が関連法令かといった判断も含めて極めて難題です。
『情報セキュリティ倶楽部』を契約すると、LRMにご提供いただけるので助かります。また、eラーニングサービス『Seculio』が使えることも魅力でした。

— 今後のLRMへのご期待をお話し下さい。

まだ取得したばかりで今後何が起きるのかわかりませんが、年末には維持審査を迎えます。1年も経過すれば忘れていることが多いと思います。期日が迫ってきたら、またいろいろと相談する機会が増えるでしょう。今後ともよろしくお願いいたします。

アイネオ株式会社様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。

アイネオ株式会社様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ アイネオ株式会社様のWEBサイト
※ 取材日時 2018年3月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る