丸の内ダイレクトアクセス株式会社様 – 顧客事例 –

“情報セキュリティの本質は仕事を確実に遂行できる仕組みを作ること”。LRMのISMSに対する視点に共感し、コンサルティングを依頼しました。期待通り、仕事がしやすいマネジメントシステムが構築出来ました。

日本の首都・東京の中心にデータセンターを構えて事業を展開する丸の内ダイレクトアクセス株式会社は取引先からの信用を高めるために、LRMのコンサルティングを受けてISMS/ISO27001認証を取得しました。「認証取得を機に業務のKPIを測定し始めたことが成果」と語るのは、ISMS事務局を務めるデータセンター技術部長・関啓之助氏と、データセンター技術部・大塚敬介氏。認証取得までの経緯やLRMのコンサルティングに対する評価を含め、詳しくお話しを伺いました。

(丸の内ダイレクトアクセス株式会社について)

丸の内エリア再構築の一環として、同エリアにビルを保有・運営する三菱地所株式会社と世界的通信インフラ事業のノウハウを持つ丸紅株式会社の合弁により設立された。
光ファイバー賃貸サービスと、ハウジングサービスを提供する。光ファイバー賃貸サービスでは、三菱地所が保有する約30棟のビルを含めて大手町・丸の内・有楽町エリアの約7割のオフィスビルをカバーする光ファイバー網を構築し、その光ファイバー回線を顧客独自のニーズに合わせ一芯単位で貸し出す。ハウジングサービスでは、その光ファイバー網とダイレクトに繋がる「丸の内データセンター」「大手町データセンター」を運営。交通利便性に優れた立地、エリア内の自前光ファイバーと直結することによる通信速度の速さ、厳重なセキュリティシステムやBCPに対応した設備などの安全性・信頼性の高さが魅力で、エリア内のビルに入居する企業や周辺地域のIT企業に活用されている。
本社;東京都千代田区。設立;2000年6月。従業員数;約20名(2017年8月現在)。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は、2016年10月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。

ISMS認証の適用範囲は、ハウジングサービスを行っているデータセンター事業です。データセンターの管理はデータセンター技術部が担っています。そのデータセンター技術部の関と大塚がISMS事務局メンバーとして、LRMの担当・井崎さんと一緒に認証取得の準備を進めていきました。

2016年12月にコンサルティングがスタートし、2017年7月に認証取得が完了しました。認証取得後は、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。

取引先からの信用を高めるためにISMS/ISO27001認証を取得

– ISMS認証を取得した理由をお話しください。

弊社がISMS認証を取得した理由は、対外的な信用を高めるためです。

データセンター事業は、お客様の大切なデータをお預かりする事業です。そのため、新規でお引き合いをいただくお客様からはよくISMS認証取得に関する質問をいただいていました。
また、既存のお客様の中には、定期的に委託先の監査を実施する企業があります。弊社も複数のお客様の定期監査に対応していますが、監査項目の中には必ずセキュリティ体制に関する質問があります。その質問に対してISMS認証を取得していると回答するだけでお客様からの信用は上がります。また回答がその一言で済むので、対応が楽になるメリットもあります。

ISMS認証取得を直接的に強く要求されることはありませんが、そういった質問や監査項目があるということは、ISMS認証取得に対するニーズがあるということです。そのニーズに応えることは、お客様からの信頼を高めることであると考えました。

LRM選定の決め手はコンサルタントの人間性

「LRMを選定した最大の決め手はコンサルタントの人間性です」(データセンター技術部長・関啓之助氏)

「LRMを選定した最大の決め手
はコンサルタントの人間性です」
(データセンター技術部長・
関啓之助氏)

– コンサルティング会社の選定は、どのように行いましたか。

まず、審査会社を決めました。次に審査会社に相談して、実績のあるコンサルティング会社を複数紹介してもらいました。そして、紹介された各社と面会し、弊社の業務内容や希望する取得期限などを説明した上で、それぞれの提案を聞き、相見積を取りました。

面会の際に重視した点は、まずは、データセンターの業務に対する知識、またはデータセンターを運営する企業に対するサポート経験の有無です。
次に、コンサルティングの進め方も重視しました。どのぐらいの頻度で訪問してくれるか、従業員教育はどのように行うか、情報共有や連絡にはどのような手段を採るのかなどを聞いて検討しました。その中で、弊社に最もフィットしたコンサルティング会社であると判断出来たのがLRMでした。

— 御社に最もフィットしたコンサルティング会社であると判断した理由を詳しく教えて下さい。

まず、データセンターの業務に関しては、LRMは過去に複数社へのサポート経験を持っているため、条件を満たしています。

次に、コンサルティングの進め方ですが、まず、訪問回数が無制限であることに安心感が持てました。またISMS認証取得の準備を円滑化するために様々なソリューションを用意しており、希望に合わせて活用するという提案は、他社にはないユニークなスタイルで、期待が持てました。

ただ、以上のような要素よりも重大な決め手となったのは、担当コンサルタントの人間性です。今回に限らず、弊社が外部委託先を選ぶ際には、「きちんと話せる相手かどうか」を必ず考慮します。ある一定期間、同じ目標を共有して一緒に仕事をする相手は、人間性を重視して選ぶべきであると考えています。LRMの担当・井崎さんは、最初に営業で来られた時から、建設的な議論が出来る方だと感じました。それがLRMと契約する決め手となりました。

– 選定段階のLRMとのコミュニケーションの中で、印象に残ったエピソードなどがあれば教えて下さい。

初回に面会した際、LRMのISMSに対する基本的な考え方に感銘を受けました。「ISMSの本質は仕事を確実に遂行出来る仕組みを作ること。仕事を確実に遂行した結果としてセキュリティレベルが向上する」という視点は、他社には感じられませんでした。それまで私達はISMS認証を取得すると仕事がしにくくなるというイメージを強く持っており、そうなってしまうことに危惧をいだいていました。しかし、井崎さんに「きちんと仕事を進められるよう、自分たちがやりやすいルールを決めれば良い」といった考え方を提示していただき、安心して取り組むことが出来ました。

社内規程の見直しと個人情報保護法改正への対応も依頼

– コンサルティングが始まる際に、御社からLRMにリクエストされたことはありますか。

コンサルティングが始まる際、弊社からLRMに依頼したことが3点ありました。

(1)社内規程の見直し
弊社には以前からコンプライアンス規程や情報セキュリティに関する規程、個人情報保護規程などの社内規程が整備されていました。これらは親会社に準じて策定したものです。しかし、これらの社内規程とISMSの整合性が取れなければ運用がしづらくなるため、ISMSの規格であるISO27001に照らし合わせたフィットアンドギャップを依頼しました。

(2)個人情報保護法を遵守するための体制整備
2015年、個人情報保護法改正法が成立し、2017年5月に施行され、基本的には全ての事業者が個人情報取扱事業者として改正法の適用を受けることになりました。弊社も個人情報保護法を遵守する体制を整える必要が生じたため、LRMに対応のサポートを依頼しました。

(3)社内資料などの作成
ISMS認証取得の取り組みに関連し、キックオフミーティングのプレゼンシートや中間報告書、コンサルティングの際の議事録など、経営層に向けた社内資料の作成を依頼しました。

– ISMS認証取得の期限は決めていましたか。

会社として、2017年6月までに審査を終わらせたいという意向があったため、その意向に沿ったスケジュールをLRMに組んでいただきました。週1回のペースで井崎さんに来ていただいて準備を進め、スケジュール通りに審査に臨むことが出来ました。

仕事がしやすい情報セキュリティマネジメントシステムを構築

– ISMS認証取得の経緯をうかがいます。まず、ISMSのルール構築はどのように行いましたか。

「LRMは我々の要求に対し常に100%以上のレベルで応えてくれました」(データセンター技術部・大塚敬介氏)

「LRMは我々の要求に対し
常に100%以上のレベルで
応えてくれました」(データ
センター技術部・大塚敬介氏)

まず、井崎さんには弊社の社内規程を一式お渡しして、読み込んでいただきました。
そして弊社の社内規程を把握していただいた上で、リスクアセスメントを実施していただき、社内規程とすり合わせながらISMSのルールを構築していきました。毎週打ち合わせを行い、一通り構築し終わったのが3月です。

– ISMSのルール構築では、御社内で行うべき作業も発生したと思われます。毎週打ち合わせをして、次の打ち合わせまでに作業を進めることは、ご苦労もおありだったのではないですか。

主に時間がかかったのはルールを決めて、文書類をまとめる工程です。この工程は、打ち合わせの際に、LRMのヒアリングに答える形でルールを決め、それをもとにLRMが清書して、翌週の打ち合わせでチェックするという方法で進めました。そのため社内ではさほど負担になるような作業は発生しませんでした。ルールを決める打ち合わせでは、井崎さんが専門用語は使わず、かみ砕いた言葉で説明や質問をしていただいたため、ルール決めで悩むこともほとんどありませんでした。

弊社が担った作業は、ISMS責任者や内部監査員を決めるなど、ISMSの運用体制づくりや、構築したルールに従った社内システムの整備ぐらいです。

– 社内規程は、ギャップアンドフィットを行った結果、変更した箇所はありましたか。

LRMにISMSの規格と照らし合わせて見直していただいた結果、規程に書かれた内容そのものは大きな問題はないとご判断いただきました。そのため文言を修正する程度の変更で済みました。

– 個人情報保護法を遵守するための体制整備はいかがでしたか。

個人情報保護法を遵守するための体制整備は、改正法が施行された5月30日までに完了しました。LRMのサポートを受けて個人情報保護方針を制定し、個人情報相談受付窓口を決め、WEBサイト上に公開しました。

– ISMSのルール構築によって、業務フローや管理の仕方が変わるなどして、仕事がしづらくなった点はありませんか。

今回、ISMSのルールを構築したことで、業務フローや管理の仕組などで大きな変化はありません。ISMSのルールは、弊社の業務に規格を当てはめる形で構築していきました。

その中でデータセンターに設置した監視カメラの映像データの保存に関するルールなど、従来は現場で不文律的に運用していたルールを、明文化して文書に反映したルールがいくつかあります。ただ業務に負担がかかるような、特別のルールはありません。井崎さんが初回訪問時にお話しされた通り、業務を円滑に進められる情報セキュリティマネジメントシステムを構築することが出来ました。

また、作成してもらったマニュアル類も、ISMSの専門用語を使わず、わかりやすい言葉でまとめていただきました。
見直しを図った社内規程と合わせて、社内でも高く評価されています。

ソリューションを駆使し効率的にISMS/ISO27001認証を取得

– 今回のISMS認証取得に向けた準備では、LRMが取り扱うソリューションを活用されたのですね。

今回は、ファイル共有にクラウドストレージ『box』、従業員教育にはLRMが自社開発した情報セキュリティに特化したeラーニングシステム『Seculio』を活用しました。

– 『box』はどのような使い方をされましたか。

ISMSのマニュアルや、社内規程など、文書類の共有に活用しました。打ち合わせの場でも、私たち2人と井崎さん、
それぞれがクラウド上のファイルをダウンロードして閲覧し、変更があった時はその場で編集してアップロードすることで、最新版をリアルタイムで共有することが出来ました。

– 普段の業務ではクラウドサービスは活用されていますか。

社内システムがしっかり構築されているので、外部のクラウドサービスを活用することはありません。また、これまで様々な外部ベンダーと一緒に仕事をしてきましたが、その中でもクラウドで連携した経験はありません。そのため最初は戸惑った部分もありました。また、もともと業務で扱うデータをオンラインストレージに置くことには抵抗があり、気を遣った部分もあります。ただ、使ってみると、その便利さは実感しました。受け渡しにおけるトラブルは発生しませんし、バージョン管理も出来ます。社外の方と連携してプロジェクトを進める手段として、また、限られたリソースで効率的に作業を進めるには、利便性が高い方法だと感じました。

「テキストを読まないとテストが受けられない仕組みの『Seculio』を活用したことで、実のある従業員教育が実施出来ました」

– eラーニングシステム『Seculio』で行う従業員教育とはどのようなものですか。

eラーニングで学ぶことは、ISMSとは何かという一般知識と、LRMと一緒に構築した弊社のルールです。弊社のルールを学ぶ教材は、一般社員向けと事務局向けの2種類に分かれています。教材はテキストとテストで構成されていますが、ともに井崎さんが作成したものをアレンジして使いました。

– 『Seculio』は使いやすかったですか。

システム自体が良くできていると感じました。ログインすると最初に、テキストがスライドで表示され、そのスライドを読み終えなければテストが受けられない仕組みです。テキストやテストをWordなどで作成してメールで配布するという旧来通りのやり方では、プリントアウトして、テキストを見ながらテストに回答するといった不正が起きる可能性が否定出来ません。

またユーザーごとの実施状況や成績が記録されて、ステータス管理も出来ます。ユーザー登録をする際のインターフェースも使いやすいと感じました。管理がしやすいため、事務局にとっても便利なツールになっています。

従業員教育は、2017年4月に実施しました。期間を決めて1週間で実施しました。各自、100点を取れるまで実施したことで理解度は増したと考えています。

– 内部監査はどうされましたか。

内部監査員をLRMに代行してもらいました。社内体制を整備した際に社内の内部監査員は決めましたが、正直、何をチェックすれば良いのかがわかりませんでした。また、新規取得なので厳しくチェックしていただく必要があると考えて内部監査員を代行していただきました。

– マネジメントレビューはどうされましたか。

経営層に説明するための資料を作成していただき、マネジメントレビューを実施する際には同席していただきました。

– 審査結果はいかがでしたか。

内部監査の際に、LRMに細かくチェックしていただいたこともあり、審査はスムーズに乗り切ることが出来ました。「改善の機会」という指摘は数件いただきましたが、文言の抜け落ち程度で、不適合はありませんでした。

「ISMS有効性の測定」を生かしてデータセンター業務のKPIを指標化

– 今回のISMS認証新規取得プロジェクト全体を通した成果をお話し下さい。

データセンター技術部では、 ISMSの運用スタートを機に、ISMSの仕組みを利用してデータセンター業務のKPIを指標化し、定期的に計測し始めました。それによってデータセンター技術部全体の、サービスに対する意識が向上したと考えています。

ISMSの仕組みとは、「ISMS有効性の測定」という取り組みを指しています。「ISMS有効性の測定」では、毎月情報セキュリティ事故の件数を記録して、1年ごとに振り返ります。データセンターのKPI測定は、この取り組みを生かす形でスタートすることにしました。きっかけは、井崎さんからの提案です。この取り組みはISMSの審査においてもGood Pointを頂きました。

– データセンターのKPI測定とは具体的に何を測定しているのですか。

サービスの稼働状況を測定しています。例えばデータセンターの空調や電源などのファシリティーの稼働状況です。これらが止まらずに稼働し続ければ稼働状況は100%、停止してもお客様に影響がない程度であれば70%、と段階的に数値化して記録しています。また属人的なオペレーションについても正常に稼働出来たかどうかを測定しています。お客様と約束した納期通りに作業が出来たか、お客様からもらった手順書通りに作業が出来たかといったことを測定しています。

このような指標が毎月100%に達していなければ、我々のサービスは成り立っているとは言えません。「ISMSの本質は仕事を確実に遂行出来る仕組みを作ること」という視点で考えると、データセンターのKPIを測定して改善を図り続ければ、サービスは向上します。そしてサービスの向上が、情報セキュリティレベルの向上につながる。そう考えて取り組めば、ISMSの活動は会社にとって有効なものとなるはずです。

また、情報セキュリティそのものに対する意識付けも出来ました。弊社には幅広い年代の社員が在籍しています。世代ごとに情報セキュリティに対する感度は異なります。今回、ISMS認証を取得して従業員教育を行ったことで、部署全体の意識の統一を図ることが出来ました。

「各種ソリューションの活用は、仕事の進め方として非常に参考になりました」(右から;関氏、大塚氏)

「各種ソリューションの活用は、仕事の進め方として非常に参考になりました」
(右から;関氏、大塚氏)

イレギュラーな要求にも柔軟に対応するLRMのコンサルティング

– LRMのコンサルティングに対するご評価をお話し下さい。

LRMには、様々な意味で期待を超えるサポートをしていただき、感謝しています。サポートというよりも、ケアをしていただいているイメージがありました。

(1)様々な要求へのフレキシブルな対応
井崎さんには今回、ISMS認証取得に向けた準備に付随して、様々な要求に応えていただきました。

例えば訪問回数に関しては、コンサルティング開始の時点では、軌道に乗るまで週1回のペースで進め、徐々に回数を減らしていく計画でした。しかし何か相談をするにしても、対面で話した方が伝わりやすいため、結果的には審査直前まで毎週来ていただきました。

また、社内規程は総務部の管轄ですが、見直す作業自体は我々がISMS認証の取得と並行して行い、完了後に総務部に報告するというフローを取りました。この時も井崎さんから総務部の担当者へ直接説明してもらいました。

さらに、顧客の監査対応もしていただきました。ISMS認証取得準備の期間中に、大規模な監査が入りましたが、認証取得準備を進めている段階でどのように回答すべきか判断に困ったため、とりあえず井崎さんに相談することにしました。すると、「社内に回答事例がある」と引き取ってくれました。これは、2人がかりで悩んだ難問が、LRMに相談したことで簡単に解決した端的な例です。

そして最終的には、社内経営層に対するISMS認証取得完了報告もサポートしていただきました。認証取得後の課題も含めて説明するための資料作成を担っていただきました。

これらの中には、本来のサポートメニューにはないイレギュラーな要求もあったと思いますが、いずれも柔軟に対応していだきました。

(2)コミュニケーション力の高さ
井崎さんは、私達の意図を汲んだ適切な回答をしてくれるため、とても仕事がやりやすかったです。事務局メンバーは2人とも、ISMS認証取得は初めての経験でした。専門的な知識がないため、質問する際に端的な言葉が見つからず、抽象的な表現しか出来ませんでしたが、それに対して井崎さんは、私達の意図を理解し、かみ砕いた表現で的確に回答してくれました。

レスポンスも良かったです。基本的に質問や相談を持ち帰るということがなく、その場で回答していただけました。
また、私たちの要求や期待に対し、常に120%、130%のレベルで応えてくれました。私達はこれまで、コンサルタントという職業の方と一緒に仕事をした経験が何度もありますが、その中でも井崎さんは非常に優れたコンサルタントであると評価しています。

ISMSの要求事項を満たす仕組みがパッケージされた『情報セキュリティ倶楽部』

ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約された理由をお話し下さい。

ISMSの運用を円滑に行うことを目的として『情報セキュリティ倶楽部』を契約しました。

『情報セキュリティ倶楽部』には、ISMSの要求事項を満たせる仕組みがパッケージされています。例えば、ISMSでは年に1回以上の従業員教育の実施が要求されていますが、弊社は年に2回以上の従業員教育の実施を設定しています。『情報セキュリティ倶楽部』では、情報セキュリティに関連した社会全般の最新動向や、従業員教育の資料を半年ごとに情報を更新してご提供していただけます。また、情報セキュリティ関連の法令改訂情報も定期的にご提供いただけます。関連法令のチェックもISMSの要求事項には含まれており、弊社も3か月ごとにチェックするルールにしています。

また、ISMSの運用では、インシデント発生への備えも重要です。弊社ではまだ経験していませんが、今後、様々なインシデントが発生する可能性があります。インシデントは様々な形で起きると考えられますので1件ごとに対応も変わるでしょう。運用改善サポートでは、インシデント発生の際の相談にも乗っていただけます。

弊社は、上記の基本メニューに加えて訪問サポートも依頼しています。内部監査の実施やサーベイランスの準備などの機会に訪問していただく予定です。

私たちは、ISMS認証新規取得での取り組みを、舗装されていない道を舗装し、使っているうちに道が荒れないようしっかり定期点検して整備された状態を維持出来る仕組みを作った、というイメージで捉えています。今後もLRMのサポートを受けながら、誰もが安定して100km/hで走行出来る状態を維持していきたいと考えています。

株式会社ハイドロソフト技術研究所様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

丸の内ダイレクトアクセス株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 丸の内ダイレクトアクセス株式会社様の Webサイト
※ 取材日時 2017年8月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る