フリースタイルコーポレーション株式会社 様 – 顧客事例 –

6ヶ月という短期期間でのISMS認証取得に、自分たちが対応できるのか不安でした。しかしLRMが優先順位を整理してくれたので、スムーズに取得することができました。

静岡市に拠点を置き、システム開発を中軸として事業展開するフリースタイルグループは、LRMの「短期取得コース」を活用し、2013年9月、ISMS/27001の認証取得に成功しました。LRMに依頼した理由と認証取得までの経緯、LRMへのご評価を、取締役 営業担当・松村良浩氏、執行役員 IT事業部長・櫻井則生氏に伺いました。

(フリースタイルグループについて)

静岡市に事業拠点を置く企業グループ。
グループの中軸を担うのがシステム開発事業を行うフリースタイルコーポレーション株式会社。医療、流通、物流、製造、公共等向けの業務系アプリケーション開発を得意分野とする一方、インフラ構築サービスにも力を入れ、競合他社との差別化を図っている。特に、基幹システムのバージョンアップやリプレイスなどに伴う「大規模なデータ移行」の技術に強みを持つ。また、オフショア開発では、いち早くベトナムに進出。ブリッジエンジニアを不要とする体制を構築し、現地に拠点を置く企業に対し直接サポート行う。
静岡県内のシステム開発会社としては後発ながら、独自のポジションを確立し、成長中の企業である。
グループはフリースタイルコーポレーションの他、データエントリー事業のe-エントリー、モーター事業を行うフリースタイルカンパニー、パチンコ店のホールスタッフに特化した派遣事業を行うフリースタイルサービスの4企業で構成。
設立;2010年、グループ従業員数;116名。

LRMにISMS/ISO27001新規認証取得のコンサルティングを依頼

– 御社がLRMへご依頼した業務内容を教えてください。

弊社は2013年3月、LRMにISMS/ISO27001(以下、ISMS)のグループ認証取得のコンサルティングを依頼しました。認証範囲はフリースタイルコーポレーションとe-エントリーの2社です。将来的にはグループ全体に拡大していくことを目指しますが、今回は業務遂行上お客様から情報をお預かりする2社で取得することにしました。
2013年4月上旬からコンサルティングがスタートし、半年後の9月に取得が完了しました。
担当コンサルタントの金山さんはIT業界に詳しい方なので、コミュニケーションが取りやすかったです。

社内体制整備の一環としてISMS認証を取得

– 御社がISMS認証を取得した理由を教えてください。

弊社がISMS認証を取得した理由は、主に2つあります。(1)社内体制の整備(2)対外的な信用力の向上、の2つです。

(1)社内体制の整備
フリースタイルコーポレーションは 創業時10名以下でスタートし、その後毎年10名以上のペースで増えました。3年間で急激に社員が増えたため、社内体制の整備が課題となっていました。
社内体制の整備という意味では、社内規定の再整備も課題の1つです。しかし、お客様から情報をお預かりして業務を行いますので、お客様に迷惑をかけないようまずはISMS認証取得を優先することにしました。
これまで弊社は、経験者中心の採用を行ってきました。経験豊富な技術者が多いので意識レベルは一定以上の高さがありますが、過去に所属した組織がそれぞれ違うため統制は完全には取れていませんでした。

同社が開発する小売業向けWeb EDI『SARES』。県内有力スーパーなどが導入。同社は開発からヘルプデスクまでワンストップサービスを提供している。

同社が開発する小売業向け
Web EDI『SARES』。県内
有力スーパーなどが導入。
同社は開発からヘルプデスク
までワンストップサービス
を提供している。

また、フリースタイルコーポレーションの技術者は常時半数ぐらいはクライアント側に常駐して仕事をしています。交通費の申請などのたびに帰社してもらうのは大変なのでクラウドサービスを利用しています。それは社外からのアクセスであるためリスクがありますので取り扱いルールを定める必要がありました。情報や情報機器、ネットワークの取り扱い方を会社として統一することで、リスクを低減したいと考えました。

(2)対外的な信用力の向上
新規顧客との取引が始まる際にISMS認証を取得していると、比較的話しがスムーズに運びます。特に大手企業と取引をするためにはISMS認証を取得していることが必須条件となっています。ISMS認証を取得することで信用力の向上を目指しました。

このような理由でISMS認証を取得することにしました。その際、お客様から情報をお預かりするのはe-エントリーも同様なので、2社を適用範囲としました。

– 今回はグループ認証ということですが、どのような体制で進められたのでしょうか。

ISMS事務局のメンバーは2名です。情報セキュリティ管理者が村松、システム管理者が櫻井、いずれもフリースタイルコーポレーション所属です。コンサルティングの際は、基本的に2名で対応しました。
e-エントリーとフリースタイルコーポレーションは業務内容も社屋も違いますので、それぞれの実情に則ったルール作りが必要ですが、基本的にISMS認証取得は以上のような体制で推進しました。

– コンサルティング会社のサポートを受けようと考えた理由を教えて下さい。

最短期間で取得するためです。取得すること自体は2012年中には固まっており、当初は決算月の2013年6月末までには取得したいと考えていました。しかし、取得に向けて何をすればいいのか把握していなかったので、認証取得セミナーに参加したり、インターネットで情報収集をしたりしました。その結果、コンサルタントのサポートを受けなければ取得は困難だと判断しました。
その時点で3月になっていたため6月の取得はあきらめましたが、出来るだけ早期に取得したいと考え、LRMにコンサルティングを依頼しました。

商談時の明快な回答でLRMとの契約を即決

– 依頼先の候補に、LRMを選定した理由を教えてください。

LRMのホームページを見て、(1)短期取得コース(2)訪問回数無制限に魅力を感じたからです。

(1)短期コース
半年以内に取得できると謳っており、出来るだけ早期の取得を目指した弊社にとって魅力的でした。

(2)訪問回数無制限
取得に向けて何をすれば良いかがわかっていなかったため非常に心強く感じました。他社は、訪問回数が限定されています。コンサルティング費用は、LRMは平均的だとは思います。しかし、取得できるまでしっかりサポートしていただけるサービスは他にはありません。

「ITに詳しいコンサルタントが担当してくれたので、コミュニケーションが楽でした」取締役 営業担当 村松良浩氏

「ITに詳しいコンサルタントが
担当してくれたので、
コミュニケーションが楽でした」
取締役 営業担当 村松良浩氏

– LRM以外のコンサルティング会社は検討しませんでしたか。

インターネット検索でコンサルティング会社を全部で5社ほどピックアップしました。しかし、実際にお会いしたのはLRMだけです。まずは1社の話を聞いてから、その後どうするかを決めるつもりでしたが、弊社の代表がLRMの営業として来られた幸松さんの話を聞いて、その場で依頼することを決めました。

– LRMへの依頼を即決した理由をお話下さい。

候補としてピックアップした理由の「短期コース」「訪問回数無制限」の中身を確認して疑問を挟む余地がなかったことに加え、「IT企業はIT業界に慣れたコンサルタントが担当する」ということも決め手の1つになりました。幸松さん自身がSE出身なので、会社としてIT業界に強い印象はありました。さらに弊社がISMS取得にあたって考えていたイメージと、LRMのコンサルティング方針が合致していることも安心材料のひとつでした。
弊社代表がその場で即決した理由のひとつとしては、幸松さんの回答が明快だったため、印象が非常に良かったこともあったと感じています。すぐに契約書を送付してもらって、2週間後には金山さんのコンサルティングがスタートしました。

「自動化できるところは全て自動化して社員の運用は出来るだけ楽にしたい」

– 「ISMS取得にあたって考えていたイメージ」とはどのようなものでしょうか。

ヒューマンエラーによって情報漏えい事故が起きる可能性を最小限に抑えられる情報セキュリティマネジメントシステム(以下、マネジメントシステム)です。我々は、堅牢なセキュリティを実現しつつ、社員が守るべきルールは可能な限り最小限にとどめたいと考えていました。

ISMSはいくらでも細かいルールを決めることが出来ます。しかし守れないルールを作っても仕方がありません。
現実的に守ることが出来ないような複雑なルールを作ることは避けたかったため、自動化できるところは可能な限り自動化したいと考えていました。

– 自動化というと、例えばどのようなことですか。

業務で使うPCのセキュリティを維持するためのウィルスチェッカーの管理、Windows Updateの強制実行、ソフトウェアのインストール制限、スクリーンセーバーの設定などを、クライアント端末ごとに行うのではなく、専用サーバー側で自動的に一括して実行するということです。そのためにアクティブディレクトリ、WSUSを導入しました。

意図的に情報漏えいさせる人はいませんが、誰もがミスをする可能性はあります。そこで先ほどのようなセキュリティ対策を各自が人為的に行うのではなくシステムを導入して自動的に実行することで、人為的なミスが発生するリスクは回避出来ます。しかもシステム管理者の負担も軽減できます。

このような要望は全て、最初の段階でお話しして、今回構築したマネジメントシステムの中にもしっかり反映することが出来ました。

認証取得までのスケジュール

– 認証取得まではどんなスケジュールで進みましたか。

9月中の取得を目標として、その目標から逆算したスケジュールを金山さんに組んでもらいました。ISMS認証の決まりとして第1審査と第2審査の間は1か月間空ける必要があります。そのため遅くとも7月中には第1審査を受ける必要がありました。

実際の進行は以下の通り。概ねスケジュール通りに進みました。

4月上旬~6月上旬;リスクアセスメント、文書作成
ISMSの管理策133項目をチェックしながらルールを決めました。
決まったルールは社内に周知して、順次、適用して運用をスタートしました。
また、ここで決まった内容を、金山さんが、マニュアルなど申請時に必要な文書としてまとめました。

「筋道立ててリードしてくれたので安心して作業を進めることができました」執行役員 IT事業部長 櫻井則生氏

「筋道立ててリードしてくれた
ので安心して作業を進める
ことができました」
執行役員 IT事業部長 櫻井則生氏

6中旬~7月上旬;従業員教育、内部監査、マネジメントレビュー、申請
金山さんが作成したマニュアルを使用して従業員教育を行った後、内部監査、マネジメントレビューを経て、申請に至りました。

7月下旬;第1審査、観察事項の検討・対応

8月下旬;第2審査

9月上旬;認証取得

– 観察事項とは何ですか。

観察事項というのは、審査員からのアドバイスのようなものです。認証取得に影響はありませんが、「今後は変えた方が好ましい」とされるものです。
ただこれらも含めて我々の事業内容や業務に合わせて構築したルールなので、経営幹部や現場を交えて対応すべきかどうかを協議しました。金山さんにも参加してもらいました。その結果、改善した箇所もあります。

LRMのリードで作業はスムーズに進行

– 今回担当をした金山コンサルタントに関しては、第一印象はどんな印象を持ちましたか?

金山さんの第一印象は物腰が柔らかい、スマートな印象でした。コンサルティングの初回で「うちはこういう会社ですよ」「こういうマネジメントシステムを作りたい」という話しをざっくばらんに話しましたが、それに対する受け答えを聞いて、IT企業に慣れていることがわかりました。「この方にやってもらえば大丈夫。安心して任せられそうだな」と感じました。

– コンサルティングはどのように進みましたか。

最も時間を割いたのが、最初の2か月間、マネジメントシステムの中身を具体的に決めていく工程です。2か月弱で6回ぐらい金山さんと打ち合わせをして、集中的に行いました。

具体的には、ISMSの管理策133項目の各項目に沿って金山さんが質問をして、その質問に我々が答えるという進め方です。我々が判断できないことがあると、金山さんが他社の事例を示してくれるので、それを参考にしながら決めていきました。現場や経営者層に確認しなければ判断できないことは、次回までの宿題となりました。

先ほど申し上げたとおり、我々自身は「こういうマネジメントシステムにしたい」というイメージは持っています。
しかしISMS認証を取得するためには、社内システムやオフィス環境、業務フローをISO27001の規格に適合させる必要があり、その中で可能な限り業務フローを変えずに適合させるにはどうすれば良いのか、自分たちだけでは具体的な方法がわからないので、金山さんにリードしてもらいました。

打ち合わせの後は議事録を送っていただきました。そのため進捗状況を会社全体で、ほぼリアルタイムに共有することが出来ました。

– ルール構築後は、スムーズに進行しましたか。

ルール構築後も、金山さんのサポートでスムーズに進行することが出来ました。文書作成は全て代行してもらいましたし、社内教育、内部監査などの進め方も教えてもらいました。観察事項に対する対応を検討する際にも金山さんにリードしてもらいました。

– 構築したマネジメントシステムはイメージ通りでしたか。

クライアント端末のセキュリティはサーバーで一括管理するという当初の目的は達成できました。
その一方で、社員の負荷も最小限に抑えることが出来たと思っています。これらは私たちが最初にイメージした通りです。
今回設けたルールは、従来やってきたことをもう一歩進めたような内容ばかりです。例えば、以前からメールの添付ファイルにはパスワードをつけていましたが、パスワードの文字列に関する厳密な基準は設けていませんでした。
それを数字とアルファベットの組み合わせで何文字以上と明確に規定しました。このようなちょっとしたことが多かったです。

「今後は、より現場に即したマネジメントへと進化させていきたいと考えています」(中;村松氏、左;櫻井氏)※写真右は弊社金山

「今後は、より現場に即したマネジメントへと進化させていきたいと考えています」
(中;村松氏、左;櫻井氏)※写真右は弊社金山

円滑なコミュニケーションの理由は「IT業界に強い」こと

– LRMのコンサルティングは、ご依頼時の期待に沿ったものでしたか。

期待以上でした。金山さんは弊社の認証取得に対して我がことのように真剣に向き合って下さったので、安心してお任せすることが出来ました。

一番、心強かったことは、優先順位を整理してリードしていただけたことです。時間が限られていたこともあり、金山さんへの不安はありませんでしたが、弊社側が対応できるかという心配はありました。当初決められたスケジュールに沿って進行しても、実際その場になってみると優先順位の判断がつかないことが出てきます。しかし打ち合わせのたびに「今決めておかなければいけないこと」「後でも良いけどいずれは決めなければいけないこと」と、その都度タスクを整理していただけたので、迷うことなく作業を進めることが出来ました。

またISMSの規格も自分で1つ1つ読んで理解していこうとすると非常に時間がかかりますが、ルールを構築していく中で適時説明してもらったので、その労力は軽減できました。

– コンサルタントが「IT業界に強い」ということは、どのような利点がありましたか。

コミュニケーションがスムーズでした。弊社の業務内容を理解していただくのも苦労はありませんでしたし、反対にISMSの規格の説明をしていただく時は、金山さんご自身の体験談を始めIT企業での具体的な事例を挙げていただけたので、自社に置き換えてイメージすることが出来ました。
また、弊社の企業文化になじみやすいということも良かったと思います。コンサルティングの中でわからないことがあっても、気軽に聞くことが出来ました。「こんなこと質問して良いのかな」と躊躇する必要がありませんでした。
弊社の社員と金山さんとで何回も飲みに行ったほど、打ち解けることが出来ました。

「保守サービスも有効に活用していきたい」

– 今後のビジョンをお話下さい。

今後は、より現場に即したマネジメントシステムに近づけていきたいと考えています。構築は管理職の2名が主体となって進めましたが、今後の運用に向け、実務を担当する社員、Eエントリーの社員をISMS事務局メンバーに加えました。しばらくはミーティングをこまめに開いて、より現場に近い視点でブラッシュアップしていきたいと考えています。
長期的には、適用範囲をグループ会社全体に広げたいとも考えています。

– LRMへのご期待をお話下さい。

LRMは保守サービスも充実しています。価格帯はお手軽です。今後は維持審査にむけて、ISMSの新しい規格に対応しなければいけないので、事務局としては、LRMの保守サービスもぜひ有効活用していければと考えています。

フリースタイルコーポレーション株式会社様、お忙しい中、有り難うございました。

フリースタイルコーポレーション株式会社様、お忙しい中、有り難うございました。

フリースタイルコーポレーション株式会社様のWebサイト
※ 取材日時 2013年12月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る