ラーグ株式会社様 – 顧客事例 –

ISMS認証取得を機に全社で足並みを揃えて取り組めるルールを作りました。LRMのサポートで情報セキュリティマネジメントの考え方が身に付きました。

「ITと建築の融合」を目指して事業展開するラーグ株式会社は2018年9月、ITソリューション事業を認証範囲とするISMS/ISO27001認証新規取得に取り組みました。目指したのは「全社で足並みを揃えて取り組めるルール作り」です。取り組みの経緯と成果についてIT事業部部長・村木亮介氏、経営企画室室長・倉持勇治氏のお二人にお話を伺いました。

(ラーグ株式会社について)

ITソリューションと建築ソリューションの2つの事業を展開している。ITソリューション事業は高い技術力とプロジェクト管理能力を強みに、Web系システムを中心とする受託開発と、オープン系からWeb系まで幅広い業務システムに対応するSESを2本柱としている。いずれも大手企業との直契約をメインに、コンサルティングから調査・分析、企画、開発、運用に至るトータルソリューションを提供し、収益性の高いビジネスを展開している。建築ソリューション事業では、飲食店、オフィスの内装を軸に、企画・設計から管理・保守まで、総合的なソリューションを提供する。創業の理念は「ITと建築の融合」。近年は建築ソリューションのターゲットである飲食店などに対し、IT事業部が開発するクラウド型監視カメラシステム『Lagu Camera Cloud』やWi-Fiソリューションといったサービスを提供し、理念の実現に向けた歩みを着々と進める。
設立;2014年1月。本社;東京都千代田区。従業員数;約25名(2019年3月現在)。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は2018年9月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
今回、弊社が取り組んだのはITソリューション事業部を適用範囲とする部分認証です。担当者・村田さんのサポートを受け、2019年2月に第2段階審査を経て、3月下旬、ISMS認証を取得しました。

顧客からの要望をきっかけに社内の情報セキュリティ体制を整備

「LRMは認証取得までのプロセスや認証取得後のサポート内容が明確でした」(IT事業部 部長・村木亮介氏)

「LRMは認証取得までのプロセスや認証取得後のサポート内容が明確でした」
(IT事業部 部長・村木亮介氏)

— 御社がISMS認証を取得した理由をお話下さい。

きっかけとなったのはお客様からのご要望です。ITソリューション事業における受託開発が増えるに従い、お客様からISMS認証を取得して欲しいというご要望をいただくようになりました。そこで2017年春頃からISMS認証取得の検討を始めました。

一方、創業時3名でスタートした弊社の社員数はその頃20名近くに増えていました。
それまでは経験豊富でスキルの高い人材が集まっていたこともあり、仕事の進め方や管理の仕方は個人の裁量に任せていましたが、組織が拡大するに従ってスキルにばらつきが生まれ、個人の裁量に任せるだけではセキュリティが維持できなくなる心配が生まれていました。そこでこれを機に社内のセキュリティ体制を見直して、ルール作りをしようということになりました。

ISMS認証を取得するには、しっかりとした体制作りをしなければいけません。
お客様のご要望にお応えするとともに、社内の情報セキュリティ体制を整備することが出来ると考え、ITソリューション事業を認証の適用範囲としてISMS認証取得をすることになりました。

— 御社の事業拠点は東京本社の1拠点のみですか。

東京本社以外に鹿児島オフィスがあります。鹿児島オフィスには3名のエンジニアが常駐し、受託開発のニアショア拠点として機能しています。認証の適用範囲には鹿児島オフィスも含んでいます。

— セキュリティを強化することで業務負担が増えるといったご不安はありませんでしたか。

多少の不安はありましたが、情報セキュリティの強化は避けて通ることが出来ない課題であると認識していました。
結果的には、本当にやらなければならないことだけをルール化した、最小限の負担で運用出来るマネジメントシステムを構築することが出来ましたので、良かったと思っています。

— ISMS認証取得の取り組みはどのような体制で臨まれたのですか。

IT事業部部長・村木と経営企画室室長・倉持の2名の他、SES部門、受託部門、それぞれから1名ずつ選出し、合計4名でISMS認証取得に取り組みました。倉持は経営企画室の立場で、投資や採用などの視点からルール作りに参画しました。

— 今回はITソリューション事業部での認証取得とのことですが、認証範囲に含まれなかった建築事業部では、異なるセキュリティルールを運用されているのですか。

いいえ、建築事業部も同じルールを適用しています。特に東京本社では両事業部が同じオフィス内で同じネットワークを使って仕事をしていますので、全社で足並みを揃えて取り組めるルール作りを目指しました。そして足並みを揃えるには、できるだけ従来通りのやり方を変えずに済むルール作りが必要であると考えていました。

— ISMS認証取得の期限は定めていましたか。

厳密に期限を定めていたわけではございませんが、いかに最短期間で取得できるかということは意識していました。LRMにおよそ6ヶ月間のスケジュールを作成してもらい、概ねその通りに取得することができました。

ISMS/ISO27001認証取得までのプロセスが明確なLRMにコンサルティングを依頼

— ISMS認証を取得するためにコンサルタントのサポートが必要な理由をお話し下さい。

ISMS事務局のメンバーは、いずれもISMS認証取得の経験はありませんでした。また、ISMSの規格は、素人が読んでも解釈が難しいところがあります。そういったことから、コンサルタントのサポートがなければ、認証取得に向けた準備をスムーズに進めることは出来ないと思いました。弊社の場合、建築部門とIT部門に分かれていますが、オフィスもネットワークも共有していますので、どういった線引きをすれば良いのかもわかりませんでした。どういうルールにすれば従来通り一緒に業務を行えるかを判断するためにも、コンサルティング会社のサポートは必要でした。

— コンサルティング会社の選定基準はございましたか。

ISMS認証取得までのプロセスと費用、実際の運用が始まってからのサポート体制が明確であることを重視しました。
3社ほどお会いしてご説明いただいた中で、最もわかりやすかったのがLRMです。審査に向けてどのようなタスクに取り組む必要があるのか、そこに至るまでのサポートと料金、そして認証取得後のサポートメニューなどを明確にご説明いただきました。また、システム開発会社の事業に対する理解もしっかりしていましたので、安心してお任せ出来ると思いました。

— 他のコンサルティング会社からは明確なご説明がなかったのですか。

はい。こちらから質問すれば説明していただけるのかもしれませんが、私たちにとっては初めての経験ですので、どのような質問をすれば知りたいことを教えていただけるのかがわかりませんでした。こちらから何か質問する前に、一通りのご説明をいただいて納得出来たのはLRMだけでした。

「全社で足並みを揃えて取り組めるルール作り」を実現

「ルールが明確になったため情報セキュリティに関する投資判断がしやすくなりました」(経営企画室 室長・倉持勇治氏)

「ルールが明確になったため情報セキュリティに関する投資判断がしやすくなりました」
(経営企画室 室長・倉持勇治氏)

— 先ほど最低限の負担で済むルール作りが出来たとおっしゃっていましたね。

はい。ただ、最低限といってもやらなければいけないことは網羅しています。
社内のパソコンの取り扱いに関するルールや、紙文書の管理に関するルール、社員の入退社時の手続き、開発者がアカウントを発行する時の承認プロセス、など、LRMが作成したひな形をベースに、これまで個人の経験値で行っていたようなことを統一ルールとして明文化しました。それによって安心して仕事が出来る体制は整備出来たと考えています。

— そのようなルールは、どのようにして決めていったのでしょうか。

まず弊社内で情報資産管理台帳を作成し、それをもとにLRMと一緒にリスクアセスメントを行いました。そしてリスクアセスメントを元にLRMがマニュアルのひな形を作成し、それを読み合わせしながら弊社の業務や体制に合わせたルールに修正していきました。

— 「全社で足並みを揃えて取り組めるルール作り」は実現しましたか。

結果的には実現しましたが、その点は最も苦労した点です。IT部門の村木と、非IT部門である倉持の間で意見が分かれることが多かったですね。例えば紙の印刷をしないというルールを適用するか否かという問題です。特に建築部門では図面がありますので、どうしても紙の文書の取り扱いが多くなります。それに対してIT部門はほとんど紙を使いません。IT部門を基準に考えるとどうしても建築部門には合わない部分が出てしまいます。どのレベルだったら足並みを揃えることが出来るかという議論は頻繁に行いました。

— 打ち合わせの時間内で決まらない場合もございましたか。

いいえ。そこまではありませんでした。決めなければいけないルールは全てLRMとの打ち合わせ時間内には決まりました。

— ルール作りはどれぐらいの時間をかけて行ったのですか。

打ち合わせは5回ほど行いました。各回約2時間で、リスクアセスメントを1回、マニュアルの読み合わせを4回実施しました。マニュアルのひな形がよく出来ており、大幅に変更しなければいけない箇所がなかったため、比較的短い時間で終わらせることが出来ました。

ドキュメント類のフォーマット提供で作業時間が短縮

— 全ての作業が打ち合わせの時間内で終わったのですか。

いいえ。情報資産管理台帳や、ネットワーク図、アカウントの管理台帳など、構築したルールを運用するために必要なドキュメント類が沢山ありましたので、LRMとの打ち合わせとは別に日程を確保して社内で作成しました。

— ルール作りやドキュメント類の作成を進める上でLRMからはどのようなサポートがありましたか。

まず、ルールを作る上では、様々なヒントをいただきました。先ほど申し上げましたIT部門と建築部門の兼ね合いに関しても、「こういう方法がある」「こういう考え方がある」と、他社の具体的な事例や背景をしっかり説明していただきました。そのおかげでルールを決めるだけではなく、自分達で考えて判断できるようになりました。

また、ドキュメント類の作成では、最初の段階で一通りフォーマットを準備していただきましたし、作業する中で確認したいことが発生した際は、メールで問い合わせをすると、大概半日以内には回答をいただけました。
ISMS事務局のメンバーは専任ではないため、時間の捻出では苦労しましたが、そんな中でもLRMのサポートがあったことで作業時間を短縮することが出来ました。

— ルール作りとドキュメント類の作成が終わった後は従業員教育ですね。

はい。従業員教育は11月中にLRMが提供する情報セキュリティ支援サービス『Seculio』を使って実施しました。

「従業員教育の管理が便利な『Seculio』。独自の教材が配信出来るので活用シーンも広がります」

— 『Seculio』を使用されたご感想をお話し下さい。

『Seculio』は管理者として非常に便利なツールだと思いましたので、ISMS認証取得後も継続契約しました。

— どのような点が便利でしたか。

従業員全員の受講状況を一目で把握出来ますし、ISMS認証を取得するために必要な従業員教育の実施記録が残る点が便利でした。また独自の教材を配信できる機能も付いているため、時期ごとに生じる様々な課題に応じた教育を実施することが可能です。さらに法令台帳の管理もできます。自社で関連法令を管理しようとしても、既存の法令が改定されたり、新しい法令が成立・施行されたりした際には網羅することが出来ません。自動的に配信されるツールがあれば非常に助かります。

— 内部監査はいつ実施されましたか。

1月中旬、第1段階審査の前と、2月上旬、第2段階審査の前に実施しました。1回目は事務局向けで、審査に必要な書類が揃っているかどうかを確認しました。2回目は現場を対象に構築したルールの実施状況をチェックしました。

— 内部監査員はどなたが務められましたか。

事務局と本社の従業員を対象とした内部監査はLRMの村田さんに内部監査員を代行していただきました。鹿児島オフィスは倉持が内部監査員を務めましたが、LRMによる内部監査を受けていましたし、事前にチェックリストを作っていただいていましたので、スムーズに実施することが出来ました。

— 審査は不安なく迎えることが出来ましたか。

初めての経験ですので最初は緊張しました。しかしルール自体はしっかり出来ていましたし、内部監査が予行演習代わりになったこともあり、審査員の方とコミュニケーションをしっかり取ることが出来ました。その結果、しっかり理解していただいて、無事に終えることが出来ました。

「ルールの背景が理解できているのでイレギュラーなことが起きた時も自分達で判断出来ます」(右から;倉持氏、村木氏) ※左は弊社・村田

「ルールの背景が理解できているのでイレギュラーなことが起きた時も自分達で判断出来ます」
(右から;倉持氏、村木氏) ※左は弊社・村田

自分達で判断できるようになったことが最大の成果

— ISMS認証取得に取り組まれた成果をお話し下さい。

当初の目的通り、お客様のご要望にお応えするとともに、全社で足並みを揃えて取り組めるルール作りが出来ました。しかし、最も重要なことは、私たち自身がそのルールが適用された理由を理解出来ているということだと考えています。LRMにルールの背景を説明していただいた上で、当事者同士で議論したことで、情報セキュリティマネジメントの考え方が身に付きました。1つ1つのルールの背景にどのようなリスクがあるかを把握した上で、ルールを決めているので、状況が変わった時やイレギュラーなことが起きた時の対処方法なども判断することが可能です。また自動化ツールの導入など、ISMSを運用するために必要な投資判断もしやすくなりました。

— 今後の課題をお話し下さい。

現時点では、今回構築したルールをしっかり回していくことが重要だと考えています。事業拡大とともに新しいリスクが発生することが予測されますので、継続的に見直していきたいと考えています。

— LRMへのご期待がございましたらお話し下さい。

弊社では現在、LRMの運用改善サポート『情報セキュリティ倶楽部』の契約を検討しているところです。今回の取り組みを通して我々自身、構築したルールの背景が理解出来たとは言え、専門家ではありません。
ISMSを運用していく中で、専門家としてのアドバイスが必要となることもあると思われます。必要に応じてサポートを依頼したいと考えています。

ラーグ株式会社様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

ラーグ株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ラーグ株式会社様のWEBサイト
※ 取材日時 2019年3月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る