株式会社プラス 様 – 顧客事例 –

ISMSはしっかりした日々の運用の結果として更新されるもの。そのためには業務を邪魔しないルール作りが不可欠です。LRMに任せれば簡単です。

株式会社プラスでは、近年、新卒中心の採用戦略にシフトしたことで、情報セキュリティに対する意識に世代間ギャップが生じていました。そこで社内標準ルールを構築することを主目的としてISMS/ISO27001認証を取得することになった同社が選んだコンサルティング会社がLRMでした。選定の理由や、認証取得までの経緯、LRMに対する評価などを、代表取締役 兼 最高経営責任者・花島千春氏にうかがいました。

(株式会社プラスについて)
基幹業務系システムの開発会社。大手物流会社などからの受託、大手システムインテグレーターとの協業をメインに事業を展開している。「信頼第一」をモットーに、急拡大路線を取らず、既存顧客1社1社との関係性を深める事業方針で堅実かつ持続的な成長を遂げている。一方では、顧客の海外進出、現地子会社設立などが進む中、同社の事業もグローバルに広がってきた。最大の強みは”人材力”だ。高卒を中心とした新卒採用に注力し、何色にも染まっていない状態から人間性を重視したエンジニア教育を行うことで、長期に渡って顧客に頼られる人材を育成している。今後に向けては、従来通り「1.1倍でも着実に成長していく」方針を踏襲するとともに、海外支社設立も視野に入れ、事業を発展させていく計画である。
所在地;東京都中央区。設立;2004年3月。従業員数;約40名。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

– LRMへのご依頼内容をお話ください。

株式会社プラスは、2015年5月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。担当者のサポートを受け、認証取得に向けた準備は順調に進み、2015年12月下旬、計画通り、無事に取得することが出来ました。

社内標準ルールを構築するためにISMS/27001認証取得

– ISMS認証を取得した理由をお話下さい。

近年、システム開発会社に限らず、国内の企業では情報漏えいなどの事故が相次いでいます。
そのような背景のもと、内的要因、外的要因の両側面から対策をとる必要があり、ISMS認証を取得しました。

(1)内的要因;情報セキュリティ意識の世代間ギャップ
弊社ではこれまで情報セキュリティに対する意識に、世代間の隔たりがありました。現在、弊社の平均年齢は30代半ばですが、30代後半から40代前半のベテラン社員と20代前半の若手社員の両極に偏った構成になっています。
経験の長いベテラン社員にとっては、セキュリティ意識を持つことは当たり前のことです。それぞれ客先常駐の経験もあり、そこで教育を受けてきたこともあり、それなりに意識して行動することが出来ます。
しかし、最近新卒で入社した若い社員にはそういった経験がほとんどないため、ベテラン社員と比べれば意識は希薄です。
このような状況を改善するためには、会社全体の標準ルールを構築し、運用する必要がありました。
そして、そのための仕組みがISMSだと理解していました。

(2)外的要因;顧客要求
弊社の取引先は大手企業です。大手企業と取引をしていると、1年に1度、必ず調査票が送られてきます。その調査票では、前年の実績や社員数などの他に、情報セキュリティに対する取り組み状況を聞かれます。具体的には「ISMSを持っていますか?」「いつ取得する予定ですか?」という設問です。これらの設問から取引を継続する条件として、ISMS 認証取得は重要視されていることがわかります。そのためいつかは取得しなければいけないと考えていました。

以上2点から、2016年度の取り組み課題としてISMS認証を取得することを挙げました。具体的に動き始めたのは、新人研修が終わって比較的落ち着き始めた5月です。まずは、コンサルティング会社を探すことから始めました。

LRMが掲げる「セキュリティ・ダイエット」に共感

「認証取得後に主眼を置いた提案がフィットしました」(代表取締役 兼 最高経営責任者花島千春氏)

「認証取得後に主眼を置いた
提案がフィットしました」
(代表取締役 兼 最高経営責任者
花島千春氏)

– 自主取得は検討されませんでしたか。

自主取得も検討しました。しかし、既に認証取得を完了している同業者から、大変な労力がかかるのでコストをかけてでもコンサルタントを雇った方が良いというアドバイスをいただきました。また、本当に難しいものなのか、自分なりに調べてみましたが、そもそもどう調べて良いかさえもわかりません。認証を受けるためには何が必要なのか、必要なものを揃えるために何をしなければいけないのか、具体的な情報は見つかりませんでした。そこで最終的には専門家に任せた方が良いという結論に至りました。調べるだけでもぼう大な時間がかかります。
多少お金がかかっても、短期間で集中して取得した方が良いと考えました。

– コンサルティング会社は何社か比較されましたか。

LRMを含め、3社を比較検討しました。LRM以外の2社はインターネット検索で上位表示された会社の中から、WEBサイト自体がしっかりしており、実績が豊富な会社をピックアップしました。LRMは知人からの紹介を受けて選びました。

– 最終的にLRMに依頼した理由をお話下さい。

最終的にLRMを選んだ理由は、主に以下の2点です。

(1)認証取得後に主眼を置いたルール作りの提案
ただ認証を取得するだけではなく、「認証取得後に主眼を置いたルール作り」を提案されたことが、私にとって最もフィットしたポイントでした。ISMSの規格に弊社の業務を当てはめるのではなく、必要なことは取り組み、やらなくて良いことはやらない。まさにLRMのキャッチフレーズにある「セキュリティ・ダイエット」ですね。
その方針に沿って、弊社の業務に影響がないルールを構築するという提案を聞いて「信頼できる」と思いました。
他社にはそういう視点はなく「ひな形通りにマニュアルを作れば取得できる」としか言いません。金型を使って大量生産するようなイメージでした。確かに認証は取得できるかもしれませんが、取得後どうすれば良いのかは全くイメージできませんでした。ISMSを運用し続けるにはマニュアルに書いてあることは実行しなければいけません。
それが弊社の業務実態に沿ったものでなければ、業務の負担になるだけです。それが決定的な違いでした。

(2)IT 業界出身のコンサルタントであること
弊社を担当する幸松さんはシステム開発会社出身です。システム開発会社におけるセキュリティの在り方をよく知っているということも選定した1つの理由となりました。

ほとんど苦労することなく認証を取得

– コンサルティングはどのように進みましたか。

スタート時にLRMが作ったスケジュールに沿ってスムーズに進みました。今回の認証取得では、ほとんど苦労することはありませんでした。

最も時間がかかったのは、最初の工程であるルール構築です。今回は、事前にLRMと協議した上で、予め用意されたひな形をベースにしつつ、弊社に当てはまらない部分を変更していくという流れで構築しました。7月からスタートして、マニュアルが一通り完成したのが9月下旬です。その間、LRMと2時間ぐらいの打ち合わせ5回ぐらい行いました。

その後、10月に入ってからeラーニングによる従業員教育、内部監査を行い、10月下旬の一次審査、11月中旬の二次審査と順調に進みました。

– 従業員教育のeラーニングはLRMのサポートに含まれているのですか。

はい。あらかじめサポート内容に含まれていました。従業員教育の内容は、情報セキュリティの一般的な基礎知識に関するテキストを読み、テストを受けるというものです。LRMが提供する『LIXIS』というWEBサービスを使って行いました。
手間を考えれば従業員全員が集まる時に終わらせた方が楽だとは思っていましたが、現実的には従業員全員が集まることが困難な状況です。客先に常駐している社員の中には、月例会議にすら出席できない者もいます。eラーニングなら、場所、時間に縛られず、各自のタイミングで済ませることが出来るため、結果的にeラーニングが便利でした。

– 内部監査はどのように行いましたか。

内部監査では監査員をLRMが務めました。開発現場の視察、管理部へのヒアリングなど、かなり細かくチェックしていただいたため、クリティカルな問題はここで発見・解消することが出来ました。

審査対応は、専門用語に戸惑いましたが、構築したルール自体は致命的な指摘を受けることなく済みました。
現地立ち入りも、内部監査の際に重要な問題は解消出来ていたためスムーズに完了しました。

業務負担の軽減にも繋がる情報セキュリティ

– 今回、ISMS認証取得を通して決めたルールにはどのようなものがありますか。

例えば以下のようなルールがあります。

(1)パスワードの設定ルール
最もわかりやすい例は、パスワードです。パソコンのBIOSパスワード、仕事で使っているスマートフォンのパスワード、送信メールの添付ファイルにつけるパスワードなど、以前は、それぞれ設定している者と設定していない者が存在していました。意識レベルも「設定して当たり前」「設定した方が良い」とバラバラでした。それを今回は、文字列の桁数などを明確に決めて必ず設定することに統一しました。

(2)履歴書コピーの処理方法
従業員採用の面接の際に使う履歴書コピーを処理する方法も統一しました。弊社では面接の際、求職者から送付された履歴書は、原本を管理部が保管し、面接官は管理部からコピーをもらって面接します。問題は履歴書のコピーを使い終わった後の処理方法です。これまでは人によって、またタイミングによって、そのままシュレッダーにかけることもあれば、机の中にしまって寝かし続けてしまう場合もありました。
それを今回、管理部に返却するというルールに統一しました。
これまではルールがなかったので、バラバラの方法で処理していましたが、実際には使い終わった履歴書のコピーをどう処理するかは悩みの種でした。ルールを統一したことで、その悩みはなくなりました。

(3)窓付き封筒の使用
誤配送を防ぐため、郵便物の封筒には窓付き封筒を採用することにしました。
従来、窓のついていない封筒を使っていた時は、請求書などを送る際、封をするまで何度も何度も中身を確認していましたが、窓付き封筒を採用したことで、その確認作業がなくなりました。

当初、情報セキュリティのルールを設けると、業務遂行上の負担は重くなると考えていましたが、(2)と(3)のように、ルールを決めたことで負担が軽減したこともありました。これは予想外の効果でした。

– その他、ISMS認証取得を通しての成果などがあればお話下さい。

ISMS認証取得は、情報資産の棚卸をする機会になりました。例えばファイルサーバーの中は、カオス状態とも言えるほど乱雑な状態でした。個人的にはどうにかしたいと思っていても、「整理しなくても業務が回っているのだから、このままでも大丈夫」という気持ちが働いてしまい、整理しようと呼びかけても全員が同じレベル感で取り組むことは困難でした。しかし、ISMS の取り組みとなると「ではやりましょう」と全員同じ方向を向くようになりました。

そういうことも含めて、情報セキュリティに対する意識は全体的に向上しました。ルール化していない新しい事案があれば、どう対処すれば良いかと立ち止まって考えるようになりました。若手はもちろんですが、ベテランも慣れ過ぎてしまって、緩んでいた部分は少なからずありました。それをもう一度意識しなおすきっかけにもなりました。
社内全体の意識が向上したことで、次はより上のレベルを目指すことが出来ます。このような積み重ねにより、既存の取引先との関係性もより深まっていくと考えています。

LRMのサポートは期待以上。コンサルティング・スキルの高さを実感

– LRMのコンサルティングは期待通りでしたか。

今回はLRMのサポートを受けたことで、当初期待した以上にスムーズに取得することが出来ました。私どももある程度は頑張る覚悟でいましたが、苦労という苦労をせずに取得できたので予想外でした。
その要因は、LRMのコミュニケーション力にあったと考えています。IT業界の事情を熟知していることもあり、こちらがどう表現して良いかわからず言い出せないことや、考えつかないことについても、同業他社の事例を示すなどして、しっかりアシストしてくれました。コンサルティングのスキルは非常に高いと感じました。きめ細かいサポートがあったからこそ、より自社にフィットしたルールを決めることが出来たと考えています。

ISMSを取得した経験のある会社の話を聞くと、取得の準備や取得後の運用などで苦労している例は少なくありません。そのような無駄をそぎ落とすことが出来たので、LRMを選んで正解でした。

「コミュニケーションが取りやすかったですね」(花島氏)

「コミュニケーションが取りやすかったですね」(花島氏)

ISMS/ISO27001認証は、日々の運用の結果として更新されるもの

– ISMS認証の今後の運用については、どのようにお考えでしょうか。

LRMのサポートにより、情報セキュリティマネジメントのベースが構築できました。これをしっかり運用することが出来れば更新は出来るものだと考えています。ISMSは、認証を更新するために取り組むのではなく、日々の運用をしっかりした結果として更新されるものです。それを間違わずに取り組みたいと考えています。
また、最近はスパムメールなども巧妙になっているので、そういったものに引っかかって情報セキュリティ事故が起きないよう、情報アンテナを張り巡らせながら、適切に取り組んでいきたいと考えています。

– その中で今後LRMにご期待することがあればお話下さい。

LRMとは保守契約をする方向で検討しています。LRMの保守メニューで最も価値を感じているのは、IT業界における情報セキュリティ事故防止のトレンド情報の提供です。このような情報は、我々だけでは継続的に入手することは困難です。LRMは情報セキュリティの専門家でなおかつ IT 業界を熟知していますので、十分、サポートしていただけると期待しています。

株式会社プラス様、お忙しい中有り難うございました。

株式会社プラス様、お忙しい中有り難うございました。

株式会社プラス様のWebサイト
※ 取材日時 2016年2月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る