レック・テクノロジー・コンサルティング株式会社 様 – 顧客事例 –

業務を邪魔しない情報セキュリティマネジメントシステムの構築を目指しました。LRMを選んだ決め手は、ホームページの情報がきちんと整理されていたことです。結果は期待どおりでした。

ITインフラに特化した総合ソリューションサービスを提供するレック・テクノロジー・コンサルティング株式会社は、情報セキュリティ意識の高いクライアントの要請に応じISMS/ISO27001認証を取得しました。
認証取得にあたって、どのようなマネジメントシステムの構築を目指したか、また、そこで果たしたLRMの役割などについて、社内の管理業務全般に携わる人事部マネージャー 松尾圭子氏にお話しをうかがいました。

業務に支障が出ない情報セキュリティマネジメントシステムの構築を目指した

– 御社がLRMに依頼した業務内容を教えてください。

弊社は、2011年12月、LRMにISMS/ISO27001(以下、ISMS)の認証取得コンサルティングを依頼しました。

– ISMS認証を取得した理由をお話し下さい。

弊社は機密性の高いお客様の情報システムに関わる事業を展開しているため、情報セキュリティに対する社員の意識をより高めたいと考えていました。加えて、お取引先様からプライバシーマークやISMSなど情報セキュリティに関する何らかの認証を取得して欲しいと要請されたことが今回の取得のきっかけとなりました。
弊社の顧客はいずれも情報セキュリティに対する意識が高いIT大手企業や大手企業のIT部門です。

弊社が、プライバシーマークではなくISMSを選択した理由は、次の2点です。

(1)自社の事業特性に対する適性
弊社のビジネスはBtoBです。主に扱う情報は個人情報ではなくお客様企業の情報システムに関する情報です。
プライバシーマークは、個人情報を保護することを目的とする認証なので、ISMSの方が適していると判断しました。

ホームページを見て問合せた時には、ほとんどLRMに決めていました

「ホームページを見て問合せた
時には、ほとんどLRMに
決めていました」(人事部
マネージャー 松尾圭子氏)

(2)自社の業務内容や規模に応じたマネジメントシステムが構築できる柔軟性
ISMSは、組織の業務内容や規模に応じて制度を柔軟に構築し、PDCAサイクルを回しながら社内外の変化に応じて改善していくことが可能です。マネジメントシステムを構築する際に要求される133項目をチェックする工程がありますが、それに対しある程度取得する企業側で「この項目は今回は見送ろう」という判断が可能です。
一方、プライバシーマークは、守らなければいけないマストに縛られる要素が強い認証制度です。
会社として情報セキュリティに対する社員の意識は高めたいとは考えていますが、業務に支障が出るような制約を課すルールは作りたくないとも考えていました。

認証取得に向けてのコンサルティングフィーは全般的にはISMSの方が高いイメージがありましたが、自社が扱う情報の性質、構築・運用の面での柔軟性を考慮し、ISMSを選択しました。
認証取得にあたっては、取得完了まで面倒を見ていただけるコンサルタント会社を探す中で、LRMのホームページを見つけ、依頼に至りました。

LRMの「必要な情報が整理された」ホームページが、
業務委託の決め手になった

– 情報セキュリティの認証取得をサポートしているコンサルティング会社は多数あります。
     LRMを選定した経緯と理由をお話し下さい。

最初に検討したコンサルタント会社は、ある大手メーカー系が主催する集合コンサルティングでした。
研修会のような形式で認証を取得しようとする企業の担当者が何回かに渡って集まり、発表したり意見を出し合ったり、またそれに対してコンサルタントがフィードバックしながら取得していくという流れのものです。
その方式は他社の事例に触れることが出来るため悪くはなかったのですが、料金は高いと感じました。
そこでインターネットで調べると、LRMのホームページにたどり着き、ここなら安心して任せられそうだと感じました。
比較検討のために何社かに問い合わせて話を聞きましたが、LRMのホームページを見て問い合わせた時には、
ほぼ委託を決めていました。

LRMを選定した理由は、コストが比較的安かったことに加えて、以下3点がありました。

(1)必要な情報が整理されたホームページ
LRMのホームページは、他のコンサルティング会社と比べダントツに綺麗で、必要な情報が探しやすい印象でした。
情報セキュリティマネジメントシステムを構築する際に、情報を整理したり、ドキュメントを作成したりしなければならないと考えた時、自社のホームページが見づらいコンサルティング会社では安心して任せられません。
他にも沢山のサイトを見ましたが、一番わかりやすいと感じたのはLRMのホームページでした。

(2)コンサルタントが審査員としての実績も持つ
LRMの代表を務める幸松さんはコンサルタントとしてだけではなく、ISMSの審査員としても活動しています。
審査員としての観点で、認証を取得するために何をしなければいけないかが把握できるし、様々な企業の事例にも詳しいであろうと期待しました。

(3)コンサルタントがシステムインテグレーター出身である
また幸松さんはもともとシステムインテグレーターに在籍し、エンジニアとしての実務経験を持っています。
IT業界に対する知見を持った方であれば、弊社の業務フローを理解していただきやすいため、安心してお任せできると考えました。

認証取得までの9か月間の流れ

– 認証取得はスムーズに行きましたか。

はい。1次審査、2次審査ともに特に致命的な指摘もなく、スムーズに認証を取得することが出来ました。

– コンサルタント選定から認証取得に至るまでの流れを教えてください。

弊社は機密性の高いお客様の情報システムに関わる事業を展開しているため、情報セキュリティに対する社員の意識をより高めたいと考えていました。
加えて、お取引先様からプライバシーマークやISMSなど情報セキュリティに関する何らかの認証を取得して欲しいと要請されたことが今回の取得のきっかけとなりました。弊社の顧客はいずれも情報セキュリティに対する意識が高いIT大手企業や大手企業のIT部門です。

1次審査、2次審査、ともに問題なく、スムーズに取得できました

「1次審査、2次審査、ともに
問題なく、スムーズに取得
出来ました」(松尾氏)

LRMにコンサルティングを依頼したのが2011年12月です。
具体的な作業を開始したのは2012年1月で、認証が届いたのは9月21日です。
初めに情報資産の洗い出しを行い、次に2か月ぐらいかけて情報セキュリティ体制の骨格をまとめるためのISMS詳細管理策133項目の検討(ベースラインリスク分析)を行いながら、対応策を決めて行きました。
ここまでは幸松さんと一緒に打ち合わせをしながら行った作業です。

その後、それまでに決めた対応策に基づいて幸松さんに内部監査や審査で必要となる文書を作成してもらい、
社内での従業員教育や内部監査などを経て、8月月初の1次審査、8月末の1次審査へと至りました。
この間、従業員教育、内部監査、審査対応の仕方なども一通り、幸松さんからアドバイスを受けました。

当初、取得期限を決算期に合わせ、2012年12月に設定していました。
LRMがホームページに目安として掲げるスケジュールと照らし合わせても余裕を持って取り組めました。

ISMS詳細管理策133項目の検討を通して社内の情報を整理

– 御社における情報資産というとどのようなものが挙げられるのでしょうか。

弊社における情報資産は、社内の管理系の情報と営業情報、社員情報、採用関連でお預かりする情報、そしてハード機器類です。
弊社の業務はお客様の元で行うものが中心で、弊社の社員が扱う最も重要な情報は、お客様の情報システムに関する情報です。それらはお客様の元にあり、弊社の社員が持ち出すことは基本的にはありません。
従って、ISMS認証取得に向けて行ったことは、社内の情報を整理していく作業が中心でした。

– 認証取得までの過程で苦労されたことはありましたか。

認証取得までに行った作業の中で、最も比重が大きかったのが、ISMS詳細管理策133項目の検討です。
その中で特に苦労したことは社内システムに関わる項目をチェックしていく作業です。

ISMS詳細管理策133項目の検討は、幸松さんの問いに答える形で行うのですが、私は当時入社したばかりで社内の情報システムに関して把握しきれていない状況でした。
答えられないことがあった場合は、次回までに調べて把握しておくことが宿題となるのですが、中にはドキュメントが整備されておらずわからないものもありました。
そのような場合は、システム管理者を中心に各自の頭の中にある情報をヒアリングによりアウトプットし、
ドキュメントとして整備していきました。

そのようにして社内の情報を整理していく作業は骨が折れましたが、それで情報セキュリティ体制の骨格がまとまり、業務上のマニュアルや、システム管理上の手順書などを整備することが出来ました。
また、幸松さんに審査で必要となる主要文書などを作成してもらい、審査をスムーズに終えることが出来ました。

– 従業員の方の業務に関わる部分で、何か仕組みを変えたようなことはありましたか。

今回、明確にルール化したことは、スマートフォンの利用についてです。

情報セキュリティマネジメントシステムを構築する過程で、弊社は社内のメールをGoogle Appsに移行しました。
その目的は、ISMS上、従業員の退職時のアカウント停止および削除する時期を定めなければならず、社内で管理しやすくすることでした。これまではメールアカウントの発行・停止などの管理を外部に委託しており、リアルタイムに管理することが出来ませんでした。
Google Apps導入により、会社のメールをPCやスマートフォンのブラウザを使ってチェックできるようになったのですが、そこで問題になるのがスマートフォン利用の管理です。個人所有、会社支給に関わらず、スマートフォンを使用している社員が増えており、情報セキュリティの観点からスマートフォン利用に関するルールを明確に定める必要がありました。
具体的には、基本的なパスワード・ルールをはじめ、セキュリティソフトの導入、管理者による端末認証制などを定めました。端末認証制により、端末を万一紛失したときは管理者によってアクセス・ブロックやデータの消去等を行えます。そのため、個人の端末にそこまでの制限をかけたくないという場合は会社支給のノートPCを使用する等、別の選択肢を定めています。

コミュニケーション力と情報を整理する力を評価

– LRMのコンサルティングはどのように評価されましたか。

LRMの幸松さんのコンサルティングに対して評価するポイントは、コミュニケーション力と、情報を整理する力です。
幸松さんは、雑談のような気楽な雰囲気の中で、弊社の業務内容や情報資産の管理状況、希望などを上手に引き出し、それらの情報をまとめた上で、弊社の実情に合わせた提案をしてくれました。コンサルティングの依頼先を検討する段階で初めて面会した時から、気楽に話しが出来そうな雰囲気や、規格に縛られず弊社側の要望を受け入れていただける柔軟性は感じていました。
実際、認証取得に向けて行われたコンサルティングの中でも、その印象は崩れませんでした。

また、ISMSの規格で使用される用語は難解なものが多いのですが、わかりやすく説明していただけたこと、最初に期待した通りIT業界の事情に精通しているため細かい説明をしなくても弊社の業務内容を理解していただけたことなども、業務を楽に進められた要因でした。

おかげで弊社の業務内容に適した情報セキュリティマネジメントシステムを構築できました。

打ち合わせはいつも雑談のような雰囲気で進みました

「打ち合わせはいつも雑談のような雰囲気で進みました」(左:松尾氏)※右は弊社幸松

ISMS認証取得のコツは構築したいシステムのイメージを持つこと

– 認証取得を終えたご感想はいかがですか。

とりあえずはほっとしています。
今後はPDCAサイクルをいかに回していくかが課題です。9月に取得したので、毎年9月に更新の時期が来ます。
年内に次の更新に向けてやるべきことを洗い出しておいて、年が明けたら実装して教育をして、運用、内部監査をして、9月の更新を迎える、といったスケジュールを想定しています。ちょうど、四半期ごとに全社ミーティングを行っているので、その機会に社員への告知や従業員教育などを当てはめていけそうです。

– ISMS認証取得のコツなどがあれば教えてください。

どういうシステムを作りたいのか、というイメージを持つことが大事ではないでしょうか。
ISMSは自社の事業内容や規模にあわせて仕組みを構築できる軟性のある認証制度ですが、イメージを見失うと自社の実態に合わないシステムが出来る可能性もあります。すると日常業務に支障を来すことになってしまいます。
コンサルティング会社のサポートを導入する場合でも、それは重要です。
弊社の場合は、構築したいシステムのイメージを持った上で、そのイメージの実現に導いてもらえるコンサルタントとしてLRMを選んだことが、スムーズな認証取得に繋がったと考えています。

松尾様

松尾様、お忙しい中、有り難うございました。

※ レック・テクノロジー・コンサルティング株式会社のWebサイト
※ 取材日時 2012年10月

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る