株式会社サイエンスクラフト様 – 顧客事例 –

短期間でのISMS認証取得と形骸化しないルールの構築。両立困難と思えた2つの要求をしっかり実現していただきました

防災市場の成長と比例して業務量が増える中、株式会社サイエンスクラフトは情報漏洩リスクへの対策としてISMS/ISO27001認証取得に取り組みました。短期間での認証取得を実現するために選んだコンサルティング会社はLRMです。依頼の決め手やISMS/ISO27001認証取得までの経緯、取り組みの成果などを、総務企画部 部長・岡誠治氏、情報システム部・井上徹太郎氏のお2人に伺いました。

(株式会社サイエンスクラフトについて)

全国の地方公共団体および官公庁を主なクライアントとして、防災コンサルティング業務を受託している。地方自治体が災害対策基本法に基づいて定める地域防災計画の策定支援を中心としつつ、災害発生時の具体的な行動を示す防災マニュアルや、BCP(業務継続計画)の作成まで一貫して請け負う。また、内閣府などが全国地方自治体の防災担当者を対象に開催する防災研修の運営(企画から講師のアテンド、受講者を募るWEBサイトの構築・運営など)にも携わる。強みは20年以上に渡る業務実績である。もともとはソフトウェア開発会社として創業したが、阪神淡路大震災を機に防災コンサルティング事業を開始。東日本大震災以降に参入した同業者が多い中では圧倒的な業歴の長さを誇る。現在は東京、大阪、名古屋など、全国6拠点で事業を展開。防災意識の高まりを背景に、安定的な成長を遂げている。
本社:福井県越前市。設立:1990年11月。従業員数:約35名(2018年3月現在)。

LRMへの依頼:ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社はLRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。2017年秋口から準備をスタートし、2018年2月に取得しました。LRMの担当者は井崎さんと大谷さんです。約半年間という短期間で認証が取得出来たことに非常に感謝しています。

情報セキュリティ体制整備を目指してISMS/ISO27001認証を取得

「LRMはベンチャー企業らしいスマートな印象がありました」(情報システム部・井上徹太郎氏)

「LRMはベンチャー企業らしいスマートな印象がありました」
(情報システム部・井上徹太郎氏)

— ISMS認証の適用範囲を教えてください。

今回適用範囲としたのは福井本社と東京オフィスの2拠点です。今回は短期間での取得を目指したこともあり、まずは機密性の高い情報を特に沢山扱っている2拠点のみで取得しました。

— ISMS認証取得の理由をお話し下さい。

弊社がISMS認証を取得した理由は、情報セキュリティ体制の整備です。

2011年の東日本大震災をきっかけに防災市場が伸び続ける中、弊社も成長し続けています。しかしそれに伴い業務が煩雑になってきており、情報漏洩事故などのインシデントにつながるような隙が生まれることを危惧していました。

ちょうど主要取引先がISMS認証取得を取引条件に加えるという情報が入ってきたこともあり、しっかりした体制を組み直す良い機会だと捉え、ISMS認証取得に取り組むこととしました。

ISMS/ISO27001の中長期的な運用を見据えLRMに依頼

— ISMS認証取得に向け、まず取り組んだことは何ですか。

まず最初に行ったのがコンサルティング会社の選定です。自社取得も可能かもしれないとは思いましたが、そこに社内のリソースを割くよりも専門家の支援を受けた方が早く確実に取得出来ると考えました。

— コンサルティング会社の選定方法をお話しください。

最初にインターネット検索で8社ほどリストアップし、資料請求と見積もり依頼をしました。その中から対応が早かった2社に絞り込んで話を聞きました。

— LRMにはどのようなイメージを持たれましたか。

LRMはインターネット検索で見つけた時から一貫してベンチャー企業らしいイメージがありました。検索で最初に見つけたのが社員の方が書いているブログです。ブログで集客していること自体にベンチャーらしさを感じました。
また提案資料も紙ベースではなく、データファイルだったことから、スマートなイメージを持ちました。

比較したもう1社は業歴が長い会社で、アプローチの仕方が形式張っているように感じ、付き合いにくいイメージがありました。弊社の実務担当者が20代と若いこともあり、LRMの方が相性が良さそうに感じました。

LRMの支援先にはベンチャー企業が多いことから、成長中の会社が選ぶコンサルティング会社なのであれば大丈夫だろうという安心感もありました。社内では意見が分かれましたが、最終的にはLRMに依頼しました。

— 最終的にLRMに依頼した決め手をお話しください。

決め手は運用フェーズを含めたトータルコストの安さです。ISMS認証新規取得のコンサルティング料金はあまり変わりませんが、認証取得後の運用改善サポートを見据えるとLRMの方が安くなります。
ISMSは新規取得で終わるものではないので、中長期的な視点でLRMに依頼しました。

— その時点でISMS認証新規取得後のサポートも意識されていたのですか。

具体的に確定したプランはありませんでしたが、ISMS認証取得後の運用フェーズにおいても何らかの形で専門家の継続的なサポートは必要だろうという認識はありました。

ISMS/ISO27001認証取得までの経緯とLRMが果たした役割

「ルール決めで迷う時はLRMのアドバイスが役立ちました」(総務企画部 部長・岡誠治氏)

「ルール決めで迷う時はLRMのアドバイスが役立ちました」
(総務企画部 部長・岡誠治氏)

— LRMと一緒にISMS認証取得の準備を進めるにあたり、御社として希望されたことはありましたか。

社内からは2つのリクエストが挙がっていました。1つはISMS認証取得の期限です。入札が始まる2月の取得は死守したいという希望がありました。2つ目は形骸化しないルール作りです。

短期間での両立は難しいと思っていましたが、LRMに相談したところ「短期間でも集中して準備を進めれば大丈夫」とおっしゃっていただけたので安心しました。

— ISMS認証取得の準備にかけた時間はどれぐらいですか。

最も時間をかけたフェーズはISMSマニュアルなどの文書作成です。1回2時間ぐらいの打ち合わせを12回ぐらい行いました。その後、ISMS認証の適用範囲とした福井本社、東京事務所で内部監査を行いましたが、それ以外に時間をかけた感覚はありません。

— 文書類の作成はどのようにされましたか。

LRMが用意したひな形をベースに、社内状況に合わせてカスタマイズしていきました。LRMと一緒にひな形を読み合わせしながら、我々がルールを決め、それをLRMが文書にまとめるという流れで行いました。関連法令台帳なども我々自身では出来ないのでLRMが作成しました。

— 御社が担った作業をお話しください。

情報資産の洗い出しは社内で行いました。ただどのようなものが情報資産に該当するのかが分からなかったため、現場のスタッフにヒアリングしていただくなどLRMに手伝っていただいた部分もあります。

— ご苦労されたことはありますか。

文書作成時のルール決めです。セキュリティレベルを上げることと業務効率を上げることは相反します。
セキュリティレベルを上げるほど業務効率は下がり、業務効率を上げるとセキュリティは下がるという関係にあります。そのバランスをいかに取るかで悩みました。今も運用しながら悩むことが多いです。

— 今回の取り組みで適用されたルールにはどのようなことがありますか。

例えば防災研修の録画や録音に使うビデオレコーダーやICレコーダーなどの使用ルールを決めました。会社の備品を使用し、使用後はデータを消して所定の場所に戻すというルールを定めました。それらの機材を保管するためのラックも新設しました。また、受託する防災研修の告知用サイトの構築に使うCMS(WordPress)を常に最新版に更新し、バックアップを取得するといったルールも定めました。

さらに業務で作成する各種データファイルの保管場所を、従来のファイルサーバーからクラウドストレージに移行することとしました。これは社内で意見が分かれ、特に議論を重ねたルールですが、ファイルの一元管理、バージョン管理、検索のしやすさなど、業務効率につながる利点を考慮して統一することにし、段階的に移行しているところです。

この他、メールで個人情報の入ったデータファイルを添付する場合はZIP化して解凍用のパスワードをかけること、PCのログインパスワードを数字とアルファベットの大文字と小文字が混在した8文字以上に設定すること、離席時のPCロック、パソコンにメモの付箋を貼らないことなどの細かいルールも明文化しました。

— そのようなルールを決める上で悩んだ時の最終的な判断はどのようにされましたか。

ルール決めに関しては一般的な基準に則ろうと思っていました。しかし世間一般の基準を知らないので、LRMに質問してアドバイスをいただき参考にしました。他社の具体的な事例を示していただけたことはすごく役に立ちました。

1つの会社に所属していると一般的な基準が把握出来ません。中途入社の社員から前職時代の例を聞いても、規模が異なるとあまり参考になりません。LRMは弊社と同規模の会社の事例も沢山持っています。そういった一般的な例を知っているか知らないかで、判断の的確さやスピードは大きく異なります。

— ISMS認証取得に向けたタスクとしては従業員教育、内部監査などもありますね。

従業員教育はLRMが作成したテキストとテストを使って実施しました。各社員にメールで配布して、各自のタイミングで学習してもらいテストを回収するという形で実施しました。従業員によって進捗度や理解度にばらつきがあることが予想されたので、文書類の作成と並行して早い時期に行いました。

— 内部監査はいかがでしたか。

内部監査は第1段階審査の後、LRMに内部監査員を代行していただいて行いました。第2段階審査の前にどのような雰囲気で進むのか、どのようなことを聞かれるのかを把握しておきたいと思っていましたが、内部監査員を代行していただいたことで、審査の事前準備代わりになりました。また外部の方が現場に入ってチェックしたことは、全従業員に対して会社が本気でセキュリティ体制の整備に取り組もうとしているというメッセージとして伝わったと思います。

— 審査結果はいかがでしたか。

第2段階審査は1月末に受審しました。軽微な指摘事項をいただいたぐらいで大きな問題はなく、予定通りにISMS認証を取得することができました。

業務効率を下げることなくセキュリティレベルを高めることが出来た

— ISMS認証取得を通して変わったことはありましたか。

社内の統一ルールを明文化することができて、セキュリティ体制を一から構築することが出来ました。細かいルールはできましたが、それによって業務効率が極端に下がることもなくセキュリティレベルを高めることが出来ました。
ルールが明確になったことで、安心して仕事に取り組めるようになりました。

— 今回ISMS認証取得に取り組んだご感想をお話しください。

心配していた通り、コンサルティング会社のサポートなしでISMS認証を取得するのは難しいと感じました。
一般の人にとってはISMSは謎に包まれています。初心者向けにわかりやすい表現で書かれたノウハウ本のようなものは存在していません。初心者がコンサルタントのサポートを受けずに取り組めば、難解かつ長い文章を読み「本当にこれで良いのかな」と思いながら準備をすることになるでしょう。それにより非常に無駄な作業が発生してしまいます。
しかし専門家のサポートがあれば短期間で取得出来ます。実際に今回の取り組みでは、弊社はISMS認証取得に向けて何をしなければいけないのかすらわかっていませんでしたが、LRMの指示に従って作業することでスムーズに認証を取得することができました。

「コミュニケーションが取りやすく、仕事が早い。わかりやすい文章でコンパクトな文書類を作っていただけたことも良かったです」(右奥から、岡氏、井上氏)

「コミュニケーションが取りやすく、仕事が早い。
わかりやすい文章でコンパクトな文書類を作っていただけたことも良かったです」
(右奥から、岡氏、井上氏)

運用のしやすさを考慮したマネジメントシステムの設計に感謝

— LRMのコンサルティングに対するご評価をお話しください。

弊社が今回ISMS認証取得のサポートをLRMに依頼して良かったと感じたポイントは、以下の3点です。

(1)コミュニケーションの取りやすさ
LRMはコミュニケーションが取りやすかったです。形式張ったところはなく、威圧的な態度や見下すような対応は一切ありませんでした。難しいルールも易しい言葉で丁寧に教えていただきました。

(2)仕事の速さ
文書類の作成や質問への回答など、全ての仕事が早かったです。審査前の準備をする中で確認メールを沢山送りましたが、1つ1つに迅速かつ的確な返信をいただきました。クラウドストレージ『Box』を使って成果物を共有するなど、ITツールを使いこなしたスタイルも作業の進捗を早める要因でした。『Word』や『Excel』の機能も使いこなしておられ、文書類のチェックもしやすかったです。

(3)運用を考慮したマネジメントシステムの設計
LRMは非常にわかりやすい文章でISMSマニュアルをまとめて下さいました。このような認証はどうしても形式的になりがちです。その理由はマニュアルの文章が形式的だからです。弊社はISMS認証の前にプライバシーマークを取得しましたが、文書類は法律のような文章で書かれており、とても読みにくくなっています。またLRMは文章表現だけではなく、文書類全体のボリュームもコンパクトにして下さいました。マニュアル類は分厚いと読むことすらままなりません。
審査員も「LRMさんは文書類を分厚くしていないところが良い」とおっしゃっていました。これらのことから担当を引き継ぐ際もスムーズに引き継げるだろうと感じています。ISMS認証取得だけではなく、運用の面を考慮して設計していただいたことが非常に嬉しいです。

中立的な専門家の視点を取り入れ、ルールの社内浸透を図る

— 今後の課題がありましたらお話しください。

今後の課題はルールの浸透です。こまめに目配りをし、ルールに則っていない人がいれば根気強く話をするなど、しっかりと対応していきたいと考えています。

ただ内部の目だけで見ているとどうしても甘い評価になりがちです。そのため中立的かつ専門知識がある外部の方の視点を取り入れる必要性を感じています。そこで弊社は現在、ISMSの運用改善サポート『情報セキュリティ倶楽部』の契約を前向きに検討しているところです。LRMにはこれまで同様のサポートをお願いしたいと考えています。

株式会社サイエンスクラフト様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。

株式会社サイエンスクラフト様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ 株式会社サイエンスクラフト様のWEBサイト
※ 取材日時 2018年3月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る