株式会社SyncThought 様 – 顧客事例 –

LRMには情報セキュリティマネジメントのプロフェッショナルとしての哲学があります。コンサルティングを通してISMSが業務改善に使えることに気がつきました。

サイト内検索エンジンの導入数国内トップクラスを誇る株式会社SyncThought。ISMS/ISO27001認証新規取得への挑戦で選んだコンサルティング会社はLRMでした。
選定理由と認証取得の経緯、今後の抱負について認証取得の準備を担当したデベロップメントディビジョン チーフアーキテクト・鈴木健志氏と、コーポレートマネジメントディビジョン マネージャー・布川直人氏に話をうかがいました。


(株式会社SyncThoughtについて)

「検索エンジン」「Saas/Cloud」「AI/自然言語処理」といった最先端テクノロジーを軸に情報価値創造型システムソリューションを提唱するベンチャー企業である。主軸サービスは『SyncSearch』。サイト内検索に特化し、数百万ドキュメントを1秒以下で検索する全文検索型のサーチエンジンである。サイト内の検索利用状況を様々な角度から迅速に把握できる多機能な統計ツールを搭載し、サイトの最適化や戦略立案への活用を可能とする。2008年のリリース以来、大手企業のコーポレートサイトを中心に自治体サイトなどへの導入が進み、2016年12月現在の導入数は国内トップクラスの約400社に上る。この他、管理画面で簡単にFAQ(Q&A)を作ることができるFAQ管理システム『SyncAnswer』や、サイト内検索やFAQと連動し対話しながらサイト訪問者を知りたい情報に導く企業向けAIコンシェルジュ『Corproid』といったサービスも提供。企業や自治体と消費者の間で発生するコミュニケーション上の課題解決をサポートしている。
設立;2004年7月。従業員数;12名(2016年12月現在)。所在地;東京都渋谷区。

ISMS/ISO27001認証新規取得コンサルティングを依頼

– LRMへのご依頼内容をお話し下さい。

弊社は、2016年1月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。LRMの担当者は幸松さんと井崎さんです。10月に認証取得を完了し、認証取得後は、ISMSの運用改善サポート『情報セキュリティ倶楽部』の契約を申し込みました。

ISMS/ISO27001認証取得の背景

全文検索型サーチエンジン『SyncSearch』

国内トップクラスの導入実績。
サイト内検索に特化した全文検索型
サーチエンジン『SyncSearch』。

– 御社がISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した最大の理由は、顧客の要望に応えるためです。サービス開始当時から、サービスを導入いただくに当たって、顧客企業からISMS認証の取得を直接要請されることがありました。認証を取得していないという理由で受注できないケースもありました。
金融系をはじめとする大手導入企業からは、定期的にセキュリティチェックシートへの回答が求められます。その中には必ず、ISMS認証取得予定の有無を問う項目が入っており、年々、需要が高まっていることを感じ、2015年12月、認証取得に向けた具体的な取り組みをスタートしました。

– 御社が保持する機密情報にはどのようなものがありますか。

弊社は、厳密に言うと、機密情報と言える情報を保持することはありません。
そもそも弊社が扱う情報は、企業が外部に向けて発信するWEBサイトの情報であり、全てが公開情報です。

お客様が我々に求めているのは、どちらかというと”信用性”です。基本的にSaasサービスを活用したくないと考えている企業は少なくありません。そのような企業がSaasサービスを導入せざるを得ない場合にサービス選定の基準とするのが運用体制が整備されているかどうかです。それが開発会社の信用と結びつきます。開発会社の運用体制を評価する上で、第三者機関が審査するISMS認証の有無は最もわかりやすい指標です。

そういう意味では客観的な視点を取り入れることで、社内の運用体制を見直す機会にもなると考えました。弊社はエンジニアが集まる会社です。コンピュータや情報管理の知識は全員一定レベルに達している前提でマネジメントをしてきました。しかし創業から12年の間に若い世代の社員が増えたことで、知識レベルにギャップが生じてきました。そのような背景があり、社員間のレベルを一定以上に保つためには、ルールの明確化と周知が必要であると感じていました。

選定理由はプロフェッショナルとしての姿勢

コーポレートマネジメントディビジョンマネージャー・布川直人氏

「コンサルティング会社に違いが
あるとは思ってもいませんでした」
(コーポレートマネジメント
ディビジョンマネージャー
布川直人氏)

– LRMを選定した経緯と理由をお話し下さい。

インターネット検索で上位表示されたコンサルティング会社を4社ほど選び、対面で各社から話を聞いて最終的にLRMに依頼しました。

LRMと他社との大きな違いは、ISMSに対する自社なりの哲学を持っているかどうかです。幸松さんがISMSに対する自社の考えをしっかり語るのを聞いて、ただ単に認証を取得するだけではなく、弊社の事業内容や業務の進め方を踏まえたサポートをしていただけると期待しました。

コンサルティング会社を探し始めた当初は、コンサルティング会社によって大きな差があるとは考えていませんでした。しかし各社の話を聞いてみると、認証を取得することだけを目的としたコンサルティング会社とそうではないコンサルティング会社があることがわかりました。
我々が属している検索エンジンの業界でも同じようなことが起きています。とにかく検索システムを入れれば良いという同業者が存在する中、弊社は検索技術の専門企業として顧客のビジネスに貢献することを念頭にサービスを提供しています。同様にLRMにも情報セキュリティのプロフェッショナルとしての姿勢を感じました。

開発業務を安全かつ効率的に行う環境整備に重点を置いたルール構築

デベロップメントディビジョンチーフアーキテクト・鈴木健志氏

「サーバーのクラウド移行を決めた
際もLRMの意見を参考にしました」
(デベロップメントディビジョン
チーフアーキテクト・鈴木健志氏)

– ISMS認証新規取得コンサルティングはスムーズに進みましたか。

コンサルティングの始めにLRMが作成したスケジュール通りに進みました。2月にコンサルティングがスタートし、4月までの3か月間でISMSの詳細管理策114項目を検討し、大枠のルールを決めました。そして8月までに細部の検討を行い、決めたルールに基づいて文書類を完成させました。

– ISMS認証取得に伴うルール構築で大きく変更した点はありましたか。

弊社は個人情報や企業の機密情報は保持していないため、現場のワークフローに関わるルールよりも、開発業務を安全かつ効率的に行うための環境整備に重点を置いてルールを構築しました。

従来との大きな変化は、メールサーバーとファイルサーバーのクラウド移行です。
これまでは社内のサーバールームで運用してきましたが、ISMS構築を機にOffice365に移行しました。
弊社はこれまで、必要なものは全て自前で作ってきた会社です。メールサーバーやファイルサーバーも自分たちで構築し管理してきました。いずれも一定のセキュリティを保つ運用をしてきましたが、その状態を維持するには相応の労力が必要です。クラウドは予め便利な機能が備わっているので、いずれは移行したいと考えていました。
サーバーの運用・管理は、社内とクラウドのどちらにも一長一短あります。クラウドだから絶対にセキュアというわけではありません。社内サーバーでも、より安全に運用することも可能です。しかし、ISMS認証取得にあたり、社内で運用し続ける場合のリスクを洗い出して対策を打つ手間を考えた時に、クラウドに移行した方が効率的であると判断しました。

細々とした部分では、各種情報機器類の保管ルール、USBメモリーの取り扱いルール、紙文書の保管ルール、ウィルス対策ソフトの統一、クリアデスク・クリアスクリーンの徹底などを明文化しました。

– ルール構築でのご苦労はありましたか。

詳細管理策114項目の検討で大枠を決めた後、細かいルールを策定していく過程は苦労しました。ルールを策定する前に、管理策各項目の説明はLRMから受けており、その説明は非常にわかりやすいものでした。しかし具体的なルールを決めるのは我々自身です。打ち合わせの場で即決できる項目もありましたが、一旦保留して次回までに決めておくという項目がいくつもありました。USBメモリーの取り扱い1つとっても、USBメモリーそのものを禁止するのか、使用を許可するにしてもどのような条件を設けるのか、私物の持ち込みまで許可するのかなど、明確に線引きする上で判断に迷いました。

– LRMにアドバイスを求めましたか。

はい。一旦自分たちで決めたものを見せて、意見を伺い、他社の事例や一般的な施策を示してもらって、それを参考にして決めて行きました。社内サーバーのクラウド移行に関しても、ISMSの規格に照らし合わせるとどういったリスクやメリットがあるのか、LRMの意見を参考にしながら決めました。

ルール策定が終わった後は、LRMのeラーニングシステム『LIXIS』を使った従業員教育、内部監査とスムーズに進みました。内部監査はLRMの幸松さんに内部監査員を務めてもらいました。そして審査も無事に終え、2016年10月、認証取得を完了しました。

従業員の意識向上により社内の整理整頓が進んだ

– ISMS認証取得の成果をお話ください。

認証取得後、早速、ISMS認証がなければ契約できないというお客様がありました。現在提案中ですが、認証取得が完了していたことで、スムーズに商談に入れた例が何社かあります。

– 組織運営上、何か変化はありましたか。

社内環境に対する社員の意識が向上し、社内の整理整頓が進みました。個人のデスク回りやデスクトップだけではなく、共有スペースからも不要なものがなくなりました。本来何もないところに何か物が置いてあるのを見つけたら、放置せずにお互い声を掛け合って片づけています。紙文書の管理は、スキャンしてデータ化し、共有サーバーの指定したフォルダで一元管理することになっています。格納するフォルダを階層化したことで探しやすくなるなど、業務効率の向上にもつながりました。

ISMSの運用が始まる際に、最低限守るべき要点をかいつまんで説明した他、内部監査で社外の存在である幸松さんから話しかけられたことで、やらなければいけないという意識が社員の間に芽生えました。

ISMS/ISO27001の規格と仕組みを活かした業務改善への取り組み

– 情報セキュリティに関して今後の課題などがあればお話しください。

今後はISMSのリスク管理の仕組みを活用して、開発業務や運用体制の継続的な改善につなげたいと考えています。

今回のISMS認証新規取得では、初めてということもあり、例えば開発時のリスクを取りまとめるリスク管理表の記載は、一般的な内容にとどまりました。しかし、ISMSのリスク管理の仕組みは、もっと活用できると感じました。そこで現在、開発業務だけではなく運用体制などを含め、思いつく課題を全部書き出しているところです。

業務を進める中では、いつかはやらなければいけないタスクやどこかでカバーなければいけない問題、明らかに改善しなければいけない課題などが常に発生します。そういったものを整理する上で、ISMSのような基準があれば非常に便利です。開発の現場では以前から課題を一覧化したりチケット管理をしたりしていましたが、管理しきれなくなることがあります。

そんな時に年に1回PDCAを回さなければならないISMSの枠組みと紐付けることで、対応すべきことを忘れずに管理できるのではないかと考えています。

鈴木氏、布川氏、弊社幸松、弊社井崎

「ISMSに対するイメージが変わりました。コンサルタントのフランクな対応も影響していると思います」
(右から、鈴木氏、布川氏)※左側は弊社幸松と井崎

LRMのコンサルティングで理解したISMS/ISO27001の柔軟性

– 最後に、LRMのコンサルティングを受けたご感想をお話ください。

ISMSの規格に関する説明が非常に分かりやすかったです。難解な専門用語をかみ砕いて説明していただいたことで、我々の中で、やるべきことが明確になりました。以前はISMSについて、融通が利かないものだと感じていましたが、LRMのコンサルティングを受けて意外に柔軟な規格であると感じました。

今後、ISMSを運用していく上での不安は尽きません。次の維持審査に向けた準備も不安です。特に内部監査は社内では出来そうにありません。PDCAを回していく中でもアドバイザーとしてサポートしていただきたいと考えたことが、LRMの運用改善サポート『情報セキュリティ倶楽部』の契約を決めた理由です。今後ともよろしくお願いします。

株式会社SyncThought様、お忙しい中有り難うございました。

株式会社SyncThought様、お忙しい中有り難うございました。今後ともどうぞよろしくお願いいたします。

※株式会社SyncThought様のWebサイト
※取材時期 2016年12月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る