株式会社 宝情報様 – 顧客事例 –

LRMに期待したことは、ユーザー側に立ったサポートです。コンサルタントが変わっても期待は裏切られませんでした

株式会社 宝情報は、事業拡大に向けた体制整備の一環としてISMS/ISO27001認証を取得しました。コンサルティング会社は予めLRMに決めていたそうです。ISMS/ISO27001認証取得のきっかけから、LRMにサポートを依頼した理由、認証取得に至った経緯、さらに今後の課題について、情報セキュリティ責任者を務めるサポート部 部長・徳松大地氏、課長・上原崇史氏のお2人にお話を伺いました。

(株式会社 宝情報について)

日本の企業をセキュリティの側面から支援することをミッションに掲げ、ネットワークセキュリティ製品に特化したディストリビュータ事業を展開する。CheckPoint社(イスラエル)やWatchGuard社(アメリカ)のUTM(統合型セキュリティ機器)、F-Secure社(フィンランド)のウイルス対策パッケージなどの総代理店として、二次代理店への販売とそれに付随したテクニカルサポートサービスを提供している。ネットワークセキュリティ製品に特化したディストリビュータそのものが希有な存在だが、製品の導入からアフターサポートまで一貫したサービスが提供できることを強みに、中堅および中小企業を対象としたビジネスで成長を遂げてきた。CheckPoint社の中小企業向けモデルは国内トップクラスの販売実績を誇る他、F-Secure社から成長率において世界№1ディストリビュータとして表彰を受ける(2018年度)など、メーカーからの受賞歴も多数。設立;1995年7月。本社;大阪市北区。従業員数;約30名(2019年7月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社 宝情報は、2018年11月、サポートセンターを適用範囲とするISMS/ISO27001認証新規取得コンサルティングを依頼しました。11月からISMS認証取得に向けた準備をスタートし、4月下旬に第2段階審査を受け、5月中旬にISMS認証を取得しました。

LRMの担当者は吉村さんです。 期待通りのサポートに満足しています。

サポートセンターでのISMS/ISO27001認証取得を機に全社の意識向上を目指す

「吉村さんは初心者にもわかる言葉で説明して下さいました」(サポート部 課長・上原崇史氏)

「吉村さんは初心者にもわかる言葉で説明して下さいました」
(サポート部 課長・上原崇史氏)

— サポートセンターとはどのような部署ですか。

サポートセンターでは全国200社以上の販売代理店からのメールや電話などによる問い合わせ対応の他、エンドユーザー側に設置されたセキュリティ機器に対する遠隔サポート(故障診断や設定変更)なども行っています。2018年9月、よりセキュアな業務環境を確保するために開設されました。現在は、大阪のサポート部のメンバーが14名勤務しています。今後は、このサポートセンターをベースに、販売代理店様から業務を受託する形で、エンドユーザーに対するサポート業務にも注力していく予定です。

— サポートセンター以外の拠点にもサポート部に所属する方はいらっしゃるのですか。

サポート部のメンバーは、東京に2名、福岡に1名、常駐しています。この2拠点は適用外としました。 ただし適用範囲内か範囲外かに関わらず、やるべきことはやらなければいけませんので、東京と福岡でも、サポートセンターのメンバーに対して実施する従業員教育は実施しています。
また、今回、サポートセンターでのISMS認証取得をきっかけとして、サポート部のみならず全社的に情報セキュリティ意識を向上させていきたいと考えています。

弊社はこれまで中途採用を中心とした雇用を行ってきました。そのため各自、一般常識としての情報セキュリティ意識は持ち合わせています。しかしそのレベルはばらつきがありましたので、ベースを揃える必要がありました。
また2019年度からは新卒採用を始めましたので、新入社員に対する情報セキュリティ教育の仕組みも必要です。

— ISMS認証取得のきっかけをお話し下さい。

ISMS認証取得を検討しはじめたきっかけは、お客様からの要請です。ある販売代理店様とサポート業務受託の商談を進めていた際、委託の条件として上がったのが、ISMSに準じた情報セキュリティマネジメントシステムを構築した上で業務を行うことでした。しかし、この件がなかったとしても、弊社が事業を拡大していく上で、情報セキュリティ対策は重要課題となってきます。特に今後は、販売代理店様からのサポート業務受託や、エンタープライズ領域での営業を拡大していく計画がありますので、そのための備えが必要です。販売代理店様や大手企業様の多くはISMS認証を取得しているか、それに準じたマネジメントルールを構築していますので、そういったお客様のレベルに合わせた業務環境を整備するためにISMS認証を取得することにしました。

ユーザーファーストのアドバイスを期待してLRMに依頼

— ISMS認証取得にあたり、コンサルティング会社のサポートを受けた理由をお話し下さい。

ISMS認証取得を経験した人材が社内にいなかったこと、出来る限り短期間での取得を目指していたこと、この2点でコンサルティング会社のサポートを受けることにしました。

— コンサルティング会社の選定方法を教えて下さい。

今回は最初からLRMに決めていました。情報セキュリティ責任者の徳松は、前職時代にISMSの運用を担当していました。その中でLRMのサポートを受けておりましたので迷うことなく依頼しました。無理を聞いていただけるという気持ちもありました。

— LRMのコンサルティングについてはどのようなご評価をされておられたのですか。

ユーザーファーストの視点に立ったアドバイスをしていただける点です。そこに尽きます。

ISMSは全ての企業に決まったルールを当てはめるものではなく、自分達でルールを構築していくものです。最低限やるべきことはありますが、それ以上のことは組織の規模や事業内容、成熟度などによって変わってきます。ただそのボーダーラインが我々にはわからないことがありますので、自分達だけで決めようとすると、どうしても厳しめのルールを適用してしまいます。

ルールの検討をする中で相談すると、LRMは我々の話を聞いた上で、どのようなリスクがあるか、最低限何をしなければならないか、逆に、ここまで厳格なルールは必要ない、といったことを明確にアドバイスしてくれます。

ISMSやプライバシーマークのコンサルティング会社のサポートについて、ドキュメントのテンプレートを一方的に渡されただけ、といった話を聞くことがありますが、LRMのコンサルティングではそういったことはあり得ません。
我々としては、力を入れるところと抜いて良いところがわかるので、無理のない運用が出来ます。

— 前職時代の担当者も吉村さんだったのですか。

前職時代の担当者は幸松さんでした。幸松さんと吉村さんはタイプは違いますが、率直に話が出来るという部分は共通しています。こちらの言いたいことは聞いてくれますし、無理なことは無理だとはっきり言ってくれるので話しやすいです。吉村さんと最初にお会いした時点で安心してお任せ出来ると思い、正式に依頼しました。

社員の意識向上とヒューマンエラーをなくす観点で取り組んだルール作り

「実態に応じたマネジメントシステムが構築できました」(サポート部 部長・徳松大地氏)

「実態に応じたマネジメントシステムが構築できました」
(サポート部 部長・徳松大地氏)

— 今回のISMS認証取得に向けた取り組みで、現場の方々の行動が変わるようなルールは適用されましたか。

ISMS認証取得に向けたルール作りは、社員の意識を高め、ヒューマンエラーをなくしていく観点で行いました。主には、「ローカル環境に持っている、UTMを設置している企業名や担当者名といったエンドユーザーの情報を社内システムに登録する」「設置先における機器の入れ替え時のチェック表を作成する」など、従来やってきた業務を見直し、整理して明文化しました。

その中で、新しく適用したルールもいくつかあります。例えばノートパソコンを社外に持ち出す際には、持ち出し管理簿をつけることにしました。その上で、万が一紛失した際の情報漏洩防止策としてBIOSロックをかけることにしています。

さらに、洗い出した情報資産を重要度に応じてレベル分けし、普段の業務では、そのレベルを意識して取り扱うことも決めました。

— ルール作りの経緯をお話し下さい。

LRMと我々ISMS事務局のメンバーで打ち合わせをしながら構築しました。対象となるのがサポートセンター業務だけだったので、2時間の打ち合わせを1回実施しただけですが、そこでマニュアルの原案を作成していただき、その後、読み合わせをしながら細かい修正を加えて体裁を整えて行きました。

— ルール作りでご苦労はありませんでしたか。

特に苦労はありませんでした。宿題もほとんどなく、文書作成も吉村さんとの打ち合わせの席だけで完結しました。

— LRMはどのように関与しましたか。

ISMS事務局のメンバーに対して普段どのような仕事をしているのかをヒアリングしてもらい、リスクの洗い出しとISMSの規定に基づいたリスク対策をアドバイスしていただきました。その中でどこまでが最低限やらなければいけないか、という線引きをしていただいて、私たち自身でルールを決めて行きました。

— 最低限やらなければいけないことというのは、例えばどんなことがありましたか。

例えば社員に機密保持誓約書にサインしてもらって回収することです。これはサポートセンターだけではなく全社に及ぶことです。我々だけで完結させることが出来ないため、人事部との調整が必要でしたが、新入社員には必ず機密保持誓約書にサインしてもらうことになりました。 また、BCP訓練も必須でした。内容は自由です。今回は社内のUTMが壊れた時に、どれぐらいの時間で復旧できるかを検証しました。

従業員教育、内部監査もLRMがサポート

— ISMS認証を取得するまでのタスクとして重要なものに、従業員教育、内部監査がありますね。まず、従業員教育はどのように実施されたのですか。

従業員教育はLRMの情報セキュリティ支援サービス『Seculio』を活用して実施しました。

『Seculio』は使いやすかったです。特に管理者としてはメンバーごとの受講状況がわかりますので管理がしやすいです。 受講する側も、毎日PCに向かって仕事をしていますので、空いた時間で受講出来るというメリットがあります。

今後も活用したいと思い、継続契約いたしました。

— 内部監査はどうされましたか。

吉村さんに内部監査員を代行していただいて実施しました。

— 内部監査員を代行してもらうメリットはどんなところにありますか。

外部の方の視点でチェックしていただくことで、受ける側に緊張感が生まれる効果があります。特に今回は初めてでしたので、意識付けのためにも多少のプレッシャーが必要だったと考えています。また内部監査で運用上の不具合を改善した上で審査に臨むことが出来るという効果もありました。

— 徳松さんは審査のご経験がありますよね。

ISMS認証の審査を受審した経験があっても、審査員それぞれの考え方や審査の進め方は異なるため、毎回慣れるまでが大変です。今回は吉村さんからアドバイスをいただいて準備出来たので心強かったです。審査員の方も、弊社が今回初めてだったためか、いろいろな事例を交えたアドバイスをして下さいました。我々としては勉強になることが多かったです。

「LRMのコンサルタントはフランクに何でも話ができる安心感があります」(右から;上原氏、徳松氏)※左は弊社吉村

「LRMのコンサルタントはフランクに何でも話ができる安心感があります」
(右から;上原氏、徳松氏)※左は弊社吉村

ISMS活動をサポートセンターの文化として定着させることが課題

— ISMS認証の取得を無事に終えまして、社内の意識を揃えるという目的は達成できましたか。

社内の意識を揃えるという目的は、むしろ今後の課題です。ISMS認証取得はあくまでもそのためのスタートラインであると考えています。今はまだその目標に向かって歩んでいこうという段階です。まずはサポートセンターでの運用を確立し、ISMS活動を文化として根付かせたいと考えています。

— 具体的にはどのような取り組みを考えておられますか。

まずは私たちISMS事務局のメンバー自身が、PDCAサイクルをしっかり回して運用しながら、ISMSへの理解を深めていかなければいけないと考えています。また、全員が当事者意識を持つことも重要です。ISMS事務局のメンバーは現在4名ですが、その4名だけが頑張っても仕方がありません。メンバーを増やすなど、全員を運用に巻き込むような仕組み作りを進めていきたいと考えています。

ISMS活動のレベルアップを目指し『情報セキュリティ倶楽部』を契約

— 今回、LRMのコンサルティングを受けられて、改めてご感想がございましたらお話し下さい。

やはり我々の現状に合ったルール作りをリードしていただけたことが最大の価値だったと考えています。
またISMS運用の経験を持たないメンバーでも、ISMSの考え方がわかるよう、親身になってご説明いただけたことにも感謝しています。

— 今後の課題に向き合う上で、LRMにご期待されることはございますか。

PDCAサイクルを回していく中で、サポートが必要となる局面は少なくありません。そのためLRMのISMS運用改善サポート『情報セキュリティ倶楽部』を契約しました。情報セキュリティの課題は、事業の規模や組織の成熟度などによって違ってくると思っています。乗り越えなければならない壁も出てくるはずです。社内の人間だけで運用していると、どうしても甘えが出てきてしまいます。弊社の情報セキュリティへの取り組みをレベルアップさせるためにも、ダメなことはダメとはっきりおっしゃっていただきたいと考えています。

株式会社 宝情報様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

株式会社 宝情報様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※株式会社 宝情報様のWEBサイト
※ 取材日時 2019年7月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る