タイムテック株式会社 様 – 顧客事例 –

LRMのコンサルティングで、弊社にぴったりのISMSが構築できました。しかも、予定より2ヶ月も早く。

タイムテック株式会社・大阪本社では、情報セキュリティマネジメントシステムの規格ISO/IEC27001(以下、ISMS)の認証取得を、約9か月という短期間で実現しました。
コンサルタントの選定から、取得に至るまでの経緯を、同社ISMS運営事務局の皆様に伺ってきました。

(タイムテック株式会社について)
ソフトウェアの開発事業をメインに情報システムの企画・開発から運用・保守まで、一貫したサービスを提供。
Android端末を活用したモバイルソリューションの提供にも力を入れる。
設立:昭和58年6月 社員数:74名

(タイムテックISMS運営事務局メンバー紹介)

中谷 仙幸

【取締役常務執行役員 兼 ビジネスソリューション部 統括部長 中谷仙幸氏】
情報セキュリティ担当役員。2007年にプライバシーマークを取得する際から、タイムテックにおける情報セキュリティ活動を指揮し続けている。

奥松 和久

【ビジネスソリューション部 課長 奥松和久氏】
ISMS取得に際しては、ネットワークやサーバーなど社内インフラの再構築を担当。中谷統括部長とともに運用ルールや事業継続計画の見直しにも関わっている。

中谷 有紀子

【管理部 中谷有紀子氏】
文書の管理や社員への通達・教育など実務面を担当。ISMS取得の際は、コンサルタント選定のための面談から、リスクアセスメント、最終の審査対応まで携わる。

約9ヶ月でISO/IEC27001の認証を取得

ISMS,Pマーク

ISMS(左)とプライバシーマーク(右)の証書

— タイムテックがLRMに依頼した業務を教えて下さい。

中谷(仙) タイムテックは、LRMの幸松さんに、大阪本社における情報セキュリティマネジメントシステムの規格ISO/IEC27001(以下、ISMS)の認証取得コンサルティングを依頼しました。
2010年の3月に依頼し、計画より2か月も早い同年11月に認証を取得することが出来ました。
弊社の規模や事業に合った情報セキュリティマネジメントシステムとして、ムリ・ムダのない運用が実現しています。

— ISMSの認証を取得した目的を教えてください。

弊社がISMSの認証を取得した目的は、主に、事業継続です。
弊社は、ISMSに先立ち、2007年にプライバシーマーク(以下、Pマーク)を取得しました。Pマークを取得した直接の理由は、主要取引先から取引を継続して行うための必須条件として取得を促されたからです。同時に、顧客の多くがPマークを取得しており、弊社自体も取得しなければ、事業の積極的な展開が困難になることが予測されました。
そのような経緯でPマークを取得しましたが、それ以降、さらに強固な情報セキュリティが求められるようになったため、ISMSの認証を取得しました。

プライバシーマーク取得の際の教訓を活かし、コンサルタントを選定

ISMSの認証取得で毎年恒例の取引先による視察にも、慌てず対応できるようになりました

ISMSの認証取得で毎年恒例の取引先による視察にも、慌てず対応できるようになりました

— ISMSの認証取得に向け、まずは何をしましたか?

中谷(仙) ISMSの認証取得に向けた具体的な作業として、まず最初に行ったのは、コンサルタントの選定です。
料金、取得までのスケジュール、社内の作業量、以上3つの要素で絞り込み、最終的にコンサルタントとしての資質を吟味して、決定しました。
LRMの幸松さんは、コンサルタントの選定が最終段階まで進んでいた頃に、ある知人からご紹介をいただきました。
その段階で会うつもりになったのは、その知人の会社と弊社に、ある共通点があったからです。

— 共通点とは何ですか?

それはPマーク取得時のコンサルタント選定の失敗です。両社ともに、1社目のコンサルタント会社では取得出来ず、2社目でやっと取得できたという経緯がありました。
弊社のケースでは、問題はコンサルティングのレベルの低さでした。弊社の社員は、その時点で、Pマークに関する基本的な知識は持っていました。主要取引先がPマークを取得しており、業務を通して、その規定に触れていたからです。
1社目のコンサルタントは、そのような弊社の内情は全く考慮されず、ごくごく初歩的で本に書いてあるような内容の講習を行い、しかも、話だけで実際の作業は全て社内でやりなさいというスタンスでした。それが、社員の反感を買う結果となり、挙句の果てに取得も出来なかった。
弊社は、その経験から、ISMSの認証取得に際しては、コンサルタントの選定に対して、より慎重になっていました。
知人の会社では、1社目で失敗した後、2社目のコンサルタントとして、LRM・幸松さんに依頼し、Pマーク取得に成功しました。知人は、幸松さんを高く評価し、弊社にご紹介下さいました。
面談してみると、幸松さんは、こちらの要望をくみ取ってくれる柔軟さを持っていました。それが依頼の決め手になりました。

— コンサルタントを使わずに、全て自社で認証取得を行うことは考えませんでしたか?

全て自社で行うことは、最初から考えませんでした。自社で取得するためには専任スタッフを配属する必要があります。しかし、経験のない者に任せるのはリスクが高く、成果も望めません。
ISMS認証取得の検討初期段階で、まず検討項目として上がったのが、費用対効果のバランスでした。弊社のような規模の中小企業がISMSの認証を取得し、継続していくことは、果たして可能なのか。目的は事業継続ですが、認証取得にかかるコストが大きすぎてバランスが取れなければ、本末転倒です。そのため、最初から、目標とする期限内に効率よく確実に取得するために、ISMSの認証取得の実績が豊富なコンサルタントに依頼するのが賢明だと判断し、スタートしています。

<LRM幸松>
中小企業において、社員の中から専任スタッフを選び、自社でISMS認証を取得する場合のデメリットについて補足します。
一般的に、社内で選ばれる選任スタッフの方は、ISMSの構築に関しては素人です。素人の方が構築すると、実際の業務の中で運用しずらいシステムが出来上がりがちです。
その原因は、規格に忠実に従って、構築してしまうからです。ISO/IEC27001の規格は、どちらかというと大企業向けに作られたもので、その規格に忠実すぎると、中小企業の実情には合わない、無用なシステムが出来あがってしまいます。
ISMSの構築は、各企業の実態に合わせたシステムを構築することが重要であり、そのためには、何が必要で何が不要かを判断するための知識とノウハウが必要です。

コンサルタントとしての資質=柔軟性と人心掌握スキル

— コンサルタントとしての資質とは何ですか?

中谷(仙) 私が考えるコンサルタントの資質とは、過去の事例や既成概念に捉われない柔軟性、人心掌握スキル、この2つです。

【柔軟性】

私は、初めてお会いした際に「可能な限り簡素な情報セキュリティにしたい」という要望を幸松さんにお伝えしました。
先ほども申し上げましたが、ISMS認証取得の目的は事業継続です。事業継続のためにISMSの認証を取得するのに、それをすることで業務が滞るようなことがあっては意味がありません。だから、日常の業務における手続きを簡単にして書類を少なくするなど、可能な限りの簡素化をお願いしました。この要望に対し、幸松さんはすぐに賛同されました。大抵のコンサルタントは、一般論や規格にこだわり、このような要望は退けようとします。幸松さんの反応は、他のコンサルタントとは違っていました。

【人心掌握スキル】

1つのプロジェクトを推進する際には、現場のスタッフに気持ち良く動いてもらうことが大切です。ISMSの認証取得の場合は、管理部のメンバーが主体となります。だから、コンサルタントが、いかに管理部のメンバーの気持ちを掴めるかは重要でした。幸松さんは、その能力が飛びぬけて優れていました。

以前はPマークが重荷でした。幸松さんは弊社に合ったルールを考えてくれて、運用が楽になりました

以前はPマークが重荷でした。
幸松さんは弊社に合ったルールを考えてくれて、運用が楽になりました

中谷(有) 幸松さんは、他のコンサルタントの方よりも接しやすい印象がありました。

管理部からは私を含む2人が事務局に入り、コンサルタントのリスト作成時から関わっていましたが、コンサルタントの選定の際には、コミュニケーションのとりやすい方じゃないとやっていけないかな、というのが2人の一致した意見でした。
実際、幸松さんには、どんな相談でも出来ました。ISMSに関しては予め勉強していましたが、用語や表現が難解なため、わからないことがあった時に、どのような質問をして良いかすらわかりませんでした。でも幸松さんは、こちらが言葉で表現し切れないことでも、すぐに察知して応対して下さいました。

最初にお会いした際に、作業の進め方などを説明して頂きましたが、日常的な業務に事務局の業務が加わっても、残業をする必要はなさそうで、ほっとしました。事務局の2人にとっても幸松さんに依頼するのが、一番良い選択だと考えていました。

審査は無事通過。認証取得に成功

— ISMS認証取得のコンサルティングはどのように進みましたか?

中谷(有) まず、大まかなスケジュールを決めました。このスケジュールに沿って、打ち合わせを繰り返しながら、作業を進めました。

現状調査からリスクアセスメントにかけては、管理部の2人が中心となって進めました。最も大変だったのが、この現状調査からリスクアセスメントにかけての作業です。リスクアセスメント後の基本文書作成は、幸松さんが全て行いました。
現状調査とは、社内の情報資産の洗い出しです。それらに対して、個々にリスク評価を行うのがリスクアセスメントです。情報資産とは、書類、データ、ハードウェア、ソフトウェア、通信設備、ファームウェア(媒体など)、要員などが含まれますが、何を情報資産とするかは、企業の業種や業務特性などで個別に決定する必要があります。
最初は、その選別に時間がかかっていましたが、幸松さんから、効率的に作業を進めるコツを教えていただき、スムーズに進めることが出来るようになりました。
幸松さんとの打ち合わせは、リスクアセスメントに基づいた133項目の詳細管理策の構築(規定策定)がメインでした。これだけで5回ぐらいご来社いただき、セキュリティ対策を構築していきました。

— その後、基本文書の作成があって、いよいよ運用ですね?

はい。運用にあたって、まずは社員教育を行いました。テキストを配布して読んでもらい、20問ぐらいのテストを行い、正答率の低い箇所は、全体に浸透するようにグループウェア等を通じて周知していきました。そして、1か月後の内部監査へと進みました。
内部監査では、メモや書類の廃棄処理はシュレッダーでしなければならないのに、手でちぎってごみ箱に捨てる、とか、パソコンのスクリーンセーバーを5分以内に設定しなければいけないのに、酷い場合は設定していない、など、いくつかの問題が見つかりました。そのため、なかなか身につかない社員には、徹底的な指導を行いました。
その後、マネジメントレビュー、幸松さんによる模擬審査などを通じて、ブラッシュアップして審査に臨みました。
審査の時は夜も眠れないほど不安でしたが、致命的な指摘は全くなく、無事に認証取得にこぎつけました。

中谷(仙) 取得できた時は、本当に嬉しかったです。当初の予定より2か月も早い取得が出来たことに、社長も大変驚いていました。審査機関からは、事務局の体制に対しても高い評価をいただき、感激しました。

— ISMS認証取得に向けたスムーズに進めるためのコツは何だと思いますか?

中谷(有) 関係者とのコミュニケーションです。
例えば、事務局のメンバー同士のコミュニケーションでは、作業を依頼する際、期限を明確に区切って伝えることが重要です。事務局のメンバーは、本来の業務も兼ねています。その合間を縫って行なうISMS関連の作業は、ともすれば後回しにされがちです。依頼する際に、こちらから期限を区切って伝えれば、予めスケジュールに組み込めて、作業がしやすくなります。
また、社員教育では、ダメなものはダメと徹底することが大切です。相手によって基準をゆるめたりしてしまうと、統制がとれません。規定したルールが1人1人に定着するまでは、しつこいぐらいに指摘を繰り返して、身につけていってもらいました。

中谷(仙) 社内の推進体制が上手く機能した背景には、初期段階で、幸松さんが作業指示と役割分担を明確に示したことがありました。その段階で、私はISMSの認証取得は上手くいくと確信しました。
社員の業務に支障をきたす無駄な会議や講習は、最初からスケジュールに含まれていなかったし、事務局内の打ち合わせも毎回、予定の時間内で終わりました。そういったことが、事務局のメンバーのモチベーションに繋がり、社員からの理解を得る助けにもなりました。
それがプロジェクト成功の大きなの要因だと評価しています。

ミーティング風景

セキュリティシステムの軽量化、社内インフラの見直しも

— ISMSの認証取得を通して得た成果は何でしょうか?

中谷(仙) 最大の成果は、認証取得に成功したこと、そのものですが、付随する成果としては、次の3つが挙げられます。

  1. ISO/IEC27001とPマークの統合による運用ルールの軽量化
  2. 社内ネットワークインフラの整備・セキュリティ強化
  3. 事業継続計画の立案

それぞれについて説明します。

1. ISO/IEC27001とPマークの統合による運用ルールの軽量化

中谷(仙) ISMSの認証取得の準備を進める中で、幸松さんから、PマークとISMSを統合しましょうという提案がありました。
当時、Pマーク関連の資料が膨大な量に及んでいました。保管のための場所もとるし、管理するだけでも大変でした。
社員は1つのことを申請するのに、いくつもの書類を出す必要があり、承認が下りるまで必要以上に待たされ、日常業務が煩雑化する原因にもなっていました。私も管理のための管理になってしまっている実情に疑問を持っていました。
そのためISMSに関しては可能な限り簡素化してほしいと、幸松さんに要望を出していました。
それに対して幸松さんから、統合の提案があったため、資料一式をお渡しして情報の棚卸をしてもらったら、不要なものがいっぱい出てきた。それを削ったことで、社員の負担が軽くなり、運用が楽になりました。
Pマークの3回目の更新が2011年6月にありましたが、その準備作業も、殆ど必要がありませんでした。審査対応も拍子抜けするほど軽微で済みました。

<LRM幸松>
PマークとISMSとの統合の目的は、タイムテック様の実情にあったセキュリティシステムを構築することにありました。2つのルールが別々に存在するのではなく、タイムテック様の情報セキュリティのルールが1つあって、それを日常業務の中で守っていれば、必然的にISMSもPマークも守っていることになる、そのようなシステムの構築に努めました。

インフラ構築に関しても、幸松さん同席のもとで、1つずつ課題を潰していきました

インフラ構築に関しても、幸松さん同席のもとで1つずつ課題を潰していきました

2. 社内ネットワークインフラの整備・セキュリティ強化

奥松 社内ネットワークインフラの整備・セキュリティ強化は、社内のネットワーク管理者である私が担当しました。
ISMSを機に、従来から気になっていたセキュリティの強化が実現して安心しました。
具体的には、UPS(無停電装置)、ルーター、サーバーなどネットワーク機器の買い換えを行いました。リスクアセスメントの中で、幸松さんからインフラに関する指摘をいくつか受け、それに対応する形で整備して行きました。
インフラ整備のための経費は大きいため、普段は、稟議が通しにくいのが実情です。
数万円のルーターだけならまだしも、定価で30万円~40万円のUPSまでとなると、壊れてから買い換えようという判断になりがちです。ISMSの認証取得が、インフラを見直して再構築する良い機会になりました。

他に、ネットワーク構成図の最新化、機器類の管理方法の改善も行ないました。その際に、機器類の棚卸を行い、不要な機器と必要な機器を整理し、不要なものは捨て、不足しているものを買い足しました。
どこに何があるのか把握できない状態が改善できて、社内のネットワークインフラの管理がしやすくなりました。

3. 事業継続計画の立案

中谷(有) 事業継続計画の作成は、ISMSの要求事項に含まれています。それを意識出来るようになったことも、特筆すべき成果の1つです。
事業継続計画の例としては、大きな災害が起こった時の避難ルートの作成があります。会社で被災した際の避難場所、携帯電話の災害掲示板の使い方などを、文書化して全社員に配っています。大災害が起こった際に、いかにして社員の安全を確保するのか、事業体制を維持していくのかを改めて考える機会になりました。

奥松 それに付随しネットワーク関係では、災害によってサーバーなどのが停止した際の対応に関する方針も明確にしています。何時間以内に復旧させることが出来るか、何が何時間ぐらい止まって良いかなどといったことを洗い出し、損失した機器類の調達ルート、要員、セットアップにかかる時間などの復旧シミュレーションを行いました。
このようなことが予め予測出来ていれば、いざという時に安心です。

幸松さんの的確な指示で着実に前進

— LRMに対するご評価をお聞かせ下さい。

中谷(仙) LRMの幸松さんは的確なコンサルが出来る方だなと思います。私は色んなコンサルタントを知っていますが、殆どの方が教科書に書いてあるようなありきたりのことしか言いません。会社や業種が違えば、言うことも変わるはずです。幸松さんには、机上の論理ではなく、現実的な指導をしていただけました。
また、指示内容がポイントを得ているため、作業がしやすかった。いつまでに誰が何をするのかが明確でした。
だから、着実に前進し、後戻りの工程というのがありませんでした。

中谷(有) そのとおりですね。常に前に進んでいる感じがしました。だから、いつ終わるんだろうという不安や焦燥感がなくて、前向きに取り組むことが出来ました。

モバイルやクラウドなど環境の変化への対応が課題

— 今後の情報セキュリティについては、どのような展開をお考えですか?

中谷(仙) 直近の課題としては、今年10月の継続審査があります。また、現在、東京事務所のISMSを検討中です。
それから、モバイルとクラウドなど、環境の変化にいかに対応するかが重要です。3年もすれば、規格が変わるし、お客様の質も変わります。毎年、足元を見つめながら、情報セキュリティに取り組まなければなりません。
しかし、情報セキュリティの規格は、素人には難しいことが多い。継続していくためには専門家の力が必要です。
弊社は、今後も、幸松さんのご指導のもと、情報セキュリティの取り組みを継続していきたいと考えています。

ISMS運営メンバー

タイムテックの皆様、お忙しい中、有り難うございました。
(中央は、LRM代表取締役・幸松)

タイムテック株式会社様のWebサイト
※ 取材日時 2011年6月

  • システム開発・運用
  • 受託開発
  • ISMS/Pマークのルール統一
  • 50~199名
  • 大阪
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら