株式会社アイティープロデュース 様 – 顧客事例 –
株式会社アイティープロデュース出雲支店は、2013年4月に開設されたばかり。会社員を地元で雇用するなどゼロからスタートするにあたり、支店内の統一ルール作りを目的の1つとしてISMS/ISO27001認証の新規取得に取り組みました。コンサルティングをLRMに依頼した経緯とその成果について、支店長 高橋秀幸氏、情報システム部 渡部賢司氏にお話をうかがいました。
記事index
(株式会社アイティープロデュース 出雲支店について)
株式会社アイティープロデュース(本社;東京都、設立2007年4月、従業員数47名)は、金融系システムの受託開発に強みを持つソフトウェア開発会社。出雲支店は、2013年4月、低コストかつ高品質のサービスを提供できるニアショア体制の構築を目指して設立された開発拠点である。地元・島根県で雇用する従業員は設立時の7名から1年間で15名へと増員。島根県内の同業他社との協業、支店独自の営業体制構築による案件獲得にも積極的に取り組むなど、着実に事業を拡大中である。(データは全て2014年4月現在)
LRMにISMS/ISOS27001認証新規取得コンサルティングを依頼
– LRMへのご依頼内容を教えて下さい。
弊社(株式会社アイティープロデュース)は、LRMにISMS/ISO27001(ISMS)認証の新規取得コンサルティングを依頼しました。2013年10月1日にコンサルティングがスタートし、2014年3月6日に認証を取得することが出来ました。
何もかも初めての経験で作業も大変でしたが、LRMのおかげで目標としていた期限内に取得することが出来ました。
開設したばかりの支店。統一ルールを構築するためにISMS/ISO27001認証を取得
「コンサルタントってどんな人かと不安でしたが、気さくで話しやすい方だったので安心しました」
情報システム部 渡部賢司氏
– ISMS/ISO27001認証を取得した目的を教えて下さい。
弊社がISMS認証を取得した目的は、(1)統一ルールの構築、(2)事業拡大のための条件整備、の2つです。2013年4月に出雲支店を開設し、本格的な事業展開に向けた体制作りを行うために、ISMS認証取得を決めました。
(1)統一ルールの構築
出雲支店はゼロから立ち上げました。社員も支店開設に伴い新規に採用した新しいチームなので、業務を行う上での統一ルールが整備されていませんでした。出雲支店はニアショアの拠点とすべく開設したため、東京本社とは業務フローなども異なりますので、支店独自のルールを構築した方が良いと考えました。
(2)事業拡大のための条件整備
ニアショアの開発拠点を開設するにあたり、お客様からISMS認証を取得するよう要請がありました。また、今後は独自に営業体制を整え、公共案件の獲得も目指しています。入札参加条件を揃えるためにもISMS認証取得が必要でした。
以上の目的があったため、今回は認証範囲を出雲支店のみとしています。
認証取得までフルサポートしてもらえることが決め手に
– LRMにISMS認証の新規取得コンサルティングを依頼した経緯を教えて下さい。
LRMに依頼したのは、地元同業者からの紹介がきっかけでした。馴染みのある企業からの紹介なので安心感があったことと、サポートが充実していたため依頼しました。サポート内容で魅力に感じたのは主に次の3点です。
(1)訪問回数&相談無制限
(2)認証取得までフルサポート
(3)料金後払い
弊社がISMS認証の取得を決めたのは2013年6月ですが、自社取得は困難であると考え、まずコンサルティング会社探しからスタートしました。選定は東京本社が行い、東京のコンサルティング会社を有力候補にあげていました。しかし、そのコンサルティング会社は、サポート期間が非常に短かったので不安を感じていました。コンサルティング会社が決めた限られたサポート期間内に詰め込み式でルールを構築し、その後の審査準備や審査対応は全て自力でしなければいけませんでした。また、料金は一括前払いという条件でした。
弊社の担当者は2人ともISMS認証の取得や運用に携わるのは初めてです。また、出来れば切り良く年度内に取得したい希望があったため、サポートが充実したLRMを選びました。
「ISMSとはなにか?」の説明から文書作成、模擬審査、審査対応までフルサポート
– ISMS認証取得は、スムーズにいきましたか。
LRMのサポートがあったので、進捗が滞ることはなく、目標とする期限内には取得できました。しかし、とにかく必死で、スムーズに取得できた感覚はありません。本来の職務を果たしながらの作業であり、また予備知識がなかったので作業は頻繁に煮詰まりました。
また、審査に向けた準備は特に大変で、数多くの文書類をプリントアウトしてファイリングする作業などに時間を取られました。1次審査を終えて2次審査に進めるとわかった時や、取得出来たと連絡を受けた際にはとても安心しました。
– LRMのコンサルティングはどのように進みましたか。
はじめに金山さんから「ISMSとは何か?」の説明や規格の解説をしてもらい、おおまかなスケジュールを組み立ててもらいました。そして、そのスケジュールに沿って、作業を進めました。
最も重要なフェーズである情報資産の洗い出し、114項目の要求事項(※)のチェック、ルール構築は、10月から12月までの3か月間、月平均3回ぐらいのペースで、我々と金山さんとで打ち合わせを行いながら進めました。
打ち合わせで決まらないことは、次回までの宿題として社内で確認や検討を行いました。
そして、そこで決めたルールをもとに文書を作成しました。文書作成はLRMのサポートに入っており、金山さんがまずプロトタイプを作成し、それをベースに我々自身で修正を加えました。
宿題をこなしたり、文書の変更を行ったりする中で、作業が煮詰まると、そのたびにメールで金山さんに相談しました。例えば、情報資産やリスクの洗い出しは何を根拠に行えば良いのかわからないので、「これは情報資産に入れるべきか?」「これはリスクと考えるべきか?」と、全てリストアップして問い合わせました。また、文書を書き換える際も、どのような表記をするべきか逐一連絡して確認しました。
さらにその後も、社員教育の資料提供、内部監査員教育、模擬審査など審査に向けた準備、審査で受けた指摘事項への対応などのサポートを受け、2014年3月の認証取得に至りました。
※2013年10月1日、ISO27001の規格改訂が行われたため、今回は改訂後の新規格に基づいて構築。「114項目要求事項」も新規格に基づくもの。
ISMS導入による意識と行動の変化が東京本社にも波及
「LRMは最後までサポートしてくれたからこそ、滞りなく認証を取得することができました」
支店長 高橋秀幸氏
– 認証取得によって得られた成果についてお話し下さい。
1)統一ルールの構築、(2)事業拡大のための条件整備、いずれの目的も、目標とした期限内に認証が取れたことで達成することが出来ました。
認証が取得できたことで、事業拡大に向け積極的な営業活動を行うことが出来るようになりました。また、社内システムの管理に関しても、アクセス制限を設け、定期的にバックアップを取るようにするなど、よりセキュアな環境が構築できました。
今回構築したマネジメントシステムをベースに、今後はしっかりとPDCAを回し続けていきたいと考えています。そのための基盤が整備できたことが成果です。
– ISMSの運用開始後、社内に変化はありましたか。
社員の意識と行動が少しずつ変わって来ました。
例えばこれまでは、USBの持ち出し1つとっても明確にルール化できていませんでしたが、備品の管理簿を設けて、持ち出しの理由や期間をきちんと記録するようになりました。またクリアデスク・クリアスクリーン方針を明確に示したことで、これまで以上に書類の取り扱いも厳重になり、社内の整理も行き届くようになりました。その意識と行動の変化は出雲支店だけではなく東京本社にも広がっています。
不安からのスタート。LRMの親身な対応が安心につながった
– LRMのコンサルティングサービスを導入した成果はいかがでしたか。
ISMS認証を取得することが出来たのはLRMのサポートがあったからこそです。LRMのコンサルティングサービスの一番良いところは、認証取得が完了するまできちんと対応していただけることです。しかも各フェーズにおける対応が的確で柔軟性がありました。
全体の作業の中で、私たちが特に大変だと感じたのはルールの構築です。渡部は以前、ISMSを導入していた企業で働いていました。今回、ルール構築にあたっては、そこで運用されていたルールを参考にしました。しかし、管理者用のマニュアルは見たことがなかったため、手本になるものがありませんでしたが、LRMによるアドバイスや提示していただいた他社事例が非常に参考になりました。
また、1つ1つのルールについてなぜそれが必要なのか、根拠を明確に示していただいた上で、自社の規模や業務内容に応じたアドバイスをしていただいたことで、より弊社に合致したルールを構築することが出来ました。
さらに、内部監査員教育、模擬審査、審査対応といったサポートも心強かったです。
– コンサルティングを担当した金山についてはどのように評価されていますか。
金山さんの人柄のおかげで、常に安心感を持って作業を進めることが出来ました。今回、ISMS認証の新規取得は、大きな不安の中でスタートしました。本当に取得出来るのかという不安、コンサルタントはどんな方が来るのかといった不安です。
しかし、金山さんは非常に物腰が柔らかい方で、話しやすいコンサルタントでした。実際のコンサルティングの中では、常に親身になり、どんな質問にも丁寧に対応していただきました。また、金山さんはSE出身であり、システム開発会社の仕事を理解していたため、弊社の業務の把握がスムーズでツボを得たアドバイスをしていただきました。
時には我々自身が気づかないような指摘もしていだきました。
最初は不安だらけでしたが、金山さんとの打ち合わせを重ねる中で、安心して作業に取り組めるようになりました。担当者が金山さんで良かったと思っています。
「2次審査の指摘事項への対応までサポートしてくれるので心強いです」
右から;高橋氏、渡部氏(※左は弊社金山)
今後のビジョン
– 今後のビジョンとLRMへのご期待をお話し下さい。
認証取得を通して構築した情報セキュリティマネジメントシステムをどう生かすかが今後の課題です。ISMSは、きちんと運用すれば業務の質の向上に繋げることが出来ます。今後、PDCAを回し、より効率よく情報を守ることが出来るマネジメントシステムに発展させて日常業務に活かしていきたいと考えています。
また今回は適用範囲が出雲支店のみでしたが、いずれ東京にも適用範囲を広げていく考えです。認証範囲の拡大時には、またLRMにコンサルティングを依頼したいと考えています。
株式会社 アイティープロデュース様、お忙しい中、有り難うございました。
株式会社 アイティープロデュース様のWebサイト
※ 取材日時 2014年4月
- 受託開発
- 保険・金融
- 入札への参加
- 認証知識を基礎から学ぶ
- 50名未満
- 東京
- 複数拠点