株式会社システムゼウス様 – 顧客事例 –

ISMS認証取得の1つの目的は、“仕組み作りの練習”です。その目的に沿ってLRMを選びました。手厚いサポートの後、自立を促されたことで、現場とのギャップが小さいマネジメントシステムが構築出来ました

アプリケーションの受託開発をメイン事業とする株式会社システムゼウスは、2016年11月、ISMS/ISO27001認証の新規取得に向け、LRMのコンサルティングをご依頼されました。認証取得の目的や成果、LRMのコンサルティング対するご評価を取締役COO・飛田直人氏に伺いました。

(株式会社システムゼウスについて)

アプリケーションの受託開発を主事業とする。特にサーバーサイドのミッション・クリティカルなシステム開発を得意としており、大手企業を顧客とする開発プロジェクトにおいて、基本設計、詳細設計、製造(コーディング)、試験に至る全工程を一貫して手掛けている。主な開発実績に、電子マネーシステムや金融システム、ICチップ搭載スマートフォン活用システム、デバイス統合管理サービス(IoT)などがある。全社員の90%以上がエンジニアの技術者集団で、顧客からは技術力と柔軟な対応力が高く評価されている。
設立;1998年。従業員数;約50名(2017年9月現在)。本社;東京都台東区。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社はLRMに、ISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。

LRMのコンサルティングがスタートしたのは、2016年11月下旬です。以降、LRM担当者・吉村さんのサポートを受けながら認証取得に向けた準備を進め、2017年8月に認証取得ができました。

ISMS/ISO27001認証を取得した3つの理由

競合他社が勧めていたこともLRMを選んだ理由の1つです

競合他社が勧めていたこともLRMを選んだ理由の1つです
(取締役COO・飛田直人氏)

— ISMS認証を取得した理由・目的をお話し下さい。

弊社がISMS認証を取得した理由・目的は以下の3点です。

(1)顧客ニーズに応える
情報漏えいのリスクが年々高まる中、弊社のお客様の間でも警戒心が強まっています。

例えば、プロジェクトによっては定期的に顧客からのセキュリティチェックが行われますが、その際のチェック項目は以前にも増して細かくなっています。お客様自体がISMS認証を取得している場合は特に、お客様と同等以上の取り組みを求められ、従業員に対する情報セキュリティ教育がきちんとしている開発会社に仕事を依頼したいという意思を強く感じるようになりました。
また、エンドユーザーが金融機関の場合は、ISMS認証取得が受託の条件に挙げられていることもあります。

以上のことからISMSに準拠したマネジメントシステムを構築・運用することがお客様のご安心につながると考えました。

(2)社内のセキュリティ体制の確立
ISMS認証取得の意思決定をした当時、弊社は社内システムを刷新し、クラウドサービスを積極的に活用し始めていました。最近導入したものには、Dropbox(文書共有)、Office365(カレンダー共有とメール)、Slack(社内チャット)、MaLion(PC管理)、Cylance(マルウェア対策)があります。前半の3つが利便性を追求するツールで、後半の2つが守るツールです。クラウドサービスを活用すると利便性は向上しますが、利便性とのトレードオフでセキュリティが低下するリスクが発生します。利便性を追求する一方で、ISMSの運用による情報セキュリティ体制の確立を目指しました。

(3)仕組み作りと運用の練習
弊社は設立から約20年が経過しました。この間、案件や組織の規模が拡大し、業務や管理の仕組化が課題となっていました。ISMSは、情報セキュリティに特化してはいますが、仕組みそのものです。ISMS認証取得を機会に、仕組みを作り、継続的に運用することに本格的に取り組もうと考えました。

— これまで、情報セキュリティの取り組みはどうされていましたか。

プロジェクトごとに、エンドユーザー企業が定めるセキュリティルールに従って業務を行っています。このような状況なので、システムゼウスとして共通のルールがなくても、現場が困ることはありませんでした。ただ経営の立場としてはリスクをコントロールできていないという悩みがありました。ISMS認証取得が、その悩みを解決するものでした。

競合会社も勧めるLRMにコンサルティングを依頼

— コンサルティング会社選定の経緯をお話し下さい。

ISMS審査会社から教えてもらったリストから3社をピックアップし、対面で話を聞きました。その上で、価格とサービス内容を鑑みて、LRMに依頼しました。

ただ、特に明確な基準があったわけではありません。経験がないため「よくわからない」というのが正直な気持ちでした。各社の営業担当者の提案内容と見積書を見て総合的に判断しました。

— 提案内容には違いがありましたか。

印象は違いました。LRMは、「ISMS認証取得会社に合わせる」という内容でした。他社は押し付けて来るようなイメージがありました。直接な言葉ではありませんが、「型にはめた方がお互いに楽でしょう」というニュアンスを感じました。「仕組み作りと運用の練習」という目的を考えるとLRMの方が弊社には合っていると感じました。

また、話を聞いたコンサルティング会社のうちの1社が、自社の他に推薦できるコンサルティング会社としてLRMを挙げていました。「競合が勧めるなら良いのだろう」と思い、LRMに依頼することを決めました。

ISMS/ISO27001認証取得までの経緯

— ISMS認証の取得期限は、決めていましたか。

厳密な期限は設定していませんでしたが、弊社の期首が10月なので、大まかに2017年9月末までに取得を完了したいと考えていました。

— どのような社内体制で臨まれましたか。

ISMS事務局が中心となって進めました。ISMS事務局は、私を含めた5名態勢です。LRMとのミーティング以外に、毎週、事務局のミーティングを行い、タスク管理をしながら準備を進めました。

— ISMSのマネジメントシステムはどのような流れで構築しましたか。

LRMが作成したマニュアルのひな形をベースに構築しました。吉村さんから、弊社の業務の進め方や管理の実態をヒアリングしてもらい、アドバイスを受けながら弊社の業務に合わせてマニュアルをカスタマイズしていきました。

— ISMS認証取得を機に適用した新しいルールにはどのようなものがありますか。

内部監査や従業員教育を定期的に実施することを含めて、ISMSの要求を満たすルールを一通り決めました。現場の業務に関係するルールでは、社員一人ひとりに配っているPCのソフトウェアや設定の統一、ハードディスクの暗号化があります。

— ISMS認証取得に向けた準備の中でご苦労されたことはありましたか。

いくつかの山場はありましたが、最大の山場は、マネジメントシステムを自分たちのものとして消化していく過程でした。

LRMと打ち合わせをし、その打ち合わせで決まった内容をもとにLRMが文書作成をして、4月中旬までに文書類が一旦全て揃いました。このフェーズでは、LRMにリードされ受け身の状態で進行しました。しかしその後、第1段階審査に向けた準備を進める中で改めて文書類を読み返してみると、「このルールはどういう意味だったか」「この項目とこの項目に矛盾が起きているのではないか」など、それまでは感じなかった様々な疑問が生じました。そのような箇所を1つずつ見直して、実際の運用に即した形に是正し、違和感なく運用できるマネジメントシステムに再構築しました。

— マネジメントシステムの見直しにはどれぐらいの時間をかけましたか。

従業員教育が終わった後、第1段階審査の1か月前からスタートし、第2段階審査の直前ぐらいまでかかりました。
その間、内部監査や第1段階審査などのタイミングでも問題点が見つかったので、その都度是正しました。並行して計画通りに消化できていないタスクを一気に消化したこともあり、第2段階審査までの3か月間はハードな期間になりました。

–従業員教育はどのように行いましたか。

従業員教育は、集合研修を2017年3月に2回に分けて実施しました。

講師はLRMに依頼しました。研修の内容は、ISMSの基本的な知識と情報漏えい事故の実例です。社員の危機意識を喚起してマインドセットを変えるきっかけとなるメニューでした。

— その後は内部監査ですか。

そうです。ただ、マネジメントシステムの見直しや、溜まっていたタスクの消化を優先したため、内部監査の実施は従業員教育から約1か月後になりました。内部監査は、LRMに内部監査員を代行してもらって実施しました。

— 審査結果はいかがでしたか。

最終の第2段階審査では、不適合や重大な指摘はなく、8月の認証取得へと至りました。

“手厚さ”と“突き放し型”を組み合わせたコンサルティングスタイル

— LRMのコンサルティングはいかがでしたか。

目的を達成することが出来たので、私は、LRMに依頼して良かったと思っています。

(1)顧客ニーズを満たす(2)社内の情報セキュリティ体制の確立、という2つの目的は、ISMSのマネジメントシステムを構築し、認証が取得できたことで達成できました。

(3)仕組み作りと運用の練習 に関しても、ISMS認証取得準備の終盤になり、マネジメントシステムを自分たちで時間をかけて見直したことが、自立して考えながら仕組み作りを進める機会となりました。

— 終盤のマネジメントシステムを見直す過程ではLRMはどのように関与されたのでしょうか。

終盤のマネジメントシステムを見直す過程では、LRMのサポートは、前半の初期構築の段階と変わって、積極的に介入しない“突き放し型”でした。一歩引いた姿勢で観察し、こちらから質問があれば答えるというスタンスです。このスタイルが「仕組み作りのノウハウ獲得」という目的には合致しました。

もし、前半のような手厚いサポートが最後まで続いていたら、我々は消極的なままで審査を迎えていたはずです。
しかしそれでは、認証が取得できたとしてもマニュアルと現場に齟齬が生じたままで運用しなければならなくなります。実際に第1段階審査の中では、そうした指摘も受けました。最たる例が関連法令チェックです。LRMから最新版の関連法令台帳を提供されていたものの、それを社内では誰もチェックしておらず、審査員から「マニュアルに「法令チェック」と書いてあるのに把握できていない」と厳しい指摘を受けました。確かに台帳を用意していても、読んでいなければ意味がありません。この指摘でルールが形骸化していることを痛感しましたが、今後の仕組み作りに生かす経験は出来ました。

ISMSの本質はコントロールできない領域を作らないことだと改めて認識しました

ISMSの本質はコントロールできない領域を作らないことだと改めて認識しました
(右;飛田氏 ※左は弊社吉村)

ISMS/ISO27001の本質は“丸投げ”の禁止

— 今回、ISMS認証を取得する過程で、ISMSそのものに対する認識の変化などはありましたか。

私が改めて感じことは、「コントロールできない部分を作らないことがISMSの取り組みの本質である」ということです。どのようなマネジメントシステムを構築してもリスクはなくなりません。リスクをなくそうとするのではなく、リスクを認識しそれを許容してコントロールすることが大切だと感じました。
もう少し掘り下げて解釈すると「丸投げの禁止」という意味です。「丸投げ」とは、例えばドキュメント作成ソフトウェアの選定を社員の自由に任せることです。その意思決定を丸投げしてしまうと、経営層は社員が何を採用したのか、なぜ採用したのかを把握できません。しかし、そこにルールを設けて、定期的にチェックすれば状況をコントロールできます。状況を把握できない領域、コントロールできない領域を作らないことがISMSだと理解しました。

運用保守サポート『情報セキュリティ倶楽部』を契約

— LRMへのご期待があればお話し下さい。

ISMS認証取得後、LRMの運用保守サポート『情報セキュリティ倶楽部』を契約しました。理由はISMS認証を維持するための負担を軽減するためです。例えば審査で指摘を受けた関連法令のチェックも、我々自身が追いかけ続けることはかなり大変な作業です。しかしLRMと運用保守を契約しておけば情報提供していただけます。社内でやるとすれば、LRMに支払うコストでは済みません。それだけでも負担が軽減できると考えて運用保守サポートを契約しました。

株式会社システムゼウス様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。

株式会社システムゼウス様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ 株式会社システムゼウス様の Webサイト
※ 取材日時 2017年9月

  • 受託開発
  • 50~199名
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら