神戸大学 数理・データサイエンスセンター様 – 顧客事例 –

大学では前例のない共同研究を目的としたISMS認証取得。コロナ禍によりルール変更も余儀なくされましたが、LRMのサポートで期限通りに取得することが出来ました

神戸大学 数理・データサイエンスセンター 神戸データサイエンス操練所は、2020年2月、LRMにISMS/ISO27001認証の新規取得コンサルティングをご依頼下さいました。大学の機関が企業との共同研究を目的にISMS/ISO27001認証を取得した珍しい事例です。認証取得に取り組んだISMS事務局の小澤誠一氏、井上広明氏、平田燕奈氏、そしてセンター長・齋藤政彦氏の4名様に、ISMS認証取得に至った背景や経緯、今後の展望などについてお話を伺いました。

(神戸大学 数理・データサイエンスセンターについて)

第4次産業革命が進行する中、データ駆動型社会を牽引するイノベーション創出型人材を輩出すること、企業や自治体との連携を活かした先進的な研究とその成果を社会実装することによる、国内外のデータイノベーションの推進を目的に設立。政府のAI戦略に則った形で学生に数理・データサイエンスのリテラシー教育を実施している。学内の教職員・学生が分野を超え、全学的な数理・データサイエンスの教育と研究を推進するためのプラットフォームを構築するとともに、学外の様々な組織と連携するオープンイノベーションを目指して活動している。
設立;2017年12月。所在地;神戸市灘区。


(神戸データサイエンス操練所について)

企業との共同研究により実践的なデータ解析を通して、本物の実力を身につけた即戦力データサイエンティストを育成する。デジタルトランスフォーメーションの急速な進展に伴い、あらゆる情報がデジタル化され、蓄積・利活用が進むことで、行政、ビジネス、教育などの仕組みにも大きな変革がもたらされつつある。このような社会構造の変革を好機ととらえ、企業や公共機関が持つ社会課題のうち、これまでデータ提供が難しかった個人情報や営業秘密を含むデータ解析課題を共同研究として積極的に受け入れ、「尖ったデータサイエンティスト」の育成に注力する。「操練所」の名は、勝海舟が幕府に建言して設置された海軍士官養成機関「神戸海軍操練所」に因む。
設立;2019年9月。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

社内で開発業務を行っていること、IT系の会社のサポート実績が豊富だったことがLRMにサポートを依頼した決め手でした

社内で開発業務を行っていること、IT系の会社のサポート実績が豊富だったことがLRMにサポートを依頼した決め手でした
(副センター長・小澤誠一氏)

— LRMへのご依頼内容をお話し下さい。

小澤氏(以下、特に記述がなければ小澤氏)
神戸大学 数理・データサイエンスセンターは2020年2月、LRMに、神戸データサイエンス操練所を適用範囲とするISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。取り組み時期が新型コロナウィルス感染症の拡大時期と重なりましたが、LRMの担当者・金子さんとリモートで打ち合わせをしながらルールの構築やドキュメント作成を行い、8月下旬、ISMS認証を取得しました。目安として9月ぐらいには取りたいと思っていましたので、計画通りです。

— ISMS認証取得時のISMS事務局体制をお話し下さい。

私が情報セキュリティ管理者を務め、ネットワークやサーバの管理に携わる田原先生、共同研究のプロジェクト管理に携わる平田先生、井上先生がISMS事務局メンバーを務めました。副学長であり、センター長の齋藤先生は経営者の立場です。

— 今回お打ち合わせは対面でされたのですか。

実際のコンサルティングはオンラインで実施して、内部監査ではご来校いただき、内部監査員を代行していただきました。

実課題に近いデータで即戦力人材を育成するためにISMSを取得

— ISMS認証を取得した理由をお話し下さい。

企業との共同研究に必要な情報セキュリティマネジメントシステムを構築するためにISMS認証を取得しました。
神戸データサイエンス操練所の目的は、企業との共同研究を通して即戦力となる人材育成を行うことです。即戦力人材を育成するには、実課題に近いデータをご提供いただかなければなりません。しかし実課題に近いデータをご提供いただくには、お預かりするデータを守るための仕組みを導入し、企業からの信用を得る必要があります。ISMS認証はそのために最適な認証であると考えました。

— 大学が企業との共同研究を推進するという目的でISMSを取られることはよくあることなのですか。

我々が調べたところでは初めてです。情報処理センターや個人情報を扱う研究チームが取得するケースはあるようですが、企業との共同研究を目的として取得する前例はなかったと認識しています。

これまでも企業側には大学と連携するニーズはありましたし、実際ISMS認証取得の有無とは関係なく、共同研究は行われていました。ただ即戦力となりうる人材の育成をしていくには、より踏み込んだデータをご提供いただける関係作りが必要だと感じていました。そんな中、AIブームの影響もあり、今まではご提供いただけなかったようなデータをお預かりするケースが増えてきて、逆に怖いと思う状況も生まれています。そういった背景のもと、データをご提供いただく企業とデータをお預かりする大学の双方が安心して共同研究を進められる環境を作るために、ISMS認証を取得しました。

神戸データサイエンス操練所はまだまだ小さい組織ですが、今回ISMS認証を取得したことで、将来的には神戸大学のユニークな組織になれば良いと思っています。

— 一般的に、研究者の方々の情報セキュリティに対する意識レベルはいかがでしょうか。

研究者の方々も、データの機密性や漏えいさせない仕組みについて、頭ではわかっていますが、実際に実行しているかとは別問題です。例えば、大学には学生が共同研究に関与する際に守秘義務の誓約書を取る仕組みがありますが、形式的になっている可能性も否定出来ません。数理・データサイエンスセンターで受託する共同研究に関して、きちんとしたルールで運営しているという意識を持ってもらうためにも、ISMSのような仕組みは有効だと考えます。

社内でシステム開発業務を行っていることがLRMに依頼した決め手

オンラインによる打ち合わせも、密に相談に乗っていただけたため、特に困るようなことはありませんでした

オンラインによる打ち合わせも、密に相談に乗っていただけたため、特に困るようなことはありませんでした
(特命助教・井上広明氏)

— ISMS認証取得に向け、最初に取り組まれたことは何ですか。

コンサルティング会社の選定です。LRMはインターネット検索で見つけました。
本社が神戸の会社だったので身近に感じました。

— コンサルティング会社のサポートに期待したことはどんなことですか。

ひな形の提供です。ISMSの114項目の管理策を全て満たし、イチからルールを作ることは難しいと思いました。最低限これがあれば基準を満たせるというひな形が欲しかったので、コンサルティング会社に依頼しました。時間をかけて自分たちで作って、そこから洗練させていけばいずれはそうなっていくのかも知れませんが、そこまで工数をかけて取り組む時間はありません。

— 何社か比較はされていませんか。

4社か5社は比較しました。LRMの他に、ISMSのコンサルティング会社を比較するようなWebサイトで何社かピックアップして、それぞれ見積もりを依頼しました。

— LRMに依頼された決め手をお話し下さい。

LRM自体がシステム開発もされていることが1つの理由です。私達は基本的に計算機を使った業務を行っていますので、ネットワークセキュリティに関してもきちんと話ができるコンサルティング会社なら、スムーズに進めることが出来るのではないかと考えました。

組織の拡大に合わせながらISMSの運用を維持する大変さを実感

ISMS認証取得は終わりましたが、LRMとの関係性はまだ続きます。引き続きよろしくお願いいたします

ISMS認証取得は終わりましたが、LRMとの関係性はまだ続きます。引き続きよろしくお願いいたします
(特命講師・平田燕奈氏)

— 共同研究に携わっておられる方の人数は何名ぐらいですか。

ISMS認証を取得した時点では、共同研究プロジェクトは2つしか立ち上がっておらず、管理者と従事者合わせて10名弱の規模でした。ただ、新たに企業との共同研究が成立してプロジェクトが立ち上がると、プロジェクト管理者と従事者が追加されますので、プロジェクトが増えれば増えるほど組織は拡大します。ISMS事務局の人数もプロジェクトの稼働状況に応じて増やしています。

— 大学の共同研究におけるISMS認証は、前例のない取り組みであるとおっしゃっていましたが、それだけにご不安もおありではありませんでしたか。

運用面の不安はありました。実際、その難しさは今も感じています。共同研究が増えて組織は大きくなるほどリスクも増えて行きます。そこで運用を維持していこうとすれば、
プロジェクト管理者を増やさなければなりません。そうすると以前からいるプロジェクト管理者が、新しいプロジェクト管理者をサポートしながら運用していく必要があります。そこは難しいところだなと感じています。

— 共同研究のプロジェクト期間は、長期にわたることが多いのでしょうか。

プロジェクトによって様々ですが、比較的短いプロジェクトが多く、2ヶ月から3ヶ月ぐらいです。

— リスクアセスメントは、共同研究プロジェクトごとに行うのですか。

そうです。しかし情報資産そのものは企業からお預かりするデータであって、プロジェクトによって変わる要素ではありません。変わる部分はプロジェクト従事者の属性です。それもある程度類型化することが出来ます。
現状では、2種類のひな形を作って、それらをプロジェクトごとに流用するようにしています。

— 教育の仕組みをお話し下さい。

学生に対しては神戸データサイエンス操練所に入った時点で、IPA(独立行政法人 情報処理推進機構)が公開している情報漏洩防止に関するビデオを2本ほど選んで見てもらっています。今後もこれをデフォルトにしようと思っています。またプロジェクト管理者、従事者全員に対して、セキュリティハンドブックなど、いくつか守ってもらいたいものをガイドラインとして定義し、それに基づいた説明をするようにしています。今後はそれらと併せてLRMのセキュリティ教育クラウド『セキュリオ』も活用していこうと考えています。

新型コロナウィルス感染症拡大の影響を受け、テレワークのルールを追加

— 2月から始まって、一通り文書が出来上がったのはいつごろですか。

第1段階審査のギリギリまでかかりました。当初はデータ解析室を適用範囲としたルールしか作っていませんでしたが、内部監査の結果を受けて、テレワークのルールを追加したという経緯もありました。審査直前が一番大変でした。

本来、神戸データサイエンス操練所の共同研究は、複数の校舎に分散しているデータ解析室で、クローズドセグメントという閉じたネットワークにデータを置いて行っていました。しかし新型コロナウィルス感染症拡大に伴う緊急事態宣言下でテレワークに移行し、学生も学内には一切入れなくなりましたので、別のネットワークにデータを置いてVPNで接続するようにしました。それに伴い、テレワーク下で研究を行うルールを追加し、適用範囲にもテレワーク環境を追加しました。

— テレワーク関連のルール以外に、どのようなルールを作りましたか。

ISMSを導入するためにやらなければいけないことは沢山あります。例えば、アンチウィルスソフトの一括導入、インストールしてはいけないソフトウェアの定義、ソフトウェアの管理ルールなどを作成しました。また、共同研究に学生を関与させる場合、私物PCの使用を禁止して、数理・データサイエンスセンターが所有するPCを使用してもらうこととしていますが、それに伴って学生が使用するPCの設定ルールや管理方法も決めました。また、機密性を確保するためにデータ解析室にパーテーションや監視カメラを入れたり、ドアを交換したり、入退室管理ができるスマートロックを導入したりしました。

— そういったルールを適用されたことで、研究業務の負担にはなりませんか。

今まで明文化されていなかったルールを明文化したり、必要性は感じていたけれども実行できていなかったことをルール化したりすると、どうしても面倒な手順は増えます。また、守って欲しいと言っても全員が一律に守れるようになるわけではありません。そこで皆さんに極力負担がかからないよう、ひな形を準備するなどの仕組み作りを意識しています。

— ひな形というのは、例えばどのようなものですか。

共同研究が始まる際に、この操練所で共同研究に取り組んでいただく上での守秘義務やテレワークの誓約書を取ったり、緊急連絡先を提出してもらったりします。こういった書式のひな形をパッケージ化してまとめて書いてもらっています。また、PCの設定に関しても使用を禁止しているソフトウェアがインストールされていないか、アンチウィルスソフトはインストールしてあるかといったチェックリストを作りました。これだけ埋めていただければ守れる、そういう仕組みを整えて行きたいと考えています。

LRMが進捗管理をしてくれたことでスケジュールを気にせず進行できた

企業との共同研究に限らず、大学全体にとってデジタルトランスフォーメーションは非常に重要なテーマです

企業との共同研究に限らず、
大学全体にとってデジタルトランスフォーメーションは非常に重要なテーマです
(センター長・齋藤政彦氏)
※手に持っているぬいぐるみは神戸大学のマスコットキャラクター「神大うりぼう」

— ISMS認証取得の準備を進める中で、LRMからはどのようなサポートがありましたか。

情報資産管理台帳やリスク管理表、ISMSマニュアルなど、ドキュメント類のひな形を頂き、作業を進める上での相談やルール決めのアドバイスは、丁寧にして頂きました。

また、進捗管理もしっかりしていただきました。打ち合わせでは毎回、その日のタスクを示していただきましたので、こちらでスケジュールや進捗を意識しなくても、LRMのリードに沿って作業をしていけば、着実に進行している実感を持つことは出来ました。
コロナ禍があって急遽ルールを追加しなければいけないということはありましたが、それ以外は概ねスムーズに進行することが出来ました。

— 『セキュリオ』を使われたご感想をお話し下さい。

今回はどちらかというと事務局向けの教育だけでしたので、今後は規模の拡大に合わせて、配信されるコンテンツを見ながら活用方法を考えて行きたいと考えています。

— 『セキュリオ』を活用するメリットはどのように感じられますか。

教育用コンテンツを作成する手間が省けるところ、受講記録が残せるところや、受講者に教材を配信したり実施状況を管理したり出来るところは便利だと思います。まだどんなコンテンツがあるのか、内容は見ていませんが、必要十分な教育コンテンツが提供されているという期待はあります。こういったツールを使いながら事務局の労力をできるだけ軽減したいと思っています。

— 内部監査員の代行はいかがでしたか。

我々は素人ですので、どこをチェックしていいか、どこまでやればISMSをきちんと守れるようになるのかがよくわからない状態でやっていました。そのため、いろいろとアドバイスしていただけるのは助かります。

— 実際に審査を受けられた結果はいかがでしたか。

第2段階審査ではよく出来ていると褒められました。第1段階審査では重い指摘をいくつか受けて、大丈夫かなと思いましたが、その後、頑張って修正しました。もちろん改善の機会は数点ありました。「大学だから、ちょっと性善説に偏っている」といったコメントもいただきましたが、ドラスティックに変え過ぎると、受け入れられにくいので、今後も漏洩リスクは出来るだけ低減しつつ、きちんと守れるような仕組み作りをしていきたいと考えています。

ISMS認証を受けた時点ではプロジェクトの件数は2件だけでしたが、その後増えていき、今後もまだまだ増えていく可能性があります。限られた人数できちんと回していこうと思えば、ルールをリファインして、ポイントを押さえた教育をしていかなければなりません。最初はいろいろ失敗もあるかもしれませんが、運用の中で改善を続けていこうと考えています。

大学のDX化でも情報セキュリティは大きな課題。LRMのサポートに期待

— LRMのコンサルティングはご期待通りでしたか。

期待通りです。まず、金子さんには本当にお世話になりました。オンラインでの打ち合わせも、密に相談に乗っていただけましたので、やりづらさはありませんでした。また、コンサルティング会社に依頼した最大の理由であるひな形に関しても、取り組みの最中は、必要十分な構成になっているのかどうかを判断することは出来ませんでしたが、振り返ってみると要所が押さえられていたと思います。他社を知らないので明言はできませんが、IT系の業務には慣れているように感じました。

今後についても、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約いたしましたので、継続審査に向け、
どのようなタイミングで、何をすれば良いのか、いろいろとご助言いただきたいと思います。

他の先生方からも、一言ずつお話し下さい。

井上先生
本来、ISMS認証が取れた段階で、我々自身の中で改善し続けられる仕組みができているのが当然だとは思いますが、
まだまだ至らない点もあるかと思いますので、引き続きサポートしていただけたらと思っています。どうぞよろしくお願いします。

平田先生
皆さんにお話しいただいた通りです。審査が終わりましたが、LRMとのお付き合いはこれからも続きます。今後ともよろしくお願いいたします。

齋藤先生
今回、ISMS事務局の先生方の努力とLRMの適切なサポートによって、ISMS認証が迅速に取れましたことを非常に喜んでいます。国全体でデジタル化が進み、大学でもデジタル化を推進する上で、データを適切に扱う必要性は共同研究に限らず高まってくるはずです。今回の神戸データサイエンス操練所におけるISMS認証取得は、小澤先生の発案でしたが、大学としても非常に大切な取り組みだったと思っています。大学そのものが個人情報を含めた機密情報の塊です。大学の副学長として、大学全体のデジタルトランスフォーメーションは、非常に重要なテーマであると感じています。数理・データサイエンスセンターがまず先陣を切る形になりましたが、今後は全学的なテーマになってくることが予測されますので、LRMとのお付き合いも広がっていく可能性は大きいと感じています。今後ともよろしくお願いいたします。

神戸大学 数理・データサイエンスセンター様、お忙しい中ありがとうございました。

神戸大学 数理・データサイエンスセンター様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 神戸大学 数理・データサイエンスセンター 神戸データサイエンス操練所様のWEBサイト
※ 取材日時 2020年10月

  • 情報処理サービス
  • 大学・教育機関
  • 50名未満
  • 兵庫
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら