株式会社ビジネス・アーキテクツ様 – 顧客事例 –

シンプルな運用を実現するためのアドバイスをしていただきました
（ソリューションUNIT システムエンジニア・信本浩二氏）

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由は、事業成長に伴う環境整備です。弊社は直近の3年間で業績が飛躍的に伸び、従業員数も約30名から50名へとほぼ倍増しています。弊社の業務ではお客様から様々な機密情報をお預かりしますので、事業規模の拡大に伴い、今後はこれまで以上に適切な情報管理が求められるようになると考えました。ISMS認証取得は、お客様に安心してお取り引きしていただくための、わかりやすい指標になると判断しました。また、社内的にも、様々な背景を持った従業員の意識や行動を揃えるには、ルールを明確に定めて、業務環境を整備する必要があると考えました。

— ISMS認証取得にあたってご不安やご心配はございませんでしたか。

イメージとして、認証を維持するための形式的な手続が増えてしまうのではないかという心配はありました。そのため、実効性のあるマネジメントシステムの構築を目指しました。実効性があれば社内に周知する際にも説明がしやすくなります。LRMにコンサルティングを依頼した際も、できるだけシンプルで運用しやすいルールにしたいという話はしました。

— LRMにコンサルティングを依頼された経緯をお話し下さい。

LRMにコンサルティングを依頼したきっかけは、取引先からの紹介でした。長年に渡って信頼関係を構築してきた取引先でしたし、LRMの営業の方と話をした際に、最後まで一緒に取り組んでいただける感覚を持つことが出来たので、安心して依頼しました。

— 御社内の取り組み体制をお話し下さい。

弊社内では、ソリューションUNITの情報システムチームが中心となり、ISMS新規取得に取り組みました。マネージャーの長澤が情報管理責任者を務め、システムエンジニアの信本、田村、信谷の3名が、ISMS事務局を務めています。LRMとの打ち合わせには、この4名が常時参加していました。

— ソリューションUNITの本来の役割をお話し下さい。

ソリューションUNIT・情報システムチームは、一般的な企業で言う情報システム部門です。普段は、社内の、コミュニケーションツール、基幹システムの運用・保守・導入、というようないわゆるシステム管理者としての業務や、全社横断の業務改善的な役割を担っています。

ルールが明確になったことで迷わなくなり、業務が効率化しました
（ソリューションUNIT システムエンジニア・田村健三氏）

— ISMS認証取得にあたっての期限は設定されていましたか。

当初、2020年3月ぐらいには取得したいと考えていましたが、紆余曲折があり、結果として2020年9月の取得となりました。

弊社は2019年に創業20周年を迎えました。これを機に第二創業期として、子会社を設立し新しい事業を立ち上げるなど様々なチャレンジをしているところです。そのため社内の変化も激しく、ISMS認証取得においても何度か方針の変更があり、取り組み期間が延びる要因となりました。

そのような中でLRMのお2人には最後まで一緒に取り組んでいただき感謝しています。

— 取り組みの成果について伺います。当初目指した「シンプルで運用しやすいルール」は確立出来ましたか。

運用していくためのベースは構築出来たという認識です。現状、現場に大きな負担がかからないルールになっていますし、今後も状況の変化に合わせて変更する必要があれば変えて行くことが出来る、実効性のあるマネジメントシステムを維持していくための下地は出来上がったと考えています。

ISMS認証を取得した効果として、我々が最も大きいと感じていることは、これまで明確にルールが定まっていなかったからこそ生じていた不便さが解消されたことです。

— “ルールが決まっていなくて生じていた不便さ”の具体例をお話し下さい。

具体例を3つ挙げます。

（1）メールでのファイル送信手段
メールにファイルをそのまま添付することはが良くないだろうということは、誰もが漠然と認識していることです。
しかし最善策は何かというと明確な答はなく、各自の判断に委ねられていました。ZIP形式にしてパスワードを付けるという方法もありますし、ファイル転送サービスを利用する方法もありますが、そういったバラバラな状況を整理し、統一ルールを定めました。現状では専用のツールを導入し、メールの受信者にダウンロードしてもらう形にしています。

（2）一般社員からのリクエスト伝達手段
情報システム部門では普段、一般社員から、アカウントの設定や権限の変更など、様々なリクエストを受け付けています。その伝達はこれまで、少数体制だった頃の名残で、口頭で行われていました。しかし最近は従業員数が増えてきて、誰に頼めば良いのかわからないということが発生していました。そこでISMSの構築を機に、窓口を設けて、そこに情報が集まるようにしました。

（3）データの取り扱い方法
業務上発生する中間成果物などのデータの取り扱い方法は、これまでプロジェクトごとに独自ルールが存在していました。今回のISMS構築では、これを統一しました。

このように統一ルールが定まることで、迷いがなくなり、認識が揃うことで、仕事を進めやすくなりました。

『セキュリオ』を活用し、認証範囲外のグループ会社の社員にも情報セキュリティ教育を実施していきます
（ソリューションUNIT システムエンジニア・信谷好美氏）

— ISMS認証取得の取り組みでご苦労されたことはございますか。

取り組み全体で苦労した点は社内に向けたルールの周知です。全社的に足並みを揃えるために工夫を凝らしました。

ISMSを構築する中で、一般社員の業務に影響するルールを決めると、それを実行するため全社員に周知していく必要があります。ただ、1つ1つのルールが決まる度に五月雨式で周知してしまうと、情報が埋もれてしまって認識されにくくなる恐れがあります。そこで全体像を把握しやすくするために、タスク管理ツールの中に全員が閲覧出来る領域を作り、その中で、いつから何がどう変わるのか、俯瞰的に捉えられる仕組みを整えました。

また周知活動はリアルな場でも行いました。弊社では、毎月1回、全社員が集まって業績の共有などを行う場を設けています。その場でISMS認証取得に向けた取り組みが、どのように進んでいるかを逐一報告するようにしました。

このように複数の手段を組み合わせたことで、会社としてISMSに取り組んでいることを理解するとともに、決まったルールは守っていかなければならないという認識を持つようにはなってきました。

もう一つ、ツールの選定でも苦労しました。今回のISMS認証取得では、先ほど話したファイルのダウンロード用サービス『PrimeDrive』や、社外とのファイル共同編集サービス『Box』を新しく導入しました。これらを選定するにあたっては基本機能のスペックだけではなく、付加機能も比較して我々が求める要件に合致するサービスを探していきました。必要な要件を洗い出して、機能を比較し、絞り込んでいく作業は骨が折れました。

— そういったご苦労をして体制整備を進める中、LRMはどのようなサポートをしてくれましたか。

まず、いつまでに何をしなければいけないかなど、スケジューリングと進捗管理をして下さいました。

その上で洗い出したリスクに対してどのような取り組みをすべきか、シンプルな運用を実現するためにどのようなツールを入れたら良いかなど、相談に乗っていただきました。また、我々が決めたことに対して、それを実施するにあたってはどのような点に気をつけるべきかといったアドバイスも頂きました。最終的にどのようなルールを適用するのか、どういった対策を取るかを決めるのは我々自身ですが、ISMSの要求事項を満たしているかどうかの判断は我々には出来ません。色々な方法がある中で迷った時も、LRMのお墨付きを頂くことで最終的な決定を下すことが出来ました。

今後は認証範囲をグループ全体に拡大していきたいと考えています
（ソリューションUNIT マネージャー・長澤隆氏）

— 従業員教育や内部監査のサポートも受けられたのでしょうか。

はい。従業員教育では、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用しました。内部監査の際は内部監査員を代行していただきました。

— それぞれのサービスを活用するメリットはどのようなところに感じられましたか。

まず従業員教育に関しては、教材とテストを用意するだけでも大変です。その上、従業員全員に受講を促したり、実施状況を把握したりといった管理も必要になります。そういった煩雑な作業が、システムを使うことで簡単に出来る上、全従業員にISMSの基本や情報セキュリティの重要性について要点を押さえて学習してもらえるというところは非常に便利だと思います。このようなシステムがあれば、対象人数も拡大しやすくなります。『セキュリオ』は引き続き契約する意向ですが、今後は、今回ISMS認証範囲外としたグループ会社の全従業員にも受講してもらう計画です。

— 内部監査員代行に関してはいかがですか。

初めてのことですし、何をどうして良いかわかりませんでしたので、サポートしていただいて助かりました。
また外部の方にチェックしていただくことで、評価が甘くならないという効果もありますし、内部にいると当たり前過ぎて見過ごしてしまうような問題もしっかり指摘していただき、改善することが出来ました。