2017年02月09日

<ISO27017取得企業の本音>インタビューを通してわかったこと

lrmcorp
LRM株式会社 記事一覧
Posted in ISO27017,   Tagged , ,
このエントリーをはてなブックマークに追加 LINEで送る

2016年の夏に、ISO27017をベースとした「ISMSクラウドセキュリティ認証制度」が開始されてから、LRM株式会社では、すでに2社のお客様の認証取得のご支援をさせていただきました。

その2社とは、「株式会社ワークスアプリケーションズ様」と「株式会社スタディスト様」です。双方とも、認証制度の開始前から、お取り組みを開始されており、国内初となるISMSクラウドセキュリティ認証の授与式に、国内初の認証取得企業群3社の内の、2社としてご出席されました。

認証授与式の様子は、以下のページよりご覧頂くことが可能です。

BSIジャパン「国内初!BSIジャパンが認定機関JIPDECより、ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証機関としての認定を取得」2016/11/1

この記事を書いている私も、コンサルタントとしてご支援させていただいたのですが、実は、今回は、その認証取得の取り組みを終えられた2社の担当者の皆様に、貴重なお時間を頂いて、インタビューにご協力頂きました。

この記事では、その2社のインタビュー記事を通して、ISMSクラウドセキュリティ認証の取得のきっかけや目的、取組内容をご紹介します。現在、ISMSクラウドセキュリティ認証(ISO27017)の取得を検討されている企業様の参考になれば幸いです。

これ以降は、各インタビュー記事から抜粋したものを紹介します。ちなみに、インタビュー記事の全文は、以下からご覧いただけます。

コンサルティング事例 株式会社ワークスアプリケーションズ様|LRM株式会社
コンサルティング事例 株式会社スタディスト様 | LRM株式会社

企業の規模や事業内容は?

ISMSクラウドセキュリティ認証を取得する企業って、どんな企業なのかイメージがつかないという方も多いでしょう。2社の企業プロフィールを見てみます。

ワークスアプリケーションズ様

設立 1996年
従業者数 5,631名(2016年6月末時点)
主な事業内容・サービス 大手企業向けERPパッケージベンダー
主サービス:ERPパッケージソフト「COMPANY」、人工知能型ERP「HUE」など

国内唯一の大手企業向けERPパッケージベンダーです。同社が提供している「COMPANY」「HUE」は、大手企業の3社に1社が導入しているという圧倒的なシェアを誇っています。

スタディスト様

設立 2010年
従業者数 約30名
主な事業内容・サービス マニュアル作成・共有サービス「Teachme Biz」の開発・提供

2010年に設立されたベンチャー企業です。同社が提供する「Teachme Biz」は、全国で約1,200社が有償導入しています(2016年11月現在)。

認証取得を目指されたきっかけは?

どういう経緯があり、ISO27017を知り、認証取得に向けて動き出すことになったのか、その流れをお伺いしました。

ワークスアプリケーションズ様

クラウドを利用しはじめた当初から、弊社内では「いかにクラウドを安全に使うか」が大きなテーマとして存在し、どのような対策を打つべきかリサーチし続けていました。(中略)以上のような経緯があり、我々としてはさらに客観的な評価基準によってその安全性を認めてもらい、社会に向けてアピールする機会を伺っていました。

そのような経緯があるため、2015年にISO27001をベースにしたクラウドセキュリティ・ISO27017の認証制度の開始が予告された際は、いち早く取得することを決定しました。

人工知能型ERP「HUE」の開発プロジェクトが立ち上がってからは、経産省や総務省が発行するクラウドセキュリティに関するガイドラインを参照しながら、独自でクラウドセキュリティに対する取り組みを進められていました。

ちなみに、経産省のクラウドセキュリティガイドラインは、このISO27017規格の原型となったドキュメントです。そんな中、ISMSクラウドセキュリティ認証が開始されるということで、自社のクラウドセキュリティ体制の客観的なアピールの機会と捉え、認証取得を目指されたようです。

スタディスト様

ISO27017認証はISMS認証のアドオン認証です。そのため取得にあたってはISMSのマネジメントルールを整理する必要があります。

(中略)私がISO27017認証を知ったのは、採用に向けてアクセルを踏み込もうとしていた5月頃です。

ISMSの管理は認証取得以来、私が担ってきましたが、組織拡大を機に管理部門を設け担当を引き継ぎました。その際に今後の運営についてLRMに相談している中でご案内いただき、将来を見据えた再整備も兼ねて取得することを決めました。

ISMSクラウドセキュリティ(ISO27017)認証は、あくまでISMS認証の取得が前提です。

よって、新たにISMSクラウドセキュリティ認証を取得することは、既存のISMSの見直しにも繋がります。組織拡大中であったスタディスト様は、既存のISMSをもう一度見直してみるいい機会だと捉え、認証取得への取り組みを実施されたようです。

認証取得の目的は?

どのような目的をもって、このクラウドに特化した認証の取得を目指されたのかを見てみます。通常のISMSだけでは不十分だと感じていたのでしょうか。

ワークスアプリケーションズ様

今回、弊社がISO27017認証を取得した最大の目的は、弊社が提供するクラウドサービスのセキュリティ上の安全性と信頼性をアピールすることです。

(中略)これまで自分たちがやってきたことと、ISO27017で定める管理策が本当に合致しているのかどうかを、認証を取ることによって明確にし、過不足があった場合はそれを改善し、クラウドセキュリティの安全性をより高める機会にもなるとも考えました。

ワークスアプリケーションズ様は、「HUE」「@SUPPORT」「MKS」の3つのサービスを対象として、ISMSクラウドセキュリティ(ISO27017)認証を取得されました。

このISMSクラウドセキュリティ認証制度は、ISMS認証制度の延長線上にある制度であること、近年広がりを見せている「クラウド」に特化していること、などから、今後ますます知名度が上昇することが予想されています。

また、いままで実施してきた自社の対策が、国際的なクラウドセキュリティの基準・標準に、一致しているかどうかを確かめることも、1つの目的だったようです。

スタディスト様

「マニュアル」という極めて機密性の高い情報を扱う企業として、さらなるセキュリティの強化・担保が必要であると考えました。

ISMSは網羅的かつ体系的な規格ではありますが、総論的、原則論的でもあるため、もっと各論にフォーカスした規格があれば良いと考えていました。

クラウドセキュリティにフォーカスしたISO27017認証を取得することで、お客様に『Teachme Biz』をより安心してご導入いただける環境を整備できると考えました。

ISMSの規格であるISO27001に記載されている管理策は、スタディスト様のおっしゃる通り「総論的」です。

それに、2013年に発行された規格でもあるため、このクラウドサービスの急激な発展についていけていない現状があります。

それに比べて、ISO27017は、クラウドに特化しています。そのため、クラウドベンダーやクラウド利用者は、ISO27017を活用したマネジメントシステムを構築することで、クラウドセキュリティリスクにも強いマネジメントシステムを構築することが可能です。

取り組みの体制や内容は?

今回は弊社(LRM)も一緒に、お取り組みのお手伝いをさせていただきました。改めて、取り組みの体制や、打ち合わせの回数、打ち合わせの内容をお伺いしてみました。

ワークスアプリケーションズ様

(認証取得の体制は、)ISMS事務局メンバーと、認証範囲の3サービスのシステム運用担当者で行いました。

サービスに関わる部分は各サービスの運用担当者、会社の規程等の見直し、教育や監査はISMS事務局メンバー、と内容によって主体を変え、補完しあいながら進めました。(中略)1回2時間の打ち合わせが4回、さらに合間にメールで連絡を取り合って調整するなど濃密な1か月間でしたが、審査の準備がしっかり出来ました。

国内第1号認証を目指されていたため、短期間かつ濃密なスケジュールを組み、お取り組みを進めておりました。

ISO27017を取得するときに大変なのが、まず「規格の意図を正しく解釈すること」、次に「その意図は、自社のサービスで言う何にあたるのかを検討すること」です。

どちらも大変な作業で、プロジェクトに参加されていた皆様からも「本来の業務があるため、時間を捻出するのに苦労した」というお話しをお伺いしました。ちなみに、LRMとの打ち合わせは、1回2時間の時間をいただき、合計で4回実施しました。

スタディスト様

対面での打ち合わせは6月、7月に1回ずつ合計2回行いました。そのうち1回は朝から夕方まで丸1日、LRMと一緒に会議室に缶詰め状態で、ISO27017認証のマネジメントルール構築に集中して行いました。

その他、随時、オンラインのチャットによる打ち合わせなども行いながらルールの細部を固め、そこで決まった内容をもとにLRMが文書作成を行い、9月に審査を終えました。

スタディスト様とのお打ち合わせで印象的なのが、丸1日を利用して、朝から夜まで会議室にこもって打ち合わせを実施したことです。その1日で、規格の内容を総ざらいし、現状のサービス運用状態と比べてギャップがないかを、1つずつ検討していきました。

その後は、主にオンラインチャットを利用して、審査までコミュニケーションを取りながら進めていきました。ISO27017認証に必要な文書のベースは、丸1日のヒヤリングの内容を元に、LRMで作成いたしました。

コンサル会社を選んだ理由や選定方法は?

すこし宣伝っぽくなってしまいますが、プロジェクトにコンサル会社を必要とした理由や、その中から、LRMを選んで頂いた理由を聞いてみました。

ワークスアプリケーションズ様

公開された規格を読むと、求められる管理策が具体的にイメージできない項目が沢山あり、短期取得を実現するために限られた時間内で正しく管理策を解釈できるか不安がありました。そこで、LRMにコンサルティングを依頼しました。

LRMには、ISMS2013年版への対応の際に、コンサルティングを依頼しました。その際、他のコンサルティング会社とは違うと思いました。

無駄なことは極力省いて、弊社の実情に合ったマネジメントシステムを構築する柔軟な姿勢に共感しました。(中略)ISMSの2013年版の対応を依頼した時、LRMはすでにクラウドサービスを使っていたので、他のコンサルタントとはちょっと違うと感じていました。

ISO27017の規格は、かなり抽象的にかかれており、解釈や具体的な実施のイメージが難しい場合が多いです。そのうえ、今回は短期取得を目指されていたため、コンサルの導入を決定されたようです。

実は、LRMは、今回の27017コンサルをご依頼頂く前にも、ワークスアプリケーションズ様のご支援をさせていただいたことがありました。その当時から、LRMがクラウドサービスを多用していたこと、無駄な作業は省いて、組織の実情にあったマネジメントシステムを構築するコンサル姿勢、などをご評価いただき、再度のご依頼をいただきました。

スタディスト様

LRMは、情報セキュリティの本質や取り組む企業側の心理もよく理解しているコンサルティング会社だと感じます。

情報セキュリティというものは、常に意識したり、積極的に取り組んだりする性質のものではありません。それを無理に締め付けるようなマネジメントをすれば、会社全体からゆとりが失われてしまいます。

LRMはそれを理解し、必要なことは必要なこと、不要なことは不要なこととして、ざっくばらんに話してくれます。

通常のISMSも、今回のクラウドセキュリティ認証もそうですが、規格に書いてあることをすべて社内マニュアルに詰め込めば、セキュリティレベルが確実に上がるかといえば、そうではありません。

特に、情報セキュリティの専任者がいないような小規模の組織では、「規格が全てだ!」と意気込んで、堅苦しく工数のかかるマニュアルを作ってしまうと、やがてはマネジメントシステムが破綻する事態に陥ってしまいます。

各企業の規模や事業内容によって、ISMSの社内ルールは変わってくるはずです。その前提を踏まえて、組織の状態や規模を理解し、不要なものは不要だと言う、そのLRMの姿勢にご評価をいただけたようです。

以上、いくつかの視点から、ISMSクラウドセキュリティ(ISO27017認証)を取得された企業2社のインタビューをご紹介しました。インタビュー記事の全文は以下からご覧いただけます。ここには載せられなかったお話しも色々と掲載されていますので、興味のある方は、ぜひともご覧になってみてください。

コンサルティング事例 株式会社ワークスアプリケーションズ様|LRM株式会社
コンサルティング事例 株式会社スタディスト様 | LRM株式会社

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

このエントリーをはてなブックマークに追加 LINEで送る

2017年2月9日

<ISO27017取得企業の本音>インタビューを通してわかったこと

Posted in ISO27017

2016年の夏に、ISO27017をベースとした「ISMSクラウドセキュリティ認証制度」が開始されてから、LRM株式会社では、すでに2社のお客様の認証取得のご支援をさせていただきました。

その2社とは、「株式会社ワークスアプリケーションズ様」と「株式会社スタディスト様」です。双方とも、認証制度の開始前から、お取り組みを開始されており、国内初となるISMSクラウドセキュリティ認証の授与式に、国内初の認証取得企業群3社の内の、2社としてご出席されました。

認証授与式の様子は、以下のページよりご覧頂くことが可能です。

BSIジャパン「国内初!BSIジャパンが認定機関JIPDECより、ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証機関としての認定を取得」2016/11/1

この記事を書いている私も、コンサルタントとしてご支援させていただいたのですが、実は、今回は、その認証取得の取り組みを終えられた2社の担当者の皆様に、貴重なお時間を頂いて、インタビューにご協力頂きました。

この記事では、その2社のインタビュー記事を通して、ISMSクラウドセキュリティ認証の取得のきっかけや目的、取組内容をご紹介します。現在、ISMSクラウドセキュリティ認証(ISO27017)の取得を検討されている企業様の参考になれば幸いです。

これ以降は、各インタビュー記事から抜粋したものを紹介します。ちなみに、インタビュー記事の全文は、以下からご覧いただけます。

コンサルティング事例 株式会社ワークスアプリケーションズ様|LRM株式会社
コンサルティング事例 株式会社スタディスト様 | LRM株式会社

企業の規模や事業内容は?

ISMSクラウドセキュリティ認証を取得する企業って、どんな企業なのかイメージがつかないという方も多いでしょう。2社の企業プロフィールを見てみます。

ワークスアプリケーションズ様

設立 1996年
従業者数 5,631名(2016年6月末時点)
主な事業内容・サービス 大手企業向けERPパッケージベンダー
主サービス:ERPパッケージソフト「COMPANY」、人工知能型ERP「HUE」など

国内唯一の大手企業向けERPパッケージベンダーです。同社が提供している「COMPANY」「HUE」は、大手企業の3社に1社が導入しているという圧倒的なシェアを誇っています。

スタディスト様

設立 2010年
従業者数 約30名
主な事業内容・サービス マニュアル作成・共有サービス「Teachme Biz」の開発・提供

2010年に設立されたベンチャー企業です。同社が提供する「Teachme Biz」は、全国で約1,200社が有償導入しています(2016年11月現在)。

認証取得を目指されたきっかけは?

どういう経緯があり、ISO27017を知り、認証取得に向けて動き出すことになったのか、その流れをお伺いしました。

ワークスアプリケーションズ様

クラウドを利用しはじめた当初から、弊社内では「いかにクラウドを安全に使うか」が大きなテーマとして存在し、どのような対策を打つべきかリサーチし続けていました。(中略)以上のような経緯があり、我々としてはさらに客観的な評価基準によってその安全性を認めてもらい、社会に向けてアピールする機会を伺っていました。

そのような経緯があるため、2015年にISO27001をベースにしたクラウドセキュリティ・ISO27017の認証制度の開始が予告された際は、いち早く取得することを決定しました。

人工知能型ERP「HUE」の開発プロジェクトが立ち上がってからは、経産省や総務省が発行するクラウドセキュリティに関するガイドラインを参照しながら、独自でクラウドセキュリティに対する取り組みを進められていました。

ちなみに、経産省のクラウドセキュリティガイドラインは、このISO27017規格の原型となったドキュメントです。そんな中、ISMSクラウドセキュリティ認証が開始されるということで、自社のクラウドセキュリティ体制の客観的なアピールの機会と捉え、認証取得を目指されたようです。

スタディスト様

ISO27017認証はISMS認証のアドオン認証です。そのため取得にあたってはISMSのマネジメントルールを整理する必要があります。

(中略)私がISO27017認証を知ったのは、採用に向けてアクセルを踏み込もうとしていた5月頃です。

ISMSの管理は認証取得以来、私が担ってきましたが、組織拡大を機に管理部門を設け担当を引き継ぎました。その際に今後の運営についてLRMに相談している中でご案内いただき、将来を見据えた再整備も兼ねて取得することを決めました。

ISMSクラウドセキュリティ(ISO27017)認証は、あくまでISMS認証の取得が前提です。

よって、新たにISMSクラウドセキュリティ認証を取得することは、既存のISMSの見直しにも繋がります。組織拡大中であったスタディスト様は、既存のISMSをもう一度見直してみるいい機会だと捉え、認証取得への取り組みを実施されたようです。

認証取得の目的は?

どのような目的をもって、このクラウドに特化した認証の取得を目指されたのかを見てみます。通常のISMSだけでは不十分だと感じていたのでしょうか。

ワークスアプリケーションズ様

今回、弊社がISO27017認証を取得した最大の目的は、弊社が提供するクラウドサービスのセキュリティ上の安全性と信頼性をアピールすることです。

(中略)これまで自分たちがやってきたことと、ISO27017で定める管理策が本当に合致しているのかどうかを、認証を取ることによって明確にし、過不足があった場合はそれを改善し、クラウドセキュリティの安全性をより高める機会にもなるとも考えました。

ワークスアプリケーションズ様は、「HUE」「@SUPPORT」「MKS」の3つのサービスを対象として、ISMSクラウドセキュリティ(ISO27017)認証を取得されました。

このISMSクラウドセキュリティ認証制度は、ISMS認証制度の延長線上にある制度であること、近年広がりを見せている「クラウド」に特化していること、などから、今後ますます知名度が上昇することが予想されています。

また、いままで実施してきた自社の対策が、国際的なクラウドセキュリティの基準・標準に、一致しているかどうかを確かめることも、1つの目的だったようです。

スタディスト様

「マニュアル」という極めて機密性の高い情報を扱う企業として、さらなるセキュリティの強化・担保が必要であると考えました。

ISMSは網羅的かつ体系的な規格ではありますが、総論的、原則論的でもあるため、もっと各論にフォーカスした規格があれば良いと考えていました。

クラウドセキュリティにフォーカスしたISO27017認証を取得することで、お客様に『Teachme Biz』をより安心してご導入いただける環境を整備できると考えました。

ISMSの規格であるISO27001に記載されている管理策は、スタディスト様のおっしゃる通り「総論的」です。

それに、2013年に発行された規格でもあるため、このクラウドサービスの急激な発展についていけていない現状があります。

それに比べて、ISO27017は、クラウドに特化しています。そのため、クラウドベンダーやクラウド利用者は、ISO27017を活用したマネジメントシステムを構築することで、クラウドセキュリティリスクにも強いマネジメントシステムを構築することが可能です。

取り組みの体制や内容は?

今回は弊社(LRM)も一緒に、お取り組みのお手伝いをさせていただきました。改めて、取り組みの体制や、打ち合わせの回数、打ち合わせの内容をお伺いしてみました。

ワークスアプリケーションズ様

(認証取得の体制は、)ISMS事務局メンバーと、認証範囲の3サービスのシステム運用担当者で行いました。

サービスに関わる部分は各サービスの運用担当者、会社の規程等の見直し、教育や監査はISMS事務局メンバー、と内容によって主体を変え、補完しあいながら進めました。(中略)1回2時間の打ち合わせが4回、さらに合間にメールで連絡を取り合って調整するなど濃密な1か月間でしたが、審査の準備がしっかり出来ました。

国内第1号認証を目指されていたため、短期間かつ濃密なスケジュールを組み、お取り組みを進めておりました。

ISO27017を取得するときに大変なのが、まず「規格の意図を正しく解釈すること」、次に「その意図は、自社のサービスで言う何にあたるのかを検討すること」です。

どちらも大変な作業で、プロジェクトに参加されていた皆様からも「本来の業務があるため、時間を捻出するのに苦労した」というお話しをお伺いしました。ちなみに、LRMとの打ち合わせは、1回2時間の時間をいただき、合計で4回実施しました。

スタディスト様

対面での打ち合わせは6月、7月に1回ずつ合計2回行いました。そのうち1回は朝から夕方まで丸1日、LRMと一緒に会議室に缶詰め状態で、ISO27017認証のマネジメントルール構築に集中して行いました。

その他、随時、オンラインのチャットによる打ち合わせなども行いながらルールの細部を固め、そこで決まった内容をもとにLRMが文書作成を行い、9月に審査を終えました。

スタディスト様とのお打ち合わせで印象的なのが、丸1日を利用して、朝から夜まで会議室にこもって打ち合わせを実施したことです。その1日で、規格の内容を総ざらいし、現状のサービス運用状態と比べてギャップがないかを、1つずつ検討していきました。

その後は、主にオンラインチャットを利用して、審査までコミュニケーションを取りながら進めていきました。ISO27017認証に必要な文書のベースは、丸1日のヒヤリングの内容を元に、LRMで作成いたしました。

コンサル会社を選んだ理由や選定方法は?

すこし宣伝っぽくなってしまいますが、プロジェクトにコンサル会社を必要とした理由や、その中から、LRMを選んで頂いた理由を聞いてみました。

ワークスアプリケーションズ様

公開された規格を読むと、求められる管理策が具体的にイメージできない項目が沢山あり、短期取得を実現するために限られた時間内で正しく管理策を解釈できるか不安がありました。そこで、LRMにコンサルティングを依頼しました。

LRMには、ISMS2013年版への対応の際に、コンサルティングを依頼しました。その際、他のコンサルティング会社とは違うと思いました。

無駄なことは極力省いて、弊社の実情に合ったマネジメントシステムを構築する柔軟な姿勢に共感しました。(中略)ISMSの2013年版の対応を依頼した時、LRMはすでにクラウドサービスを使っていたので、他のコンサルタントとはちょっと違うと感じていました。

ISO27017の規格は、かなり抽象的にかかれており、解釈や具体的な実施のイメージが難しい場合が多いです。そのうえ、今回は短期取得を目指されていたため、コンサルの導入を決定されたようです。

実は、LRMは、今回の27017コンサルをご依頼頂く前にも、ワークスアプリケーションズ様のご支援をさせていただいたことがありました。その当時から、LRMがクラウドサービスを多用していたこと、無駄な作業は省いて、組織の実情にあったマネジメントシステムを構築するコンサル姿勢、などをご評価いただき、再度のご依頼をいただきました。

スタディスト様

LRMは、情報セキュリティの本質や取り組む企業側の心理もよく理解しているコンサルティング会社だと感じます。

情報セキュリティというものは、常に意識したり、積極的に取り組んだりする性質のものではありません。それを無理に締め付けるようなマネジメントをすれば、会社全体からゆとりが失われてしまいます。

LRMはそれを理解し、必要なことは必要なこと、不要なことは不要なこととして、ざっくばらんに話してくれます。

通常のISMSも、今回のクラウドセキュリティ認証もそうですが、規格に書いてあることをすべて社内マニュアルに詰め込めば、セキュリティレベルが確実に上がるかといえば、そうではありません。

特に、情報セキュリティの専任者がいないような小規模の組織では、「規格が全てだ!」と意気込んで、堅苦しく工数のかかるマニュアルを作ってしまうと、やがてはマネジメントシステムが破綻する事態に陥ってしまいます。

各企業の規模や事業内容によって、ISMSの社内ルールは変わってくるはずです。その前提を踏まえて、組織の状態や規模を理解し、不要なものは不要だと言う、そのLRMの姿勢にご評価をいただけたようです。

以上、いくつかの視点から、ISMSクラウドセキュリティ(ISO27017認証)を取得された企業2社のインタビューをご紹介しました。インタビュー記事の全文は以下からご覧いただけます。ここには載せられなかったお話しも色々と掲載されていますので、興味のある方は、ぜひともご覧になってみてください。

コンサルティング事例 株式会社ワークスアプリケーションズ様|LRM株式会社
コンサルティング事例 株式会社スタディスト様 | LRM株式会社

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする