BizteX株式会社様 – 顧客事例 –

— LRMへのご依頼内容をお話しください。

弊社は2017年9月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。

コンサルティング担当・井崎さんをはじめLRMの組織的なサポートによって、準備はスムーズに進行し、2018年4月ISMS認証を取得しました。

— 第三者機関が定めた規格に基づくマネジメントシステムを構築し運用することに関して、それが業務に与える影響などご不安はありませんでしたか。

確かにISMS認証取得に対しては、それによって業務のスピードや効率が落ちるイメージは持っていました。

弊社のメンバーのほとんどがISMS認証を取得している大手IT企業出身者です。そのような企業において情報セキュリティの教育を受けていたため、各自情報セキュリティの重要性や仕組みは理解していました。ただ、そこで運用されていたマネジメントシステムは非常に厳格なイメージがありました。弊社もISMS認証を取得するためには同じように融通の利かないマネジメントシステムを構築する必要があると思い、それが弊社の業務にとって重荷になることは覚悟していました。

— 実際に取り組んでみていかがでしたか。

実際にやってみると「これで良いのか」と思うことは非常に多かったです。井崎さんと一緒にルール作りをする中で、無理なルールを適用する必要はなく、それぞれの企業のステージに合わせた体制を構築すれば良いということを理解していきました。実際、ISMS認証取得に取り組む前後で、業務手順や社内環境など目立った変化はありません。
変わったことといえば、パスワードルールの統一、フリーWi-Fiを使ったメール送信の制限、そしてオフィス内の環境整備として鍵付きキャビネットを購入して設置したことぐらいです。

— ルール作りはどのように行ったのですか。

LRMが用意したISMSマニュアルのひな形を、弊社の業務体制に合わせてカスタマイズする形で作っていきました。
井崎さんと一緒にひな形の読み合わせをして、項目ごとにマニュアルに残すか残さないか、残すとすればどのようなルールにするかを検討していきました。

— ISMS認証を取得するまでの経緯でご苦労はありませんでしたか。

特別な苦労はありませんでした。取り組む前はISMS認証の取得はすごく大変だと思っていましたが、負担のかかる作業はほとんどLRMが担って下さったので、弊社内の負荷は思ったよりもかかりませんでした。数週間に1回ぐらいのペースで打ち合わせをし、その中で質問に答えている間に必要な文書類はほぼ出来上がっていきました。

— 御社内で作業されたことはありませんでしたか。

社内で行った作業は主に情報資産台帳の作成です。営業、管理、開発、各部門とも経験と知識が豊富なメンバーが揃っているため情報資産の特定などで苦労することもありませんでした。

— 従業員教育はどうされましたか。

従業員教育は、eラーニングとISMSマニュアルを使ったルールの周知の2段階で実施しました。

eラーニングは2017年12月に、LRMが提供するセキュリティ教育クラウド『セキュリオ』を活用し、情報セキュリティ事故の事例やそれによる事業への影響といったISMSの基礎を学びました。テキストの受講からテスト、実施状況や結果の管理までウェブ上で完結できる点や従業員の入社時に随時実施できる点が便利だと思いました。

その後、2018年1月上旬に第1段階審査を受審して文書類が定まった時点で、全従業員に対し、作成したISMSマニュアルを回覧して目を通してもらい、同時に定めたルールに対する意見も募りました。フリーWi-Fiを使ったメール送信の制限は、この際に従業員から出た意見に基づいて改善したルールです。

— 内部監査はどのように実施しましたか。

内部監査は2月末、LRMに内部監査員を代行していただいて実施しました。

弊社では、ISMS認証取得への準備を進めている間に社員が増え、2月上旬にオフィスを引っ越すというイベントがありました。LRMから現地審査となる第2段階審査は移転先で受審した方が良いと伺ったため、第2段階審査はオフィス移転後のオフィスで受審することにしました。第2段階審査の模擬審査も兼ねた内部監査も、移転が終わって落ち着いた2月末の実施となりました。

— 第2段階審査はいかがでしたか。

第2段階審査は3月の上旬に受審しました。不適合もなく非常にスムーズに終えることが出来ました。その際、審査員からは「スキルの高い従業員が多く、しっかりした体制が構築されている」と嬉しいお言葉をいただきました。

— LRMのコンサルティングはいかがでしたか。

担当者の井崎さんは、情報セキュリティに対する知識が非常に豊富な方です。しっかりとしたヒアリングで弊社の体制や事業内容をしっかり把握し、ルール作りに反映していただけたことに対しても能力の高さを感じました。

また、井崎さんはもともとエンジニアの素養があり、弊社のCTOやエンジニアとの話でも理解が早く、コミュニケーションが非常にスムーズでした。エンジニアと円滑に会話をしながら情報セキュリティマネジメントシステムを構築できる人材はなかなか存在しません。弊社がBtoBのクラウドサービスを開発・提供する会社として成長し続けるためには、井崎さんのような人材が社内にいても良いと思っているほどです。そういう意味でも非常に貴重なスキルを持たれた方だと考えています。

さらに、 コンサルタントというと威圧的な態度の方も一部にはいらっしゃいますが、井崎さんにはそのような要素は全くなく、一緒に作業をしながらストレスを感じることは一切ありませんでした。

— 打ち合わせの席以外で、例えばメールやお電話などでご相談されたことなどはありましたか。

情報資産台帳の作成や審査準備などをしている際にわからないことがあった時はメールで質問をしました。
その時の井崎さんからの回答は非常に迅速でした。井崎さん本人がコンサルティングなどで長時間対応できない場合は、営業担当の間野さんから状況を知らせる連絡をいただきました。その際の対応も滞ることはなく、LRMは会社としての体制がしっかりしていると感じました。

弊社のISMS認証取得後、何人かの知人からISMS認証取得に関する相談を受けましたが、その際にはLRMを推薦・紹介させていただきました。

— ISMSの取り組みに関して今後の課題がおありでしたらお話し下さい。

今後の課題は組織の成長に合わせたISMSの継続的な運用です。

弊社は現在従業員を積極的に採用していますが、既存のメンバーと新しいメンバーの間ではどうしても意識の差が生まれます。そのような状況を放置しておけば、インシデントが発生しやすくなってしまいます。そうならないよう、従業員が増えても意識を常に均等に保てるよう社内への周知は徹底していく考えです。

また、従業員が増えればオフィスの移転や組織体制の再構築が必要となり、その都度、情報セキュリティマネジメントシステムも改善し続けなければいけません。組織が拡大しても機動性やスピードが失われないよう、最適なマネジメントシステムを構築していきたいと考えています。

このような課題に向き合うためには、どのような形であれLRMのサポートは不可欠です。現在、ISMSの運用改善サービス『情報セキュリティ倶楽部』の見積もりをいただき、どのコースを契約するかを検討しているところです。

BizteX株式会社様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ BizteX株式会社様のWEBサイト
※ 取材日時 2018年5月

他のコンサル導入事例を見る