株式会社ディーネット 様 – 顧客事例 –
2007年8月、ISMS/ISO27001認証を自主取得した株式会社ディーネット。2013年版規格への移行を機にISMS全体を再構築することを決定し、2015年1月、LRMにコンサルティングを依頼しました。再構築に至る経緯と、コンサルティングを通して得た成果などについて、代表取締役社長 瀧一郎氏、管理本部 部長 金沢尚孝氏、社長室 木村光宏氏に話を伺いました。
記事index
株式会社ディーネットは、法人向けに特化したサーバホスティングサービスを中心とする事業を展開している。大手企業系列のWEB制作会社や広告代理店など、キャンペーンサイトをはじめ大量アクセスが見込まれる案件を抱える企業が主要顧客層。ホスティングサービスやクラウド運用代行、ハウジングまで、クライアントの課題やニーズに合わせて幅広く対応。開発業務など他業務を兼務する多忙なインフラ担当者の心強いパートナーとして、”任せられる”サービスを提供し続ける。
サーバホスティング事業以外にも、Webサイト制作保守、Webシステム開発、Webマーケティングなど、IT分野全般へと業容を拡大している。
本社;大阪市、東京都。設立;1999年2月。従業員数;約70名(2015年10月現在)。
2013年版規格への対応を機にISMS全体の再構築コンサルティングを依頼
— LRMへの依頼内容を教えてください。
弊社はLRMに、ISMS/ISO27001(以下、ISMS)の2013年版規格への対応を機にISMS全体を再構築するためのコンサルティングを依頼しました。LRMの担当者は幸松さんです。2015年1月末にコンサルティングがスタートし、自社の業務に即してスリム化されたISMSが構築できて、8月には無事に更新審査を追えることが出来ました。今後の運用面もサポートしていただけるよう、早速、運用保守サポートサービス『情報セキュリティ倶楽部』の契約を結びました。
120点のマネジメントシステムからの脱却を目指して
豊富な経験で新しい規格と弊社の現状を踏まえたISMSを実現していただきました
(管理本部 部長・金沢尚孝氏)
— 2013年版規格への対応だけではなく、そのタイミングでISMS全体を再構築した背景にはどのような課題があったのですか。
従来はISOの規格に合わせて業務を回す仕組みになっていたため、社員や管理者の業務負担が重たくなっていました。ISMSの更新審査のたびに審査員からは「120点」と言われていました。要するにやり過ぎです。
弊社がISMS認証を取得したのは2007年8月のことです。当時はコンサルタントの力を借りずに自主取得しましたが、市販のマニュアルに少し手を加えて構築しただけなので、やらなくて良いことまでやる仕組みになっていました。顕著な例は書類の多さです。弊社はISMSを取得する前に、プライバシーマーク(以下、Pマーク)も取得していましたが、Pマークは業務手順のチェックリストを始め、まさに書類を集めるためにあるような仕組みです。それに合わせる形でISMSでも書類を作ることになっていて、両方合わせるとパイプ式の分厚いファイルで10冊分ぐらい保管していました。
本来ISMSは業務を効率化する仕組みなのに、ISMSを運用すればするほど、社員の貴重な時間を奪う結果となっていました。譬えるなら自分のサイズに合わないぶかぶかの服を着て走るようなものであり、認証を維持するために余計な仕事を増やしているだけの状況でした。そのため、業務を効率化する仕組みとしてISMSを再構築したいと考えていました。
— ISMS認証を取得したそもそもの理由を教えてください。
顧客要求に応えることが最大の目的でした。当時、自治体案件など、PマークやISMS認証の取得が取引条件に含まれることが増えていました。そこで、2006年にPマークを取得し、翌年ISMS認証を取得しました。さらに2013年には、ITサービスマネジメントシステムのISO20000認証も取得しています。振り返ってみると、このISO20000認証の取得がISMSに対する認識を変えるきっかけになりました。
— 少し詳しくご説明いただくことはできますか。
ISMSとISO20000はリスクアセスメントの対象が異なります。ISMSは会社全体の情報セキュリティを管理するものですが、実態とかい離して業務が煩雑になっていてもサービスの提供はできます。それに対してISO20000は、サービスそのものをマネジメントするための規格です。実態とかい離したシステムを構築してしまうとサービスが提供できなくなってしまいます。サイズをぴったり合わせないと一歩も走れない規格なのです。ISO20000はコンサルタントのサポートを受けて認証を取得したのですが、その過程を通してISOの活かし方が理解できました。ISOを取得している企業の方と話すと、誰もが「ISOは業務を妨害する規格」と言います。弊社においてもこれまでISMSは業務負担を増やすだけの仕組みでしたが、本質的には業務を簡素化してスムーズに進めるための仕組みだと気づきました。その気づきが、今回の再構築へと繋がりました。
一方、Pマークは2015年8月で認証を返上しました。弊社は個人情報をほとんど扱いませんし、管理方法がISMSとは正反対です。以前から返上を検討していた経緯もあり、今回の再構築を機に幸松さんの意見を聞いた上で返上することにしました。
料金は3倍でも結果的に安い。だからLRMを選んだ
— ISMSの再構築を行うにあたり、コンサルティングサービスを導入した理由をお話ください。
従来は更新審査のたびに「やりすぎ」と言われていましたが、やりすぎと言われても何をどの程度軽くすれば良いのか、我々自身では判断できませんでした。それは経験を重ねた専門家でなければ難しいと思います。ISO20000でコンサルティングを受け、満足な成果が得られたということもあったため、ISMSの再構築でもコンサルティングを受けることにしました。
— コンサルティング会社選びはどのように進めましたか。
実は、ISO20000認証を取得する際、LRMは委託先候補の1つでした。結果的には他社に依頼しましたが、LRMも真剣に事業に向き合っている姿勢が伝わり好感を持っていました。情報セキュリティ分野に特化したコンサルティング会社なので、いつかISMSを再構築するなら依頼したいと考えていました。改めて連絡を取って話を聞いてみると、考え方もコストも弊社のニーズに合っていると考えて依頼を決定しました。
— 他のコンサルティング会社は検討しなかったのですか。
1社だけ話を聞きました。業界№1の実績と謳い、社名も知られたコンサルティング会社です。格安の料金で、運用代行により社内では何もする必要がないということを売りにしていました。弊社では管理部がISMSを管轄しているのですが、これまで運用面で苦労してきた管理部としては、社内の負荷を軽減して認証が維持できるという点が魅力的でした。しかし、メールでの問い合わせや対面によるヒアリングの結果、そのコンサルティング会社では、今回のISMS再構築の目的達成は期待できないと判断しました。
— 料金はどれぐらいの差があったのですか。
3倍ぐらいの差はありました。ただ、いくら低コストでも、弊社の業務に即した仕組みが構築できなければ意味がありません。低コストで運用が楽と言うと良く聞こえますが、要するに予め先方が用意した体に合わない服を着せられるということであり、内容はともかく認証は維持できるというレベルのサービスです。それでは役にたたない、業務を妨害する仕組みしか作れません。ISMSはきちんと運用すれば、情報セキュリティ事故のリスク軽減や業務の効率化が見込めます。そこを目指す会社にとって、初めにピックアップしたコンサルティング会社に依頼することはリスクでしかありません。LRMのコンサルティングは、料金は3倍ですが結果的に弊社にとってはお得でした。
いくらコンサルタントの関与があっても、社内で考えるべきことは必ず出てきます。あくまでも主体は企業であり、コンサルタントが全て出来るわけではない。そこは間違えてはいけません。LRMはその点を踏まえて、弊社の業務にいかに規格を当てはめていくか、審査員はどういう点を見るのか、弊社は何をしなければいけないかといったポイントを明快に説明してくれました。それが正式に依頼する最終的な決め手となりました。
再構築によりマニュアルと行動のギャップを解消
今後のブラッシュアップを見据えて情報セキュリティ倶楽部を契約しました
(社長室・木村光宏氏)
— 2013年版規格への移行に合わせたISMSの再構築はどのように進みましたか。
マニュアルをゼロから作り直しました。新規取得時とは管理部のメンバーが変わっており、当時の経緯が把握できないこと、Pマーク返上も決定していたことなど、複合的な事情があったため、幸松さんと話し合って最初から構築しなおすことにしました。
幸松さんと話し合いながらISMSの詳細管理策114項目を決め、ゴールデンウィーク頃までにマニュアルが出来上がりました。それをもとに教育、内部監査、マネジメントレビューなどを行いました。最後までスムーズに進行しました。
– 具体的には、どのように変わったのでしょうか。
今回の再構築は、基本的には弊社の業務にISMSの規格を当てはめるという形で行いました。従来、マニュアルと現場の行動の間にあったギャップは、例えば次のように改善されました。
【改善例その1】ソフトウェアの導入規定
従来はソフトウェアのホワイトリストを作って、そのリストに載っていなければ使用不可としていました。しかしソフトウェアの安全性を測る基準があいまいなこともあって管理が追いつかず、ホワイトリストには載っていないのに現実的には誰もが使っているといったギャップが生じていました。そこで今回は禁止する条件のみを明確にして、その他は原則的に可としました。禁止する条件とは「信頼性が低いサイトからのソフトウェアのダウンロード」というものです。
【改善例その2】VPNを使った外部からのアクセス規定
弊社では、再構築以前から深夜の障害対応などのためにVPNを開設し、外部からの社内ネットワークへのアクセスを許可していました。しかしマニュアルには明記していませんでした。今回はVPNを使った社内ネットワークへのアクセスについて、自宅からのアクセスは許容する旨を明文化しました。カフェや新幹線など公共空間でのアクセスは禁止しています。
【改善例その3】スカイプのビデオ会議に関する規定
Skypeを使った外部とのビデオ会議は、従来、社内の様子が漏れるリスクがあるため禁止していました。東京のお客様と大阪本社のエンジニアが会議をする必要がある場合は、東京本社の事務所まで御足労いただき、大阪本社と東京本社をつないで会議を行っていました。ただ、このやり方では東京と大阪以外のお客様としか話が出来ません。今回は、弊社側の実施場所を会議室のみに限定とすることで、外部と繋ぐことを可能としました。それにより、全国のお客様とビデオ会議が実施できるようになりました。
【改善例その4】不要な書類の削減
以前問題となっていたISMSの紙の書類に関しては、不要な書類は削減しました。必要なものはデータで保管する形に変更しています。これまで保管していたものは廃棄して、オフィスの整理にも繋がりました。
— 反対に大幅に変更した点はありませんでしたか。
業務の進め方の大幅な変更はありませんが、業務環境は変更した点があります。
まず、ウィルス対策ソフトの統一があります。これまでは個人でバラバラに入れていましたが、社内の全端末に会社で購入したソフトウェアを導入しました。また、社内サーバーをデータセンターへ移設しました。これまで社内サーバーは、近くにあった方が作業しやすいという現場の声もあり、大阪本社に置いていました。しかし今回、停電や災害に対する備えや入退室の管理を万全に期すためにデータセンターに移しました。自社サービスに活用することで無駄も省けます。
さらに現在、ファイルサーバーのフォルダ構成を変更するためにハードウェアの冗長化を含めて準備を進めています。同じファイルがいくつもあってどれが最新版の正しいファイルかわからない、必要な情報にアクセスできないなど、ファイルサーバーのデータ管理に関しては、長年悩み続けていました。フォルダ構成を変えて、定期的に整理するデジタル掃除デーを設けるなど、幸松さんに効率的な情報管理の方法をアドバイスしてもらいました。長年の課題が解決できそうです。
全社員参加型でPDCAサイクルを回せるようになった
全社員参加でPDCAサイクルを回せる状態になったのは本質を理解したサポートのおかげです
(代表取締役 社長・瀧一郎氏)
— ISMS再構築によって得られた成果をお話下さい。
まず、目的通り、マニュアルと実際の業務のギャップをなくし、よりセキュアな仕組みを実現することが出来たことが大きな成果です。
また、マニュアルそのものがスリムになったことで運用が軽くなったことも重要です。
これまでは百数十ページにも及び、説明文も難解で理解しにくいマニュアルであったため、従業員教育では教育用の資料を別途用意していました。現在は30ページぐらいの、ヴォリュームが少なく、誰が読んでもわかるマニュアルになっており、今回の更新に向けた教育ではマニュアルをそのまま使用して行うことが出来ました。
ISMSに対する認識も変わりました。これまではマニュアルに変更を加えることが出来るのは1年に1回ぐらいだと思い込んでいました。前述したSkypeのビデオ会議に関する規定は、一旦ルールが固まった後に加えたものです。幸松さんに「実は皆困っているのですが、変えることは出来ますか」と聞いたら、「変えてください」という回答をいただきました。それ以来、運用がしづらい点がでてくるたびに変更を加えるようになりました。すでに2回か3回は変更しています。
マニュアルに変更を加えて良いということがわかると社員の認識も変わり、積極的に「こうしたい」と発言するようになりました。内部監査で社員が監査員を務め、他部署をチェックするというやり方を導入したことも影響しています。ISO20000では従来からやっていた方法をISMSにも適用したものですが、更新審査ではグッドポイントをもらいました。これまでISMSは管理部だけで運用していましたが、今は、各部署から担当者が出て情報セキュリティ委員会の中で、ISMSの運用・改善について話し合っています。全社員参加型でPDCAを回せるようになったことは大きな成果です。
— 今後の課題を挙げるとすればどのようなことがありますか。
今回、余分な要素を一旦そぎ落としてきちんと運用できる状態になったので、今後はPDCAサイクルをきちんと回して、精度を高めて行かなければいけません。
従来のISMSは禁止事項が多かったのですが、再構築したことによって社員は非常に自由に業務に取り組めるようになりました。これは、性悪説に基づいたセキュリティから、性善説に基づいたセキュリティに変ったと言えます。しかしISOの基本はPDCAを回すことにあります。これで満足せず改善し続けたいと考えています。
クライアントが何を大切にしているか。本質を理解したコンサルタント
— LRMへのご評価をお話下さい。
LRMのおかげで、ISMSの新規格と弊社の現状を踏まえたマネジメントシステムを実現することが出来ました。コンサルティング前は、市販のマニュアルをお手本にして、書いてある通りにやっていましたが、実際にはやらなくても良いことが多くありました。また審査を受ける際に、チェックを受ける書類やポイントがあるのですが、その管理手法を再確認するとともに不要なものを排除して無駄をそぎ落とすことが出来ました。
これまで重荷でしかなかったISMSの運用が、LRMのコンサルティングを通じてポジティブな体験に変りました。
無駄がないということはコスト削減でもあります。全社員が参加することで意識が共有できて、運用もスムーズになりました。もちろん情報漏えいのリスク対策も保持出来ています。弊社にとってマイナスの要素は全くありません。ISMSが楽しくなったと言っても過言ではありません。
それは、LRMが、弊社が何を大切にしているかという本質を理解した上でコンサルティングを行っているからです。
お仕着せではない、クライアントを中心にしたマネジメントシステムが実現しているということは非常に重要です。
今後のISMS運用に備えて『情報セキュリティ倶楽部』を契約
— 『情報セキュリティ倶楽部』をご契約された理由をお話し下さい。
やはりISMSは構築して終わり、認証を取得して終わりという性質のものではありません。今後ブラッシュアップし続ける上で、我々では判断できないことが出てくるはずです。会社の状況や社会情勢が変ればマネジメントシステムも変ります。直近ではマイナンバー問題もあります。困った時、迷った時の的確なアドバイスを期待して契約しました。
また、法令チェックも我々素人には非常に難題です。ISO20000の審査でも指摘を受けました。ISMS認証に関わる法令の変更があった際に、全社的に共有できるよう、ポイントをまとめていただけるとありがたいと考えています。
株式会社ディーネット様、お忙しい中、有り難うございました。
※左から2番目は弊社幸松
株式会社ディーネット様のWebサイト
※ 取材日時 2015年9月
- システム開発・運用
- ITインフラ支援
- Web制作・運用
- 50~199名
- 東京
- 複数拠点