株式会社ハイドロソフト技術研究所様 – 顧客事例 –
建設コンサルタント業界の中で独自のポジションを確立している株式会社ハイドロソフト技術研究所は、社内外で高まるニーズに応えるべく、ISMS/ISO27001認証の新規取得を行いました。認証取得に向けて選んだコンサルティング会社はLRMです。コンサルティング会社選定や認証取得の経緯、そしてその成果を、ISMS事務局の企画室 社長秘書 マネージャー・菊池昭江氏、営業グループ 主任・辻雅之氏のお二人に伺いました。
記事index
社会インフラ・防災・環境・サイエンスに関わる数値解析及び情報システムの 技術サービスを展開する建設コンサルタント会社である。土砂水理、海岸水理、環境水理、氾濫災害、地盤・構造、下水道、流出・水循環・地下水、システム開発、データ処 理・解析などの専門技術を生かし、「防災」を軸に、解析技術サービスと、防災情報システムやシミュレーションシステムなどのシステム開発・データ処理といった情報技術サービスを提供している。数値解析技術と情報処理技術を融合させたプロフェッショナル集団としてオンリーワンのポジションを確立し、建設コンサルタントや大手システムベンダー、さらに国内外の大学・研究機関から高い評価を受け、順調に事業を拡大している。
大阪本社、東京支社の2拠点体制。
従業員数;約70名(2017年7月現在)。設立;2000年3月。
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は、2017年2月、LRMにISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。
LRMの担当者は吉村さんです。コンサルティングは2017年2月にスタートし、5月に第2審査を終え、6月に無事取得することが出来ました。
また認証取得後は、今後の運用を考慮し、ISMSの運用改善サポートサービス『情報セキュリティ倶楽部』も契約しました。
体系的な情報セキュリティ対策の構築を目指してISMS/ISO27001認証を取得
和やかな雰囲気の中で打ち合わせをすることが出来ました
(企画室 社長秘書マネージャー・菊池昭江氏)
— ISMS認証を取得した理由を教えてください。
弊社では設立以来、情報セキュリティ体制の整備に取り組んできましたが、数年前からより体系的な情報セキュリティ対策の構築が課題となっていました。その課題を解決するためにISMS認証を取得しました。課題が生まれた背景には(1)社外からの要請と、(2)社内における危機意識の高まりという2つの側面があります。
(1)社外からの要請
弊社の業務で取り扱うデータは、もともとは国や自治体などが出している機密性の高い情報です。弊社のお客様は、情報の取り扱いには細心の注意を払っており、取引先に対してもISMS認証の取得を求めておられるケースが多いです。弊社は従来、お客様との信頼関係のもとで取引を行ってきましたが、近年、大手システムベンダーとの取引が増加していることに加え、扱う情報の機密性がますます高まっていることもあり、早急にご要望に応える必要がありました。
(2)社内における危機意識の高まり
弊社は設立当初から、独自に情報の取り扱いルールを整備してきました。しかし、独自の取り組みには限界があります。当時のルールは、他社や書籍、インターネットなどの情報を参考にして自分たちなりに構築したものですが、他社の取り組みを弊社の実情に置き換えようとした時に、どうすれば良いのかあいまいな部分が多々ありました。
また、従業員教育も不十分でした。整備したルールを生かすには、社員一人一人が情報セキュリティに対する自覚を持つ必要があります。しかし弊社は、海外出身の社員もおり、社内には多様な価値観が存在することもあることから、
意識を統一する難しさがありました。
弊社の実情に合わせたルールを構築し、情報セキュリティに対する関心と意識を社内にしっかり植え付けるためにも、体系化された国際規格に基づいたマネジメントシステムを構築する必要があると考えました。
— ISMS認証の取得に関して、ご不安や懸念されていたことはありませんでしたか。
ISMSは構築段階で失敗すると運用が大変になるという不安がありました。特に辻は前職時代に一社員としてISMSを体験したことがあります。取得後、何故か印鑑を押す書類や報告書の数が異様に増えるなど、メリットよりも手間がかかるデメリットを感じていました。
他にも前職でPマークやISMSを体験したことがある社員からは、内部監査を含め面倒な作業や手続きが増えるなど、
あまり前向きな反応はありませんでした。しかし会社が成長するにはISMS認証の取得は不可欠です。
また、しっかりしたマネジメントシステムを構築することが出来れば、自分たちを守ることにも繋がります。
そのためにはコンサルティング会社の選定が重要なカギとなります。ISMS認証取得によって業務が忙しくなったり、業務の手間が増えたりすることのないマネジメントシステムを構築してくれるコンサルティング会社を探しました。
LRM選定の決め手は、顧客や競合他社からの評判の高さ
– コンサルティング会社選定について伺います。LRMを選定した理由をお話しください。
最大の理由は、外部からの評判が高かったことです。LRMのWEBサイトを調べると事例が豊富で、認証取得が最終目的ではなく、取得企業に合わせてカスタマイズし、業務に生かせるISMSを構築してくれるという声が掲載されていました。選定段階で比較したコンサルティング会社の方が「LRMなら安心でしょう」と言っていたことも、決め手の1つになりました。
— コンサルティング会社は何社ほど比較されましたか。
LRMを含めて4社をピックアップして問い合わせ、その中から3社と面会して比較検討しました。4社のうち1社は東京を拠点とするコンサルティング会社で、打ち合わせはテレビ会議を基本とし、必要があれば訪問するという方針でした。しかし基本的には対面で話が出来た方が安心なのでお断りしました。「LRMなら安心」と助言してくれたのはこの会社です。
実際に面会した3社のうちの1社は、認証取得だけを最終目的としたコンサルティング会社でした。「認証取得企業は何もせずにお金さえ払えば認証は取得できる」というスタンスの会社です。確かに目的の1つは認証取得ですが、社内のレベルアップには全く役に立たないと考えました。
残りの1社は、LRMと根本的な差は感じませんでしたが、規模が小さく、フリーのコンサルタントが営業からコンサルティングまでを担っている会社でした。組織的なサポートに不安を感じLRMに決めました。
以上がLRMを選定した理由と経緯です。
ISMS/ISO27001認証取得までの経緯
— 認証取得の期限は決めていましたか。
会社としてはできるだけ早く取得したい意思を持っていました。そこで、コンサルティング会社の選定過程で得た情報を集約して、最短期間を4か月ぐらいと算段し、6月取得を目標に設定しました。コンサルティングがスタートする際には、LRMにもその目標を共有していただきました。
— ISMS認証取得に向けた準備はどのように進行しましたか。
まず、LRMが現場のヒアリングを行い、その後、マニュアルのひな形を使って、打ち合わせをしながらベースラインを検討し、検討した結果を自社のマニュアルに反映していきました。
打ち合わせは、第2段階審査までに9回行いました。第1段階審査までに7回打ち合わせをして文書類を作り、8回目の打ち合わせで第1段階審査でいただいた指摘への対応をし、9回目の打ち合わせで第2段階審査の準備として改めてベースラインの見直しを行いました。
— LRMとのコミュニケーションは、オフィスでの打ち合わせだけですか。
オフィスでの打ち合わせの他に、メールや電話を使った相談もしました。マニュアルの中身、現場から寄せられた質問に対する回答などの相談です。吉村さんにメールで問い合わせると、ほぼ確実にその日のうちには返信がありました。期間中に送受信したメールの数は140通を超えています。
– 社員教育はどのように行いましたか。
まずLRMが開発した、セキュリティ教育クラウド「セキュリオ」を活用し、ISMSの基本を習得しました。
次に全社員を集めた会議を開き、LRMと一緒に作成したマニュアルをもとに、弊社の業務の中で特に重要なポイントを説明しました。
「セキュリオ」の活用について
今回、従業員教育のために使った「セキュリオ」はリリースされたばかりで、「最初だから意見が欲しい」と言われてモニター対応する形で使用しました。特に問題なく使用しましたが、いくつか意見はお伝えしました。例えば、新しいテストを追加した際、ユーザーに通知が届く機能が欲しいといった点です。
eラーニングのメリットは、(1)各自のタイミングで受講できる、(2)受講履歴が記録できる、などです。
ISMSを維持するには継続して従業員教育を行う必要があるので、認証取得後も、改めて「セキュリオ」を契約しました。まずは10アカウントからスタートし、ISMS事務局メンバーでテスト運用しています。新規取得時の教材はまだ1種類のみでしたが、順次増えていますので、弊社に合いそうな教材を見つけて試しながら、今後、全社導入するかどうかを見極めていきたいと考えています。
— 内部監査はいかがでしたか。
内部監査も吉村さんに大阪、東京、両拠点で監査員を務めてもらいました。目が届く範囲は対応できているつもりでしたが、外部の視点でチェックしてもらったことで、自分たちでは気づかない部分があることがわかりました。内部監査員を代行してもらったことで、より深く、細部まで見直す効果がありました。また、社外の方にチェックされる意識が働くことで、社員が監査日に向けてルールの再確認を行うという効果もありました。
— 審査結果はいかがでしたか。
大きな問題はありませんでした。
審査では、第1段階審査、第2段階審査、それぞれ異なる審査員の方が来られて、それぞれから新しい指摘がありました。ISO27001という規格は1つでも、人が変われば視点も変わります。それぞれの視点からより効果的なマネジメントシステムにしていくためのアドバイスをいただいたことで、視野を広げることが出来たと感じています。
— 全体を通して、ご苦労されたことはありましたか。
全体的に負担を感じるようなこともなく準備を進めることが出来ました。社内も協力的で、決めたルールを現場に落とし込む際は、抵抗されるようなことはありませんでした。反対に、現場の視点から改善案も寄せられました。そのたびに吉村さんに調整してもらい、より実態に即したルール構築が出来ました。
そんな中で、事務局として意識したことは、全体スケジュールやステータスの把握です。LRMに任せっきりにするのではなく、自分たちなりに把握した上で進めていきました。
手間を増やさずにセキュリティレベルを高めることに成功
外部からの評判が良かった
ことがLRMを選定する決め手となりました
(営業グループ 主任・辻雅之氏)
— マネジメントシステム構築前と構築後で、業務手順や管理方法など変わった点はありますか。
これまでと大きく変わった点はありません。
基本的に現在の業務には極力手を加えず、手間を増やさずにセキュリティレベルを高めるという方針を掲げ、その方針通りのマネジメントシステムが構築できました。
従業員全体の業務に関して追加したルールは、離席時にPCの画面にロックすること、PCのログインパスワードを8桁以上にすることがあります。また、プロジェクト終了時にバックアップを取るメディアを統一するなどしました。従業員全体の業務ルールとして変わった点はこれくらいで、そのほか現場の負担が重くなるようなルールは追加していません。管理面でのルールは、PCのアカウントについて、退職者や新しく入社した人をきちんと把握することが新しく加わりました。もともと社内の管理はしっかりやってきたので、今回は、これまで積み上げてきたことを整理した程度の変更しか加えていません。
— ISMS認証取得の成果をお話しください。
これまで独自に構築してきたルールは、1つ1つが点として存在していました。しかし、ISOの規格を通すことでそれらが線で繋がった体系的なルールとなり、会社としての基盤を構築することが出来ました。
それは、ISO27001という規格の要求事項に対し、吉村さんが弊社の実情を念頭に、必要なものと不要なものをしっかり仕訳けして整理してくれた成果だと考えています。それを判断できない人がルールを作ると、規格に書かれている、本来であれば自社には必要のない事項までマニュアルに追加してしまうというような事態が発生します。そうなればセキュリティ効果に比べて、負担の方が大きくなり、無駄なコストを払うことになってしまいます。今回は、そうはならずに済みました。
また、ISMS認証取得に取り組んだことで、社員の情報セキュリティに対する意識は飛躍的に向上しました。
例えばお客様からお預かりしたデータの取り扱いに対する意識が劇的に変わりました。また、情報の取り扱いについて新たな疑問が生まれると、その場でグループ内で議論が始まり解決する習慣が生まれました。社員の情報セキュリティマネジメントに対する考え方が大きく変わった実感を持っています。
余計な緊張感を持つことなく、自然体で相談できるコンサルタント
— LRMのコンサルティングを受けたご感想をお話しください。
とてもやりやすかったです。LRMのホームページにはコンサルタントの紹介ページがあります。吉村さんの紹介欄を読むと、LRMの中でも社長に次いで豊富な経験を持っておられる方です。そして紹介文を読む限りでは「非常に厳格なコンサルタント」という印象がありました。しかし、実際に担当していただくと、弊社に合わせて柔軟に対応してくれますし、緊張をほぐすようなトークもありました。吉村さんはISMS事務局のメンバーと年代が近く、プライベートの面でも子供のことなど共通の話題があり、自然に和やかな雑談の時間も増えました。打ち合わせの場は、余計な緊張をする必要がなく、非常にやりやすい雰囲気がありました。
コンサルティングサービスは、専門家に相談に乗ってもらうために契約するものです。しかし、あまりにも敷居が低すぎてなれ合いの関係になってしまうと、本質的に求めている助言がいただけなくなる可能性があります。また、能力的に尊敬や信頼が出来ない方では相談する気にはなれません。反対に能力があっても、尊大に振る舞う方だと、こちらは「こんなことは質問してはいけない、自分で考えなければダメだ」と萎縮してしまいます。
そのような関係性の中ではコンサルティングサービスの価値を最大限に享受することができません。吉村さんはそのいずれでもなく、自然体で相談することができました。非常にバランスの良いコンサルタントだったと考えています。
世代が近く共通の話題が多かったので、雑談で盛り上がることもありました
(左;辻氏、中;菊池氏 ※右は弊社吉村)
運用改善サポートサービス『情報セキュリティ倶楽部』契約の理由
— ISMSの運用改善サービス『情報セキュリティ倶楽部』を契約した理由をお話し下さい。
当初は取得後のサポートは不要だと考えていました。しかしコンサルティングを受けて認証を取得する過程で、継続してPDCAを回すことが重要であることを実感しました。
今後、継続的に運用していく中で、想定していない問題が発生することは十分に予測できます。その時に頼れる相談相手がいれば安心です。LRMには、これからも柔軟なサポートを期待しています。
株式会社ハイドロソフト技術研究所様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社ハイドロソフト技術研究所様の Webサイト
※ 取材日時 2017年7月
- 情報処理サービス
- コンサルティング・士業
- 建設・不動産
- 従業員のセキュリティ意識向上(外国籍含む)
- 短期取得
- 50~199名
- 大阪
- 複数拠点