株式会社インフランディング 様 – 顧客事例 –
株式会社インフランディングは、2014年11月、LRMにISMS/ISO27001認証新規取得コンサルティングを依頼しました。社員全員が客先に常駐するエンジニアという状況で、いかに認証取得を完了させたのか、ITソリューショングループマネージャー・高橋和也氏、同ネットワークエンジニア・伊藤竜太氏に話を伺いました。
記事index
(株式会社インフランディングについて)
株式会社インフランディングは、ネットワークシステム、サーバーインフラシステムなど、ITインフラシステム全般の設計、構築運用支援を行う会社である。
少数精鋭の体制を維持しながら、大手システムインテグレーターの構内受託を主業務とし、ミッションクリティカルな案件で、多数の実績を築いている。顧客調整から要件定義、RFP対応、基本設計、詳細設計、構築、試験、導入までワンストップで対応できることが強みだ。
本社;東京都世田谷区。設立;2006年。従業員数;14名(2015年10月現在)。
LRMにISMS/ISO27001認証新規取得コンサルティングを依頼
– LRMへの依頼内容を教えてください。
弊社は、2014年11月、LRMにISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。
LRMの担当者は幸松さんです。11月からミーティングを重ねて、2015年8月に審査対応を終え、9月に認証を取得しました。
弊社は社員全員が客先に常駐するエンジニアです。今回、認証取得の準備に携わったのは高橋、伊藤、代表の石川の3名ですが、石川以外の2人も普段は開発現場で仕事をしています。そのため繁忙期である3月、4月は進捗がストップしましたが、その時期を除けばスムーズに取得できました。LRMのサポートのおかげです。
業容拡大に向けた体制整備を目的としてISMS/ISO27001認証を取得
「幸松さんは難解なISMSの規格をわかりやすく教えてくれました」
ITソリューショングループ ネットワークエンジニア 伊藤竜太氏
– ISMS認証取得の目的をお話下さい。
ISMS認証の取得目的は、業容拡大に向けた体制整備です。弊社はこれまで、客先常駐型の構内請負をメインにしながら堅実に事業を成長させてきましたが、近年は持ち帰りの受託案件など、打診される案件の幅が広がりました。客先常駐型の案件の場合は常駐先のルールに従って業務を進めれば良いのですが、より幅広いニーズに応えるには、お客様に安心して業務をお任せいただける開発体制の整備が必要です。弊社は、ITインフラシステムのセキュリティ技術に関しては専門分野ですが、情報を扱う上でのリスクマネジメントに関しては体系化したルールを設けていませんでした。そこで誰から見ても信頼できる規格に基づいたルールを構築する必要があると考え、ISMS認証を取得しました。
2014年春頃から検討し始めて、決算明けの10月から1年以内の取得を目標として準備を始めました。
– ISMS認証取得に向けてのご心配などはありませんでしたか。
ISMS認証取得にあたり弊社が心配していたことは、取得にかかる業務負担の度合いです。ISMS専属のスタッフを配属する社内リソースはないため、どれぐらいの負担がかかるのかという懸念はありました。
また、ISMSの規格に対してどこまで厳密なルール作りをすべきかの線引きも問題であると考えていました。
LRMにコンサルティングを依頼したのは、このような問題をクリアして、期限内に取得するためです。
ISMSについてのわかりやすい説明とIT業界に対する理解が決め手に
– コンサルティング会社の選定方法を教えてください。
まず、インターネット検索で数社ピックアップして見積もりをもらいました。しかしホームページと見積もりだけでは判断できないので、実際に会って話を聞くことにしました。
最初に連絡したのがLRMです。理由は、ホームページが最も洗練され、充実していたからです。
まずはLRMの話を聞いて、自社に合わないと判断したら他のコンサルティング会社に連絡しようと考えましたが、結局他社には連絡せずLRMに決めました。
– 選定の決め手となったポイントを教えてください。
選定の決め手は、わかりやすい説明でした。ISMSとはそもそも何か、どのような方法でコンサルティングしてくれるのか、どのような段取りで認証を取得するのか、といった説明がとてもわかりやすく、負担もそんなに重くなさそうだとイメージ出来たため、安心してお願いできました。どのような施策を打つ必要があるのか、ということも、弊社がイメージしやすい具体的な事例を挙げて説明してくれました。そのような説明から、幸松さんご自身がエンジニアの業務やIT業界についてきちんと理解していることが伝わってきました。
幸松さんの明るくて話しやすい人柄にも好感を持ちました。
– 見積もりも比較されたのですよね。
見積もり金額は、参考程度に見ただけです。金額よりも、弊社の規模にあったレベルのセキュリティ体制を築いて、確実に認証を取得することが大事だと考えていました。LRMに任せれば、それは実現できそうだと考えました。
予想以上に軽い負担でISMS認証取得を完了
「ルールを明文化し意識して実行することで、漏れがなくなりました」
ITソリューショングループ マネージャー 高橋和也氏
– ISMS認証取得は順調に進みましたか。
全体的に順調に進みました。11月から1月までの3か月間は月に2回ぐらいずつ幸松さんとミーティングを行って、情報資産の洗い出しから114項目の詳細管理策の検討を行いながらルールを決めていきました。ベースラインを決めた後、弊社の業務量がピークを迎える2月から3月は打ち合わせの時間が取れませんでしたが、それはコンサルティングがスタートする時から予測がついていましたので、あらかじめ幸松さんに伝えてスケジュールにも折り込んでもらっていました。
4月にミーティングを再開してLRMによる文書作成も完了し、その後、従業員教育、内部監査など、LRMのサポートを受けてスムーズに進み、無事に審査を迎えることが出来ました。
– 社員のみなさんが客先に常駐している中、従業員教育はどのように実施したのでしょうか。
従業員教育はeラーニングで実施しました。弊社の社員の常駐先は複数にまたがっており、全員が帰社できるタイミングを待っていたら時間がかかってしまうため、自宅でも行えるeラーニングを活用しました。
今回利用したのはLRMが提供する『LIXIS』という情報セキュリティに特化したeラ―ニングサービスです。
正式にリリースされる前ですが、LRMからの提案を受けて採用しました。パソコンでログインするとパワーポイントのテキストが用意されており、それをひと通り読んだ後にテストを行う仕組みです。操作も簡単で、わざわざ社員を集めずに実施出来たので良かったと思っています。弊社のように社員が複数の客先に常駐しており、一堂に会する機会が作りづらい会社にとっては良い仕組みです。ISMSの運用では従業員に対する教育を毎年行う必要があるので、正式にリリースされれば導入を検討したいと思います。
– 認証取得にあたって、皆さんが行った作業はどのようなことですか。
幸松さんと一緒に決めた施策を順次実行していきました。例えば、災害時における避難所の掲示、ノートパソコンの暗号化、サーバールームの整理(不要なサーバーの廃棄)、サーバーのバックアップ方法の検討、不採用者データの削除、個人所有のAndroidデバイスのウィルス対策などです。
– 特に苦労されたことはありますか。
これらの作業自体、特に苦労はしませんでした。最後まで業務に重い負担をかけずに取得することができました。
むしろ社内で行う作業は当初、予測していたよりも少ないと感じました。
認証取得に向けた準備の中での苦労をあえて挙げるとすれば、書類審査の準備で忙しい時期に社内サーバーが壊れて、対応に追われたことです。サーバーが故障した際の対応手順など事業継続計画(以下、BCP)のテストをする予定でしたが、実践の機会となりました。またBCPの中で当初は、サーバーのクラウド化を検討事項としていましたが、この故障をきっかけとして急遽、クラウド化を実施することになりました。そして、重要なデータはクラウドに移して、重要性の低いデータは新しく設置した物理サーバーに移しました。さらに、こういった対応に伴い、文書類も書き換えました。審査時期をずらさないようにこれらの作業を行ったことが唯一、ISMS認証取得に向けた準備の中で大変な出来事でした。
– 審査はいかがでしたか。
現地審査の前にLRMによる模擬審査を行い、準備万端で当日を迎え、当日も問題なく審査を終えることが出来ました。審査会社は、LRMの紹介を受けてBSIに依頼しました。審査員の対応は非常に丁寧で、監察事項と推奨事項がありましたが、それぞれ丁寧に説明していただきました。審査に対してはダメ出しをされるだけというイメージを持っていましたが、そうではなく、今後PDCAを回していく上で非常に勉強になりました。
業務の質を左右する情報セキュリティマネジメントの重要性を認識
– ISMS認証取得による成果をお話ください。
ISMS認証取得を通じて得た成果は、主に2点あります。
(1)業容拡大に向けた体制作り
弊社は今後の事業展開として、社内受託の割合を増やしていく計画です。将来的には常駐型と半々の割合に出来ればと考えています。ISMS認証を取得したことで、積極的に商談を進められる体制は整い、目的は達成できました。
(2)社員の意識向上
業務中に席を離れる際にはコンピュータをロックすることなど、従来何となく実行していたことを意識的に実行するようになりました。セキュリティが大事であることは、疑いようのないことです。しかし、なぜ大事なのかを、言語化して意識していなかったので、後回しにしてしまうこともありました。きちんとルールを明文化し、意識的に実行するようになったことで、漏れはなくなりました。
ISMSを意識するようになったことで、エンドユーザーに対する提案にも変化がありました。弊社はセキュリティと密接な関係の業務を行っていますが、認証取得を経て以前を振り返ってみると、従来は常駐先側の視点に寄った提案をしていたと感じます。常駐先のルールに従って業務を行っていることが1つの要因です。しかし、自社でISMSを構築したことで、よりエンドユーザー側の視点に立って課題に向き合えるようになりました。情報セキュリティマネジメントは、業務の質を左右する重要なものであるという認識を改めて強めました。
LRMに依頼して良かったと思う2つのポイント
– LRMへのご評価をお話下さい。
期待通り、軽微な負担で認証が取得できたことの他に、LRMに依頼して良かったと思うポイントは次の2点です。
(1)要点を抑えた話のわかりやすさ
ISMSの規格は、用語そのものも、なぜそのような規格になっているのかも難解です。しかし、幸松さんの要点を押さえた説明により、我々自身、規格の意味を理解しながら作業を進めることが出来ました。ISMSの担当者である私たちが規格の意味を理解できたことで、現場の社員に対してもしっかり説明することが出来ます。ISMSへの理解が深まったことが、意識向上やリスク削減につながっていると感じています。
(2)企業規模や業務内容に合わせたマネジメントシステムの構築
ISMSの詳細管理策は114項目ありますが、この項目はしっかり押さえなければいけない、この項目は重きを置かずにPDCAサイクルを回していく中で後々考えていけば良いと、弊社の規模と業務内容を考慮して項目ごとに重要度を判別しながらアドバイスをいただきました。それによって無理なく運用できるマネジメントシステムが構築できました。
「運用保守サポートもお願いしようと思っています。今後もLRMの豊富な実績に基づいたサポートに期待しています」
左;伊藤氏、中;高橋氏
今後のビジョンとLRMへの期待
– 今後のビジョン、または課題をお話ください。
お客様に積極的にアプローチできる体制は整ったので、今後の課題は取得目的であった業容拡大にしっかり結び付けていくことです。また、その課題をクリアすれば、業務内容が変わり、社員数も増えるでしょう。その際には、ISMSのマネジメントシステムもそれに合わせて改善する必要がありますので、PDCAサイクルを回して、しっかり運用し続けたいと考えています。そのため弊社はLRMの運用保守サポートサービス『情報セキュリティ倶楽部』を導入することを決定しました。
– 運用保守サービス『情報セキュリティ倶楽部』を導入する理由をお話下さい。
LRMの運用保守サービスに期待しているのは、認証の維持更新に向けた運用の相談と内部監査、法令の確認です。ISMS専任スタッフを配属できる規模ではないので、ISMS運用にかかる業務負担を極力削減して、営業や開発に支障が出ないようLRMのサポートを受けることにしました。実績が豊富で、事例も沢山持っているLRMに、これからも期待しています。
株式会社インフランディング様、お忙しい中、有り難うございました。
株式会社インフランディングのWebサイト
※ 取材日時 2015年10月
- ITインフラ支援
- 担当者の負担軽減
- 50名未満
- 東京
- 1拠点