株式会社イノベーションネクスト様 – 顧客事例 –
2016年頃から注目を浴び始めているRPAソリューションの外販に力を入れる株式会社イノベーションネクストは、2017年12月下旬LRMのサポートを受けISMS/ISO27001認証を取得しました。ISMS/ISO27001認証を取得した理由、認証取得におけるコンサルティング会社の存在理由などについて、システムソリューション事業部 事業部長・松村栄氏、同事業部・西城奈々氏にお話を伺いました。
記事index
(株式会社イノベーションネクストについて)
総合人材サービスを主事業とするCRGグループのIT部門として、グループ全体の基幹システムの開発・運用・保守を担う。2017年にはこれまでの事業で蓄積したノウハウを生かし、外部向けのソリューション提供を開始。主軸サービスはRPA(ロボティックプロセスオートメーション)ソリューション『RooPA』。RPAテクノロジーは、ルールエンジン・機械学習・人工知能などの認知技術を活用し、主にホワイトカラーの業務自動化・効率化を図るシステムとして2016年頃から注目され始めている技術である。同社が提供する『RooPA』も、現在人材会社やコールセンターを中心に順調に導入が進んでいる。この他人材派遣会社向けの勤怠ソリューション『P.i.T勤怠』をリリース。いずれもホワイトカラーの業務効率化・自動化促進を目的としたソリューションであり、今後はグループ向けのITソリューション事業に次ぐ柱として発展させる計画である。
設立;2011年3月。本社;東京都新宿区。
ISMS/ISO27001認証新規取得&運用保守コンサルティングを依頼
— LRMへのご依頼内容をお話し下さい。
弊社は2017年6月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。同時に認証取得後の運用を見据えて、ISMS運用改善サポート『情報セキュリティ倶楽部』も契約しました。
LRMの担当者・井崎さんのサポートを受けて準備を進め、当初の予定通り12月末にISMS認証を取得しました。年明けからは早速LRMのサポートを受けながら審査の指摘事項への対応に取り組み始めています。
社内統制と信用力強化を目的としてISMS/ISO27001認証を取得
— ISMS認証取得の目的をお話し下さい。
ISMS認証取得の目的は、自社サービスを本格展開するための環境整備です。弊社はシステム会社からスタートした会社ではなく、もともとはCRMや人材派遣業などを軸に発展してきた会社です。幾度かの再編を経て、数年前にシステムを担う会社へと変わりました。自社サービス『RooPA』『P.i.T勤怠』は2017年に立ち上げ、外販に注力しはじめたばかりです。今後外部を対象としたITソリューションプロバイダとして事業を展開するには以下の2つの課題がありました。
(1)社内統制
ISMS認証取得を決めた当時は、まだシステム開発や運用などの業務を進めるための体系的な社内ルールは確立されていませんでした。個々の社員は業界経験者で、情報セキュリティに対する意識は持っていますが、明文化された社内統一ルールは存在しませんでした。しかし自社サービス開始以降、社員数が急激に増加しているため、統一ルールの構築が必要となりました。そこで第三者機関の認証制度を活用して統一ルールを構築することにしました。情報セキュリティ分野における第三者機関の認証制度にはプライバシーマーク(以下、Pマーク)もありますが、弊社の事業内容を勘案し、より広範囲の情報資産を対象として企業の成熟度に応じたマネジメントシステムを構築できるISMS認証を選択しました。
(2)社外からの信用力強化
弊社はグループとして見れば派遣業界でゆるぎないポジションを築いています。しかしイノベーションネクスト単体で、しかも外部に向けたソリューションプロバイダとして見れば、小規模なスタートアップです。スタートアップがお客様にサービスを提供するには、安全・安心を訴求する必要があります。そのためにはISMS認証取得が有効であると考えました。
特に今回は弊社代表の伊藤が強い危機感を持ち、ISMS事務局に加わり積極的に関与しました。今後自社サービスを本格化していけばお客様の情報を直接取り扱う場面が増えて来ます。そこで重大なインシデントを起こしてしまえば、事業運営に支障を来たします。当初はISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証取得も視野に入れていましたが、LRMの井崎さんのアドバイスもあり、まずは最低限のところから着手することとし、ISMS認証のみを取得することになりました。
— その時点でISMS認証新規取得後の運用保守サービス『情報セキュリティ倶楽部』の契約まで決めた理由をお話し下さい。
ISMS認証取得の1つの目的は社内統制ですが、社内統一ルールを構築するだけでは効果がありません。そのルールを運用する個々の社員に情報セキュリティ意識を定着させる必要があります。会社の規模が拡大中ということもあり、ISMS認証取得後の運用においてもコンサルティング会社のサポートは必要であると考えました。
LRMのアドバイスをもとに現場やグループ会社と調整を重ねドキュメントを完成
「『Backlog』やメーリングリストなどのツールも活用して円滑なプロジェクト運営ができました」
(システムソリューション事業部・西城奈々氏)
— ISMS認証取得の期限は決めていましたか。
区切り良く2017年内の取得を目指しました。親会社に対する事業報告の中でもISMS認証の年内取得を盛りこんでいたため、この期限を厳守できるよう取り組みました。
— ISMS認証取得に向けた準備はどのように進みましたか。
LRMが作成したスケジュールに沿って、ドキュメント作成や従業員教育、内部監査など、順を追ってISMS認証取得に必要な作業に取り組みました。ISMS事務局メンバーを含め社内にはISMS認証取得の経験を持つ者はいませんでしたが、LRMにサポートしていただいたため、無事に取得することが出来ました。
— プロジェクト管理はどのような方法で行ったのですか。
プロジェクト管理には弊社が日常的に開発の管理で使っているプロジェクト管理ツール『Backlog』を活用しました。ISMS事務局と井崎さんでプロジェクトを作り、課題やタスクを管理していきました。
また社内で課題やタスクに取り組む上での相談や質問など、井崎さんとの連絡にはメーリングリストを活用しました。これらのツールを使うことでプロジェクトをスムーズに進行することが出来ました。
— 社内で取り組んだ課題やタスクとはどのようなものですか。
情報セキュリティマニュアル、情報資産台帳、ネットワーク図、データ構成図などのドキュメント作成です。LRMとの打ち合わせの場では決められないことが多かったので、LRMにアドバイスをいただいた上で各サービスの担当者や親会社と話し合いながら決めて行きました。
弊社の開発チームはグループ向けの基幹システム、『RooPA』、『P.i.T勤怠』の3つのチームに分かれています。明文化された社内ルールが確立していなかったとは言え、チームごとにある程度の手順は決まりつつありました。そこへ外部の規格を導入するには、それぞれの開発現場との調整が必要でした。
また、弊社が使っているパソコンやソフトウェアなどのインフラは親会社の資産です。人事総務系のリソースも親会社の管理部門が担っています。そのためISMSのルールを決めるにあたっては、親会社が定めるルールとの整合性を保つ必要がありました。
社内や親会社と相談した上で作成したドキュメント類は、次回の打ち合わせの場や『Backlog』の中で井崎さんに確認してもらい、必要に応じて修正を加えて行きました。
— 情報セキュリティマニュアルの作成はどのように行ったのですか。
LRMが用意したひな形を弊社の実態に合わせてカスタマイズして完成させました。井崎さんと週1回の頻度で2時間ぐらいの打ち合わせを行い、ひな形の読み合わせをして、どういう内容にするか、どこまでの規定レベルにするかなどを検討し、弊社で必要な項目を埋めていきました。
— ドキュメント類が揃ったのはいつ頃ですか。
10月半ばです。その後、従業員教育、内部監査へと進みました。
— 従業員教育はどのような方法で行いましたか。
全社説明会とeラーニングで行いました。
全社説明会では、LRMと一緒に作成した情報セキュリティマニュアルの説明と、ISMS認証取得に向けた段取りの説明を行いました。また開発チームごとに、内部監査と審査におけるインタビュー担当者を選出しました。
eラーニングは、LRMが提供するセキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用しました。
「ISMS認証取得後も『セキュリオ』を活用しています」
— 従業員教育でeラーニングを活用するメリットをお話し下さい。
弊社は集合研修も不可能な規模ではありませんが、開発チームごとに開発タスクやスケジュールがバラバラなので、社員を一斉に集めて研修を実施する時間は簡単に確保できません。eラーニングは各チームの都合の良いタイミングで実施できます。今回のISMS認証取得においても『セキュリオ』を活用することで従業員教育を効率的に行うことが出来ました。ISMS認証取得後も『情報セキュリティ倶楽部』と併せて契約し、早速活用しています。
— 内部監査はどうされましたか。
内部監査はLRMに内部監査員代行をお願いして実施しました。審査の際にインタビューを受ける各開発チームの担当者もISMS事務局メンバーも、いきなり審査を迎えることには不安がありました。内部監査員を代行していただいたことで内部監査が審査の予行練習となり、余裕を持って審査を迎えることが出来ました。
— 審査結果はいかがでしたか。
いくつか改善の機会をいただきましたが不適合はなく、予定通り2017年12月中にISMS認証を取得することが出来ました。
最小限の運用負担で済むマネジメントシステムを構築
「LRMは我々が取り組みやすいよう柔軟にサポートしてくれました」
(システムソリューション事業部 事業部長・松村栄氏)
— ISMS認証取得にあたり、意識されたことはありましたか。
今回ISMS認証取得にあたって意識したことは、最小限の運用負担で済むマネジメントシステムを構築することです。自社の現状に合わないルールを導入すれば、それだけ管理するためのリソースが必要になります。運用負担を最小限に抑えられるようLRMと相談し、アドバイスを参考にしながら準備を進めました。その結果、業務手順を変えたり新しいルールを設けたりせずに最小限のマネジメントシステムを構築することができました。
— ハード面に関しては特別に投資をして整備されたことはありませんでしたか。
グループ内の基幹システムの開発で使っているステージング環境に鍵付きのサーバーラックを導入し、ノートパソコンをつなぐワイヤーを購入しただけです。それ以上の投資はしていません。
— ISMS認証取得をしたことによる社内の変化は他にありましたか。
ISMS認証の取得によりルールが明文化されたことで、システム開発会社としての体制作りは出来ました。また社員全員の名刺にISMS認証のマークを印刷したことは、これまで以上に社員の情報セキュリティ意識を高めることに繋がっています。
ISMS/ISO27001認証取得におけるコンサルティング会社の存在理由
— 今回のISMS認証取得を振り返られて、コンサルタントが果たした役割とはどういったものでしたか。
自動車運転免許に例えると、教習所のようなものだと感じました。自動車運転免許は頑張れば一発試験でも取れるかもしれません。しかしそれは簡単ではありません。筆記試験の対策はテキストの読み込みである程度可能ですが、技能試験は普通の環境だと対策は困難です。教習メニューに従って1つ1つステップを踏んで行かなければ、ルールを守って公道を走れるようにはなりません。
ISMS認証も同様です。認証取得のために何を用意しなければいけないか、どのような順番で用意していくのかなど、踏まなければいけないステップは素人には分かりません。コンサルティングを受けずにISMS認証を取得することが果たしてできるのかどうかは疑問です。
— ひな形さえあれば自分たちで準備ができるというものではないのですね。
もちろんです。ひな形だけ渡されても出来るわけがありません。どこに何が書かれているのか、自社に置き換えた時にそのままで良いのか、自社の状況に合わせてどこまで書き換えて良いのかといった判断は、やはり専門家のサポートがなければ出来ません。アドバイスをもとに自社で書き換えた後も、その内容をチェックしてもらう必要があります。
また用意しなければいけないのは情報セキュリティマニュアルだけではありません。例えば情報資産台帳の作成でも、情報資産として何をリストアップするかといったことは、井崎さんに相談しなければ決められませんでした。
— LRMにコンサルティングを依頼して良かった点をお話し下さい。
LRMには、我々が取り組みやすいようにサポートしていただいたと感じています。特にドキュメント作成においては、必ずこうしなければいけないという杓子定規なところはなく、弊社の状態や状況をよく理解した上で柔軟な対応をしていただきました。他社の事例を交えたアドバイスも非常に参考になりました。
ISMS事務局の松村は過去に在籍していた会社でPマークの取得に携わった経験があります。Pマークは定められたことを全てやらなければいけない認証制度である上に、その時に契約したコンサルティング会社は宿題を出すだけでフォローは一切してくれませんでした。膨大な量のドキュメントを作成しなければならず、非常に大変な思いをしました。
ISMS認証でも同じことをするのかと思っていましたが、作成するドキュメントも必要最低限で済みました。LRMにリードしてもらったことで、認証取得のためにかけた負担も最小限に抑えることが出来ました。
「3年後の更新の際にはまたしっかりとサポートしていただくことになるでしょう」
(左から;西城氏、松村氏)※右は弊社井崎
今後の課題とLRMへの期待
— 今後の課題をお話し下さい。
今回のISMS認証取得では最低限のレベルに抑えてマネジメントシステムを構築しました。今後は今回構築したマネジメントシステムをベースに、よりセキュリティレベルを高めて行くことが課題となります。必要以上に現場を縛ることはできませんが、事業が大きくなれば人数も増えます。そうなると、何が起こるか予測できません。社内の機密情報や顧客情報の漏えい・改竄といったインシデントを防ぐには、ガバナンスの強化や教育体制の確立が必要です。規模に応じてマネジメントシステムを改善していきたいと考えています。
— ISMSの運用改善サポート『情報セキュリティ倶楽部』ではどのようなサポートを受けていますか。
現在はISMS運用に関するメール相談に対応していただいています。ISMS認証取得後の年明けには早速審査時の指摘事項を整理してもらい『Backlog』にタスクとしてアップしてもらいました。またISMS認証取得を決めた当時と比べて社内のリソースが充実してきたので、今回見送ったISMSクラウドセキュリティ認証の取得も改めて相談したいと考えています。さらに3年後にはISMS認証の更新審査があります。その頃には規模がいっそう拡大し、状況も大きく変わっているはずです。更新審査に向けた準備ではメール相談だけではなく、運用状況のチェックをはじめ、しっかりとサポートをしていただくことになるでしょう。これからも柔軟なサポートをよろしくお願いいたします。
株式会社イノベーションネクスト様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。
※ 株式会社イノベーションネクスト様のWEBサイト
※ 取材日時 2018年2月
- システム開発・運用
- 社内の運用を変えない
- 50名未満
- 東京
- 複数拠点