株式会社インターファクトリー 様 – 顧客事例 –
株式会社インターファクトリーは、自社が提供するクラウドコマースソリューション『えびすマート』の対外的信用の向上を目指し、ISMS/ISO27001認証の新規取得を行いました。コンサルティング会社選定の経緯やルール構築にあたって意図したこと、さらに取り組みの成果などについて、情報システム部 部長・隅本晃司氏にお話しを伺いました。
記事index
(株式会社インターファクトリーについて)
株式会社インターファクトリーは、クラウドコマースソリューション『えびすマート』の開発・提供を行っている。『えびすマート』の最大の特徴は、顧客の要望に合わせてシステムを自由にカスタマイズ出来ることである。導入企業が既に運用している基幹システムや倉庫システム、店舗システムなど外部システムとの連携が出来る他、キャンペーンやバーゲン、新商品発売日など、通常よりも大量のアクセスが見込まれる場合のサーバー増設などにも対応する。また、SaaS型であるため全ユーザーが常に最新バージョンのシステムを使うことが出来ることも大きなメリットである。リアルなビジネス展開で成功を収めている大手企業(アパレルやゲームなどBtoCの物販業の他、サービス業や産業資材メーカーなどBtoB企業に至るまで幅広い業種にまたがる)を中心に導入が進む。2014年末にリリースしたVer.4では、APIを備え、より自由度が高くなっており、サービス拡大のスピードにも拍車をかけている。
設立;2003年。所在地;東京都千代田区。従業員数;約90名(2015年10月現在)。
ISMS/ISO27001認証新規取得コンサルティングを依頼
– LRMへのご依頼内容をお話下さい。
弊社は、2014年12月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
コンサルティングは2015年1月の年始にスタートし、同年8月に認証取得が完了しました。LRMの担当者は吉村さんです。もともと運用していたプライバシーマーク(以下、Pマーク)のルールを活かし、無理なくPDCAサイクルを回し、きちんと情報を管理出来る仕組みが構築出来ました。LRMに依頼して良かったと考えています。
自社サービスの対外的な信頼を高めるためにISMS/ISO27001認証を取得
ユーザー企業のニーズに柔軟に対応できることが最大の特徴の『えびすマート』。2010年1月の提供開始以来、導入サイトは累計315を超えた。
– ISMS認証を取得した理由をお話下さい。
弊社がISMS認証を取得した理由は、自社サービス『えびすマート』の対外的な信頼を高めるためです。
『えびすマート』のサービスが成長するにつれて、サービスを開発・提供するための作業手順や環境などに関するセキュリティ体制を確立し、その体制のもとで提供しているサービスであることを証明する必要性に迫られました。例えば営業活動の中でお客様からセキュリティ体制を問われることはよくあります。
ISMS認証を取得していればそれで済みますが、認証がなければセキュリティチェックシートに回答する必要があります。また、セキュリティチェックシートに回答しても、改めて説明を求められるケースや、要件が不足していると判断されて導入を見送られるケースも少なくはありませんでした。
– 御社はPマークも取得されていますね。
弊社は2012年にPマークを取得しました。しかしPマークは個人情報保護が目的です。ISMSを要件にするお客様は、個人情報にとどまらない情報資産全般を対象とするセキュリティ体制を求めていますので、Pマークだけではそのニーズを満たせません。特に大手企業はISMS認証を取得している場合が多いので、要求レベルも高くなります。
直接取引する会社ではなく、親会社が要求して来ることもあり、商談の最終局面で受注出来ないこともありました。セキュリティ体制を問われた際の対応を簡略化し機会損失に繋がる要因を排除することは、経営上の課題となっていたため、ISMS認証の早期取得を目指しました。
– 認証の適用範囲を教えて下さい。
認証の適用範囲は『えびすマート』事業です。コンサルティングが始まった際に、吉村さんと相談して決めました。理由は『えびすマート』の対外的な信頼を高めることが認証取得の目的であるためです。
ただし、表現上は『えびすマート』という1つの事業ですが、弊社の社員は全員『えびすマート』に携わっているため実質的には全社をカバーできます。
LRM選定の理由は、コンサルティング実績と審査に詳しいこと
「LRMの話を聞いて、より具体的にISMSをイメージ出来たことが選定の決め手となりました」
情報システム部 部長 隅本晃司氏
– 認証取得に向けて最初に行ったことは何ですか。
コンサルティング会社の選定です。ISMS認証取得を社内で決定した際の認識は「ISMSとは、Pマークと似たようなもので、より対象が広い」というぐらいで、取得までの手順も知りませんでした。インターネットで調べても明確に把握できない情況に変わりはなく、可能な限り早期に取得したいという意向もあったので、専門家のサポートを受けながら準備を進めることとなりました。
– コンサルティング会社の選定はどのようにして行いましたか。
LRMは弊社サービスのユーザー企業です。それきっかけで、代表の幸松さんには、Pマーク取得を検討し始めた頃に1度相談したことがありました。そのような経緯もあって、今回も最初に声をかけました。ただ、具体的に動き始めるにあたっては、より広く情報を収集する必要があると考え、他社の話も聞きました。
– 委託先を選定するために重視したポイントをお話下さい。
ISMSの取得について調べる中で、信用調査会社系のコンサルティング会社など数社をピックアップしました。
LRMを選定した理由は2点あります。(1)コンサルティング実績、(2)審査に詳しい、です。
(1)コンサルティング実績
LRMのISMS認証取得コンサルティングのホームページを見ると、サポート件数が多く、顧客事例も充実していたため、より確実なサポートが受けられると期待しました。
(2)審査に詳しい
LRMの社長は、ISMS認証の審査会社BSIの審査員として活動していました。審査準備や対応についてもきめの細かいサポートが受けられると期待しました。
この時点で、ほぼLRMに決定していましたが、実際にご説明に来ていただいて、取得までに私達自身がいつまでに何をしなければいけないのか、手順やスケジュールについて、より具体的で明確なイメージが持てたことが決め手となり、正式に依頼しました。
ISMS/ISO27001新規認証取得までの経緯
– 認証取得に向けた準備はどのような体制で行いましたか。
ISMS委員会を組織し、その委員会メンバーが中心となり、チームリーダーを巻き込んで取得準備を進めました。ISMS委員会のメンバーは、インフラチームから1名、クオリティマネージメントチームから1名を選出しました。
チームリーダーは社内各部署に全部で11名います。
– 認証取得期限は予め定めていましたか。
コンサルティングのスタートが1月だったので、夏前の取得が現実的な期限だと考え、吉村さんにもそのようなスケジュールを組んでもらいました。8月に伸びたのは審査日を調整した結果です。ルール構築や教育、内部監査など主な進行はほぼスケジュール通りに行きましたが、審査日を調整した結果7月に行うこととなり、8月の認証取得となりました。
– 認証取得の準備はどのように進みましたか。
認証の適用範囲を決めた後、次の通りに進みました。
1月中旬~3月上旬:現状把握
ISMS委員会メンバー同席の上で吉村さんに各チームリーダーへのヒアリングを行い、各部署の業務内容や各業務に潜むリスクを把握して行きました。
3月中旬~4月上旬:ベースラインリスク分析とマニュアル作成
現状把握に基づいて、ISMSの詳細管理策114項目の検討を行いながらルールを決め、吉村さんがマニュアルにまとめていきました。
4月中旬~ゴールデンウィーク明け:文書類完成・従業員教育
4月中旬頃に審査に必要な文書類が完成した後、従業員教育を行いました。吉村さんにいただいた教育資料をアレンジしてメールで配布し、Googleサイトでテストページを作って回答してもらいました。オンライン教育としたのは、回答結果を記録するためです。
5月上旬:内部監査
内部監査は、LRMによる内部監査員研修を経て行いました。委員会メンバーとシステム系のチームリーダー5名が監査員を務めました。リーダーに関わってもらうことで、リーダー層のセキュリティ意識や関心が高まることを狙いました。
内部監査の後、マネジメントレビューを経て、6月上旬の一次審査(文書審査)、7月上旬の二次審査(現地審査)と進みました。現地審査ではリスク分析の方法に関する指摘を受けた他、細かい観察事項がありましたが、審査後に吉村さんと連絡を取り合いながら、リスク分析方法の改善、その他観察事項の微修正を行い、2回目の提出で審査を終えることが出来ました。
既存のルールを活かし、正しい手順で業務を行うための基盤を構築
2015年8月、認証取得を完了。
– ISMSの構築にあたって、意図したことはありますか。
ISMS構築において弊社が意図したことは、既存のルールを活かしつつ、正しい手順で業務を行うための基盤作りです。
弊社は設立以来、スピード重視で業務を進めて来ました。しかし自社サービスの成長に伴い、そのような状況に対する反省が生まれて来ました。特にISMS認証取得の準備を始めた当時、弊社は、上場を視野に入れた内部統制や内部監査に取り組んでおり、今回ISMS認証取得に関わったリーダー層はそれらの取り組みにも関わっていたため、意識がより高まっているところでした。そのためISMS構築においてもスピード重視ではなく、きちんとした手順で情報を扱いながら業務を進められる基盤を作ろうという共通認識のもとで取り組み始めました。
しかし、最初からハードルを上げ過ぎると、かえって運用の妨げとなります。そこで既にあるルールを出来るだけ活かして、現実的で無理のないマネジメントシステムを構築したいと考えました。既にあるルールとは、Pマークのルールです。
– Pマークのルールを活かしたISMS構築とは、具体的にはどのような方法で行うのですか。
ISMSの骨格はベースライン分析の工程で出来上がります。今回は、このベースライン分析を、Pマークのマニュアルをベースにして、そこにISMSの詳細管理策114項目を盛り込む形で進めました。
– その工程で特に苦労したことがあればお話し下さい。
ほとんど苦労はありませんでした。今回は無理のないマネジメントシステムの構築を意図していたので、従来の業務手順を大きく変えるようなルールは導入していません。新たに加わったルールは、ISMSが要求する最低限のルールだけだったので、判断に迷ったり、社内で確認を取ったりする必要はありませんでした。また、1項目ずつ吉村さんの質問に答えながら決めて、それをマニュアルに落とし込む作業も吉村さんが行ったので、我々がやったことは確認作業位で、ほとんど負担はかかっていません。
– 新たに加えた、ISMSが要求する最低限のルールとはどのようなものですか。
現場の業務に関わる部分では、メールの添付ファイルをZIP圧縮して送ることぐらいです。管理者側の作業としては、社内のIT機器類の整理や無停電電源装置の導入、NASのバックアップルールの策定などを行っています。
また、ISMS認証取得を決める以前から取り組もうとしていたメール共有ツールの利用に関するルールなどもこの機会に決め、ISMSのマニュアルに加えました。
– ISMS認証取得を通じて、社内に何らかの変化はありましたか。
会社全体の情報セキュリティに対する意識は向上しました。まずはリーダー層が現状把握や内部監査に関わったことで、リーダー層の情報セキュリティに対してより関心を持つようになりました。また、現場から改善案の声が上がるようになるなど、リーダー層だけではなく、一般社員の意識も少しずつ変化している実感があります。
徹底したヒアリングなど、型にはまらないLRMの対応
– LRMへのご評価をお話し下さい。
LRMのISMS認証取得コンサルティングは期待した通りでした。ほぼスケジュール通りに、問題なく取得することが出来ましたし、徹底的なヒアリングによって社内の状況をしっかり把握していただいた上でISMSを構築していただきました。
今回、マネジメントシステムを構築する上で特に重要だと感じたことは、現状把握で吉村さんがチームリーダー1人1人にじっくり時間をかけてヒアリングしてくれたことです。それによって、これまで漠然と「危うい」と感じていたことを明確にリスクとして認識出来るようになりました。そして明確にリスクを認識できたことが、ベースラインの検討をスムーズに行えたことにも繋がったと考えています。
他社を知らないので比較対象はありませんが、少なくとも型にはまったような対応をされた印象は全くありません。弊社の実情に配慮したマネジメントシステムを構築していただいたと感じました。LRMを選んで間違いはありませんでした。
その内容を把握しつつ、会社の実情に合わせてルールに取り込むことで既存のルールを活かし、ISMSを構築していくことで取得に向けた現場負担を軽減出来ました。
今後のビジョン
– 今後のビジョンをお話し下さい。
今回、LRMと一緒に現状把握やリスク分析を行い、ルールを明確にしたことで、正しい手順で業務を回していくためのベースが完成しました。営業面でも積極的に攻めていける条件が整いました。しかも、PマークとISMSの重複する範囲のルールを共通化できたため、運用負担は最小限に抑えられます。今後は自社サービス『えびすマート』の成長とともに、会社の規模も拡大していくことが見込まれるため、この仕組みをベースに段階的にセキュリティレベルを上げていくことが課題となります。
そこで心配なことは、ISMSを運用し続ける中で、改善を繰り返すことで実態とマネジメントルールが乖離してしまうことです。そうならないためにもしっかり運用していきたいとは考えていますが、自分たちだけでは解決できない課題も発生するでしょう。その時には改めてLRMに相談したいと考えています。
株式会社インターファクトリー様、お忙しい中有り難うございました。※右;弊社 吉村
- クラウドサービス(SaaS)開発・提供
- ISMS/Pマークのルール統一
- 既存の社内規程/文書類を活かす
- 50~199名
- 東京
- 複数拠点