株式会社アイティ総研様 – 顧客事例 –
株式会社アイティ総研は、SES業界のインフラとして急成長を遂げる情報メール解析サービス『Results.』の運用体制を整備するためにISMS/ISO27001認証を取得しました。認証取得に当たって目指したこと、その実現に向けてLRMが果たした役割などを、代表取締役社長・後藤浩二氏、執行役員 横浜事業所部長・三苫幸司氏のお二人に伺いました。
記事index
(株式会社 アイティ総研について)
東京、横浜の2拠点でSES事業を展開。2000年の設立以来、主として大手通信会社グループの研究系の子会社を顧客として、音声認識や音声合成の基礎研究および電話ネットワーク基盤の開発プロジェクトに従事している。その一方では2015年、独自にビッグデータの技術検証をスタート。そこで得た知見を生かして自社サービスの開発に着手し、2016年には情報メール解析サービス『Results.(リザルツ)』をリリースしている。『Results.』は、SES業界に従事する企業間でやりとりされる案件情報と技術者情報の分析を機械化するサービス。受注者、発注者の双方において、膨大な量のメールの中からそれぞれが必要とする情報を適正に抽出する作業を劇的に軽減させている。またメールに含まれる各種パラメータを自動的に集計して可視化することで、市況を客観的に把握することも可能。こういった利便性から口コミで業界内での認知度が上がり、大手SIerを中心に導入が進んでいる。今後は、情報メールの解析に留まらず、提案管理など新機能の追加を積極的に行う予定。SES業界のインフラを目指す。
本社;東京都品川区。設立;2000年1月。従業員数;約40名(2019年12月現在)。
LRMへのご依頼内容;ISMS/ISO27001認証取得コンサルティング
— LRMへのご依頼内容をお話しください。
株式会社 アイティ総研は2019年5月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。三崎さんと松原さんのお二人のサポートを受け、同年10月下旬、ISMS認証を取得しました。
— ISMS認証の適用範囲を教えて下さい。
認証範囲は自社サービスの情報メール解析サービス『Results.』の開発・運用業務です。東京本社、横浜事業所の2拠点が対象です。
ISMS/ISO27001認証取得の理由;『Results.』のサービス拡大を見据えた体制整備
— ISMS認証を取得した理由をお話し下さい。
弊社がISMS認証を取得した理由は、『Results.』の開発・運用業務における情報セキュリティ上のチェックポイントを作るためです。今後、『Results.』を継続的に提供し続ける上で、情報漏洩事故でも起こせば致命的なダメージを受けることになります。それを防ぐための体制作りはISMSがぴったりだと考えました。
『Results.』は膨大な情報を扱うクラウドサービスです。その膨大な情報の中には個人情報も大量に含まれます。プライバシーマーク(以下、Pマーク)も選択肢の1つではありますが、取得するならISMSだと決めていました。ISMSがPマークと本質的に異なる点は「企業の現状に即したルールが構築出来る」ということです。
現状を考慮しない一律ルールは、本来の目的を見失い形骸化しがちです。
様々な認証制度がある中で、ISMSは特に真面目に運営されている制度です。審査員は認証取得企業の業務とリスクを分析し、どのようなマネジメントが必要かを個別に判断します。従って、審査員に要求される知識と経験は非常に高度なものです。対して現状分析がさほど重要ではない認証制度では、一律にルールが適用されるため、審査員に高度な知識と経験は必要ありません。ビジネスを展開するには前者の方が適していることは明らかです。
世の中には「認証マークがあれば安心」といった幻想が蔓延しています。多くの人が認証マークを過信しています。
それが、例えば、認証を取得しているから安心だと思っていた企業にハードディスクの廃棄を依頼したにも関わらず、悪意を持った従業員が、それらのハードディスクを廃棄せず、個人的に売りさばくといった情報セキュリティ事件を起こす原因となります。品質を維持しようと思えば“誰がやるのか”というところから見ていく必要があります。組織が拡大して様々な背景を持った人が入って来るタイミングなら、それなりの体制が必要ですし、そうでなければ反対に最大限の生産性を求めても良いわけです。そのような適用が出来るのがISMSです。
— ISMSが形骸化する可能性はありませんか。
自社で回せないルールを作ってしまえば、ISMSも形骸化してしまいます。自分達で回せるルールを作るということは、実際に自分達がやっていることを整理して明文化していくことです。1つ1つのリスクに対し、これをやればリスクを減らせる、これをやったら効果がある、これは効果に対してコストが大きすぎるという風に社内で話し合いを重ね、最も適したルールを決めていきました。ただ“最悪の想定”に対して100%完全な対策を講じることは不可能です。そこで重要になるのが、リスクを認知し許容することです。一見矛盾するようですが、それが結果的に起こりえる被害を軽減することに繋がります。これは今回の取り組みを通して身に付けた考え方です。
「だめなコンサルティング会社じゃない根拠は?」に対するLRMの答え
「しっかり情報管理をされている会社という印象がありました」
(執行役員 横浜事業所部長・
三苫幸司氏)
— ISMS認証を取得するためにコンサルティング会社のサポートを受けるメリットをどのように考えておられましたか。
『Results.』の業務に携わっている社員は『Results.』以外の仕事も兼務しており、ただでさえ時間がありません。規格に準拠したルール作りをするには、コンサルティング会社のサポートは絶対に必要です。
— コンサルティング会社は何社か比べられましたか。
結果的に比較はしませんでした。インターネットで調べて、最初に引いたくじが当たりました。
我々にはどこのコンサルティング会社が良いかを判断することは難しい問題です。
まず料金を見ましたが、決定的な差はありませんでした。最初に会ったLRMの営業担当者に「どうやってコンサルティング会社を選んで良いかわからない」という話をすると、「良いコンサル会社を選ぶのではなくて、悪いところを選ばない」と言われました。
そこで「LRMがだめなコンサルティング会社じゃない根拠は何か」と掘り下げて質問してみると、「明確な判断基準があるわけではないので難しい」としながらも、「LRMはお客様の声をWEBサイトで開示するなど、積極的な情報発信をすることによって、客観的に評価していただけるよう努力をしている」という回答をいただきました。即答されたことで「しっかりした会社だ」という印象を受けました。
また、正式に依頼するまでの連絡はメールで行っていましたが、添付ファイルを送付する際、他社はパスワードロックをせずに送ってきました。LRMはパスワードロックをしていました。そういった点で普段からしっかり情報管理されている会社という印象を持ちました。
最終的には、営業担当者の人柄が良かったこともありLRMに依頼しました。
自分達で回せるルール作り。審査では取り組みが評価されグッドポイントも
— 結果的に“自分達で回せるルール作り”は出来ましたか。
ひとまずは出来ました。審査では高い評価をいただきました。
第1段階審査では、審査員から、以下のコメントをいただきました。
「必要最低限のマネジメントルールだが、現状の人員構成やリスクを勘案し、十分に機能するものと判断する」
要するに、余計なことはやらないということです。業務を棚卸しして明文化していくことで、「これはやった方が良いのではないか」とか、「そこまでやる必要がないか」といったことも可視化することが出来るため、すぐに見直せます。
このコメントをいただいた時は、LRMとの打ち合わせ風景が頭をよぎりました。一緒に頑張ってきたからこういう評価をいただけた。「三崎さん、松原さん、ありがとう」と心の中で思いました。
また、第2段階審査の報告書では、マネジメントシステムへの高い評価を意味するグッドポイントも付与されました。
後で聞いた話ですと、グッドポイントが付くことはなかなかないらしく、審査員から高く評価されたのだと、嬉しく思います。
— グッドポイントに繋がった要因は何ですか。
短い期間でPDCAサイクルをきちんと回していた点です。文書が出来上がったのは8月末ですが、そのあと第1段階前の内部監査で修正し、第1段階審査を受けた後、9月の第2段階審査までの間にさらにPDCAを回して修正をしました。
第1段階審査で通った後に変えることに問題はないかLRMに相談し、問題がないことを確認した上で修正しました。
そんなに細かく回したわけではありませんが、継続的にチェックしている点を評価いただきました。
— 今回の取り組みでルールを作ったことにより、業務手順や管理方法が大きく変わることもありましたか。
今回適用したルールは、普段の仕事をする上で大きな負担になるようなものはありませんでした。例えば開発の手順書について、これまでは状況によって書いたり、書かなかったりと、バラつきがありましたが、今後は書くことを必須とし作業の記録を残すようにしました。こういった細かなルールを整備しました。
社内の変化ということで言えば、ISMS認証の対象となった社員の情報セキュリティに対する意識には変化が見られました。これまで、情報セキュリティの重要性に関しては、各々が想いを持っていましたが、明文化された共通ルールがありませんでした。情報資産の棚卸しやリスク評価も初めての取り組みです。棚卸しをしてリスクを評価したことで、会社として守らなければいけない情報資産とリスクを可視化し、意識出来るようになりました。
— 情報資産の洗い出しやリスクの評価、ルール作りなどには、一般社員の方も関わられたのですか。
ISMS事務局は後藤、三苫を含む3名ですが、情報資産の洗い出しの時から関係者全員の協力を仰ぎました。文書作成はLRMと共同で行いましたが、それを社内に展開した際も、積極的な議論が行われました。事務局から一方的に押しつけられたルールではなく、各自が自分の責任において納得して決めたという実感はあるはずです。
『Results.』に関わっているメンバーは、情報セキュリティに対する意識が高いので、仕事の進め方は各自に任せても問題はありませんでしたが、過去に報道された情報漏洩事故の原因を見ると、全て人為的なものです。社内ルールを文書化したことで、各々の意識が高くなったことが今回の最大の成果です。自分達の取り組みに第三者認証が与えられると、取り組み姿勢にも関わってきます。
また、普段我々がやってきたことを整理して可視化した結果に対して認証が取れたということで、私達が普段やっていることに大きな問題はなかったという証にもなりました。そういう意味でも安心材料になりました。
“リスクの許容”。LRMのサポートでISMSの本質を理解
「面白いことが言えるということは地頭が良い証拠です」
(代表取締役社長・後藤浩二氏)
— 情報資産の洗い出しや、リスクアセスメントで、お困りになることはございませんでしたか。
あまり困ることはありませんでした。初めにLRMから、情報資産台帳やリスク管理表の作成では、参考例をいただき、それに基づいて作成しましたし、困った時はアドバイスもいただきました。
認証の適用範囲は『Results.』の業務に絞っているためSES事業は範囲外ですが、良い機会なので会社全体の情報資産を整理し、リスク管理表を作成しました。
— 全体を通してご苦労はございませんでしたか。
最初は、ISMSの本質を理解出来ずに戸惑うことがありました。ルールを作る過程でLRMにISMSの考え方を教えていただいて、少しずつ理解を深めました。
— ISMSの本質とは何ですか。
私どもにとっては“リスクを許容する”という考え方が最初は馴染めませんでした。確かにリスクを把握せずに臨むよりも、リスクがそこにあることを意識して臨む方がインシデントを起こさない方向に舵を切れるということはあります。しかしシステム開発をやっている者には、リスクがわかっているなら「表面化する前に対策を打つべき」という思いがあります。今回も現実的に対策が取れるリスクに対しては、LRMのアドバイスを頂きながら対策を決めていきましたが、“リスクを許容する”という考え方があること自体、非常に不思議な感覚でした。
これに関しては三崎さんに何度も質問した記憶があります。文書化したルールを読み返すたびに「本当に良いのかな」という思いがよぎることは度々ありました。
ただ、結果的にリスクを許容したものは、実際に対策を取ろうとすると、我々の負担が大きくなるものばかりでした。そうすると、ルールとしてはあるけれども、結局は運用されないという“形骸化したルール”になりかねません。実際、「そうは言っても何かあったら問題になる」と考えて作ったルールには、現状の我々の体制では出来ないと思われるものがいくつかありました。そう考え直して三崎さんに相談をして、修正した箇所はいくつかありました。第1段階審査、第2段階審査、それぞれの直前で変えたものもありました。
そういったことを繰り返して、徐々に慣れて行きました。
— 従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使われたのですか。
そうです。『セキュリオ』は、ISMSの新規取得コンサルティングの基本サービスに含まれているので使ってみました。
認証取得後は有料になるため、使う前は不要だと思っていましたが、使ってみると予想以上に良かったので認証取得後も継続契約しました。
まず教材も良かったです。ISMSを運用する上で必要なことが全て網羅されています。また、法令管理が出来るところも便利です。法令管理を自分達でやる負担が軽減でき、コストをかける価値はあると思いました。さらに受講者の実施記録が残るため管理がしやすい点も良かったです。
— 内部監査はいかがでしたか。
内部監査は、LRMに内部監査員を代行していただいて実施しました。これが審査を迎える備えになりました。審査員がどのような視点でチェックするのかアドバイスして頂き、それをもとに直前対策も出来ました。
誰でも出来ることをやらない。それは人間としての質の高さ
— LRMのサポートは御期待通りでしたか。
期待通りです。巡り会えて良かったと思っています。
— どういった点が良かったですか。
最も良かったことは、冗談が通じること、面白いことが言えることです。これは大きな要素です。「笑い」というものは、あらゆる動物の中で人間しか持っていないものです。冗談が言えるということは頭が良い証拠です。私が言った冗談にもいつも、切れの良い返しをしてくれる。毎回面白いことを言ってくれる。
これはアウトプットする力の問題です。「そんなの誰でも思いつくよね」という通り一遍なことしか言えない人は大抵面白くないですよ。LRMは難解なISMSの概念を、他の事柄に例えるなど、わかりやすく説明してくれました。 地頭の良さを感じます。誰でも出来ることをやっていない。人間としての質の高さとも言えます。どうすればこのような優秀な社員を獲得できるのかなと思いました。どの会社でもそういう優秀な人材を採用したいと思うはずです。それは全職種に共通して必要とされる素養です。
— 今回は、メールでのやりとりなどもされたのでしょうか。
ルール作りや文書作成のところで何回か質問させていただきました。大抵のことは定期的な打ち合わせの場で、解消出来ましたが、レスポンスは早かったです。
「四半期ごとに発行しご好評いただいているメルマガ『Results.マガジン』で
ISMSについて書きました。現状に即したルールが作れることがISMSの良さです」
(左から;三苫氏、後藤氏)※右2名は、弊社三崎、松原
事業の成長に備え『情報セキュリティ倶楽部』を契約
— 今後の課題をお話しください。
今後『Results.』のサービスが拡大していけば、業務の内容も変わっていきます。今はごく少数の質の高いメンバーだけが関わっていますが、いずれ若い人材や外部のパートナーなどプロジェクトに参加するケースもあり得ますので、その時に、どういうルールを構築するかが課題です。どう変わって行くかは読み切れませんが、基本スタンスはあくまでも自分達が回せるルールを作ることです。「認証を取っているから良い」と、形骸化してしまっては意味がありません。
— LRMへの御期待をお話し下さい。
今回のISMS認証取得は、LRMのサポートがあったからこそ出来たと考えています。今後はPDCAを回していくことが重要になってきますので、さらなるご協力をいただきたいと考えて、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。第三者視点でのアドバイスを期待しています。
— 社内だけではISMSの運用にご不安がございますか。
一度契約を解除して、その間に担当者が変わっても困ります。 実際、どのように状況が変化するかわかりませんので、状況の変化に合わせたアドバイスをその都度いただければと思っています。
株式会社 アイティ総研様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社 アイティ総研様のWEBサイト
※ 取材日時 2019年12月
- システム開発・運用
- SES(客先での開発業務)
- 50名未満
- 東京
- 複数拠点