アウトルックコンサルティング株式会社様 – 顧客事例 –
経営管理ソフトウェア『Sactona』を軸にコンサルティングサービスを展開するアウトルックコンサルティング株式会社は、LRMのサポートを受け、2022年11月、ISMS/ISO27001とISO27017/ISMSクラウドセキュリティの認証を取得しました。「コンサルティング会社選定の最後の決め手は、何をすべきかが明確だったこと」。そう語るのはR&D本部 製品サポートチーム マネージャー・武田様です。約1年間に及ぶ取り組みの経緯と、LRMのサポート内容について詳しく語っていただきました。
- お客様が抱える課題とISMS構築
-
- ISMS未取得のために、導入見送りなどが発生してしまっている
- 従業員が50名を超え、マネジメントシステムの必要性を感じた
- ルール策定により、業務上の面倒な手順が増えるといった反発がないか心配
- サポート費用と取得に向けて何をすべきかを明確に示してくれるコンサル会社を選定
- 社長からトップダウン形式に情報セキュリティの重要性を発信
- 現行体制に則った的確なルール作成によりスムーズに周知
- LRMコンサルティングサービスへの感想
-
- シンプルで明快な料金体系だった
- ノウハウが凝縮されたテンプレートをもとに迷わず作業を進めていけるイメージが持てた
- セキュリオで情報セキュリティ教育を実施し、審査機関にもセキュリオの受講結果で従業員の理解度を客観的に示せた
(アウトルックコンサルティング株式会社について)
企業の管理会計・経営管理分野に専門特化したコンサルティングサービス会社。経営管理分野を専門とし、マネジメントからシステムに至る広い範囲に通じる。管理会計とは、予算管理や原価管理など、自社の経営に活用するため、社内向けにまとめる会計を指し、経営管理の判断材料になる。同社が提供するのは、こういったクライアント企業の管理会計・経営管理を高度化・効率化するために、企業の“見通しや展望(=Outlook)”をよりクリアにするためのサービスである。そのサービス基盤となるのが、自社開発による経営管理ソフトウェア『Sactona』だ。『Sactona』は、管理会計・経営管理を高度化・効率化するためのシステムであり、クラウド、オンプレミスの両方に対応している。国内では経営管理ソフトの先駆け的な存在。導入先には、国内を代表する大手企業が並ぶ。その提供を通じて蓄積したノウハウを活用し、業界ごとに最適なサービスが提供できることが同社の最大の強みで、年々着実な成長を遂げている。
設立:2006年4月。本社:東京都港区。従業員数:約70名。
記事index
LRMへのご依頼内容;ISMS/ISO27001&ISO27017/ISMSクラウドセキュリティ認証新規取得コンサルティング
— LRMへのご依頼内容をお話しください。
アウトルックコンサルティング株式会社は、LRM株式会社にISMS/ISO27001(以下、ISMS)とISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)の認証取得コンサルティングを依頼しました。2022年1月にキックオフして、同年11月に両認証を取得しました。LRMの担当者は松原さんです。認証取得後は、ISMSの運用改善サポート『情報セキュリティ倶楽部』とセキュリティ教育クラウド『セキュリオ』を契約しました。
— ISMSならびにISMSクラウドセキュリティ認証取得に向けた社内体制をお話しください。
両認証を取得するにあたり、ISMS事務局を立ち上げるとともに、各部門でセキュリティ担当者を選出しました。
ISMS事務局は、事務局長の私と実務担当者の2名体制です。
LRMとの打ち合わせやマニュアル類の作成、審査対応などは、ISMS事務局が担当し、各部門における情報資産とリスクの洗い出し、ルールの周知・浸透は、各部門で選出したセキュリティ担当者が担いました。
事業拡大に向けた準備と社内ルールの確立
— ISMSおよびISMSクラウドセキュリティ認証を取得した理由をお話しください。
主に2点ございます。
(1)外部に示す客観的な安心材料の確保
『Sactona』を活用したコンサルティング事業が拡大するにつれ、営業活動の中で、弊社内のセキュリティ体制が問われる機会が増えて参りました。ISMS認証を取得していないことで、追加のヒアリングを受けたり、導入を見送られたりすることも出てきておりましたので、ISMS認証取得が必要であると判断しました。
また、金融機関やファンドに対しても、社内の情報セキュリティ体制が整備されていることを客観的に示す必要がありました。
(2)情報セキュリティルールの確立
弊社はこれまで各社員の裁量に任せたマネジメントを行ってきましたが、設立から15年が経ち、お客様の数が増え、従業員数も50名を超えてきたことから、情報セキュリティマネジメントシステムを構築する必要があると判断し、ISMSを導入することを決めました。
— ISMSクラウドセキュリティ認証は、CSP(クラウドサービス事業者)、CSC(クラウドサービス利用者)、それぞれの立場で取得されたのですか。
いいえ。ISMSクラウドセキュリティは、『Sactona』のCSPとして認証を取得しております。『Sactona』はオンプレミス型、クラウド型の両方で提供しているソフトウェアです。クラウド型は、弊社が保有するデータセンターにサービス基盤を構築して運用しているため、CSPのみで認証を取得しました。
— ISMSおよびISMSクラウドセキュリティ認証取得にあたり、ご心配はございましたか。
管理者としては、改めてルールを確立することで、業務上、面倒な手順が増えるという声が出てくることは心配していました。
そもそも、私個人としては、コンサルタントが提示したルールを導入して問題が出るとすれば、業務の方がおかしいと考えていましたので、現場から抵抗があった場合、そのルールがなぜ存在するのか、理由をきちんと説明して現場を説得していく必要性を感じていました。しかし、実際現場に周知して浸透させる役割を負うのは、各部門のセキュリティ担当者です。彼らが部門のメンバーや上長に説明しても、なかなか理解していただけない可能性もあります。
そこで社長から、情報セキュリティの重要性を発信していただきながら進めていきました。
– 武田様は、過去にISMSの認証取得や運用に関わられたご経験はおありですか。
私自身はありませんでしたが、もう1人のメンバーが、前職で少し関わった経験があり、トップダウンで取り組む必要性を聞いて参考にしました。ただ、その担当者も認証取得までの全貌は把握していませんでしたし、他の社員にも詳しい人材はいませんでしたので、サポートしていただける専門家を探し、LRMに依頼しました。
結果的に、LRMにマニュアル作りとルール作りのお手伝いをしていただいて、弊社の現行体制に則った的確なルール作成ができたこともあり、危惧していたような抵抗はありませんでした。
依頼の決め手は「何をすべきか」が明確にイメージできたこと
— コンサルティング会社の選定経緯をお話しください。
インターネット検索で5社ほどピックアップし、各社にコンタクトを取りましてヒアリングした上でLRMに依頼しました。ヒアリングの際に意識したことは、サポート費用と取得に向けて我々自身が何をすべきかが明確にわかるということです。
— LRMをピックアップした理由をお話しください。
インターネット検索で最上位に表示されたからです。上から順番に5社ピックアップしました。LRMのWebサイトは、検索結果で最上位に表示されただけではなく、内容が最も明快でわかりやすかったです。特に料金体系は、シンプルで明快な価格表示がされていました。他社のWebサイトは、曖昧な表記ばかりでしたので、安心感がありました。
— 最終的に依頼した決め手をお話しください。
まず料金面で、他社に比べて圧倒的なアドバンテージがありました。その上で、営業担当者と面会した際のご説明で、何をすべきかが明確にイメージできたことが決め手でした。他社は、「取得する企業によってやることもケースバイケース」といったニュアンスの説明ばかりで、結局、何をするのかはイメージできませんでした。
— 実際にやってみなければわからない、ということですか。
はい。LRMと面会するまで4社と話をしましたが、いずれからもそのような説明を受けました。「そういうものなのかな」と思い始めたところ、最後にLRMの説明を受けて、迷わず依頼しました。
— 具体的にはどのようなことをするというご理解をされましたか。
まずは社内の情報セキュリティルールを作ること、次に、そのルールがPDCAを回しながらきちんと守られていることを客観的に評価できる仕組みをつくること、大まかには、この2点に集約されるという理解をしました。
LRMは、これまでの実績に基づいたノウハウが凝縮されたテンプレートを準備されています。それをベースに、弊社の事業や業務など、社内の諸状況に合わせてカスタマイズしていくという手順をご説明いただき、工数もさほどかけず、迷わず作業を進めていけるイメージが持てました。
リスクに対する評価軸が定まり、適切な対応が可能になった
弊社の現行体制に則った的確なルール作成ができました
(R&D本部 製品サポートチーム マネージャー・武田様)
— ISMSとISMSクラウドセキュリティは同時に構築していかれたのですか。
同時進行で進めていきました。両者を区別して取り組んだ感覚はありません。
— どちらも進め方は同じですか。
大きな違いはなかったと思っていますが、少し違うのは、ISMSの方は規格に沿ってさえいれば、取得企業の現状に合わせてルールを変えられますが、ISMSクラウドセキュリティは、やるべきことが厳密に規定されています。従って弊社のシステムを変えなければいけないところは出てくると思っていました。
— 実際に変えた部分はおありでしたか。
結果的に、サービスのシステムや利用規約などの公開情報は変更せずに済みました。
ただし対応できていなかったことが1つだけありました。それはサービスの基盤となるサーバの廃棄後のルールです。
第2段階審査の際に、運用上、不明瞭な点をご指摘いただきましたので、LRM松原さんからのアドバイスも勘案して、改善見込み書を作成して審査機関に送付しました。
— “現行体制に則った的確なルール作成”ができたというご実感が持てたのは、どれぐらいのタイミングですか。
第2段階審査の直前頃です。それまではマニュアルの項目ごとに「このルールをどう展開しよう」と、目先のことに注意が向いていましたが、第2段階審査に向けた準備をしながら全体像が把握できた時に初めて「社員から抵抗されるような変わり方はしていない」ことが確認できました。同時に不明確だったことが明確になったため、社員が迷わなくて済むようになるなという安心が生まれました。
— 例えばどのようなルールがありますか。
重要な施策として思いつくのは(1)情報資産のレベル分け、(2)取り組みの定期的な振り返りです。
(1)情報資産のレベル分け
顧客台帳などの情報資産をレベル分けして、それぞれの取り扱い方法を明確にしました。情報資産のレベルは、リスクの大きさによってABCの3段階に分類しました。そして、それぞれのリスクが発生する確率を掛け合わせて評価し、閾値を超えたものは、それぞれの対策を考えて明文化しました。逆に過大に評価して無意味な対策を採っていたようなところもありましたので、必要十分の対応に変えました。それぞれのリスクに対する評価軸が定まり、適切に対応できるようになりました。
(2)取り組みの定期的な振り返り
ISMSの活動状況を振り返るために月次ミーティングを実施しています。ISMS事務局と各部門の情報セキュリティ担当者が集まって、ISMS事務局がファシリテートして、課題管理表に沿って改善活動の進捗状況を報告し合ったり、ルールの遵守状況を確認したりしています。認証は取得できましたが、改善の機会としてご指摘いただいた点はいくつかありました。次の維持審査に向け、1年かけて一通り検討し、改善すべき点は改善する計画で取り組んでいます。
このような取り組みの中で新たな検討課題が見つかることもありますので、逐次、管理表に加えています。このような機会を設けたことで、社内には、これまで以上に情報セキュリティを認識する風潮が生まれたように感じます。
LRMのアドバイスを受けながら、ルール作りはスムーズに進行
— LRMとの打ち合わせに参加されたのはISMS事務局の方だけですか。
各部門のセキュリティ担当者にも適宜参加してもらって、洗い出したリスクに対して、正しく評価できているかどうかを一緒にチェックするなどの作業を行いました。
— ルール作りでご苦労されたことはありませんでしたか。
例えばハード面の管理などで、以前から対策の必要は感じていたけれども、実際にやろうと思うと、どのやり方がベストなのかわからないということはいくつかありました。社内で議論しても結論が出ない場合は、LRM松原さんに相談して、いくつか事例を出していただいた中から、自社に合う方法を選びました。
— 構築したルールに対する抵抗はなかったということですので、周知・浸透でご苦労されたこともなかったということですね。
基本的なことはほとんどできていましたし、各部門の日常業務に大きく影響を与えるような新しいルールというものはありませんでしたので、苦労はありませんでした。各部門のセキュリティ担当者も、一定の意識を持っているメンバーでしたので、細かい部分の調整もスムーズに行きました。ただ、ISMS事務局としては、スムーズに行きすぎたことが逆に心配です。気を抜かずにチェックしていきたいと考えています。
— それでは、取り組み自体は最後までスムーズに進まれたということですね。
はい。ただ、ISMS事務局としてミスしたなと思ったところは1点だけありました。心構えとして「全てLRMにお願いすれば良い」と考えていたところがありました。お願いすること自体は間違いではありませんが、弊社自身のことですので、弊社側もきちんと理解して取り組む必要があります。第1段階審査の前に、内部監査を実施した際に、その観点が抜けたまま過ごしてしまったことに気がつきました。LRM松原さんからご指摘いただいた時に、答えられないことが多かったので、我々自身がしっかりと理解しながら進めることの重大さに気付いて、気持ちを入れ替えました。それ以降はしっかりと理解するよう努めたこともあり、第2段階審査を迎える頃には、全体像が把握できました。
セキュリティ教育クラウド『セキュリオ』の利便性
— 認証取得の期限は決めておられたのですか。
会社の計画上、2022年中の取得を目指していました。LRM松原さんのサポートもあり、10月初旬の第2段階審査まで、危なげなく進行し、予定よりも少し早く取得できました。
— LRMとの打ち合わせは、審査を迎えるまで、毎週実施されたのですか。
打ち合わせはおおよそ隔週のペースで実施しました。マニュアルのひな形を読み合わせしながら、7月までにルール作りと、マニュアルや情報資産台帳などの文書作成を終えて、第1段階審査前の内部監査も実施しました。
–従業員教育は『セキュリオ』を使われたのですね。
はい。リモートワークを実施中でしたので、eラーニングが便利でした。
— 使われた機能はeラーニングだけですか。
主にeラーニングと法令管理を利用しました。
— ご利用になったご感想をお話しください。
ISMS認証を取得するために、従業員に対して情報セキュリティ教育を実施する必要があるのですが、どのように実施すれば良いか、見当が付きませんでしたので、非常に助かりました。特に管理者として、テストの結果を一覧で確認できるところが便利でした。審査機関に対しては、その結果をもって、全員がしっかり理解したということを客観的に示せます。
法令管理も同様です。法令担当者としても、関連法令の更新をウォッチすることは簡単ではないようでして、管理画面上で関連法令の詳細や改訂内容、履歴を確認できる『セキュリオ』は便利だと言っていました。
— 今後はどのような活用をされるご予定ですか。
まだ具体的には検討していませんが、eラーニングと法令管理以外では、社内アンケートと委託先管理(サプライチェーンセキュリティ)が気になっています。社内向けにアンケート調査を実施する機会もありますし、外部パートナーもおりますので、活用できるのではないかと考えています。
— 審査を迎えるためのサポートはおありでしたか。
内部監査自体、外部審査の予行演習のようなところがありますが、それとは別の機会を設けていただいて、実際の審査ではどのようなことが聞かれるのか、どのように対処すれば良いか、アドバイスしていただきました。おかげで安心して当日を迎えられました。
松原さんにお任せしてばかりでしたが、的確にサポートしていただいて助かりました
(左:武田様、右は弊社・松原)
漠然とした不安が解消されたことで、業務にも良い影響が生まれている
— 取り組みを終えた際のご感想をお話しください。
まず、取り組み前は、情報セキュリティマネジメントシステムというものの実態が見えませんでしたが、一通り取り組んでみて理解できました。書店に行けば何冊も解説本はありますが、それを読んでもよくわからないと思っていたものが、明確に具体的なものとして把握できました。
これまでは何となく情報セキュリティに向き合ってきましたが、漠然とした不安を抱きながらも、どう対処して良いかわからないことがありました。それは結果的にストレスにもなっていました。それがクリアになったことで、業務的にも良い影響が生まれているのではないかと感じています。
— 情報セキュリティに関連する取り組みについて、今後の展望をお話しください。
今回の取り組みで情報セキュリティマネジメントシステムは確立しましたが、確立したものを適切に運用できるかどうかは、今後の取り組み次第です。まずは、1年間を通してしっかり運用する必要があります。また、PDCAを回す過程で様々な課題が出てくると思いますので、適宜、改善して向上させていきたいと考えています。
理解しづらかったISMSのハードルを下げるLRMのノウハウ
— LRMのサポートはいかがでしたか。
期待以上でした。「テンプレートを使ってやっていけば認証取得ができる」と明確にイメージができたとは言いましたが、そうは言いながらも、「蓋を開けてみたら実は……」ということが起こることは懸念していました。
しかし、結果的にはそういうこともなく、イメージ通りに進めていただきました。「説明に嘘偽りはなく、期待通りのサービスだった」ということが、期待以上でした。
— 松原さんは話しやすかったですか。
話しやすかったです。前半は何となく、任せておけば大丈夫だと思って、お任せしてしまいましたが、その中でも的確にサポートしていただいて、非常に助かりました。
— 『情報セキュリティ倶楽部』をご契約されているとのことですが、認証取得後もサポート契約を継続された理由をお話しください。
弊社内にはISMSのノウハウが全くありません。今回構築したルールを運用し続けることはできると思いますが、事業や組織が拡大する中で想定外のことが起きる可能性がありますので、その時に相談できる相手がいないと困ることも多いと思いました。ISMSやISMSクラウドセキュリティの規格に合った対応ができているかどうかの判断は素人には難しく、専門家に依頼できれば安心です。
私にとってISMSは、理解しづらく非常に手間がかかるものという印象がありました。出回っている情報はわかりにくいものばかりです。今回の取り組みを通して、LRMには、ISMSのハードルを下げるノウハウが蓄積されているような印象を持ちました。これからも、そのノウハウに基づいたアドバイスを期待しています。
アウトルックコンサルティング株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ アウトルックコンサルティング株式会社様のWEBサイト
※ 取材日時 2023年2月
- システム開発・運用
- コンサルティング・士業
- 50~199名
- 東京
- 1拠点