パスロジ株式会社様 – 顧客事例 –
- LRMコンサルティングサービスへの感想
-
- 新規格対応は1か月ほどで実施できた
- 動画は要求事項ごとに概要、ルールに落とし込む際のアイデアや具体例の説明があり理解しやすい
- 新旧マッピング表や適用宣言書など、必要事項が網羅されたひな形で工数削減
(パスロジ株式会社について)
パスロジ株式会社は、IT社会を守る重要なセキュリティ要素のひとつである「本人認証」システムの開発・提供を行う企業。 パスワードに代わる知識認証の特許技術である「パスロジック方式」を利用したワンタイムパスワード認証システム「PassLogic」を開発・提供しており、ライセンス発行数は、累計111万件を超える。また、暗号化時にパスワード設定が不要なファイル暗号化サービス「クリプタン」のほか、WEBサービスがより簡単・安全に利用可能になる認証サービスのスマートフォンアプリ「4Login」も提供している。 認証セキュリティは安全性を追求すると使いやすさやコストが犠牲になってしまう側面があるが、完全自社開発で「100%に近い本人認証率」「快適なログイン作業」「導入・運用管理コスト」のバランスが取れたシステムの開発を目指している。
設立:2000年2月 本社:東京都千代田区 従業員数:38名(2023年8月現在)
対応遅延リスクも考慮し早期に動き出した
— 鈴木様のお立場を教えてください
市場戦略部ディレクターとしてマーケティング業務に携わりながら、ISMS/ISO27001(以下、ISMS)認証運用の事務局として実務部分も担当しています。
当社がISMS認証を取得した際は、事務局の担当者も1名でしたが、企業規模拡大に伴い、実務担当者を増員することになり、私が事務局に加わりました。現在では情報セキュリティ委員会のメンバーも5名に増えており、ISMSの定着が進んでおります。
— 2025年10月末の対応期日まではまだ時間があると思いますが、なぜ2023年5月末での移行対応開始を検討されましたか。
当社は、パスワードレス多要素認証のプラットフォームである「PassLogic」を始めとした情報セキュリティに関するソフトウェアを開発・提供しています。お客様に、より安心してご利用いただくために情報セキュリティには最優先に取り組む必要があると考えたため、早期に動き出しました。
また、対応を後回しにすると、準備が遅れて期日に間に合わない可能性もありますし、期日が近づくにつれ駆け込みで対応される企業が増えることで、審査機関が混雑し想定時期に審査が受けられないことも考えられます。そうしたリスクを回避するためにも、早めに取り組むことが重要だと感じました。さらに、ちょうど三年に一度の更新審査の時期でもあり、対応負荷軽減のために更新審査とあわせて移行審査を受けようと決めました。
— 新規格対応について自社のみでの対応は検討されましたか。
自社のみで対応するのは、リスクがあると思います。
規格を都合よく解釈してしまう可能性もあるので、やはり専門家の知見を取り入れることは重要です。当社は、情報セキュリティ運用支援サービス「情報セキュリティ俱楽部」を契約しています。ISMS運用をただ回していくだけであれば必要ないかもしれませんが、ISMS運用を継続的に改善していくために、少なくとも年1回はLRMさんと面談をしてノウハウや他社事例を共有していただき、知識をアップデートしています。そうした背景から、新規格対応についてもまずはLRMさんに相談しました。
リーズナブルに自社で対応できるISMS新規格対応講座
— 本講座を受講した経緯を教えてください。
最初は、LRMさんに通常コンサルティングを依頼しようと思っていたのですが、想定よりも価格が高いことがわかりました。今までISMS認証を運用してきた中で得た知見もあるので、手厚いコンサルティングは不要なのではと考えました。しかし、専門家の知見を全く取り入れないのはリスクがあります。そのような状況で、LRMさんから紹介していただいたのが、「ISMS新規格対応講座」です。
価格も通常コンサルティングと比べて非常にリーズナブルでしたし、自社の更新審査が迫っている中ですぐに新規格対応が自社で進められる点が決め手となり、受講を申し込みました。
— 実際に受講されてみたご感想はいかがでしたか。
私は、最初にすべての動画を見て、FAQや配布資料にも目を通した上で、全体の対応量を見積もってから各管理策の検討などを始めました。
動画はすごく分かりやすいです。
要求事項ごとに概要、ルールに落とし込む際のアイデアや具体例の説明があり、一定のフォーマットに則って進むので理解しやすかったです。
また、FAQや配布資料も有用でした。適用宣言書のひな形も便利でしたし、今回の新規格対応ではISMS規格の新旧マッピングが重要でしたが、マッピング表も用意されていました。マッピング表には、既存の要求事項についても確認すべき点が記載されており、そこも参考になりました。
こうした資料は、本来であれば自社で作成すべきものです。もちろん対応しようと思えば可能ですが、やはり工数がかかってしまいます。必要事項が網羅的されたひな形が用意されているので助かりました。
新規格対応は対応範囲と量を早めに決めることが重要
— 新規格対応は、どれくらいで対応されましたか。
1か月ほどで対応しました。
当社は、やはり情報セキュリティのソフトウェアを開発・提供する会社なので、そもそも2022年度版の基準を満たせていた箇所も多くありました。これもLRMさんの普段の支援のおかげだと感謝しております。残りの部分については、ルールの文言調整が必要になるような軽微な対応事項と、具体的な対策が必要になる対応事項が、半分ずつありました。後者については、社内の開発部門に対応を依頼する必要があったりもしましたが、それらも含めて1か月ほどで対応できました。
当社は、LRMさんが提唱する「Security DietⓇ」の考え方に基づいて対応しているので、審査のためだけの仕事は増やさず必要最小限で対応するようにしています。対応範囲さえ決まれば、後の対応はそれほど難しくはありませんでした。ただ、2013年度版を運用されている企業であっても、まったく2022年版の基準を満たせていない場合はもう少し時間がかかるかと思います。
— 受講を進める中で課題となったところはありましたか。
対応すべき項目の範囲について悩むことはありました。例えば、監視において、どの範囲まで監視すべきかなど、不安な部分はLRMさんに質問させていただくこともありました。ただ、作成したドキュメントを精査してもらうことはしていません。最終的には自社で判断すべきことだと思いますし、LRMさんにはあくまで指針をお伺いしました。こうした指針は、今後FAQにも反映されていくと思うので、質問せずともFAQで分かるようになっていくことと期待しています。
— これから新規格対応をされる方へアドバイスをお願いします。
情報資産管理台帳がより重要になってきます。例えば、監視活動や情報の削除において、情報資産管理台帳を見て、監視する情報や削除する情報を決めていくことになると思うので、網羅されているか、適切に管理されているかがより重要になってきます。
また、対応範囲と量を早めに決めるのが良いと思います。2024年に審査を受けるのであれば、2024年になってから対応するのではなく、2023年の内に対応を完了させてから審査を迎えることをおすすめします。
パスロジ株式会社の鈴木様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ パスロジ株式会社様のWEBサイト
※ 取材日時 2023年8月
- システム開発・運用
- クラウドサービス(SaaS)開発・提供
- 担当者の負担軽減
- 50名未満
- 東京
- 1拠点