株式会社セシオス様 – ISO27001&ISO27017同時取得 –
株式会社セシオスはSaaS型サービス『SeciossLink』の好調を受け、ISMS/ISO27001ならびにISO27017/ISMSクラウドセキュリティの認証取得に取り組みました。コンサルティングを担当したのはLRMです。両認証を取得した理由と取り組みの成果に加え、LRMにコンサルティングを依頼した経緯や評価を、代表取締役・関口薫氏、取締役サポートサービス部長・河野良秋氏、コンピューターエンジニア・上村雄大氏に伺いました。
記事index
ID管理と認証系の技術をベースとした事業展開で持続的な成長を遂げるソフトウェア開発会社である。統合ID管理ソフトウェア『Secioss Identity Manager』、シングルサインオンアクセス管理ソフトウェア『Secioss Access Manager』は、2007年の発売以来、企業、大学などへ多数の導入実績を持つ。2011年12月にはこれらのパッケージ製品をベースに、ID管理と認証機能1つにまとめたSaaS型サービス『SeciossLink』の提供を開始。近年のクラウドサービス市場の拡大に伴い好調を維持している。アカウント数はOEM供給分を合わせると20万以上(2018年7月現在)に達する。海外ベンダーが強いIDaaS(Identity as a Service)の分野において、国内の顧客と密なコミュニケーションを取り、そこで出てくる要望を柔軟に取り入れながらブラッシュアップ出来ることが同社の強みとなっている。今後は海外展開も視野に入れる。
設立;2007年5月。従業員数;約10名(2018年7月現在)。本社;東京都豊島区。
ISMS/ISO27001&ISO27017/ISMSクラウドセキュリティ認証新規取得コンサルティングを依頼
— LRMへのご依頼内容をお話し下さい。
株式会社セシオスはLRMにISMS/ISO27001(以下、ISMS)認証とISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証の新規取得コンサルティングを依頼しました。コンサルティングを依頼したのは2017年7月下旬です。井崎さんと平山さんのお2人に担当していただき、2018年6月に両認証を取得しました。
また認証取得後はISMSの運用保守サポート『情報セキュリティ倶楽部』も契約しました。
— ISMS認証の適用範囲と、ISMSクラウドセキュリティ認証の対象サービスを教えて下さい。
ISMS認証は全社取得です。ISMSクラウドセキュリティ認証の対象サービスはSaaS型統合ID・認証サービス『SeciossLink』です。同サービスのクラウドサービスプロバイダ(以下、CSP)として、またその開発運用基盤として使っているアマゾン・ウェブ・サービス(以下、AWS)のクラウドサービスカスタマ(以下、CSC)としてISMSクラウドセキュリティ認証を取得しました。
自社サービスの世界展開も視野にプライバシーマークからの切り替えを決定
— ISMSおよびISMSクラウドセキュリティの両認証を取得された理由をお話し下さい。
弊社がISMS認証とISMSクラウドセキュリティ認証を取得しようと考えたきっかけは、2011年12月にスタートした『SeciossLink』の導入実績が増えてきたことです。
弊社は2013年にプライバシーマーク(以下、Pマーク)を取得しましたが、SaaSのベンダーとしては個人情報に絞ったPマークより保護の対象が広いISMS認証の方が適しています。また今後は『SeciossLink』の海外展開も考えていますので、国内でのみ認知されているPマークを返上し、世界的に認知されたISMS認証とアドオン認証のISMSクラウドセキュリティ認証を取得することとしました。さらにISMS活動を通してセキュリティが強化されるだけではなく、サービスの品質向上にもつながると考えました。
— Pマークはなぜ取得したのですか。
お客様などからISMS認証かPマークのいずれかを持っているかというアンケートをいただくことが多かったので、どちらかを取得した方が良いと判断しました。ただ当時はISMS認証取得に対してハードルが高いというイメージを持っていましたので、比較的取得しやすそうなPマークを取得することにしました。
— Pマークの運用において、お困りのことはございましたか。
困っていたことはありませんが、物足りなさは感じていました。Pマークの保護対象は個人情報だけなので、それ以外を守るルールはありませんでした。特に開発の進め方は定期的に見直す仕組みは必要だと考えていました。
— ISMSやISMSクラウドセキュリティの認証を取得し運用することについて、業務進行上のご負担が増えるなどのご不安はございませんでしたか。
両認証を取得するまでの準備、または認証取得後の運用については、限られた人数で日常業務と並行して取り組まなければいけないため作業負担は心配でした。また、これまでにないルールを導入することについては、そのことが開発を進める上でどのように影響するのかという点も気になっていました。
しかしLRMのコンサルティングを受けてルール構築に取り組む中で、ISMSは自社の業務に合わせて柔軟にルールを構築出来るため、極端に不便になったり、ルールに縛られたりすることはないとわかり、それらの不安は取り除くことが出来ました。
豊富なサポート実績を踏まえLRMにコンサルティングを依頼
LRMにわかりやすく説明していただけたおかげで自社に合ったルールが構築できました
(取締役サポートサービス部長・河野良秋氏)
— LRMにコンサルティングを依頼した経緯をお話し下さい。
LRMにコンサルティングを依頼したきっかけは、弊社サービスをOEM供給しているパートナー会社からの紹介です。ISMSだけではなくISMSクラウドセキュリティ認証の取得支援実績が非常に多いと教えていただいて依頼しました。
— 他社との比較はされませんでしたか。
他社との比較は全く考えませんでした。今回の認証取得と同時期にパートナー会社もISMSとISMSクラウドセキュリティ認証を取得しましたが、やはりLRMにサポートを依頼していました。信頼出来るパートナー会社の紹介でもありますし、不安な要素はありませんでした。営業の方とお会いして一通りサービスの説明を受けた上で正式に依頼しました。
— コンサルタントと最初にお会いされた際の印象はいかがでしたか。
井崎さんと平山さんの話を聞いて、ここに頼めば大丈夫という安心感はありました。ITベンチャーを中心とした様々な会社へのサポート実績が一番の安心材料でした。認証制度がスタートしたばかりのISMSクラウドセキュリティ認証取得に関しても、すでに大手を始め数々のサポート実績がありましたので、不安を感じる要素は全くありませんでした。
LRMのアドバイスを参考に社員全員で相談して自社に合ったマネジメントシステムを構築
開発手順を見直す機会となり従業員の意識も向上しました
(コンピューターエンジニア・
上村雄大氏)
— ISMS認証、ISMSクラウドセキュリティ認証を取得するまでの一連の取り組みはどのように進みましたか。
2017年7月下旬から2018年1月までの間は、2週間に1回のペースでLRMと打ち合わせをし、ベースライン分析やリスクアセスメントなどを行いながら、マネジメントシステムを構築していきました。その後、2月に従業員教育、3月に内部監査を行い、4月に第1段階審査、5月に第2段階審査を受審しました。
— 今回の取り組みの中でご苦労はございましたか。
やはりこれまで決まっていなかったルールを決めていく作業は苦労しました。Pマークは個人情報だけでしたが、ISMSは開発に影響するところまで対象が広がります。これまでは管理の対象になっておらず明確にルール化されていなかった範囲が広かったので、その中から情報資産管理台帳を作成し、リスクを洗い出してルールを決めていく作業は苦労しました。
先ほども申し上げましたが、コンサルティングの中で、ISMSは各企業に合わせたマネジメントシステムが構築することが出来ることがわかりました。逆に言えばISMS認証やISMSクラウドセキュリティ認証が求める管理策の中で、自社がやるべきこととやらないことを、自分たちで取捨選択する必要があります。単にセキュリティを厳しくするのではなく、現場の作業効率を考えながらマネジメントシステムを構築しなければいけないので、LRMのアドバイスを参考にしながら全員で話し合い、業務を妨げないようルールを決めていきました。
— 新しく定めたルールには、どのようなものがありましたか。
基本的には弊社が日常的に行っている業務手順や管理方法を、ISMSやISMSクラウドセキュリティの要求事項に照らし合わせルール化していきましたが、中にはこれまで実際の業務ではやっていなかったことを、新たにルール化したものもあります。特に開発に関わる部分では、ISMSクラウドセキュリティのベースラインリスク分析を行う中で、必須と思われる項目がいくつか出てきました。例えばコーディング規約やテスト手順の統一、本番環境とテスト環境のネットワークの分離やアクセス制限などです。
— 開発に関わる部分以外で新しくルール化したことはありましたか。
開発に関わる部分以外では、委託先管理のルールを変更しました。委託先管理のルールはPマークでも決めていましたが、委託先の個人情報に絞ったルールでした。それに対して今回は委託先の選定方法や社内における承認手順も明確に決めました。
内部監査員代行サービスで課題を発見。審査ではグッドポイントも
— 従業員教育はいつ、どんな方法で行いましたか。
従業員教育はLRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用し2月に実施しました。教材の内容は「ISMSとは何か」「どのような情報を守らなければいけないか」といったISMSの基本です。全従業員に『セキュリオ』上でPDFのテキストを読んでもらい、理解度を測るテストを実施しました。
「『セキュリオ』はシンプルなインターフェイスでストレスなく使うことが出来ました。従業員教育だけではなく、最新法令の配信機能も便利です」
— 『セキュリオ』の使い勝手はいかがでしたか。
使いやすかったです。シンプルなインターフェイスでテキストの学習からテストまでストレスなく実施することが出来ました。また各自がeラーニングを実施したデータがシステム内に残るため、審査の際に必要な従業員教育の実施記録としてそのまま使うことが出来る点も便利です。実際に第2段階審査では、審査員にブラウザの画面を示して確認してもらいました。
さらに『セキュリオ』では、従業員教育用の教材だけではなく、関連法令の改定に関する最新情報も配信されます。
最近ではGDPR(EU一般データ保護規則)をめぐる動向から目が離せませんが、こういった法令改定は弊社のビジネスに影響しますので、非常に便利な機能だと考えています。今後も機能が充実することを期待しています。
弊社としては外部機関が発行するガイドラインの管理などもこのシステム上で出来れば良いと考え、LRMに要望を出しているところです。
— 内部監査はいかがでしたか。
内部監査は3月に井崎さんに内部監査員を代行していただいて実施しました。LRMに内部監査員を代行していただいたことで、気づいたことが沢山ありましたし、その後の審査も順調に終えることが出来ました。
— Pマークの運用では内部監査はどうされていたのでしょうか。
Pマークも更新の際は、別のコンサルタントのサポートを受けていました。内部監査もお願いしていましたが、文書のチェックで済まされていました。
今回はLRMが現場を回って丁寧にチェックして下さったので、社内の課題を発見することが出来ました。また、それを近くで観察することで、決めたルールの浸透度を測るためにどのようなポイントをチェックすれば良いか、ルールを浸透させるためにどのような伝え方をすれば良いかを把握することが出来ました。
さらに、内部監査でしっかり課題を洗い出していただいたことで、審査も順調に終えることが出来ました。内部監査で井崎さんに指摘していただいた課題は、10数カ所ほどありました。それに対して審査までに改善の必要があった課題は、全て改善して臨みましたが、その部分でグッドポイントをいただきました。
セキュアな環境が整備され、会社全体の情報セキュリティ意識も向上
— 今回の取り組み成果をお話し下さい。
今回の取り組みを通してよりセキュアな環境を作ることが出来ました。開発手順を見直すことも出来ましたし、サポートや営業の部署においても、ドキュメント類やお客様、委託先の情報の管理を統一ルールに則った手順で行うことが出来るようになりました。またPマークで作ったルールも改めて見直すことが出来ました。
また、これらのルールを決める際に従業員全員が参加して検討したことで、会社全体の情報セキュリティ意識が高まったことも大きな成果であると考えています。
サービスの運用においてはトラブルやミスを完全になくすことは出来ません。必ず人が関わることですし、外部に起因するトラブルも少なくありません。これまではインシデントが発生する度に対症療法的に解決するのが精一杯でしたが、現在は統一ルールに則ってインシデント報告を上げ、解決策を検討し、実施するという良いサイクルが生まれています。このサイクルを回し続けることでサービスの質を向上させられるのではないかと考えています。
— 対外的な変化はございましたか。
ISMSクラウドセキュリティの規格に沿ってサービスサイトの利用規約やQ&Aを整備しなおして充実させ、マニュアル類を公開したことで、セキュリティに関する問い合わせが減り、カスタマー対応の工数を削減できる効果は生まれるかも知れませんね。また、ホームページにISMSやISMSクラウドセキュリティの認証マークを載せたことでお客様もサービスをご利用いただきやすくなっていると思われます。特に最近はWEBだけで契約が完結する仕組みを始めましたので、安心材料の1つにはなるでしょう。
ISMSクラウドセキュリティ認証の施策の一例。
『SeciossLinc』サービスサイトのサポート情報ページでマニュアル類を公開。
— ルールが決まったことで、業務の工数が増えるということはありませんでしたか。
少なくとも無駄な工数が増えたとは考えていません。本番環境に簡単にいけなくなったこと、委託先を決める際に申請が必要になったことなど、今までなかった作業が発生していることは事実です。ただしそれらは全て最低限必要なことなので、最初は大変かも知れませんが、やっていかなければいけないことだと考えています。
— 今後の取り組み課題があればお話し下さい。
現在はGDPRの遵守が急務の課題です。弊社なりに様々な方法でGDPRの調査をしていますが、非常に難しいテーマだと感じています。日本のお客様でもヨーロッパ圏に社員がいて、弊社のサービスを使えば、そのデータが弊社に入ってきます。従って手放しで構えていることは出来ません。弊社のサービスの個人情報の扱い方がEU圏の法律を遵守したものになっているかどうかをチェックするなど、対応の仕方を決めることが当面の課題です。
新しく適用したルールだけではなく、Pマークで決めたルールを見直してブラッシュアップすることが出来ました
(左から;上村氏、関口氏、河野氏 ※右は弊社井崎、平山)
丁寧な説明とスピーディな進行。マニュアル作成だけではないLRMのコンサルティング
ルールに則ってインシデント報告を上げ、解決するという良いサイクルが生まれました
(代表取締役・関口薫氏)
— LRMのコンサルティングはいかがでしたか。
ISMS認証やISMSクラウドセキュリティ認証に関して、我々は全く知識を持たない状態でしたが、ゼロから丁寧に説明していただきました。そのおかげでじっくりルールを検討できましたし、スムーズに認証取得の準備を進めることが出来ました。社内でルール決めをしている中で確認したいことが発生した際も、メールで問い合わせをすると当日中に返信が返ってきましたし、文書作成では『Googleドキュメント』で共有してお互いに編集する形を取ったため、作業が滞ってストレスを抱えることはありませんでした。
また、PDCAサイクルの全体像を図化した資料も作成していただきました。ISMS活動の1年間のサイクルが一目で把握出来るので、運用にも取り組みやすいと思っています。従業員教育や内部監査などのサポートもそうですが、認証取得後の運用まで考慮したサービスだったと感じています。
さらに今回のタスク管理では、弊社が普段から使っている『Trello』を使っていただきました。当初は『Microsoft Excel』で年間実施項目管理表を作成して管理していましたが、あるタイミングで弊社が普段『Trello』を活用していることを伝えたところ、『Trello』に合わせていただくことになりました。普段使っているツールを使って管理出来たので、ストレスなく作業を行うことが出来ました。
— 最後にLRMのISMS運用保守サービス『情報セキュリティ倶楽部』をご契約された理由をお話し下さい。
ISMSの活動で困った際、または何か新しいことをやろうとした時に、相談出来る相手がいれば安心です。GDPRなどはまさに典型的な例です。「何か良い情報があればご提供下さい」といったレベルの相談はすでに何回かしています。
認証取得後に従業員が1名増えた際にも、このまま運用して良いのかどうか判断出来なかったので問い合わせました。LRMはどんな些細なことでも気軽に相談出来るので、非常に助かります。さらに、セキュリティ教育クラウド『セキュリオ』が使えることもLRMの運用保守サポートを受けるメリットの1つであると感じています。
株式会社セシオス様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社セシオス様のWEBサイト
※ 取材日時 2018年7月
- システム開発・運用
- クラウドサービス(SaaS)開発・提供
- 50名未満
- 東京
- 1拠点