株式会社デジタルライン様 – ISMS&ISMSクラウドセキュリティ認証新規取得&ISO20000統合 –
2019年7月、株式会社デジタルラインはプライバシーマークの運用課題を解決すべく、LRMのサポートを受け、ISMSとISMSクラウドセキュリティ認証の取得に取り組みました。同時に2008年から運用するISO20000との統合も実施しています。取り組み前の不安、LRMに依頼した経緯、そして取り組みの成果について、代表取締役・西村治氏、システムインテグレーショングループ グループリーダー システムアーキテクト・安原英明氏のお二人に話を伺いました。
記事index
(株式会社デジタルラインについて)
セールスプロモーション領域のWebアプリケーション開発を軸に事業を展開している。キャンペーンプラットフォーム基盤に加え、オープンキャンペーン、インスタントウィン、レシート応募など、様々な種類のキャンペーンパッケージを揃え、クライアントごと、案件ごとにカスタマイズして提供。クライアント側の情報システムと連携させることで、蓄積したデータを活用しながらスピーディかつ効果的な運用を可能としている。クライアントは飲料、製薬、食品などの大手メーカー、または大手広告代理店。Webキャンペーンのインフラ構築からシステム開発、デザイン制作などのシステムまわりだけではなく、キャンペーン事務局の代行や、実施レポート作成までワンストップで対応できることを最大の強みに堅実な成長を遂げている。本社;東京都千代田区。設立;1996年8月。従業員数:約20名。
LRMへの依頼内容;ISMS&ISMSクラウドセキュリティ認証新規取得とISO20000統合コンサルティング
— LRMへのご依頼内容をお話し下さい。
西村氏 株式会社 デジタルラインは、2019年7月、LRMにISMS/ISO27001(以下、ISMS)認証ならびにISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証の新規取得、およびISO20000(※)統合を依頼しました。LRMの担当者は村田さんと松原さんです。お二人のサポートを受け、2020年6月までには一通りの取り組みを終えることが出来ました。
※ISO20000とは
ITサービスマネジメントシステム(ITSMS)の国際規格。組織が提供するITサービスの内容やリスクを明確にし、
サービスの継続的な管理、高い効率性、継続的改善を実現するための規格を定めている。
— 約11ヶ月という取り組み期間はスケジュール通りですか。
西村氏 いいえ。当初はISO20000の更新審査のある2020年3月までに一通りの準備は終える計画を立てていました。しかし新型コロナウィルス感染症拡大の影響だと思いますが、審査会社との調整がつかずISMSとISMSクラウドセキュリティの審査が6月にずれ込みました。審査結果は、さらに期間が空いて初回登録が9月になりました。
プライバシーマークの運用課題を解決するためISMSへの切り替えを検討
「ヒアリングに答えるだけで
どんどん進んで行ったので
予想以上に楽でした」
(システムインテグレーショングループ グループリーダー・安原英明氏)
— ISO20000を取得したのはいつ頃ですか。
西村氏 ISO20000は2009年4月に取得しました。当時、WEBキャンペーンのシステムと言えば、大手がスクラッチで開発する高額なものか、サーバーの知識もない制作会社が作る簡単なものしかありませんでした。その間に弊社がいるというポジションでしたが、今ほどの実績はありませんでしたので、初めて営業をかけるお客様からは常に信用性を問われていました。
Webキャンペーンは1ヶ月、2ヶ月という短期勝負です。その短い期間にシステムを止めることは許されませんので、取引実績のない弊社が受託するには、信頼の証が必要でした。弊社は創業時、マーケティングリサーチを主業務としていましたので、初期の段階でプライバシーマーク(以下、Pマーク)を取得していましたが、Pマークは個人情報の保護にフォーカスした認証なので、ITサービスの運用マネジメントにフォーカスしたISO20000を取得しました。
LRM担当者(以下、LRM) その当時、WEBサービスの開発会社で、ISO20000を取得された事例は珍しいのではないですか。
西村氏 SLM(サービスレベル管理)の基準を決めて、社内の共通ルールを確立しなければお客様の要求に耐えられないだろうと思いました。ただ、最初に相談しに行ったコンサルティング会社では、ISO20000はデータセンターが取る認証であって、当社のようなソフトウェアの開発会社が取るものではないと断られました。疑問に感じて大手のコンサルティング会社に行ったら、取った方が良いと言われて取得したという経緯があります。
LRM すごく先見性がありますよね。
西村氏 そうじゃないと大手ベンダーには対抗できません。「御社の運用体制は?」と聞かれても、認証を持っていないと信頼に足る証拠は何も示せません。Pマークを持っていましたので、個人情報から範囲を広げてISMSを取る選択肢もありましたが、当時はISO20000の方が優先度は高いという判断をしました。
安原氏 キャンペーンのシステムは、可用性の問題が常にあります。今はクラウドに任せておけば、サービスが止まることはほとんどありませんが、当時はオンプレミスサーバーで運用しており、サーバーが止まるという事象がプログラムのバグよりも多い時代でした。しかも1台のサーバーで複数案件のシステムを運用していましたので、サーバーが止まるとそこで運用していたキャンペーンが全て止まってしまいます。だからこそサービスを止めないための対策が重要でした。
— PマークとISO20000の運用でお困りのことなどはございましたか。
西村氏 Pマークに関してはありました。Pマークの規格にこちらの運用を合わせる必要があり、自社の運用に合わせづらい面があります。例えば1枚の用紙に10個ぐらい印鑑を押さなければいけないなどです。理由があることだと思いますので、ないがしろにするつもりはありませんが、もう少しスマートになったら良いのにとは考えていました。
また、台帳や様式類など紙の管理が膨大な量になるところも悩みではありました。
安原氏 Pマークの見直しは長年の課題でした。運用にはそれなりの経験や知識が必要になりますし、手間もかかります。そのため以前からISMSと比較していました。お客様にもISMSに切り替えて問題がないかどうかを確認しながら検討を重ねていました。
— PマークとISO20000でルールが矛盾するということはございませんでしたか。
安原氏 ルールが矛盾するということはありませんでしたが、担当部署が異なるため運用しづらい面はありました。
Pマークの管理は、キャンペーン事務局を担う事務系の部署が管轄しています。それに対してISO20000の管理にはシステムに対する理解が必要です。お互いにカバーする業務が違うため管理する場所も違うというやりづらさはありました。ISMSはセキュリティの範囲がシステムにも及びますので、ISO20000と一緒に、私を含めたシステムインテグレーショングループの2名が担当しています。
西村氏 キャンペーン関係の業務は、個人情報だけではなく、お客様の新商品情報などセンシティブな情報を扱いますので、人員の増員にも慎重にならざるを得ません。少人数で事業を運営せざるを得ないため、ISOやPマークの運用負担を軽くしたいと思っておりました。そういった中で、最近はむしろISMSの方が良いというお客様も増えて来ましたので、今回、ISMS取得に踏み切りました。
LRM Pマークは特殊です。Pマークの考え方がぴったり合う会社にとっては良いと思います。
西村氏 そうですね。Pマークにも存在理由がありますし、我々も重要性も認識しています。しかし、少人数の会社には向いていないように感じます。
— ISMS認証の適用範囲をお話し下さい。
西村氏 ISMS認証の適用範囲は、キャンペーンに関わる業務全般です。システムのテクニカルサポートは適用範囲外としました。テクニカルサポートは、お客様の指示を受けてキッティング作業を行ったり、お客様からの問い合わせ対応をしたりします。キャンペーンとは直接関わりませんので、範疇ではないという判断をしました。
— ISMSクラウドセキュリティは、クラウドサービス事業者(Cloud Service Provider、以下CSP)、クラウドサービス利用者(Cloud Service Customer、以下CSC)の両方で取得されたのですか。
安原氏 そうです。弊社はクラウドサービスを提供するだけではなく、サービス基盤として『アマゾン ウェブ サービス(AWS)』を使っていますし、社内でもクラウドツールを利用しています。そういった中でクラウドセキュリティの意識を持つことも重要な課題でした。
“Security Diet”と“トリプル認証”がLRMに依頼した決め手
— ISMSおよびISMSクラウドセキュリティの新規取得にあたってのご懸念はございませんでしたか。
西村氏 運用しづらくなることは避けたいとは思いました。ISOが3つあるという状態が想像出来ませんでしたので、
どれだけスマートに運用できるかがポイントであると考えていました。その懸念を払拭してくれたのがLRMでした。
— ISO20000との統合は御社からのご希望だったのですか。
西村氏 出来るだけスマートにしたいと思っておりましたが、統合という概念はありませんでした。LRMの村田さんから、最初の打ち合わせで統合も出来ると伺い、追加で依頼しました。
安原氏 統合というのは、文書の章立てと運用を一本化するということですが、その時はイメージできませんでした。村田さんから、ISO20000とISO27001の規格文書の章番がうまく一致するというお話をいただいて、そういう意味かと納得しました。
LRM 最初はISO20000の方が2011年版だったため、章立てが違っていました。ちょうど2018年版が出た直後でしたので、対応させるかどうかという話からスタートしました。 安原氏 そうですね。2年後までに対応する必要がありましたので、このタイミングでやっておこうと考えて依頼しました。
— コンサルティング会社は何社か比較されたのですか。
西村氏 何社か調べましたが、LRMはWEBサイトがわかりやすかったですね。
安原氏 依頼した決め手は“Security Diet”と“トリプル認証”というキーワードです。複数のISO認証を取得し、シンプルな運用を実現したいという弊社のニーズに合致していました。
ISO20000など従来の資産を流用。スマートな運用も実現
「今回構築したマネジメント
システムが、今後のビジネス展開
に生きてきます」
(代表取締役・西村治氏)
— スマートな運用は実現しましたか。
安原氏 はい、実現しました。全体のタスクをリストアップしていただいて、我々自身がきちんと認識できる状態になっていますし、ISMSとISO20000の章立てを合わせることで、ドキュメント類と運用の一本化も出来ました。さらにISO20000やPマークのドキュメントなど、従来の資産を利用していただき、不足する分はLRMのフォーマットを利用するという形でルールを構築していったため、全体的にこれまでと運用が変わって負担が大きくなるということもありませんでした。
— ISO20000は、2018年版の規格に対応したことで、新たなルールを追加する必要はありませんでしたか。
安原氏 新しい規格の要求に合わせたところは1箇所だけありました。
LRM 2018年版になって増えたところはありますので、そこは割けて通れませんが、
多くの場合は、これまでやってきたことの表現を変えるなどして対応することが出来ました。
西村氏 ISO20000を新規取得した当時、ITサービスの基盤と言えばデータセンターでした。そのためISO20000も専用サーバーで運用することが前提の規格になっていました。しかし今はほとんどのWEBサービスがクラウドに移行しています。ISO20000の2018年版でもデータセンターではなく、クラウドに合わせた規格に変わっており、弊社にとってはかえってやりやすくなった側面はありました。
— ISMSに関してはいかがですか。業務や管理の面で新たに対応しなければいけないことはありませんでしたか。
安原氏 ISMSに関しては、Pマークでやるべきことを全てやっていましたので、追加の対策はありませんでした。
対象となる機密情報が個人情報から広がりはしましたが、取引先も変わりませんので、対策を追加したり、運用を変えたりする要素はありませんでした。
— ISMSクラウドセキュリティに関してはいかがですか。
安原氏 ISMSクラウドセキュリティに関しては、対応しなければいけないことが多かったです。CSPとしてはホワイトペーパーや利用規約など、これまでになかったものを作成して公開しました。またCSCとしては、AWSなど、
社内で使っているクラウドサービスのセキュリティ状況を把握する必要がありますので、各社がセキュリティに関して公開している文書を揃えました。
— ISMSおよびISMSクラウドセキュリティ両認証取得に取り組まれたことの変化は何かございましたか。
安原氏 やはりフォーカスする範囲が広がったことによる変化は感じます。各チームで情報資産を洗い出して、レベル分けして管理することで、何が大事なデータかということをきちんと認識できるようになりましたし、統一感も生まれました。
西村氏 外部機関によるチェックが現場にも定期的に入るようになったことも大きな変化です。マンネリ化してしまうとルールを見直す機会がなくなっていきます。そういう意味でもISOのような規格を導入することは良いと思います。
安原氏 Pマークの場合、担当者しかマニュアルを見ないので、組織全体に浸透しにくいという面はありますね。
LRM 確かにPマークは担当が頑張れば何とか取れてしまうところがあります。
安原氏 ISMSは部署ごとに情報資産を洗い出してリスク分析を行い、どう対応していくか整理していく必要がありますので、自然とセキュリティ意識が高まります。
文書作成まではヒアリングに答えるだけでどんどん進行していった
— LRMはどのようなサポートをしてくれたのですか。
安原氏 まず弊社から従来のISO20000とPマークの文書類をLRMにお渡しして、それをもとにISO20000とISMSの対応表を作成し、流用出来るものと不足しているところを明らかにしていただきました。さらにISO20000に関しては、2018年版に対応するために不足しているものを書き出してもらいました。その上で、不足する部分を埋めて行くという作業を行いました。
ただ弊社側の作業としては、基本的には打ち合わせの中でLRMのヒアリングに答えていくだけでした。実際の文書類は、ヒアリングの結果を基にLRMに作成していただきました。ルールブックもISMSに合わせてわかりやすく章立てを整理し、新しく作っていただきました。
— 実際に取り組む前のイメージと比較して、作業にかかるご負担はいかがでしたか。
安原氏 思っていたより楽でした。文書類を作るまでは打ち合わせをするだけでどんどん進んでいきました。後半は社内のドキュメントや情報資産の洗い出しなど、弊社内でしか出来ないこともありましたが、それ以外は基本的にはLRMの村田さんと松原さんに担っていただきました。ISMSクラウドセキュリティのホワイトペーパーや利用規約もLRMのひな形をご提供いただきましたし、AWSなどのセキュリティ状況に関するドキュメントもLRMからご提供いただきました。
LRM そうは言いながら、最後の安原さんの瞬発力はすごかったですね。審査の前日も根を詰めて作業していましたよね。
安原氏 審査を迎えるにあたって、理解ができていなかったところがありましたので、それを確認する作業をしていました。その時も村田さんにご来社いただいて、フォローしていただきました。
— 従業員教育はどうされたのですか。
西村氏 ISMSとISMSクラウドセキュリティに関しては、LRMが提供するセキュリティ教育クラウド『セキュリオ』を使って行いました。全社員に対して実施しましたが、各自時間のある時に受講出来るので良いと思いました。
安原氏 管理者の立場からは、教材やテストを作らなくて良いですし、一人ひとりの実施状況が把握出来るところが便利だと思いました。ISO20000は自分達で教材を探してきて、紙で配布・テストを実施して、回収・管理していますので、それと比較すれば大幅に労力削減出来ていることを実感します。
— 内部監査はLRMが内部監査員を代行されたのですか。
安原氏 ISMSとISMS27017はそうです。ISO20000の更新審査を終えた後、オンラインで実施しました。2020年1月頃には審査を受ける準備が出来ていましたが、コロナ禍で時期が遅れるということになり、審査日が決まってから実施しました。
— ISO20000の内部監査は御社内で実施されたのですか。
安原氏 これまでは社内に内部監査員を立てて実施していました。しかし今後はLRMにお願いすることになると思います。やはり専門家はチェックするポイントが違います。我々がやると、時期に応じて視点を変えたチェックすることが出来ません。例えば今回のISO20000のように規格が改訂されても、その改訂に合わせてチェックすることが出来ません。専門家に代行していただければ効果的な監査が実施できて良いと思いました。
— 審査自体はいかがでしたか。
安原氏 指摘事項はいずれも重大なものはなく、対応に苦慮する指摘もありませんでしたので、すでに対応を済ませています。
自社サービスの発展に取り組む中で、ISOのマネジメントシステムが生きる
— ISMSとISMSクラウドセキュリティを新規取得したことで、今後、3つのISOを運用していくことになります。その意義をどう感じておられるか、改めてお話し下さい。
西村氏 お客様が取引先を選ぶ際の基準として、第三者による認証を持っていることは信頼に繋がります。また大手のお客様に信頼され任されているという意味では、お客様と同じ視線で業務を行う必要がありますので、いずれも我々のビジネスにとっては維持すべき認証であると考えています。
— 今後の展望についてお話し下さい。
西村氏 現在はテレビでいくらCMを流しても効果が生まれません。企業は自らメディアを持って情報を発信していく必要性が高まっていますので、情報収集から集客まで一貫した仕組みの中で行っていく流れが生まれています。
そういった潮流の中、当社が提供するプラットフォームのニーズもますます高まって行きますので、よりお客様のニーズに対応したサービスへと発展させていきたいと考えています。その時に、今回、ISMSクラウドセキュリティを含めて体制を整備したことが生きてくると考えています。
「専門家は視点が違います。今後はISO20000の内部監査もお願いしたいです」
(右から西村氏、安原氏)※左はLRM・村田。
少ない人数でISOの活動を発展させるために『情報セキュリティ倶楽部』を契約
— LRMに依頼して良かったことというのはありますか。
西村氏 LRMのコンサルタントは信頼できるし、頼もしいと思いました。
安原氏 すでに出来ているところと、これからやるべきことを明確にしていただいた上で、スケジュールもきちんと把握して管理していただきました。また、困ったことがあればいつでも連絡して下さいとおっしゃっていただけたので心強かったです。実際、審査の前日に連絡した際も、弊社にお越しいただいてフォローしていただきました。
— 今後、LRMに御期待されることはございますか。
安原氏 今回、一連の取り組みが終わった後、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。先ほど申し上げた通りISO20000の内部監査をサポートしていただく他、相談に乗っていただくことは多いと思っています。
西村氏 少ない人数で3つの認証を維持していくことは決して楽ではありませんが、LRMのサポートを受けながら、ISOの取り組みを、より良い方向に発展させていきたいと考えています。
株式会社デジタルラインの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 株式会社デジタルライン様のWEBサイト
※ 取材日時 2020年10月
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。