株式会社グルージェント様 – ISO27001&ISO27017同時取得 –
株式会社グルージェントはLRMのサポートを受けてISMS/ISO27001認証とISO27017/ISMSクラウドセキュリティ認証の同時取得に取り組みました。2つの認証を取得した理由と取り組みの経緯、LRMの果たした役割、さらに今後の課題などについてお話しを伺うために、情報セキュリティ管理者を務める取締役 開発統括・平松寛司氏とクラウドサービス部 アドミニストレーター・松本明丈氏のお2人を訪ねました。
記事index
「日々の仕事を安心快適にするクラウドサービスを提供し、働く人が能力を最大限に発揮できる環境づくりを支援」することをコンセプトとして事業を展開する少数精鋭のクラウドサービスプロバイダーである。1999年にSIベンダーとして創業し、2008年よりオープンソースソフトウェア(OSS)をコアテクノロジーとしてソフトウェアの開発事業を展開するサイオスグループに参画。その後、『G Suite(旧 Google Apps for Work)』(以下、『G Suite』と表記)のリセラー事業にシフトしたが、その中で米国仕様の『G Suite』に対し不満や不安を抱く国内企業のニーズに応える形で補完するアプリケーションの開発・提供を開始。現在はクラウドサービスの利便性とセキュリティを同時に確保するSSOアクセス制御サービス『Gluegent Gate』、クラウド型ワークフローシステム『Gluegent Flow』などのGluegentシリーズとして7つのサービスを展開している。企業におけるクラウド活用が進む中、順調に事業を拡大している。
設立;1999年7月。本社;東京都港区。従業員数;30名(2018年5月現在)。
ISMS/27001&ISO27017/ISMSクラウドセキュリティ認証同時取得コンサルティングを依頼
— LRMへのご依頼内容をお話しください。
弊社は2017年6月LRMにISMS/27001(以下、ISMS)認証およびISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証の同時取得コンサルティングを依頼しました。
2017年6月にコンサルティングがスタートして、2018年4月下旬に第2段階審査を終え、現在審査結果を待っているところです。弊社を担当してくれたのは井崎さんです。LRMのコンサルティング自体には大変満足しています。
自社が提供するクラウドサービスへの信頼性の向上を目指した取り組み
— ISMS認証とISMSクラウドセキュリティ認証を同時取得した理由を教えてください。
弊社がISMS認証とクラウドセキュリティ認証の同時取得をした理由は、社内のセキュリティ体制を強化し、自社サービスに対するお客様からの信頼性を向上させるためです。
最近は数万人規模の企業でも積極的にクラウドサービスを導入するようになり、弊社も大手企業への導入提案を推進してきました。大手企業との商談過程では必ずセキュリティアンケートやセキュリティチェックシートへの回答を求められ、弊社のセキュリティ体制や対策を詳細に記入してきました。しかし、ISMS認証やISMSクラウドセキュリティ認証を取得していれば、そう書くだけで顧客側のセキュリティ要件を満たしていると見なしていただけます。
また規模を問わずクラウドサービスのセキュリティに対して強い懸念を抱くお客様も少なくありません。そのようなお客様でも、第三者機関による情報セキュリティの認証を取得していれば、それがいわゆるお墨付きとなり、見方を変えていただけることが期待されます。
さらにISMS認証だけではなく、ISMSクラウドセキュリティ認証と同時取得することで競合との差別化にもつながるとも考えました。弊社のサービスは競合も多い市場ですが、ISMSクラウドセキュリティ認証まで取得している国内企業は現時点ではありません。
— ISMS認証の適用範囲、ISMSクラウドセキュリティ認証の対象サービスを教えて下さい。
ISMS認証は全社を適用範囲としました。
ISMSクラウドセキュリティ認証は、『Gluegent Gate』と『Gluegent Flow』の2サービスに対象を絞り込み、両サービスのクラウドサービスプロバイダー(以下、CSP)として、また『Gluegent Gate』のプラットフォームであるAWSと、『Gluegent Flow』のプラットフォームであるGCPのクラウドサービスカスタマ(以下、CSC)として取得しました。
— ISMSクラウドセキュリティ認証の対象サービスを『Gluegent Gate』と『Gluegent Flow』に絞った理由をお話し下さい。
当初は全サービスで取得するつもりでした。しかしLRMとの初回打ち合わせで、ISMSクラウドセキュリティ認証を取得するにはサービスごとに利用規約などを見直してお客様の同意を取るなど様々なタスクが発生するため、全サービスを対象とすると目指している期間には間に合わないという指摘がありました。そこで今回は対象サービスを絞り込むことにしました。
『Gluegent Gate』と『Gluegent Flow』を選択した理由は、いずれも現在特に販売に注力し、お客様からのニーズも高まっているサービスだからです。ISMSクラウドセキュリティ認証を取得することで両サービスに強みを持たせたいと考えました。『Gluegent Gate』は認証基盤サービスなのでセキュリティ系の認証を取得することでサービスの価値や信用が格段に高まります。また『Gluegent Flow』では企業の決済情報などの機密情報を扱いますので、お客様にとっては「情報漏えいなどのリスクから守られている」という安心感は不可欠です。
— 外部機関が定めた規格に基づくルールを導入することによる業務への影響などはご心配ではありませんでしたか。
多少の心配はありました。このような第三者機関による認証取得については、分厚いドキュメント類を作り、そこで定められた手順通りに業務を行うことで、業務スピードが落ちるというイメージを持っていました。弊社は創業以来、少数精鋭かつフラットな組織運営をしており、意志決定や業務を回すスピードの速さは今でも非常に大切にしています。そのスピード感が今回の認証取得によって失われる不安はありました。しかしその不安は、LRMと打ち合わせをする中で解消されました。
LRMの実績とクラウドサービスに対する理解度の高さに期待
— ISMSとISMSクラウドセキュリティの認証取得を検討し始めた時期をお話しください。
2017年5月頃から検討を始め、6月に入ってもともと経営者同士が知り合いだったLRMに連絡し、認証取得に向けた準備をスタートしました。
— 経営者同士が知人とはいえ、実際にご担当される立場で、ご不安はありませんでしたか。
もともと弊社はメンバーのネットワークを活かして様々なプロジェクトを推進してきた実績があります。LRMの情報セキュリティコンサルタントとしての実績も知っていましたので、心配や不安を抱く要素はありませんでした。
またご担当いただいた井崎さん自身がLRMの中でクラウドサービスの開発に携わっていると伺っていましたので、クラウドサービスを前提としたコミュニケーションで困ることはないと感じました。実際にコンサルティングがスタートしてみると期待以上でした。
ISMS/27001&ISO27017/ISMSクラウドセキュリティ認証取得までの経緯
「井崎さんはコミュニケーションが非常に取りやすかったです」
(クラウドサービス部アドミニストレーター・松本明丈氏)
— 両認証取得の期限は定めていましたか。
目安としては2017年12月までに両認証取得に必要なタスクを全て終わらせ、年明けの2018年1月、2月に審査を受けるというスケジュールを立てていました。
ただ実際に取りかかってみると、思っていた以上にタスク量が多く、こなすのに時間がかかりました。結果的には審査会社が1月、2月は繁忙期とのことで第1段階審査が3月までずれ込みましたが、おそらくそのぐらいの期間がなければ、目的を達成することは出来なかったでしょう。情報セキュリティ管理者の2名はサービスの開発・運用にも携わっていますので、現場の作業と両認証取得の準備を並行して行うのは非常に負担がかかることを痛感しました。
— ISMSとISMSクラウドセキュリティの両認証取得に向けた準備はどのように行いましたか。
今回はLRMのご提案で、ISMSクラウドセキュリティのベースラインリスク分析からスタートしました。
第2段階審査まで、概ね以下の通りに進行しました。
【第2段階審査までの経緯】
(1) マネジメントシステム構築
① ISO27017/ISMSクラウドセキュリティ
・ベースラインリスク分析 … 2017年7月初旬 ~ 9月末
・洗い出した課題の社内取り組み … 2017年7月初旬 ~ 2018年3月下旬
② ISMS/ISO27001
・ルール作りとドキュメント類作成 … 2017年10月 ~ 11月末
・ISMSの課題への社内取り組み … 2017年10月 ~ 2018年3月下旬
(2) 従業員教育 … 2018年1月
(3) 内部監査 … 2018年3月上旬、2018年4月上旬
(4) 審査
① 第1段階審査 … 2018年3月下旬
② 第2段階審査 … 2018年4月下旬
ISMSクラウドセキュリティのベースライン分析、ISMSのルール構築は、LRMと会議室で打ち合わせをしながら一緒に検討しました。
— ISMSクラウドセキュリティのベースライン分析で洗い出した課題とは例えばどのようなものですか。
主にCSPとしての情報公開に係る一連の作業です。例えばデータセンターがどこにあるか、どのようなインフラを使っているか等の情報を、今回対象としたサービスごとに整理してWebページで公開しました。
ただしこれらの情報は全てを包み隠さず公開すれば良いというわけではありません。例えばデータセンターの場所が特定されてしまえば、攻撃を受けるリスクは高まります。そこで安全性を確保しつつ要求を満たすためにどのような情報をどのような表現で記述するかなど、経営陣を交えて検討しました。
これまで弊社はこれらの情報は公開しない方針で来たこともあり調整は難航しましたが、LRMにアドバイスをいただき途中でチェックもして貰いながら1つずつ解決していきました。
予想以上に時間がかかったので、LRMにご提案いただいた通り早めに取りかかっておいて良かったと思いました。
— CSCとしての作業はどのようなものがありましたか。
CSCとしては、自社サービスで使っているプラットフォームのセキュリティ状況を把握する必要があります。
こちらはAWS、GCP、いずれも公開している情報を入手しチェックしました。
— ISMSのルール構築はどのような方法で行ったのですか。
LRMと一緒に文書類のひな形を使い、読み合わせを行いながら自社に合うようにカスタマイズするという方法で行いました。会議室のモニターに文書類を表示して、リアルタイムで編集していきました。また私たち担当者だけで決められないことは社内に持ち帰って他のメンバーと検討しました。
— 打ち合わせの中で業務のスピード感が失われるという不安は解消されていったとおっしゃいましたが、その理由をお話し下さい。
ISMSマニュアルを精査する中で、井崎さんから項目ごとにそのルールの目的や解釈をわかりやすく説明していただいた上で、「これはやらなくて良い」、「最低でもここまでやっていれば良い」、「今できないなら無理してやらなくても良い」などのアドバイスをいただきました。それによって自社の実態に合わない無理なルールを適用する必要はないということがわかりました。
予備知識を持たずにISOのような規格を基にルールを構築しようとすると、どうしても厳しめのルールを適用しようとする意識が働きます。しかしLRMのアドバイスがあったため、ちょうど良い着地点を目指した議論が出来ました。
それと並行しつつ、これまで不文律としてやっていたような細々とした手順を『Gluegent Flow』でワークフロー化し、またセキュリティに関する取り組みを整理・明文化していきました。現場の業務に影響を与えるような大きな変化はありませんでした。
— 従業員教育について伺います。従業員教育はどのような形で実施しましたか。
従業員教育は、1月から2月にかけて実施しました。方法としては、まずLRMが提供するセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使い、その後自社のツールを使って定めたルールを周知しました。
— 『セキュリオ』を使ったご感想はいかがでしたか。
結果がエクスポートできる機能が管理者として使いやすかったです。また情報セキュリティの教育をおさらいするには良いツールだと思いました。新入社員を迎えた際のレクチャーにも使えます。
ただそれだけだと我々が決めたルールを全て伝えることが出来ないので、弊社の『Gluegent Gadgets』を使って社内ポータルを作成し、ISMSマニュアルなどの基本規程や情報資産管理台帳などをアップして周知しました。
さらに今回は新規取得だったため親会社から要望があり、グループ会社社員向けのeラーニングを実施しました。
— 内部監査についてお話し下さい。
内部監査は第1段階審査と第2段階審査、それぞれの模擬審査を兼ね、井崎さんに内部審査員を代行していただきました。
— 審査はいかがでしたか。
第1段階審査は不安だったので2日間とも井崎さんに立ち会ってもらいました。第2段階審査は、ほとんどの課題を解決して臨むことができたので対応が楽でした。結果としても重大な指摘はありませんでした。
取り組みの成果は成長の基盤作りができたこと
「今回の取り組みで社内の情報が整理され組織を拡大するための基盤作りが出来ました」
(取締役 開発統括・平松寛司氏)
— ISMSおよびISMSクラウドセキュリティ認証の同時取得に取り組んだ成果をお話しください。
今回の取り組みを通して今後弊社が組織を拡大していくための基盤作りが出来ました。
(1) 社内体制の構築
今回再確認したことは、親会社のサイオスがISMS取得企業であることもあり、社内の情報セキュリティ体制がある程度高い水準にあったということです。ただ、それが明文化されず暗黙のルールとして行われている状態も散見されました。それが文書化され、全社的に共有されました。社内の情報が非常に整理され、管理すべき情報資産が一気に把握できるようにもなったことは大きな成果でした。
(2) 情報セキュリティ意識の向上
例えばこれまでサービスの管理者は2段階認証を使用する決まりを設けていましたが、実施状況は人によりバラバラでした。それが現在は全員が実施しています。弊社はもともとアメーバ型のフラットな組織運営を目指してきた会社です。それは自律的に判断して動けるメンバーが集まっているから出来ることですが、効率化を優先するあまり、時としてルールを徹底できていないこともありました。
しかし今回はISMS認証を取得するためにある種の強制力が働いたことで、情報セキュリティに対する社員の意識向上にもつながりました。
(3) ISMSクラウドセキュリティ認証取得による競合サービスとの差別化
パブリッククラウドと連携するシングルサインオン製品やワークフロー製品の業界ではまだISMSクラウドセキュリティ認証を取得した国内企業はありません。審査結果が出て正式に認証取得ができれば各サービスの差別化につながると考えています。
LRMのコンサルティングに対する評価
— LRMのコンサルティングはいかがでしたか。
LRMのコンサルティングは文句の付け所がありませんでした。評価のポイントは3つです。
(1) コミュニケーションの取りやすさ
井崎さんとのコミュニケーションは非常に楽でした。質問は必要以上に言葉を費やさなくてもこちらの意図は通じますし、答えもわかりやすく、会話をしていて「それはどういうことですか」というやりとりがお互いにほとんどありませんでした。
ルール作りの際の主旨説明も非常にわかりやすかったです。社内でルールを検討するにあたり、ISMSやISMSクラウドセキュリティの要求事項の背景や考え方がわからなければ議論は進みません。井崎さんの説明やアドバイスがわかりやすかったので、社内で議論する際に参加メンバーに対して説明する必要がある場合も困りませんでした。
(2) 認証取得企業側に立つ的確なアドバイス
ルールそのものや表現の仕方について社内で結論が出せない場合にアドバイスを求めると、ちょうど良い落としどころを提示していただきました。認証を取得する企業側に立ったアドバイスが出来るコンサルタントだなと思いました。
社内で議論して決めた結果「これで良いのかな」と自信が持てない場合にチェックしてもらい「大丈夫です」と言ってもらえると勇気が湧いてくる感覚がありました。
また、井崎さんは審査のポイントを把握しており、審査員の視点に立ったアドバイスもしていただきました。
全てにおいて筋道を立てて考えられる材料を示していただけたのでやりやすかったです。
(3) レスポンスの早さ
問い合わせに対する回答が非常に迅速でした。今回、プロジェクト管理や打ち合わせの合間の連絡には、お互いに普段使っている『Backlog』や『Chatwork』を活用しました。その中で成果物をチェックしてもらったり、質問に答えてもらったりしたのですが、常に素早いレスポンスで回答いただき、回答待ちで進行が止まるということはありませんでした。
「ISMSクラウドセキュリティ認証の対象サービスを増やして行かなくてはいけないので、
しばらくの間LRMにサポートしていただきたいと思っています」
(右から;松本氏、平松氏)※左は弊社井崎
今後の課題とLRMへの期待
— 今後の課題をお話しください。
今後の課題は2つあります。1つは今回築いた情報セキュリティマネジメントシステムの土台を崩さないように運用しながら改善を続けていくことです。2つめはISMSクラウドセキュリティ認証の対象サービスの拡大です。
現在のところ全サービスに対象を広げる予定ですが、状況を判断しながら取り組んでいきたいと考えています。
— その中で、LRMへのご期待があればお話しください。
審査結果が出て無事にISMSとISMSクラウドセキュリティの両認証が取得できることが前提ですが、今回築いた土台を崩さずに改善を続けていく上でのサポートを期待しています。
ISMSクラウドセキュリティ認証の対象サービスを拡大するというミッションもありますので、まだまだLRMのサポートは必要です。審査結果が出た段階で、改めてご相談させていただきたいと思います。
株式会社グルージェント様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。
※ 株式会社グルージェント様のWEBサイト
※ 取材日時 2018年5月
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。