株式会社ライナロジクス様 – ISO27001&ISO27017同時取得 –
株式会社ライナロジクスは、クラウド型自動配車システム『LYNA CLOUD』のリリースに備え、ISMS/ISO27001およびISO27017/ISMSクラウドセキュリティ認証を取得しました。LRMのサポートを受けながら両認証取得に取り組んだ成果、そこに至る経緯について、代表取締役・朴成浩氏、顧問・松浦俊彦氏に伺いました。
記事index
組み合わせ最適化の技術をコアスキルとして、物流会社向けに自動配車システム『LYNA 2』を開発・提供している。組み合わせ最適化とは、膨大な数量に及ぶ可能性、選択肢の中から最適な組み合わせを発見する技術。特に同社は組み合わせ最適化問題を解くための最も実用的で強力なアプローチであるメタヒューリスティクスに強みを持つ。物流事業において、運行効率や輸送コストに重要な影響を及ぼすのが、輸配送計画の作成業務である。この熟練したスキルが求められる輸配送計画の作成は長らく「配車マン」と呼ばれる職業の人々が担ってきたが、近年の人手不足によってそのスキルの継承が困難になってきた。同社が開発・提供する『LYNA 2』は、そのような人材不足を解消するとともに、より最適な輸配送計画の作成を実現している。2000年、オンプレミス型のパッケージソフトとしてリリースされて以降、クライアントサーバーモデルなど、ラインナップを拡張しながら、食品流通、家電流通を中心に順調に導入件数を増やしてきた。2018年、クラウド型完全AI自動配車システム『LYNA CLOUD』をリリース。クラウド化によって規模の大小を問わずに導入しやすくなったことで、シェア拡大に拍車をかけている。
設立;2000年5月。従業員数;約25名(2019年3月現在)。本社;千葉県市川市。
LRMへの依頼内容;ISMS&ISMSクラウドセキュリティ認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
株式会社ライナロジクスは、2018年6月、LRMにISMS/ISO27001(以下、ISMS)認証、ISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証の新規取得コンサルティングを依頼しました。
LRMの担当者・村田さんのサポートで、2018年10月、全社を適用範囲とするISMS認証を取得し、続いて2019年3月、クラウドサービス『LYNA CLOUD』に係る業務全般を適用範囲とするISMSクラウドセキュリティ認証を、クラウドサービスプロバイダ(以下、CSP)、クラウドサービスカスタマ(以下、CSC)、両方の立場で取得しました。
クラウドサービスの正式リリースに合わせた体制整備が目的
経験を問わず、誰でも簡単に最適な配車計画を作成することができるクラウド型完全AI自動配車システム『LYNA CLOUD』のサービスサイト
— ISMS認証とISMSクラウドセキュリティ認証を取得した目的をお話し下さい。
弊社がISMS認証とISMSクラウドセキュリティ認証を取得した目的は、『LYNA CLOUD』を正式リリースするにあたり、お客様にご安心いただける体制を整備するためです。
クラウドサービスを導入する際に、セキュリティが担保されていなければ契約が出来ない、という企業は少なくありません。そういったお客様に、安心してお使いいただけるサービスであることを示す根拠として、ISMS認証、ISMSクラウドセキュリティ認証はわかりやすいと考えました。お客様からは、セキュリティチェックシートの記入を求められることもありますが、ISMS認証やISMSクラウドセキュリティ認証を取得していれば、そう回答するだけでご理解いただけます。一方で、そのような認証を取得していない場合は、どのような対策を取っているかを具体的に記入しなければいけません。
そういったことからも、両認証取得はクラウドサービス導入にあたっての必須条件になりつつあると感じます。
また、両認証を取得することで、社内の情報セキュリティ体制をチェックし、再整備する機会にもなるとも考えました。
— 『LYNA CLOUD』リリース以前は、ISMS認証取得に対するニーズはありませんでしたか。
はい。お客様の社内の端末にインストールするパッケージ製品の場合、基本的には利用環境を含め、全ての情報資産は、お客様の社内に保持する形になります。そのため、お客様がソフトウェアベンダーの情報セキュリティを気にされることはありませんでした。
同様に我々自身も今回の両認証取得に取り組むまでは、社内の情報セキュリティ体制を示す必要性は感じていませんでした。しかし、今回の取り組みを通して、その認識を改めました。今回の取り組みは非常に勉強になりました。
— 認証取得までの期限は定めておられましたか。
どれぐらいで取得できるのかイメージできませんでしたが、可及的速やかに取りたいとは考えていました。
ただ9月開催の物流展という展示会で『LYNA CLOUD』をお披露目することが決まっていましたので、そのタイミングでは何らかの形でお客様に対する説明が出来る状況にはしたいと考えていました。
短期取得を実現する方法論が確立されたLRMに依頼
「問い合わせた時に最も迅速に対応してくれたのがLRMでした」
(顧問・松浦俊彦氏)
— 両認証取得に向けて最初に着手されたことは何ですか。
まず、両認証を取得するためにどのような準備が必要かを調査しました。その結果、我々単独では難しいと判断し、コンサルティング会社を探し始めました。
— どのような点が難しいと思われましたか。
ISMSの規格書を読んで解釈することです。専門的な知識が必要になると思いました。
— コンサルティング会社選定にあたってコンタクトを取ったのは何社ぐらいですか。
4社に連絡をして、見積りとスケジュールをいただきました。その中で最もスピード感のある対応をしていただけたのがLRMでした。
— スピード感以外に、予め設けておられた選定基準はございましたか。
『LYNA CLOUD』の正式リリースに向け、確実に、迅速にプロジェクトを推進する必要がありましたので、その目的に向けしっかりと支援していただけるパートナーとなり得るかどうかを重視しました。
— 両認証とも9月までに取得できるというコンサルティング会社はございましたか。
9月までに両方とも取得できるというコンサルティング会社はありませんでした。各社とお会いしたのが3月~4月頃です。弊社としては両方の取得が無理でも、せめてISMS認証ぐらいは何とかならないかと考えていました。それでも不可能だと言うコンサルティング会社がほとんどでしたので、一時は1年間ぐらいかかることを覚悟しなければいけないと考え始めました。
しかしLRMだけはコンサルティング開始から9月までの約3ヶ月でISMS認証取得の目処を立てられるスケジュールを提示してくれました。審査機関の都合もありますので、期間内に認証取得が出来るという確約は出来ないながらも、少なくとも弊社側の準備を終えることは出来るということを示していただきました。それがLRMにコンサルティングを依頼する決め手となりました。
— 他社は無理だと言っている中、LRMだけが可能と言っていることに対し、疑問や不安はございませんでしたか。
もちろん言うだけなら何とでも言えますので、しっかり注意して説明を聞きました。その中でわかったことは、LRMには今回と同じような短期間でのISMS認証取得の実績があり、その実績から方法論を確立していることでした。
ISMS認証を短期間で取得するためのロードマップ、そのロードマップを実現するために用意されたツール類、過去にISMS認証の短期取得を支援した事例などについて詳しく丁寧にご説明いただき、何故他社が出来ないと言っているISMS認証の短期取得が可能なのか納得しました。
そのようなお客様を成功に導く方法論は、我々システム開発会社がお客様に対して行っていることと共通しています。我々も、配送計画ソフトウェアを初めて導入するお客様に対し、プロフェッショナルとして確立した手順で導入・運用を支援します。その方法論が確立されているからこそ、早く、安く、確実にお客様を成功に導くことが出来ます。LRM以外のコンサルティング会社は、そこまで方法論が確立されていませんでした。そういった点で、LRMは非常に評価しやすい会社でした。
— 商談の段階でお話をされたのは営業の方ですね。
はい。営業の時点でプロセスがしっかりと整備されていると感じました。営業担当の藤居さんはそのプロセスを理解されていましたし、熱意を持って仕事に取り組める方であると、好印象を抱きました。その後、コンサルティングを担当する村田さんとお会いした際も、安心してお任せ出来る方という印象を持ちました。
短期間の取り組みでもISMS/ISO27001の要求はしっかり満たすことが出来た
— ISMS認証ならびにISMSクラウドセキュリティ認証を取得するまでの経緯を伺います。取得の準備は、認証ごとに取り組まれたのですか。
はい。ISMS認証、ISMSクラウドセキュリティ認証の順番で準備を行いました。
— 御社内の取り組み体制をお話し下さい。
朴、松浦、そしてもう1人情報セキュリティ担当者を決めて、合計3名でISMS事務局を組織しました。ISMS認証取得はこの事務局メンバーが中心となり準備に取り組みました。ISMSクラウドセキュリティ認証取得は、事務局メンバーに加え、クラウド開発のチームからエンジニアが2名参加して取り組みました。
— ISMS認証取得は展示会に間に合いましたか。
その時点では取得には至っていませんでしたが、審査機関からISMS認証授与のご推薦をいただいていました。
展示会でお客様から情報セキュリティに関する質問があった際にも、実際に導入される時には、安心してご利用いただけるという説明が出来る状態にはなっていました。
— 3ヶ月間という短期間での取り組みは、大変ではなかったですか。
そうですね。短期集中で毎週村田さんと打ち合わせをしてルール作りをしました。文書作成や内部監査、審査前のチェックなど、村田さんにお手伝いいただいたことも非常に多かったです。
ただ、短期間とはいえ、ロードマップがきちんと描かれていたことで、ISMSの要求事項はしっかり満たすことが出来ました。
— 御社内で行うべき作業もありますよね。
はい。例えば最初にやらなければいけないのが情報資産管理台帳の作成です。ただ、これもサンプルがありましたので助かりました。しかもサンプルとは言っても、一般的に情報資産と言われるようなものはほぼ網羅されて具体的に記述されており、それを参考にピックアップして記載出来ましたので、悩む必要はありませんでした。
— ルール作りや文書作成はどうされましたか。
LRMが用意しているマニュアルのひな形に沿って、村田さんが弊社の社員にヒアリングをする形式でリスクアセスメントを行い、それをもとに叩き台となるマニュアルを作成してくれました。そしてそれを一緒に読み合わせしながら修正を加え、弊社の実態を反映したマニュアルが出来上がりました。
— 今回の取り組みでは物理的な環境整備はありませんでしたか。
特に新しく整備したことはありません。オフィスの出入り口やサーバールームの施錠、全ロッカーへの鍵の装備といったことは以前から行っていました。
ハードだけではなく開発手順などに関しても、システム開発会社として必要な対策は取っていました。
パスワードポリシーなど、個人任せになっていたことを統一するといった細かいルールは設けましたが、大きく変えなければいけないことはありませんでした。
— 従業員教育はどうされましたか。
従業員教育は、最初にLRMが開発・提供するセキュリティ教育クラウド『セキュリオ』を活用して実施しました。
それによって全社員の情報セキュリティに対する意識を揃え、さらに7月に入ってマニュアルが出来上がった段階で全員を集め、構築したルールを周知しました。
『セキュリオ』を使うことで従業員教育に関しても負担を軽減することが出来ました。各自のタイミングで受講出来ますので、リスクアセスメントと並行して実施することが出来ましたし、管理も楽でした。
— 内部監査はいかがでしたか。
内部監査はLRMに内部監査員を代行していただいて実施しました。そこで文書のチェックや現場への浸透状況をチェックしていただき、改善点を洗い出していただいたことで、第1段階審査、第2段階審査ともに、大きなトラブルもなくスムーズに終えることが出来ました。審査員の方にも、しっかり取り組んでいるという安心感を持っていただけたのではないかと思っています。
時間がかかる機能追加も慌てることなく計画立てて取り組めた
「LRMのコンサルタントはシステム開発にも詳しく話がしやすかったです」
(代表取締役・朴成浩氏)
— ISMSの第2段階審査を終えた後は、早速ISMSクラウドセキュリティ認証取得の準備にかかられたのですか。
はい。まず取り組んだのがベースライン分析です。『LYNA CLOUD』を提供するCSPとしてリスク管理策40個、『LYNA CLOUD』の開発運用基盤であるAmazon Web Service(以下AWS)を利用するCSCとしてリスク管理策39個、合計79個の管理策を、LRMと一緒に順番に検討していきました。
次にベースライン分析に基づいてルールを策定し、審査に必要なマニュアルなどの文書類、『LYNA CLOUD』のホームページ上で公開する利用規約やホワイトペーパーなどを作成していきました。また、サービスの機能追加も行いました。
— ISMSクラウドセキュリティ認証取得の取り組みでご苦労されたことはありましたか。
ISMSクラウドセキュリティ認証取得に向けた取り組みは、チェックリストを潰していくような作業なので比較的やりやすかったです。利用規約やホワイトペーパーなどもLRMのひな形に基づいて、一緒に打ち合わせをしながら作成しましたので苦労はありませんでした。ただサービスの機能追加は開発が絡むことなので、これだけは時間がかかりました。
— 具体的にはどのような機能を追加されたのですか。
ユーザーの管理画面に最終ログイン日時を表示する機能を追加しました。「来週までにやって」と言って簡単にできるものではありません。
ただし、この機能追加に関しても、早い段階でタスクとして洗い出し、スケジュールに落とし込んでいただいていたので、慌てることなく着実に進めることは出来ました。
— CSCとしての作業もございましたよね。
はい。AWSのセキュリティ体制を把握する必要がありました。こちらについてもLRMが準備したものを活用しました。
— 従業員教育はISMSとは別途実施しなければいけないのですか。
そうです。やはり『セキュリオ』を活用しました。ISMSクラウドセキュリティ認証の適用範囲は『LYNA CLOUD』の開発チームのみですが、従業員教育は従業員全員を対象に実施しました。
その後、内部監査もISMS同様にLRMに内部監査員を代行していただいて実施しました。
— 審査はいかがでしたか。
第1段階審査、第2段階審査ともに、スムーズに終了しました。ISMSクラウドセキュリティ認証取得の審査では村田さんに同席していただきました。ISMSクラウドセキュリティ認証の審査はISMSと違い、エンジニアに負担がかかります。弊社のエンジニアは日頃、社外の方と接する機会がありませんので、ご同席いただいて安心感があったようです。
LRMのリードで本質を理解しながら議論し、“自分達のルール”が構築出来た
— 先ほど、「パッケージ開発の会社は、ISMS認証を取得する必要はない」という認識が変わったとおっしゃいました。もう少し詳しくご説明いただいてよろしいですか。
今回の取り組みを通じて、例えば次のようなことに気がつきました。
弊社のこれまでのパッケージビジネスにおいても、ご導入いただいたお客様に対してはサポート業務が発生します。
サポート業務は継続的なお取引になりますので、様々な形でお客様の情報をお預かりすることがあります。
そういった場合、事実上、我々自身がお客様にとっての情報資産となります。しかしお客様の方は、大切な情報を我々に預けたことは忘れてしまい、時間が経ってから「あれはどうなった?」と問われるということもありますので、我々自身がしっかりと整理し管理しておく必要があります。そういったことを含め、パッケージビジネスにおいても沢山のリスクがありますので、暗黙知で扱うのではなく、ISMSに即した情報セキュリティマネジメントを構築して情報を取り扱う方が、我々にとってもお客様にとっても安心・安全であるという認識に至りました。
— そういった認識はどのような取り組みによって得ることが出来たのでしょうか。
例えばリスクアセスメントですね。リスクアセスメントは、LRMのヒアリングに我々が答えていくという方法で行いました。その際、LRMは単にテンプレートを埋めれば良いという進め方ではなく、ISMS事務局のメンバーや、現場の社員に綿密なヒアリングをして下さいました。その中で、「そういうことがあるなら、こういったリスクもありませんか」といった質問を投げかけていただいたことで、様々な気付きを得ることが出来ました。
我々もソフトウェア開発会社ですので、これまで何も対策をしていなかったわけではありません。情報セキュリティマネジメントに対する意識や知識も持っていた自負はあります。ただ、第三者の視点が入らないと、独善的になりがちです。村田さんにご指摘いただいて気付いたことは沢山ありました。
それはISMSだけではなく、ISMSクラウドセキュリティにおいても同様です。例えば、なぜユーザーの管理画面に最終ログインの日時を表示させる必要があるのか。それは、クラウドサービスのセキュリティは、サービス提供者の取り組みだけでは成り立たないからです。サービス提供者がいくら万全な対策を取ったとしても、ユーザーがパスワードを漏らしてしまえば、簡単にセキュリティは破られてしまいます。ユーザーにもセキュリティに対する意識を持っていただくために、なりすまし等の被害に遭っていないか確認できるよう、管理画面に最終ログイン日時をわかりやすく表示させる必要がある。そういった認識も、LRMと会話する中から得ることができました。
— その結果今までになかった細かいルールが出来て、それが業務の負担になるということはございませんか。
管理体制を整備するということは、これまでやってこなかったことをやらなければいけない、ということが、どうしても発生します。ただし我々は、それがデメリットになるという意識は持っていません。それはルールを構築する時に、我々自身がきちんと腹落ちした上で決めているからです。それはLRMのリードによるものです。
もしルールを決める時に「ISMS認証を取得するには、これをやらなければダメ」と、そういう論法で押しつけられたものであるなら、「余計な手間が増えた」という意識になるかもしれません。しかしそうではなく、LRMには何かのルールを策定する際には、こういう業務が発生するなら、こういうリスクが考えられて、そのリスクを回避するための対策が必要になる、という根拠を明確に示していただきました。それを受けて我々自身が対策を取る必要性を理解し、自発的に議論した結果、自分達のルールを策定することが出来ました。従って、今回策定したルールによって、手間が増えたという意識は全くありません。
「LRMの方法論がどのようにして確立されたのか、大変興味深いです」
(右から;朴氏、松浦氏)※左は弊社村田
何が起きてもしっかり対応できるプロセスを維持していきたい
— 各認証の取得が終わり、お客様にご安心いただけていると実感されることはおありですか。
お客様からセキュリティに関するご質問をいただいた時に、きちんとしたルールに則って業務を行っているという根拠を示すことは出来るようになりました。今後、サービスの認知が広まっていくと、セキュリティチェックシートを含めて問われる機会は増えてきますので、そういった時に実感することになるのかも知れませんね。
— 今後の課題がございましたらお話し下さい。
課題は色々ありますが、まずはISMS認証、ISMSクラウドセキュリティ認証、いずれの審査においても改善の機会をいただいておりますので、今後どのように対応していくかを考え、改善に向けて計画を立てて取り組んでいく必要があります。
その他、自分達なりに取り組みたいと思っていることもいくつかあります。例えば今回の取り組みで弊社は、『LYNA CLOUD』のセキュリティ対策実施状況を明記したホワイトペーパーを公開しました。そこで今後は、それをご覧になるお客様から「この部分はこうして欲しい」といったご要望をいただくことも想定しています。そういったお客様のニーズに応えるとともに、その都度ホワイトペーパー自体も改定していくということは継続して取り組んで行きたいと考えています。
また、クラウドサービスを提供するには、可用性も確保しなければいけません。お客様が使いたい時は、いついかなる時にでも使えることが理想です。しかし弊社の現状としては、まだそこまで至っていません。例えば、「メンテナンスの時間を設けることがあります」とか、「これぐらいのダウンタイムであれば許容されるものとします」といった宣言をしているわけです。それは理想とかけ離れているという認識がありますので、お客様からのニーズが顕在化しなくても、改善しなければいけないと考えています。
今回の取り組みを通じて我々は、ISMSとはプロセスに対する評価であるという認識を持つに至りました。
ルール構築が出来て審査が通ったからそれで良いということではなく、次々と新しいテクノロジーが生まれる業界の中、何が起きてもしっかり対応できるプロセスを維持していきたいと考えています。
内部監査員代行にメリットを感じ、『情報セキュリティ倶楽部』を契約
— LRMのコンサルティングはご期待通りでしたでしょうか。
はい。期待通りです。しかも短期間の取り組みにもかかわらず、単に認証を取るためだけのサポートではなく、情報セキュリティマネジメントシステムの本質を理解することが出来ました。担当して下さった村田さんは開発の知識をお持ちで、こちらの話も正確に把握していただけたので、コミュニケーションも楽でした。
— 対面の打ち合わせ以外に、メールや電話を使ってLRMにご相談される機会はございましたか。
ルール構築などの作業を社内で行う中、成果物をチェックしていただくために、頻繁にメールのやりとりをしていました。それに対する回答も迅速に対応していただきました。そういったスピーディな対応も、遅延なく目的を達成できた要因だったと考えています。
— 今後に向けてご期待がございましたらお話し下さい。
弊社は、ISMSクラウドセキュリティ認証取得後、LRMとISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。また『セキュリオ』も継続契約しています。
『情報セキュリティ倶楽部』は、主に内部監査員代行をお願いしたいと考えて契約しました。内部監査とは言え、第三者の方にチェックしていただかなければ、お手盛りになってしまうこともあり得ます。内部監査が十分に出来なかった結果、審査で不具合が出るということが起きてしまうと、それこそ余計な手間がかかってしまいます。
一方、『セキュリオ』は、従業員教育の管理が楽なので継続契約しました。今後事業を拡張していきますと、従業員が増えて行きます。そうなった時に従業員教育の管理はより煩雑なものになることが予測されますので、きちんと管理するには必要なツールだと考えています。
また『セキュリオ』には法令管理機能もついています。数百種類以上ある法令の中から、自社がISMSを運用するにあたって必要な法令をピックアップし、変更がないか定期的にチェックするのはなかなか出来ることではありません。
それがパッケージ化されている点も便利だと思いました。
LRMのコンサルティングの方法論は、我々システム開発会社の業務と共通する点が非常に多いと感じました。
それがどのようにして確立されたかも大変興味深いです。共有させていただく機会があれば嬉しいです。
今後ともぜひよろしくお願いいたします。
株式会社ライナロジクス様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。