株式会社カゴヤ・ジャパン 様 – 顧客事例 –

ISMSもPマークも安定稼動へ。更新審査も安心して迎えられます。情報セキュリティをキープするためにはLRMは欠かせない存在です。

※本事例での情報セキュリティ俱楽部プランは旧プランでのご提供となっており、現在のプラン内容とは一部異なる場合がございます。現在のプラン内容については、料金・プランページをご確認ください。

株式会社カゴヤ・ジャパンは、プライバシーマークとISO/IEC27001認証を取得した後、LRMと情報セキュリティ運用のサポート契約を結びました。
京都府内にあるデータセンターを訪ね、取締役総務マネージャー・本間俊晴氏(後左3)、技術グループDCチーム チームリーダー・別所啓次氏(後左1)、総務チーム・今村誠子氏(前中)に、LRM選定の理由と評価を詳しく伺ってきました。※写真右端は、LRM幸松

(株式会社カゴヤ・ジャパンについて)

カゴヤ・ジャパン

カゴヤ・ジャパンは、ホスティングサービスを主要事業とする会社である。2006年5月、データセンターを設立。以降、ハウジングサービス、コロケーションサービスによる売り上げが伸びている。2007年1月プライバシーマークを、同年5月ISO/IEC27001の認証(データセンター)を、それぞれ取得している。
本社;京都、営業所;東京・大阪、従業員;68名(2011年6月現在)。

カゴヤ・ジャパンの強み、データセンターの役割

カゴヤ・ジャパン社のサイト

– カゴヤ・ジャパンの強みを教えてください。

カゴヤ・ジャパンの強みは、障害への対応力です。ホスティングサービスからハウジングサービスまでを手がける弊社では、自社データセンターに全ての技術を集約しています。
データセンターには、技術者が24時間3交代制で常駐しています。技術者は、ネットワーク技術者から、サーバーのOSをパッケージングする技術者まで揃っています。
また、サーバーの在庫を含め、機材も一式を用意しているので、夜中でもサーバーの再構築、ソフトウェアの復元など、大障害に至らないような対応が可能です。

– データセンターは、どのような役割を担う施設ですか?

データセンターは、自社が運用するホスティングサービス用のサーバー、ハウジングサービスおよびコロケーションサービスでお客様からお預かりしているサーバーを管理する施設です。

最も重要な業務は、サーバー1台1台の可用性を守ることです。
「サーバーの可用性を守る」とは、サーバーが常に稼働している状態を保つということです。そのために、自家発電装置、無停電装置(UPS)、空調機などの設備を完備してサーバーが稼働し続ける環境を管理しています。
その上で、人為的なミスによる事故を未然に防ぐために、情報セキュリティマネジメントシステムを運用しています。

2007年、PマークとISO27001認証を取得

何かあった時に気軽に相談できるコンサルタントは不可欠な存在です

何かあった時に気軽に相談できるコンサルタントは、不可欠な存在です

– 情報セキュリティマネジメントシステムの運用体制を教えてください。

弊社は、プライバシーマーク(以下、Pマーク)とISMSの国際規格「ISO/IEC27001」(以下、ISMS)の認証を取得し、情報セキュリティマネジメントシステムを確立しています。
いずれも2006年(データセンター完成の1年前)から準備を始め、完成後の2007年に取得しました。社内の推進体制は総務チームが主体となっています。ISMSの運用ではデータセンターと連携し、総務チームが、規定文書作成、社員教育、審査対応を担い、データセンター側で施策を実施するという役割分担で推進しています。

– Pマーク、ISMS、それぞれの取得目的を教えてください。

Pマーク、ISMSともに、対外的な信用力をより強固なものにするために取得しました。取得の背景はそれぞれ以下の通りです。

【Pマーク】の取得目的

弊社は各サービスのお申込みやお問合せを頂く際に、お客様の個人情報をお預かりします。
弊社と同様、多数の個人情報を取得する企業では、Pマークを取得してサイト上に表示することが、一般的になっています。
弊社においても、Pマークの取得を社会的な要請として認識し、取得しました。

【ISMS】の取得目的

ISMSの認証範囲は、京都府内に建設したデータセンターです。2006年に、自社設備を建設し本格的なデータセンター事業を行うにあたって、情報セキュリティマネジメントシステムを確立し、より積極的な事業展開を行うために取得しました。

認証マーク

サイト上に表示される認証マーク

– Pマーク、ISMSで規定しているルールとはどのようなルールですか?

Pマークで定めているのは、電子メールの発信方法や各種情報データの取扱いなどに関するもので、お客様の個人情報を保護するためのものです。

一方、ISMSで定めている規定は、データセンターのサーバーが停止しないためのルールです。
そもそも、データセンターはサーバーを保護するための施設です。電源管理、温度管理、湿度管理などの設備を完備しているのもそのためです。その上で、さらに人為的な事故―機器類の破損、配線が抜ける、など―を防止するために、機器類の取り扱い方法、施設内での動線などを細かく規定しています。
特に、ハウジングサービスやコロケーションサービスでは、お客様がデータセンターに入館するため、様々な防御が必要です。入館するお客様には、そのお客様が管理するラックのカギしか渡さないという基本的なルールに加え、普段は入らないメーカーの保守員が入館する場合はスタッフが必ず付き添うなどのルールを設けています。さらに、お客様側におけるご来館される社員様への教育・指導の徹底をお願いしています。
このようなルールを運用し、常に見直すことで、サーバーの稼働率99.999%を達成しつづけています。

LRMへの依頼内容

– 現在、カゴヤ・ジャパンがLRMに依頼している業務内容を教えてください。

カゴヤ・ジャパンは、LRMに、ISMSとPマークの運用改善サポートを依頼しています。
2009年4月に契約し、2年が経過しました。サポートの主なメニューは、回数・内容無制限のメール相談、メールによる情報提供です。

【メール相談】

日常業務の中で、ISMS、Pマークの運用に関わる不明点が出てきた際に相談し、アドバイスをいただいています。例えば、弊社のサポートセンターには様々な内容のお問合せが来ますが、その中には、個人情報の取扱いに対する問い合わせが来ることがあります。そのような際に、対処方法を教えていただくことがあります。また、Pマークの規格で義務付けられている勉強会(最低年に1回と事故発生時)の資料を紹介していただくこともあります。

【メールでの情報提供】

月に一度、情報セキュリティに関する情報をメールで頂きます。特に便利なのが、法令台帳チェックです。ISMS運用に関係する法令の改訂状況を年4回、教えていただいています。以前は、インターネット検索でチェックしていました。その手間が省け、信頼できる情報をいただけるため助かっています。

情報セキュリティの運用サポートを依頼した経緯

幸松さんは対応が早いためお客様への回答も迅速にできます。

幸松さんは対応が早いためお客様への回答も迅速にできます
(総務・今村氏)

– 認証取得から2年が経過して、LRMに運用サポートを依頼した背景にはどのような事情があったのでしょうか?

LRMにサポートを依頼したきっかけは、ISMSの更新審査で、実効性のあるリスク分析・リスク対応が必要という指摘(観察事項)を受けたことです。弊社では、情報セキュリティに関する知識を持った人材が不在で、指摘への対応が困難でした。そこで、アドバイスをいただける方を探し、LRMと契約しました。

– 新規取得にあたって、あるいは取得後LRMに依頼するまではコンサルタントのサポートは受けなかったのですか?

いえ。Pマーク、ISMSいずれも、新規取得の際に、コンサルタントのサポートを受けました。
また、Pマークに関しては、取得後、1回目の更新に向けて約1年間、サポートを受けましたが、内容を更に充実させたいと考えていました。特に新規取得の際は、フォーマットどうりに文書を作っただけに近い内容だったため、取得後、運用しながら修正しなければならない箇所が多くありました。

– LRMを選定した理由は何ですか?

理由は2つあります。
1つ目が、LRMコンサルタントの幸松さんが、システムエンジニア出身であることです。サーバー保守の実務経験もあったので、弊社の業務知識に通じていることを期待しました。
2つ目が、ISMSの認証審査機関の審査員を兼ねていることです。ISMSに関する豊富な知識・経験に期待しました。

以上のような幸松さんの経歴と、面談時の受け答えから判断して、LRMを選定しました。

実効性のある情報セキュリティを実現

カゴヤ・ジャパンが提供する主なサービス

カゴヤ・ジャパンが提供する
主なサービス

– ISMS更新の際に受けた観察事項について、LRMのサポートによる成果を教えてください。

LRMの幸松さんのアドバイスを受けて、データセンターのサーバーに対してサービスごとにリスク分析を行い、それぞれのリスクに対応する規定を追加しました。例えばroot権限が、弊社にある場合(ホスティングサービス)と、お客様にある場合(ハウジングサービスおよびコロケーションサービス)ではリスクが変わります。root権限とはサーバーの管理者権限を指します。

root権限が弊社にある場合は、弊社スタッフの管理を徹底することでリスクを回避できますが、root権限がお客様にある場合は弊社による管理は難しく、不測の事態が起きても対応できる準備が必要です。
さらにハウジングの場合はお客様が入館してサーバーに直接触れられるため、物理的なリスクへの対応も必要です。
また、ホスティングサービスの場合でも、専用サーバーと共用サーバーではリスクが変わります。取得時点では「データセンターのサーバー」として一括し、全てに同じルールを適用していたため、細かいリスクへの対応ルールが不足していました。サービスごとにリスク対応ルールを設けたことで、実効性のあるマネジメントシステムが構築できました。

また、この時に幸松さんから受けたサポートがきっかけで、常にルールを見直す習慣がつきました。

以上の観察事項への対応や、それ以後のメール相談によるアドバイスによって、現在、弊社の情報セキュリティマネジメントシステムは安定稼働するようになりました。

コンサルタントが必要な理由とLRMの評価

– 安定稼働するようになった現在も、コンサルタントのサポートを必要とする理由を教えてください。

それは、常に運用上の安全・安心を確保するためです。

例えば、何らかの事故が発生したとします。それが弊社の業務フロー上の問題で発生したとして、それを公開する必要があるのか、上位団体に報告する義務があるのか、など判断が難しい場合があります。
事故そのものは大事ではないが、以後未然に防ぐためのPDCAをどうまわしたらいいか、勉強会はどういうことをやったらいいかなど、気軽に相談して解決できる相手がいれば安心です。

運用上、何もなければ問題ありませんが、事故発生時の保険のような感覚で契約しています。

特にLRMの幸松さんは気さくな性格で、気軽に相談出来ます。柔軟な対応も評価できるポイントです。
また、料金はリーズナブルです。さらに、業界知識が豊富なため、言葉の説明に時間、労力を費やす必要がありません。聞きたいことがストレートに聞ける、本当に相談したいことが相談できるコンサルタントです。

今後の期待

– 御社における情報セキュリティの今後と、LRMへの期待をお話し下さい。

今後は、クラウドサービスの普及が見込まれており、それに対応した信用力をより一層強化していく必要があります。また自然災害からお客様のデータを守ることへの重要性も増しています。そのベースになるのが、情報セキュリティだと考えています。
情報セキュリティをキープするためには、LRMは不可欠な存在です。法令の改正、規格の改定の際には、相談することが多くなります。今後も、LRMとの関係を維持していきたいと考えています。

カゴヤ・ジャパンの皆様、お忙しい中、有り難うございました。

株式会社カゴヤ・ジャパン様のWebサイト
※ 取材日時 2011年7月

情報セキュリティ倶楽部に関するお問い合わせ・無料相談

ISMSやPマークの運用サポートについて、何でもお気軽にご相談ください。
各サポートコースの月額費用は訪問回数によって変わってきますが、
カスタマイズした個別のサポート内容のご提案も可能です。
まずはコンサルタントが直接、現状の課題・お悩みをヒアリングさせていただきます。

お問い合わせフォームはこちらから