MI-6株式会社様 – 顧客事例 –

省力化を図り必要最小限でISMSを運用するうえで、LRMはすごく良いパートナー

MI-6株式会社は、ISMS認証を運用されており、今回LRMに審査対応支援を依頼されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、岩本様、磯崎様のおふたりにお話をお伺いしました。

お客様が抱える課題とISMS構築アプローチ
  • ドキュメントや運用フローが複雑化している
  • ISMSを別業務と並行して運用する必要がある
  • 適切な権限の見直しにより運用をよりスムーズに
  • 記録類をスプレッドシートでの管理から「セキュリオ」に変更
  • LRM にハンドリングしてもらうことで、別業務と並行しながら ISMS 運用を実現
LRMコンサルティングサービスへの感想
  • ドキュメント作成まで踏み込んで支援してくれる
  • セキュリオにより、運用の効率化、実効性向上が図れる
  • ISMSだけではなく、クラウドセキュリティなど幅広い知見がある

(MI-6株式会社について)

MI-6株式会社は、「MI」によって材料開発の革新を支援する企業。MI(マテリアルズ・インフォマティクス)とは、機械学習などの情報処理技術を用いて、材料開発を効率化する取り組みを指す。
経験豊富なMIデータサイエンティストが、MIを活用した材料開発を直接支援するコンサルティングサービス「Hands-on MI」や、数多くの顧客支援で培ったノウハウから生まれた材料開発におけるMIによる実験条件の最適化をおこなえるSaaS「miHub」、そしてMIと自動化技術を組み合わせた自動自律型の実験ソリューションを提供するRaaS「MI Robotics」を提供している。日本にMIの概念が導入されて間もない2017年より事業を開始しており、国内の素材メーカーを中心に100社を超える支援実績を有し、電子材料、電池、ガラスなどさまざまな領域において活用されている。「材料開発とデータサイエンスのHubとなり研究者のポテンシャルを解き放つ」をミッションに掲げ、日本における材料開発の最適化を目指す。
設立:2017年11月。本社:東京都中央区。従業員数:45名。(2023年12月時点)。

LRMへのご依頼内容:ISMS認証審査対応支援コンサルティング

— LRMへのご依頼内容をお話しください。

MI-6株式会社は、2023年3月にISMS/ISO27001(以下、ISMS)認証の審査対応支援コンサルティングを依頼しました。
担当コンサルタントは、増元さんです。2023年9月に維持審査を終え、無事にISMS認証を継続できました。

— まずは御社の事業についてお聞かせください。

当社は、マテリアルズ・インフォマティクスを活用し材料開発を支援する企業です。

具体的には、MIによって素材の研究開発の最適化を支援しています。素材と聞くと馴染みは薄いかもしれませんが、素材はイノベーションの源泉であると捉えています。普段利用するスマートフォンも新しい素材を組み合わせて作られたものであり、素材によるイノベーションの結晶です。日本は、世界トップシェアの素材を非常にたくさん持っている競争力のある国です。
また、日本国内において最も大きい市場規模がある製造業のうち、最大の市場規模を持つのが素材産業であり、素材は日本の産業を支えているといえます。
しかし、これまでの素材の研究開発は成果が出るまで平均約20年かかるといわれており、非常に時間と労力がかかるものでした。そこで私たちは、テクノロジーを使って最適化することでより早く研究開発がおこなえるように支援し、素材産業、日本の製造業のプレゼンス向上に寄与したいと考えています。

私たちのミッションは、「材料開発とデータサイエンスのHubとなり研究者のポテンシャルを解き放つ」です。
より多くの研究者の方がMIに触れて、適切に活用できる状況を生むことで、彼らが仕事としてフォーカスすべきところにフォーカスできるようにしていきたいと考えています。

ISMSにおけるドキュメントや運用フローは負荷が大きく複雑になっていた

— 御社がISMS認証を取得された経緯をお話しください。

SaaSである「miHub」を提供開始してから特に、上場されている大手企業様とのお取り引きが増えてきていました。
製造業界においてはセキュリティが厳しく求められる点に加えて、研究成果など貴重なデータを扱うため、お客様に我々がセキュリティを担保していることを説明する必要がありました。そこで、個人情報やクレデンシャルな情報を規格に則って適切に扱っていることを証明できるように、ISMS認証を取得しました。

— ISMSの運用体制についてお話しください。

主に次の3名で運用をおこなっています。

  • 岩本様: システムの安定的な運用を目指すSRE(Site Reliability Engineering)を担当。また、社内の情シス業務も担当。前職でも一部ISMS認証取得に携わった経験がある。
  • 磯崎様: 人事を担当。また、さまざまなコーポレート業務も担当しており、情シス業務も担当。
  • 「miHub」プロダクト担当者

— LRMにサポートをご依頼いただく前に抱えていたセキュリティ課題はありましたか。

岩本や磯崎が入社した際には、当社はすでにISMS認証を取得しており、認証取得の際からLRMさんとは別のコンサル会社にご支援いただいていました。前任のISMS運用担当者から、岩本や磯崎が運用を引き継ぎましたが、それぞれ他の業務も担っているなかで運用していく必要がありました。そうした状況で運用していくには、当時のドキュメントや運用フローは負荷が大きく複雑になってしまっている部分もありました。ISMSは、ベンチャー企業と大手企業では適した運用体制やルールも異なってくると思います。もともとご支援いただいていたコンサル会社が良い悪いではなく、当社には合っていなかったんです。

運用を自社により最適化したいと考え、今回私たちに適したコンサル会社さんを探すことにしました。
運用を最適化してシンプルにすることで、実態に即してきちんと運用できるようになり、結果としてセキュリティの実効性向上にもつながると考えました。

LRMは会話をするだけで必要な書類や体制が整っていく期待感を持てた

— コンサル会社はどのようにお探しになったのでしょうか。

ベンチャー企業の支援実績が多いコンサル会社を数社ピックアップして、お話をお伺いしました。

LRMさんに決めた理由としては、ドキュメント作成まで踏み込んでご対応いただける点が決め手でした。
岩本の前職での経験も踏まえて、私たちだけでドキュメントをゼロから作成したり、修正していくのは大変であろうと感じていました。定例のコンサルティングの中で、一緒に修正していき、会話をするだけで必要な書類や体制が整っていく期待感を持てたのが大きかったです。

— お取り組みを振り返ってみていかがでしたか。

LRMさんと取り組み方針を検討しまして、まずは2023年9月の維持審査について現在のドキュメントをもとに審査を受けて、その後2024年9月の再認証審査に向けてドキュメントを刷新してさらなる最適化を図ることにしました。

ただ、2023年9月の維持審査までにも定例ミーティングにて、ドキュメントをアップデートしましたので、完全ではないもののかなりシェイプできて運用が楽になりました。また、Todoの明確化などハンドリングもしていただけたので、他業務をおこないながらでもきちんとISMSを運用することができて大変助かりました。
さらに、LRMさんが提供するセキュリティ教育クラウド「セキュリオ」も導入し、スプレッドシートでの管理がいくつか減ったのも良い効果を生んでいます。

現在は2024年9月の再認証審査に向けて、LRMさんとさらにドキュメントの最適化に取り組んでいます。
2023年9月のISMS認証審査対応支援については、ドキュメント最適化の前段階の位置づけではありましたが、その段階のサポートについても非常に満足しています。

運用の省力化とセキュリティの実効性向上を実現

— お取り組みは具体的にどのように進んでいったのでしょうか。

当社はフルリモートの会社ですので、ほとんど自宅からオンラインで打ち合わせに参加していました。
打ち合わせは1~2時間程度を隔週で実施しました。具体的には、当社のISMS文書の読み合わせをおこないながらLRMさんに改善点を挙げていただいたり、前年度の改善の機会への取り組み方針など審査に向けた対応のアドバイスをしていただきました。
LRM増元さんに取り組みをリードしていただけたことで、必要最小限のメンバーでスムーズな対応ができました。

— 2023年9月の維持審査に向けた取り組みとしては、約半年でしたがスケジュールに無理などはありませんでしたか。

ISMS認証の更新準備期間としては妥当だったと思います。ただ、岩本も磯崎も入社して1年ほどのタイミングで、前任者からISMS運用を引き継いだばかりであった点や、他業務もあったことを考えると、若干スケジュールがタイトになっていたところもあります。
それでも残業を重ねる必要があった訳ではなかったですが、同じような状況のご担当者様はもう少し時間に余裕を持たせてもよいかもしれません。

— 今回は御社にすでにISMS文書があって、それをもとにご支援する形式でしたがLRMコンサルタントの御社文書や体制への理解はいかがでしたでしょうか。

非常に良かったと思います。ISMSにおける難解な部分を解説いただいたり、私たちの文書と規格との紐づきについてもご説明いただきました。

また、磯崎はプロジェクトの途中から参加しており、具体的な対応策を検討する段階からの参加でした。
そのため、個々の対応策については理解ができるものの、その対応が全体のなかでどういった位置づけなのかを理解しにくいところがありました。そういった箇所についても、LRM増元さんに都度質問し丁寧にご説明していただけたので、しっかりと準備をおこなったうえで審査に臨めました。

— 文書のシェイプができたとお伺いしましたが、具体的にどのような対応をされたのでしょうか。

例えば、社長承認であったところを情報セキュリティ委員会承認に変更するなど、適切な権限の見直しをおこなうことで、よりスムーズに対応できるようにしました。また、教育計画書は年間計画に含めるようにするなど、個票を作成するのではなく記録類はまとめて作成するようにもしました。
その一方で、年間計画に実績の項目を追加し、計画策定だけではなくて実施有無も確認できるようにするなど、セキュリティの実効性向上も図りました。

(左上は磯崎様、右上は岩本様、下は弊社・増元)

(左上は磯崎様、右上は岩本様、下は弊社・増元)

「セキュリオ」で社内教育、供給者、法令をまとめて管理

— 今回のお取り組みで新しく対応された点やルールはございますか。

新しくセキュリティ教育クラウド「セキュリオ」を導入しました。
セキュリオでは大きく3つを管理していて、社内教育、供給者管理、法令管理をおこなっています。

社内教育については、セキュリオのeラーニング機能を利用して、半年に1回実施するようにしました。
これまでは、教育におけるテスト回答はスプレッドシート上で丸をつけてもらっていましたが、セキュリオ上でシステマチックに管理できるようになりました。教材の配信から受講記録、テストの回答記録まですべてセキュリオ上で管理しています。
当社では、テストの合格点数を定めて何点以上獲得していれば理解しているという運用にしているので、未受講者や合格者が一覧で可視化できる点がありがたいです。また、Slack連携も可能なので、Slack上で受講を促せるところも使いやすいです。

供給者管理についてもセキュリオ上でおこなっています。これまではスプレッドシートで管理していましたが、セキュリオに移管しました。
当社は社員と同数程度の業務委託の方と契約をしています。業務委託の方にもレイヤーがあり、社員同等のアクセス権限を持つ方もいらっしゃいます。セキュリオのアンケート機能で回答状況のモニタリングを行い、場合によってはセキュリティ向上のためにご依頼をすることもあります。

法令管理もセキュリオならオートマチックに法令内容が更新されていくので、自社に必要な法令の最新動向が把握しやすくなりました。

— 内部監査は今回LRMコンサルタントが実施したかと思いますが、受けてみていかがでしたか。

磯崎はISMSの運用に携わるのは初めてです。今思い返すと笑い話ですが、ISMS認証審査に対して「自分の言動ひとつでISMS認証を継続できないのではないか」という緊張感を持っていました。
審査に向けて、LRM増元さんに内部監査をしていただきましたが、普段ミーティングでお話ししている感じとは違うんですよね。やはり監査員として、一緒に取り組んできたからご存知であろう部分も第三者としてどう運用しているかを確認してくださったので、外部審査のイメージも付きましたし、審査までにクリアすべき論点も洗い出すことができました。

— 実際に外部審査を受けてみていかがでしたか。

審査員の方は非常に優しい方でした。質問に対して、わからないことがあった場合には、理解できるまで説明をして頂けました。また、コーポレートにおける書類管理など、増元さんと事前に確認していたところまで深くは聞かれなかった箇所もありました。審査までにしっかり準備ができていた証拠かなと思います。

ISMSクラウドセキュリティ認証取得も見据えつつ、運用を省力化しながら安全性を高めていきたい

— LRMのサポートはいかがでしたか。

大変満足しております。当社はお客様が大手企業様であることも多く、皆様セキュリティには非常に高い関心をお持ちです。
そのため、時にはExcel2枚分のチェックシートが送られてくることもあります。そういった際にISMS認証を取得していることで、回答にかかる工数を削減することができるので、ビジネスを推進していくうえで利点を感じています。

その一方で、ISMS認証を維持していくために「どこまでコストをかけるべきか」は、考えていく必要があると思っています。
今回、LRM増元さんに対応していただいた部分を社内だけでやると考えたときに、対応工数や専門性などを考慮すると非常に難しかったと思います。出来る限り省力化を図り、必要最小限で運用を続けていくために、LRMさんは当社にとってすごく良いパートナーであると感じています。

すでに、2024年度の更新審査対応支援も依頼しておりますし、ISMSクラウドセキュリティ/ISO27017(以下、ISMSクラウドセキュリティ)認証取得のご相談もしております。やはり、私たちだけでは新しい情報のキャッチアップがしづらかったり、他社ではどういう対応をしているかが把握できなかったりします。
どういった形でご支援いただくかは都度ご相談しながら、今後も継続的にサポートいただければと考えています。

— 今後の展望や課題についてお話しください。

当社の事業は、もちろんコンサルティングサービスの「Hands-on MI」やRaaSの「MI Robotics」もありますが、主軸としては「miHub」というプロダクトです。当社のプロダクトをお客様が安全に、安心してご利用いただくことが目標です。
その一環として、今後はISMS認証の運用に加えて、ISMSクラウドセキュリティ認証の取得を考えています。ISMSクラウドセキュリティ認証に適合することで、セキュリティを担保した上でプロダクトの方向性を定めていけると思います。

ISMS認証の運用については、今後も従業員が増加していくことが想定されますが、増加しても現在のセキュリティ水準は保っていきたいです。ただし、そこに必要以上にコストをかけるべきではないと考えています。
マンパワーだけで運用するのではなく、セキュリオやEDRなどのツールを導入することで、運用を省力化しながら安全性も高めていきたいと思います。

MI-6株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ MI-6株式会社様のWEBサイト
※ 取材日時 2023年12月

  • クラウドサービス(SaaS)開発・提供
  • 担当者の負担軽減
  • 50~199名
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら