FOX HOUND株式会社様 – 顧客事例 –

会社の実態に合わせたLRMのアプローチがFOX HOUNDがどうあるべきかを考えるきっかけとなり、バランスの取れたマネジメントシステムが構築出来ました

FOX HOUND株式会社は、設立10年目の2020年4月、事業拡大に伴う体制整備の一環としてISMS/ISO27001認証取得に取り組みました。「リスクをまとめられたことが最大の成果」と語るのは事業推進部 事業部長・峰ゆかり氏です。
主担当として抱えていた不安や取り組みを通じた社内の変化、LRMへの期待などについてお話を伺いました。

(FOX HOUND株式会社について)

首都圏を中心にSES、受託開発を行うシステム開発会社。業界業種を問わず、ウェブサイト、業務システム、ゲームなど幅広く請け負う。「話のわかるエンジニア」をコンセプトに、顧客が本当に困っていること、要望を聞き出し、顧客が満足する形で実現させることを目指す。そういった顧客ファーストの仕事が評価され、事業を拡大してきた。最大の強みは技術者の育成力だ。第一線で活躍するエンジニアが講師となり、未経験でスタートした人材を各方面で貢献出来るエンジニアへと成長させている。近年はその育成ノウハウを生かし、技術者教育事業も展開。案件規模や言語など、大小様々な企業のオーダーに応えている。
本社;東京都新宿区。設立;2011年2月。従業員数;約160名(2020年5月現在)。

依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

我々FOX HOUND株式会社は、2019年10月、LRMにISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。
LRMの担当者は金子さんと高橋さんです。2020年5月に第1段階審査、6月に第2段階審査を受審し、7月上旬、ISMS認証を取得しました。主担当として、リソースの割り振りをもっとうまくできたのではないかなど、反省点はいくつかありますが、LRMのお二人が、順序立ててリードして下さったおかげで、無理のないスケジュールで作業が出来ました。

事業規模の拡大に伴う体制整備を目的にISMS/ISO27001認証を取得

「ISMSに関して調べていた時に、真っ先に出てきたのがLRMのWebサイトやブログでした」(事業推進部 事業部長・峰ゆかり氏)

「ISMSに関して調べていた時に、真っ先に出てきたのがLRMのWebサイトやブログでした」
(事業推進部 事業部長・
峰ゆかり氏)

— ISMS認証を取得された理由・目的をお話し下さい。

弊社がISMS認証を取得した理由は、事業規模の拡大に伴う体制整備です。
外部要因と内部要因の両面で必要性が生じていました。

(1)社外に対するセキュリティ体制の証明
弊社は今年、会社設立から10年目を迎えました。売上規模が拡大し、大手企業様との取引も増えてくると、弊社のセキュリティ対策に対するお問い合わせも増加します。また、コンペの場合はISMS認証を取得していないと参加出来ないケースもあります。弊社がシステム開発会社としてさらに成長するためにも、自社のセキュリティ体制を社外に証明できる材料が必要だと考えました。

(2)社内における情報セキュリティ意識の向上
従業員数が増えてくると、情報の取り扱いやセキュリティに疎い従業員も少なからず出てきます。そこで社内の情報セキュリティに対する意識を向上するための体制整備が必要となっていました。

以上、2点がISMS認証を取得した理由です。

— 認証範囲を教えて下さい。

SES事業で取引先の企業様に常駐しているエンジニアを除く全社を認証範囲としました。約160名の従業員のうち約60名が対象です。

開発現場をいかに巻き込めるかという不安からスタート

— ISMS認証取得の準備はどのような体制で進められましたか。

ISMS事務局を組成して、取り組みました。事業推進部の私が主担当を務め、その他の事務局メンバーは各事業部の事業部長が務めました。

— 事業推進部はどのような役割を担う部署ですか。

事業推進部は、エンジニアが仕事に集中できるよう、バックオフィスを含めたエンジニアリング以外の全てを賄う部署です。数年前に入社した当時は、まだ60名ぐらいの規模でバックオフィス業務を専門とする部署がありませんでした。会社の規模拡大に伴い、バックオフィスや、その他の役割を担う形で、現在の事業推進部を立ち上げました。

現在、事業推進部のメンバーは4名ですが、ISMS認証取得の意思決定がされた2019年秋頃は2名の部署でした。代表からの直接の指示で、私が主担当として準備に取りかかりました。

— 事業推進部以外にはどのような事業部がございますか。

事業推進部の他、クリエイティブ事業部、第一開発事業部、ES事業部、プロジェクトサポート事業部の4事業部があります。クリエイティブ事業部と第一開発事業部が社内で開発に従事している事業部で、受託する案件によって分かれています。ES事業はSESの部隊ですが、エンジニアと開発元の間を調整する役割を担う営業や、エンジニアの育成を担当する研修講師も範囲に含んでいます。プロジェクトサポート事業部は、社内で行う開発プロジェクトのデザインや品質管理など、主にプロジェクトの一部期間だけで発生する工程を担う部署です。

— 取り組む上でご心配なことはありましたか。

特に心配だったことは、現場をどう巻き込むかです。エンジニアの力を借りるには、各事業部の事業部長や従業員に、ISMSの取得がどれだけ大変か、かつどれだけ弊社にとって必要かということを、同じ温度感を持って伝える必要がありました。そのためにどんな方法をとれば皆の協力を得られるのかが不安でした。結果的には各事業部長の力を借りて、意識の統一を図った上で協力を得ることが出来ました。

— 峰さんご自身は、ISMSに関わったことはございましたか。

いいえ、一度もありません。前職の会社ではプライバシーマーク(以下、Pマーク)を取得していましたが、私が入社した際には既に取得しており、私はあくまで維持のために必要性を周知される側でした。ISMSについてはほとんど知識がありませんでしたので、まずはISMSに関する調査からスタートしました。

— ISMSに関する調査というのはどういうことをされたのですか。

ISMS認証取得の意図は代表から聞いて理解していたつもりでしたが、実際の内容や、システム開発を生業とする企業にとっての必要性を自ら把握することが重要だと思いました。

また、ISMS認証取得の話が出る以前から、取引先からいただいたアンケートに「ISMS認証やPマークを取得しているか」という設問があったことを思い出していました。取引先のホームページにある、ISMSの認証マークを見て、やはり弊社も認証取得が必要だと感じたのです。代表の感じている問題意識をより明確に理解することが出来ましたので、次にコンサルティング会社の選定を急ぎました。

— 代表がどのような問題意識で意思決定をされているのかというところまで遡って調べられたのですね。

はい。代表が持つ問題意識の温度感をしっかり肌で感じられていれば、私自身も危機感を持って進められますし、従業員にも同様に伝えることができると考えたのです。

— では、その時点で先ほどおっしゃっていた、どういう風に伝えていこうかという準備は出来たということですね。

自ら調査を行うことで、ある程度の漠然としたイメージは持つことができたと思います。しかしISMSの規定や書類を見てみると、とにかく項目が多く表現も難解で、弊社の業務にどのように組み込めば良いのかすぐに把握出来ませんでした。結果的にLRMの話を聞くまで、不安の解消には至りませんでした。

–LRMからはどのようなお話があったのですか。

最初の打ち合わせで現時点での不安をお話ししたところ、ISMS事務局を組成することから始めるといいと伺いましたので、各事業部長にメンバーになってもらおうと考えました。ISMS認証取得に向けて、社内外共に頼るべき相手が明確になったことで、一旦は不安を払拭することが出来たと思います。

自社の実態に合わせたマネジメントシステムを念頭にコンサルティング会社を選定

— コンサルティング会社を選定される上で意識されたことは何ですか。

ISMSの規格に無理矢理合わせたルールを弊社でいくつも作るのではなく、弊社の実態に即したマネジメントシステムの構築を支援していただけそうなコンサルティング会社を探しました。
中にはISMSの規格に書いてあることをそのまま当てはめようとするコンサルティング会社もあると聞いていましたので、要求事項と照らし合わせて、不足する部分は補いつつ、要求事項にはあったとしても弊社に関係なさそうなところは割愛し、現状やっていることを順序立てて証明出来るようなマネジメントシステムを作っていただけるコンサルティング会社がないかと考え、選定しました。

— 何社ぐらい比較されましたか。

LRMを含めて4社ぐらいを比較したと記憶しています。見積もりを取った上で、実際に全社の話を聞いて検討しました。

— LRMと他社との違いをお話し下さい。

ISMSに関して調べていた時に、真っ先に出てきたのがLRMのWebサイトやブログです。実際にそれらの記事を読んでわかりやすかったため、候補に入れました。各社の話を聞き、他社とは異なると感じたのは、今の弊社を基準になるべく弊社に即した形でシステムを構築していこうという姿勢をお持ちだったことです。また、作成すべき主要文書はコンパクトに2つにまとめられており、マニュアルのサンプルは、素人が読んでもわかりやすいものでした。LRMなら弊社の事情を汲み取っていただけるコンサルティング会社だと感じました。

他社は、用意すべき文書のチェックリストが膨大だったり、フォーマットだけいただいた後は全部自分達で作らなければいけなかったりして、当時の社内リソースで最後までやりきる自信が持てませんでした。そういった会社は料金がいくぶん安価なのですが、弊社の実情が全く反映されないマネジメントシステムはどのみち、運用も続かないと考えていました。

リスクを可視化できたことが最大の成果

— 自社の実情に合わせたマネジメント体制は作れましたか。

はい。ISMSのフォーマットに弊社を合わせるという考え方ではなく、弊社の現状にフォーマットを合わせていただきつつ、絶対に守らなければいけないことや、審査員から必ず指摘が入るというポイントは教えていただいて、最終的にバランスの取れたマネジメントシステムが実現したと感じています。

— 業務の運用を変えたり、ハード面を整えたり、従来と変えなければいけないこともあったのですか。

細かい変化はありました。例えば営業用携帯電話の扱い方です。携帯電話に表示されるメッセンジャーや電話の内容は、外出先で人目に触れるリスクがあります。これまでもそのリスクは認識していましたが、具体的な対策は各自に任せていました。現在は、通知のみで内容は非表示として、インストールするツールも限定しています。こういった以前にはない細かな施策をいくつも取り入れました。

一方で、ひな形に載っていた対策の中には、従来から実施していたことも沢山ありました。例えば、パソコンの管理は備品管理の一貫として行っています。管理表の中でどのパソコンが保管中か使用中かを確認する方法はそのまま活用できたため、ちゃんと出来ていることもあると改めて確認する機会になりました。

— では自信にも繋がったということですね。

ただ、リスクを踏まえてもう1段階踏み込んだリスク評価が出来ていたかというと甘かったように思いますので、実態を改めて見直すことの方が多かったように思います。

例えば、契約書は基本的に紙で郵送されて来ることが多いため、紙だけで保管していましたが、金子さんから紛失のリスクを指摘されました。その指摘を受けて、契約書はスキャンしてデータ化し、すべてクラウドに保存する運用に変更しています。

このように1段階踏み込んだリスクをご指摘いただき、改めて自分達で考えて取った対策については、実際の審査でお褒めのお言葉をいただきました。

今回の取り組みの最大の成果はリスクをまとめて可視化したこと自体にあると考えています。リスクを洗い出す作業を通して、対策が甘い点も沢山見えてきましたし、あらゆるリスクを想定して対策を取っておく必要性にも気づくことが出来たと思います。

弊社はもともと自由な社風で、従業員をあまり疑わず、各自の裁量に任せていました。また、システムエンジニアが従業員の9割を占める会社ですので、情報の取り扱いやセキュリティに対する感度が高い者も多く、各々がきちんと対策をしているはずというおごりもあったように感じます。

そのため、リスクを一覧表にまとめ、それぞれのリスクに対して、どのような事故が起きそうなのか、実際に事故が起きたらどのような影響があるのかといったことを、明文化して意識させるということはしていませんでした。ISMS認証取得を通して、社員の意識を統一することが出来たと思います。

FOX HOUNDがどうあるべきかを考えるきっかけになったコンサルティング手法

クリエイティブ事業部 事業部長・村上徹氏(取材はオンラインで峰氏にお話をうかがいましたが、写真撮影では村上氏と、取締役・斎藤輝幸氏にもご参加いただきました)

クリエイティブ事業部 事業部長・村上徹氏
(取材はオンラインで峰氏にお話をうかがいましたが、写真撮影では村上氏と、取締役・斎藤輝幸氏にもご参加いただきました)

— 冒頭でリソースの割り振りで反省があるとおっしゃっていました。差し支えなければ詳しくお話しいただけますか。

私自身、ISMS事務局として各事業部長を巻き込むのにちょっと慎重になりすぎた面がありました。各事業部長に頼れば良いとはわかったものの、何しろ全く経験がないので、実際どれぐらいの負担を強いることになるのかを把握する必要があると思いました。そこでまずは自分が出来るところまで一人で対応して、後半は実感を持って他事業部に展開していくという手順を踏むことにしました。LRMとの会議も一人で出席して、細かい部分は各事業部長に確認したり、書類作成だけを依頼したりしていました。

しかし今振り返ってみると、早い段階からLRMとの会議に各事業部長に同席してもらい、直接話をして理解してもらった方が、あらゆる手間が省けて良かったのではないかと思っています。

— どのタイミングまでお一人でされたのですか。

LRMとの会議には、マニュアルを一通り作成し終えるところまで一人で対応していました。

実は取り組みが始まった頃、金子さんと高橋さんは「お一人で大丈夫ですか」と心配してくれていたのですが、当時は他の事業部に負担をかけないよう一人で進めてしまいました。今思えばLRMのお二人のアドバイスを聞いておけば良かったと思います。

— 情報資産の洗い出しなども峰さんがされたのですか。

私がLRMのお二人と一緒にマニュアルを作っている間、各種台帳や管理表の作成、決まったルールを精査して実際の現場の状況と照らし合わせる作業などやることが明確な部分は最初から各事業部長に割り振っていました。
ただ、割り振りの際、実施する目的や内容を、私が全員に説明していましたので、回りくどいやり方になってしまったと思います。

— マネジメントシステムの構築において、LRMはどのようなサポートをしてくれましたか。

我々が自分達で考える機会を作っていただいたように感じました。ルールを構築していく過程では、LRMの用意したマニュアルを読み合わせしながら、要求事項を満たしているか、実態とマニュアルを比較して文面を更新する作業を行うのですが、その中でLRMのお二人は、明確な答を示すことはありませんでした。

「この実態が気になります」「このままだと審査員に指摘されるかもしれません」といった指摘だけだったので、始まったばかりの時は「どう変えれば良いのか答えを教えてくれたら良いのに」と思っていました。しかし続けていくうちに、これは弊社が自分達で考えなければいけないことなんだと思い至りました。自分達で考えて、その考えが合っているかどうかを確認していただくということを繰り返すことで、結果的に弊社のセキュリティレベルを高めることになるのだろうと思ったのです。

— 何故、教えてくれないのかとはお聞きになられましたか。

はっきりと聞いてはいませんが、恐らく審査員によって解釈が異なるため正解はなく、断定が難しいのだろうと予測していたので、「実際に審査員に指摘されたら、自分たちはどう答えるか」を考えることにしました。考えて答えられそうなら従来の運用をそのまま残し、答えられそうになければ対策を取る必要があると考え、対応していきました。

最初は戸惑いましたが、結果として、LRMのアプローチのおかげで自分たちを客観的に見直すことへ繋げられたので、感謝しています。

— 「なぜ教えてくれないのかな」とかみ砕いていった結果、ご自分で考えるべきことだと思ったということですか。

自分というより、FOX HOUND株式会社がどうあるべきかを考えるきっかけを与えられたんだと考えました。審査員から指摘された時に、しっかり論理立てて答えられないのであれば、何かしら対策を立てた上で、それでも審査員の指摘を受けることがあるならば、その時に学ぶしかないと考えて取り組みました。

— 「Aというやり方もあり得るし、Bというやり方もあり得るがどうか」という相談をされることはございましたか。

ありました。「こう答えようと思いますがどう思いますか」ということは沢山聞きました。それに対して「それなら良いと思います」とおっしゃったところはその通りにしましたし、「それでもここが気になります」とおっしゃった場合は追加で対策しました。中には、弊社として「ここまでしか出来ない」と判断した箇所もありますが、指摘された箇所は概ね修正したと思います。

明確な答えを頂くことは難しかった分、沢山のヒントはいただきました。弊社が抱えている課題と似通った事例や、多くの会社様が採用している手法を教えてもらったときは適宜参考にしていました。

— それらのやりとりは対面での会議で完結されたのでしょうか。

対面の会議では金子さんが主体となってアドバイスしてくれましたが、『Slack』では高橋さんが対応してくれました。『Slack』でも、他社の事例などを交えたアドバイスを頂きました。また、特に審査直前の1週間ぐらいは、毎日遅くまで相談や質問に頻繁に答えて頂き、大変助かりました。

内部監査での的確な指摘が従業員に危機感をもたらした

— まさしく一緒に取った、という感じの取り組みだったのですね。

そうですね。やれることは順次進めていったものの、そんな状況の中で特に有り難いと思ったのが内部監査員代行です。LRMに細かいところまでチェックしていただいたことが、現場が緊張感や危機感を持って取り組むきっかけになりました。ここまで細かくチェックされるなら、今一度自分たちで細部まで取り組まないといけないという意識に変わったのです。

— やはり皆さんを巻き込むところは、ご苦労されたところですか。

私と同じ温度感を持ってもらうまでには時間がかかりました。私自身はLRMと一番多くやり取りしていたこともあり、それなりの危機感を持っていましたが、他のメンバーは、「自分たちはエンジニアで普段しっかりやっているし、大丈夫だろう」と高をくくっていたところがあったと思います。

しかし内部監査を受けた後、皆の顔色が明らかに変わりました。そこからは「どんな質問が来ても答えられるように」と皆が主体的にISMS取得に関わるようになってくれたのです。

その理由は、LRMから指摘されたことが、誰もが納得する正しいことしかなかったからだと思います。事業部をまたいで資料の閲覧が可能になっているリスクなどを指摘され、確かに直さなければいけないと納得するしかなかったのです。若いメンバーも多いので、指摘されて悔しかった気持ちもあったと思います。だからこそ本番の審査ではしっかりやろうという気持ちに切り替わったのでしょう。

こういった経験から振り返ると、事務局メンバー全員にもっと早い段階で参加してもらえば良かったという反省にも繋がっています。

— 従業員教育について伺います。従業員教育は、情報セキュリティ支援サービス『Seculio』を受講されたのですか。

はい。対象となった約60名全員が受講しました。ISMS事務局のメンバーは、加えて事務局用の教材も受講しました。

教材はISMSの基本を学ぶもので、情報をいかにして守るべきかという学習ができました。また、教材受講後の確認テストは、適当に教材を流して見ているだけでは合格出来ません。再試験になった者に対しては、理解してから再度受けるようにという話も出来ましたので、改めて意識を付けさせることが出来たように感じます。

— このようなツールはあった方が便利ですか。

弊社は繁忙期が一律ではなく、安定している時期と切羽詰まった時期はプロジェクトによって異なります。そのためある程度の幅を持たせた期間を設定し、その期間内に受講するよう周知して実施できたところが助かりました。

また、関連法令の管理機能も非常に便利でした。必要なものを簡単に追加できることや、いつでも最新法令が閲覧出来るよう管理されていることが、審査員からも高く評価されました。維持審査や更新審査でも法令管理やeラーニングの実施状況は問われるということですので、来年以降も使い続けようと考えています。便利なシステムを知ってしまった以上、手放すことは出来ません。

「年に1回、LRMの内部監査を受けて社内のセキュリティ意識を維持したいと考えています」(左から;峰氏、村上氏)※右から弊社・高橋、金子

「年に1回、LRMの内部監査を受けて社内のセキュリティ意識を維持したいと考えています」
(左から;峰氏、村上氏)※右から弊社・高橋、金子

社内のセキュリティ意識を保つため『情報セキュリティ倶楽部』を契約

— 改めて、 LRMのコンサルティングを受けたご感想をお話し下さい。ご依頼時の御期待を裏切られることはありませんでしたか。

もちろんです。丁寧にサポートしていただけたという認識がありますので、ISMSの運用改善サポート『情報セキュリティ倶楽部』も契約しました。

あえて言うなら、年末にマニュアルの確認を終えてから内部監査まで3ヶ月以上の期間が空きました。その間に、自分達で文書類の整理をしておかなければいけなかったのですが、事業推進部としての通常業務が多忙を極めてしまい、ほとんど手つかずの状態で3ヶ月が過ぎてしまいました。これは私自身の問題なので、LRMを責めるべきことではないとは重々承知していますが、その3ヶ月間をもう少し上手く使えていたら、直前に慌てることはなかったかもしれません。

これは弊社側の反省点ですので、欲を言えばということですが、そこをフォローしていただければ120点でした。

— 今後の取り組みについて、LRMとは何かお話されていますか。

今後の取り組みに関しては、LRMから他社の事例をご紹介いただき、年間目標の中に定例会の開催を取り入れました。弊社の場合、油断すると忘れてしまう社員もいるかもしれません。ISMS事務局としての定例を開き、審査時期に関わらず管理表をきちんと更新しているか、事故がなかったかといったことをチェックする機会を作るべきだと考えています。

— 運用改善サポートを契約される理由をお話し下さい。

今回構築したマネジメントシステムをもとにした日々の管理に関しては、自分達で出来ると思っています。しかし内部監査の実施や、社内の意識を一定レベル以上に維持していくには、LRMのサポートが必要だと考えています。毎年実施する内部監査で社内の情報セキュリティ意識を保った上で、3年後の更新審査も無事に終えられるよう日頃から準備を進めていきたいと考えています。

また私自身、事業推進部の業務もありますので、ISMSだけに時間を割くことができません。何かあった時に相談出来るコンサルタントがいれば非常に心強いです。

さらに弊社は動きが速い会社です。3年後は状況が全く変わっている可能性もあります。その際に改めてご相談可能な関係を維持できていれば安心です。まずは1年後の維持審査の際に、改めてご相談させていただくつもりです。

FOX HOUND株式会社様、お忙しい中ご対応いただきありがとうございました。今後ともよろしくお願いいたします。

FOX HOUND株式会社様、お忙しい中ご対応いただきありがとうございました。
今後ともよろしくお願いいたします。

※ FOX HOUND株式会社様のWEBサイト
※ 取材日時 2020年7月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る