株式会社アクアリーフ様 – ISO27017新規取得 –
2015年、ISMS/ISO27001認証を取得した株式会社アクアリーフは、2018年7月に迎えた初めての更新審査に合わせ、ISO27017/ISMSクラウドセキュリティ認証を取得しました。情報セキュリティに取り組む目的は顧客保護だと話すのは代表取締役・長谷川智史氏と専務取締役・長谷川広美氏のお2人。LRMにコンサルティングを依頼した理由やISMSクラウドセキュリティ認証取得までの経緯など、詳しいお話を伺いました。
記事index
- LRMへのご依頼内容;ISO27017/ISMSクラウドセキュリティ認証取得コンサルティング
- 創業以来「攻め」より「守り」。顧客保護を目的とした情報セキュリティの取り組み
- 審査会社の紹介でLRMに依頼。担当者はシステム開発会社と話が出来るコンサルタント
- LRMが作成したベースラインリスク管理表をもとに“使えるマネジメントシステム”を構築
- メニューにはないISMS/ISO27001ドキュメント類のチェックにも対応
- 情報セキュリティマネジメントシステムは継続的な運用が重要
- システム開発会社の業務に対する理解と豊富な事例に基づいたLRMのサポート
- ISMSやISMSクラウドセキュリティの運用に必要なものを一元管理するシステムに期待
2001年の創業以来、中小企業支援を事業目的とし、WEBシステムの開発に特化した事業を展開してきた。現在の中核事業は、ネットショップ向け多店舗一元管理ASPサービス『助ネコ通販管理システム』の開発・販売である。
2007年2月にミニツールとしてサービスを開始すると、使いやすさが口コミで広がりユーザーを拡大。翌年10月にはより機能を充実させた『助ネコ受注管理』の提供をスタートさせた。それ以降、在庫管理、商品一括登録など、
機能を充実させながら導入企業数を拡大中だ。インターフェイスの使いやすさと、かゆいところに手が届く気の利いた機能に加え、FAQや利用規約などインターネット上の情報だけで誰でも使えるわかりやすさ、さらに手厚いユーザーサポートが強み。業界トップクラスの顧客満足度を誇っている。
設立;2004年11月。本社;神奈川県平塚市。従業員数;22名(2018年8月現在)。
LRMへのご依頼内容;ISO27017/ISMSクラウドセキュリティ認証取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は2017年11月、LRMさんにISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証の新規取得コンサルティングを依頼しました。担当者は井崎さんです。2018年6月、ISMS/ISO27001(以下、ISMS)認証の更新審査を迎えるタイミングで同時に審査を受けて取得しました。
– ISMSクラウドセキュリティ認証の適用範囲をお話し下さい。
適用範囲はシステム開発部門とサーバーの運用部門です。『助ネコ通販管理システム』(以下、『助ネコ』)のサービスプロバイダー(CSP)としてISMSクラウドセキュリティ認証を取得しました。
創業以来「攻め」より「守り」。顧客保護を目的とした情報セキュリティの取り組み
— 御社がISMS認証を取得したのはいつですか。
弊社がISMS認証を取得したのは2015年7月です。
– ISMS認証を取得した理由をお話し下さい。
ISMS認証取得の理由は、『助ネコ』をご利用いただいているお客様を保護するためです。万が一『助ネコ』の開発・運用の中で情報漏えい事故が発生した場合、弊社は『助ネコ』の運用を停止しなければいけません。『助ネコ』を使い、評価して下さっているお客様のご商売、利便性に大きく関わってしまいます。
ISMS認証取得を検討し始めた時期は、大手通信教育会社で個人情報漏えい事故が発生した直後でした。弊社はちょうど法人設立10年目という節目を迎えるとともに、『助ネコ』のシェアが高まっていたこともあり、これまで以上に情報セキュリティに注力しなければいけないと考えました。
「『助ネコ』をなくしてはいけない。
その使命感から情報セキュリティに取り組み続けています」
(代表取締役・長谷川智史氏)
弊社は創業以来「攻め」より「守り」を大事にしてきた会社です。急激な拡大路線はとらず、テレアポなどこちらから積極的にアプローチをかける営業はしてきませんでした。その代わり、丁寧な情報発信をするとともに、30日間機能制限なしの完全無料で本番システムを使っていただくなど、お客様が納得された上で導入していただける工夫をしてきました。
もちろんお客様は他社サービスに乗り換えることも出来ますが、お客様の中には、『助ネコ』がなければ事業が成り立たないとおっしゃって下さる方がいらっしゃいます。そのようなお客様の声をうかがう限り、使い勝手の面で『助ネコ』を上回るサービスはないという自負と、それゆえにこのサービスをなくしては駄目だという強い使命感は持ち続けてきました。ディザスタリカバリー導入などBCPにも早期から取り組んできましたし、情報セキュリティも同様の考え方で取り組んでいます。
— ISMS認証取得以前の情報セキュリティの取り組みについてお話し下さい。
ISMS認証取得以前は、個人情報保護法が成立する前から神奈川県が独自に開催していた個人情報保護のための講習会を毎年受講し、そこで得た知識をもとに機密情報の管理を行っていました。
個人情報保護法施行以後、プライバシーマーク(以下、Pマーク)の普及によってその講習会はなくなり、弊社もPマーク取得を検討しました。しかしPマークは「お客様のお客様」の個人情報については範疇ではないということを、(当時相談したコンサル会社から)聞きましたので結果的にPマークは取得しませんでした。
そうしているうちにBSIさん(ISMS認証の審査会社)が主催するISMSの無料セミナーを聞く機会がありました。
それがISMS認証取得のきっかけとなりました。
— ISMSクラウドセキュリティ認証を取得した理由をお話し下さい。
ISMSクラウドセキュリティ認証を取得した理由はISMSと同様、顧客保護です。BSIさんからISMSの説明を聞いた際、すでにISMSクラウドセキュリティの認定制度スタートに向けた準備が進められている旨をアナウンスしており、弊社もいずれは取得すべきだと考えていました。ただ、その段階ではスケジュールが全く未定だったので、
まずはISMS認証取得に取り組むことにしたのです。
その後、2017年5月頃にISMSクラウドセキュリティの認証制度がスタートしましたが、維持審査のある6月までに準備するのはさすがにタイトなスケジュールでした。また、ちょうどこの年のISMS維持審査は、コンサルティングに頼らずに自力で受審するというチャレンジもありましたので、ISMSクラウドセキュリティ認証取得は次年度の課題としました。
審査会社の紹介でLRMに依頼。担当者はシステム開発会社と話が出来るコンサルタント
— 前々回のISMS認証の維持審査まではLRMとは別のコンサルティング会社にご依頼されていたのですか。
はい、ISMSを取得した際は、別のコンサルティング会社でした。 主に、ISMS文書関係の整備について、教えていただきました。 それはそれで、何もないところからのスタートでしたので、たたき台となる雛形もご提示いただき、とてもありがたかったです。
しかしその後、ISMSクラウドセキュリティ認証取得をしようと思った時、弊社のシステムについて理解していただいた上で、何をどこまでやるべきか、どうしたらセキュリティ的にもビジネス的にも、会社や社員にとってもいい形になるのか?そうした疑問に一緒に取り組んでもくれるコンサルがいいなと。 それで、BSIさんからクラウド取得に実績があるコンサルティング会社として、LRMさんをご紹介いただきました。
実際に仕事をしてみて、コンサルタントさんがSEでもあるというのは、心強かったですし、期待通り多くのアドバイスもいただきました。 今後も何らかの機会があれば、引き続きお世話になりたいと考えています。
— LRM以外のコンサルティング会社とは比較されましたか。
いいえ。他社と比較はしていません。
— 最初のご商談段階から担当者は井崎だったのですか。
そうです。その時にご提示いただいた資料と、それに基づく説明がわかりやすかったです。また井崎さん自身がエンジニアということも関係していると思いますが、我々と話が通じる印象はありました。ISMS認証新規取得の際に依頼したコンサルタントさんとは全く異なるタイプだったので、同じコンサルタントさんにも色々なタイプがいるなと思いました。
さらにLRMさん自体にも好印象を持ちました。井崎さんのパソコンをモニターにつないで資料を見せながら説明していただいたのですが、その際にデスクトップの壁紙に表示された行動指針がチラリと見えました。それを見て真面目な会社だなと思いました。お客様の前でそれを見せた後にいい加減なことは出来ません。こういうことをしている会社が適当なことはしないだろうと思いました。
LRMが作成したベースラインリスク管理表をもとに“使えるマネジメントシステム”を構築
「質問に対する回答が的確で
ストレスを抱えることなく
スムーズに取り組めました」
(専務取締役・長谷川広美氏)
— ISMSクラウドセキュリティ認証取得に向けた取り組み内容をお話し下さい。
まず2017年10月から12月にかけて『助ネコ』の利用規約を全面的に改定しました。そして2018年1月からISMSクラウドセキュリティのベースラインリスク分析をスタートし、4月ぐらいまでにマニュアルなどの文書類を一通り作成し終えました。そしてその後、従業員教育、内部監査を実施し、5月下旬の第1段階審査、
さらに6月下旬の第2段階審査へと至りました。
— ベースラインリスク分析の前に利用規約の改定を行ったのですか。
はい。弊社はISMSクラウドセキュリティ認証取得に取り組む前から『助ネコ』の利用規約を大幅に改定する取り組みを行っていました。『助ネコ』はリリースから10年以上経過しており、利用規約も古くなっていたので全面的に見直す必要が生じていました。そこでISMS認証取得後、顧問弁護士と一緒に作業を進めていたのです。
その改定作業は2017年10月時点では終わりかけていましたが、ISMSクラウドセキュリティ認証取得にあたり、ISO27017の要求事項と照らし合わせる必要がありました。そこで利用規約を井崎さんにお渡しして、アドバイスをいただき、それに沿って修正し完成させました。その後、社内で改訂後の利用規約に関する勉強会を実施し、5月にお客様に公開して1ヶ月の告知期間を経て、6月1日の施行へと至りました。
— その後、2018年1月からベースラインリスク分析に着手されたのですね。
その前に私たち経営陣が井崎さんからISMSクラウドセキュリティに関するレクチャーを受け、その後、社内で全社員に対する勉強会を実施して、これから何をしようとしているかを理解した上でベースラインリスク分析に取り組みました。
— ベースラインリスク分析はどのような進め方で行われたのですか。
井崎さんからは、規格の順番どおりに検討していく方法と、実際の業務に沿ってやっていく方法を提示されましたが、弊社は後者を選びました。
例えばサービスの契約書に載せなければいけない項目がいくつかあるのですが、規格ではそれらが業務とは関係なくバラバラの順番で並んでいます。その順番で読んで作業していくと混乱して煩雑になってしまいます。それを防ぐためにLRMさんは、検討項目を業務ごとにわかりやすくまとめたベースライン管理表を作成しているのです。
今回は、そのベースライン管理表を使い、LRMさんと一緒に1個ずつ検討していきました。そしてタスクを洗い出して社内で順番に取り組んでいきました。
これらのタスクに取り組むにあたっては、井崎さんがベースライン管理表の中にToDo欄を作ってくれたので、取り組みやすかったです。このToDoリストは審査時に審査員との問答にも活用出来て便利でした。
ISMS認証取得の際もベースラインリスク分析は行いましたが、規格の順番通りに検討していったので、実務と結びつけて考えることが困難でした。今回は我々の実務に即して考えることが出来たため、使えるマネジメントシステムを構築することが出来たと考えています。
— ベースラインリスク分析の中で洗い出されたタスクにはどのようなものがありましたか。
ISMSクラウドセキュリティの要求事項として情報公開が求められているものの中で、従来は公開していなかった情報がありましたので、それをホームページ上で公開するというタスクが中心です。例えばデータセンターを置いている国や、採用しているタイムゾーン名などです。利用規約に入れる内容ではないけれども、サービスサイトのどこかで公開しなければいけない情報がいくつかあり、それらを追加しました。
またサービスの機能改善も行いました。例えば管理画面の「最終ログイン日時」を表示する機能を追加開発いたしました。
メニューにはないISMS/ISO27001ドキュメント類のチェックにも対応
— ベースラインリスク分析が一通り終わった後は従業員教育ですね。
その前にLRMさんにお願いしたことがもう1つあります。それはISMSのドキュメント類のチェックです。
ISMSクラウドセキュリティ認証取得コンサルティングのメニューには入っていませんが、相談したら快く対応して下さいました。
— ISMSのドキュメントにご不安がおありだったのですか。
それまでISMSは自分たちだけで運用していましたので、第三者視点でチェックしていただく必要を感じていました。今回は、その良い機会となり、アドバイスをいただいて整理していくことが出来ました。またドキュメント類はISMSとISMSクラウドセキュリティとに分けると管理が大変なので、アドバイスをもらいながら、ISMSのドキュメント類にISMSクラウドセキュリティの要素を盛り込む形で1つにまとめていきました。
— そして従業員教育、内部監査ですね。
従業員教育は、LRMさんが提供する情報セキュリティ教育クラウド『セキュリオ』を活用して実施しました。
「『セキュリオ』はeラーニングだけではなく、法令台帳の管理も自動で出来て便利です」
『セキュリオ』の気に入った点は、従業員教育だけではなく、ISMSの法令台帳管理も自動で行える点です。
これまでは毎月経営コンサルタントさんから情報提供を受けていたので関連法令のチェックは出来ていましたが、法令台帳の管理まではしていませんでした。ISMS認証新規取得の際に作成したところ、審査員から「会社の規模的に難しいから台帳管理までする必要はない」という指摘を受けたことが理由です。
ただしその後審査員が変わった際には、持っていないのかと言われたので、やはり法令台帳を作成して管理した方が良いのかと思っていたところでした。
確かに我々は法律の専門家ではないので、自分たちで法令台帳を作成して更新し続けるのはハードルが高いということも事実です。コストもかかりますし管理は煩雑になります。『セキュリオ』では登録されている法令一覧の中から必要なものにだけフラグを立てておけば、自社に関連する法令が一覧となって表示されるようになります。簡単に管理できて便利だと思いました。
— 内部監査はどのように実施しましたか。
内部監査は井崎さんに内部監査員を代行していただいて実施しました。ISMSクラウドセキュリティの範囲だけではなく、ISMS全体の内部監査をしていただきました。
主にドキュメント類のチェックをしていただいたのですが、非常に丁寧にチェックしていただき、日付が更新されていない点や、矛盾点、漏れなど、細かい問題を全て洗い出して修正することが出来ました。
— 審査はいかがでしたか。
解釈の違いによる指摘などはありましたが不適合はなく、ISMS認証の更新、ISMSクラウドセキュリティ認証取得、ともに無事に終えることが出来ました。
『助ネコ』のキャラクターグッズなどと一緒にエントランスにディスプレイされた
ISMSクラウドセキュリティ/ISO27017の認証書。
情報セキュリティマネジメントシステムは継続的な運用が重要
— ISMSクラウドセキュリティ認証取得に取り組まれたご感想をお話し下さい。
今回の取り組みをきっかけとして改めて感じたことは、情報セキュリティマネジメントシステムに完璧と終わりはないということです。それはISMS認証を取得した時から感じていたことでもあり、従業員に対しては継続的な情報セキュリティ教育を施してきました。情報セキュリティは次々と新しい脅威が現れますし、その度に異なる対策が求められます。だからこそ外部環境や社内状況の変化に合わせて、継続的な取り組みを行うことが重要であると考えています。
そのような活動を維持する上で、ISMSの認証制度で毎年義務づけられている維持審査や更新審査は良い刺激になります。審査員は毎年同じ人とは限りませんし、人が変わる度に指摘される箇所も変わります。その指摘を受けることで、私たち自身に新たな視点が加わりますし、視野も広がります。
— 従業員の情報セキュリティ教育とは、 具体的にはどのようなことをされているのですか。
まず入社時は、実務の教育を行う前に、規定集を読んでもらいます。そして半年ごとに機密情報の取り扱いに関する念書を取り交わしています。さらに不定期ですが、情報セキュリティの最新情報に触れるため、IPA(情報処理推進機構)が公開している動画などを使った教育を実施しています。
病院に就職したら患者さんの命が何よりも大事だと思うはずです。それと同じで私たちもお客様を真剣に守らなければいけません。しかしセキュリティセンスは意識して磨こうとしなければ磨かれるものではありません。職種ごとの専門スキルは誰しも積極的に勉強をしますが、情報セキュリティを意識的に勉強する人は少数派です。従って従業員のセキュリティセンスを磨くことは、会社が主導して実行すべきであると考えています。
システム開発会社の業務に対する理解と豊富な事例に基づいたLRMのサポート
「実務に即して考えることが出来たので使えるマネジメントシステムを構築出来ました」
(代表取締役・長谷川智史氏)
— LRMのコンサルティングはいかがでしたか。
大満足です。井崎さんは我々の質問に対する回答が的確で、ストレスなくスムーズにプロジェクトを進行することが出来ました。それを支えているものは以下2つの要素だと思います。
(1)システム開発会社の業務に対する理解
井崎さんは『セキュリオ』の開発を担当するエンジニアでもあります。そのため我々とは言葉も気持ちも事情も通じ合います。ベースラインリスク分析には、現場で『助ネコ』を運用している技術者も参加して話をしました。その際は開発経験のない人には理解しづらい技術の話が中心になったのですが、どのような話をしても一度説明すればすぐに理解していただくことが出来ました。
弊社のようなシステム開発会社にとって、コンサルタントさんが技術をわかっているかわかっていないかは、ものすごく大きな違いです。システム会社がどのような悩みを抱えているか、どのような課題に取り組んでいるかということを理解しているコンサルタントさんと会話をしながら取り組めたことは、構築したマネジメントシステムの質にも大きく影響していると感じます。
(2)数多くの支援経験によって蓄積された豊富な事例
ISMSクラウドセキュリティ認証は生まれたばかりの認証制度です。我々が取得を決めた昨年時点では、取得企業もまだ50社ぐらいでした。その中でLRMさんはすでに数多くの支援経験と、そこで蓄積した豊富な事例を持っており、それらを参考にしたアドバイスをしていただきました。利用規約をチェックしていただいた時も「ここがだめ」と指摘するだけではなく、「例えばこういう書き方」と具体例を提示していただきました。ベースラインリスク分析を進める上でも、それらの事例は非常に役に立ちました。これからISMSクラウドセキュリティにチャレンジするというコンサルティング会社に、いくら安くしますよと言われても簡単には依頼できません。実績のあるLRMさんに依頼して正解でした。
またISMSクラウドセキュリティに限らず、ISMS全体について審査会社の動向など、最新情報のキャッチアップも早いです。ISMS認証の審査にも潮流があり、審査方針はよく変わります。今回はLRMさんに最新情報に基づいたアドバイスをしていただいたことで、しっかり準備が出来ました。
— 以前お取引されていたコンサルタントとの違いなどは感じられましたか。
ISMSの初回審査では、当時お願いしていたコンサル会社さんから、良くまとまった雛形一式をいただき、それをベースにISMSのルールを構築していきました。 私達も初めてでしたから、ISOというのはこういうものなのだろうと、あまり深く考えなかったわけですね。 コツコツとドキュメントを作っていきました。
ただ、今思うと、当時のコンサルタントさんからは「御社は具体的にあれはどうされていますか?」というような、つっこんだ確認等はなかったと思います。 私たちもわからなくなると「一般的には、他社さんはどうされているのでしょう?」なんて質問をしていましたから(苦笑)。
それで、ISMSの初回審査を迎えるわけですが、海千山千の審査員の方に「もっと自社に合った仕組みを構築するほうがいいですよ。御社にはあまり意味がなさそうなルールに重点が置かれているし、逆に大事な観点が抜けている。」という主旨のコメントをいただきました。それで、目から鱗というか、ハッとしまして、、(苦笑)。
それから1ヶ月かけて、もらった雛形頼みでなく、もういちど自分達で考え構築し直し、ほぼすべてのドキュメントをVer.2に更新して、認証を取得しました。 私達も未熟でしたが、コンサルタントさんも我々のような少人数でクラウドサービスを展開している会社のコンサル経験は、あまりなかったのかもしれません。
そういう意味では、LRMさんには、システムの構築や運用、規約の改定など実運用に添ったアドバイスをしていただけました。 また、クラウド認証だけでなく、ISMSやセキュリティについての幅広い素朴な疑問などにも、快く答えていただき、とても仕事がやりやすかったです。
「ISMSの運用に必要なドキュメントやスケジュールなどが一元管理できるツールが欲しいと思っていました。
『セキュリオ』のバージョンアップに期待しています」
(左;長谷川広美氏、中;長谷川智史氏)※右は弊社井崎
ISMSやISMSクラウドセキュリティの運用に必要なものを一元管理するシステムに期待
— LRMへの今後のご期待があればお話し下さい。
現時点でLRMさんに期待していることは『セキュリオ』のバージョンアップです。井崎さんによると、現状のeラーニングや法令台帳に加え、今後は文書管理などISMSやISMSクラウドセキュリティの運用に必要なものを全て管理できるツールへと『セキュリオ』を発展させる計画があるそうです。
実は私たちもISMS認証を取得した当時から、社内向けに同様のシステムが構築出来ないかと考えていました。
なぜなら審査の時期が近づくたびに『Word』や『Excel』のドキュメント管理の煩雑さに悩まされていたからです。
その悩みは、WEBシステム上で簡単にドキュメント類が管理・閲覧出来れば解消します。さらにドキュメントの自動版管理や、従業員教育、内部監査などの年間スケジュール管理などができればより便利になるでしょう。ただ自社で開発するには、どうしても優先順位が低くなってしまうため、なかなか着手できませんでした。LRMさんに開発してもらえれば非常にありがたいです。
株式会社アクアリーフ様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社アクアリーフ様のWEBサイト
※ 取材日時 2018年8月
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
