株式会社ワークスアプリケーションズ 様 – ISO27017新規取得 –

国内クラウドERPベンダーとして、クラウドの安全性を訴求するためにISO27017認証取得第1号を目指しました。クラウドに強いLRMのコンサルティングで目標を達成することができました。

株式会社ワークスアプリケーションズは、2016年8月、国内クラウドERPベンダー初となるISO27017認証取得に
成功しました。認証取得の背景と取得にあたってLRMのコンサルティングサービスを導入した理由やご評価を、ISO27017認証取得プロジェクトメンバーの皆さんに伺いました。

(株式会社ワークスアプリケーションズについて)

株式会社ワークスアプリケーションズは、日本唯一の大手企業向けERPパッケージベンダー。同社製品である日本初の大手企業向けERPパッケージソフト「COMPANY」は、国産パッケージNo.1(※1)として不動の地位を築き、人事・給与システム分野においては14年連続でトップシェア(※2)を獲得、大手企業1,200企業グループ超で採用されている。また、2015年には世界初の人工知能型ERP「HUE」をリリースするなど、国産ERPパッケージのリーディングカンパニーとして進化を続けている。
設立:1996年。従業員数:5,631名(2016年6月末時点)。本社所在地:東京都港区。

(※1)市場占有率推移(パッケージ市場)販売社数シェア 出典:株式会社富士キメラ総研 ソフトウェアビジネス新市場 2016年版
(※2)2002年~2015年 大手企業向け(年商1,000億円以上)人事給与管理ソリューションのライセンス売上高シェア(エンドユーザ渡し価格ベース) 株式会社矢野経済研究所調べ(2015年12月現在)


(人工知能型ERP『HUE』について)

『HUE』は、ワークスアプリケーションズが開発・販売・サポートを行う、AIを搭載したERPパッケージ製品。リレーショナルデータベースによる集中処理から脱却しNoSQL型の分散技術を採用することで、これまでのERPパッケージ製品では実現不可能だった0.1秒という圧倒的な応答速度を実現。機械学習によるサジェスト機能や自動作表機能、OCR技術による文字情報の解析や自動マッピングなどにより、ユーザーのルーティンワークや単純作業、PC操作を極限まで削減し、大幅な業務生産性の向上を実現する。

国内クラウドERPベンダーとして初。LRMのサポートを受けISO27017認証を取得

– 今回、LRMにご依頼された業務内容をお話し下さい。

弊社は2016年7月、LRMに、クラウドサービスに特化した情報セキュリティの国際標準規格、ISO27017認証取得のコンサルティングを依頼しました。今回、弊社のコンサルティングを担当したのは幸松さんと井崎さんです。コンサルティング開始から1か月で審査を受けることが出来て、目標通り、ISO27017認証取得国内第1号を達成することが出来ました。

【LRM注】ISO27017認証について
ISO27017認証とは、クラウドサービスの提供者や利用者に対して適用されるクラウドセキュリティの第三者認証です。ISMS/ISO27001(以下、ISMS)認証を補完する「アドオン認証」に位置付けられます。クラウド上のリスクへの備えを示したガイドラインであり、これからの時代に必要不可欠な「クラウドセキュリティ」を実現する実践的な指針としての期待が高まっています。世界では、GoogleやAmazonなどのIT企業が取得しており、セキュリティ領域におけるトレンドとなることが予測されています。

ISO27017認証取得でクラウドの安全性を訴求

– クラウドセキュリティの国際標準規格であるISO27017認証を取得した目的をお話し下さい。

(1)クラウドサービスの安全性の訴求
今回、弊社がISO27017認証を取得した最大の目的は、弊社が提供するクラウドサービスのセキュリティ上の安全性と信頼性をアピールすることです。今回認証範囲に含めたのは、2015年12月にリリースし海外での導入も始まっている『HUE』と、弊社の全ユーザーに提供しているオンラインサポートサービス『@SUPPORT』、ユーザー以外の一般企業にも開放しているマイナンバー管理システム『MKS』の3サービスです。

『HUE』はAI搭載のメリット最大化のため、完全クラウドネイティブで開発したERPです。『@SUPPORT』は、既存のお客様に対するサービス提供の柱となるシステムで、お客様の重要な情報が集まっています。こちらは、2013年にクラウドに完全移行しました。『MKS』はマイナンバー制度のスタートに合わせて、こちらもクラウドネイティブで開発したサービスです。2015年4月にベータ版、そして8月に本格リリースしました。

弊社は今回、この3つのサービスを適用範囲として認証取得することで、お客様にクラウドの安全性を客観性を持ってアピールしたいと考えました。

「認証取得国内第1号を目指しLRMにサポートを依頼しました」(ビジネスサポートインフラグループマネージャー・渡部裕氏)

「認証取得国内第1号を目指し
LRMにサポートを依頼しました」
(ビジネスサポートインフラグループ
マネージャー・渡部裕氏)

(2)クラウドセキュリティの精度向上
これまで自分たちがやってきたことと、ISO27017で定める管理策が本当に合致しているのかどうかを、認証を取ることによって明確にし、過不足があった場合はそれを改善し、クラウドセキュリティの安全性をより高める機会にもなるとも考えました。

– 御社におけるクラウドの取り組みは、いつ頃から、どのような背景で始まったのですか。

2008年頃に弊社は、より先進的な技術を製品に積極的に取り込んで、テクノロジーの分野でもトップを目指す方針を打ち出し、社内に研究開発専門部署を立ち上げました。その直後からAmazonのクラウドサービスAWSを使い始めました。同時に、近い将来クライアントサーバーの時代は終焉し、コンピュータは時間借りして使うクラウドの世界に移行していくだろう、というトップの判断のもと、社内の環境や自社製品を動かすインフラを完全にクラウドへとシフトしていく方針も掲げられました。それが『HUE』の開発につながりました。

– その過程において、クラウドのセキュリティに関する取り組みとしてはどのようなことをされていましたか。

クラウドを利用しはじめた当初から、弊社内では「いかにクラウドを安全に使うか」が大きなテーマとして存在し、どのような対策を打つべきかリサーチし続けていました。『HUE』の開発プロジェクトが立ち上がってからは特に、経済産業省と総務省が定めた「クラウドセキュリティガイドライン」を参照するとともに、独自に蓄積してきたノウハウを併せた対策を打ち続けてきました。

以上のような経緯があり、我々としてはさらに客観的な評価基準によってその安全性を認めてもらい、社会に向けてアピールする機会を伺っていました。そのような経緯があるため、2015年にISO27001をベースにしたクラウドセキュリティ・ISO27017の認証制度の開始が予告された際は、いち早く取得することを決定しました。

– 取得国内第1号を目標とした狙いを教えてください。

選択肢としてはISMSの拡大審査という形で取得することも考えられましたが、せっかく認証制度がスタートするタイミングでもあるので、取るなら国内第1号を目指す方針を決めました。早く取得できるということは、サービスを提供するための準備がしっかり出来ている、自分たちがやるべきことが整理されている、ということでもあります。弊社が持つクラウド技術の高さと運用実績は、信頼性を訴求するための大きな要素であると考えています。

自らクラウドサービスを使いこなすコンサルティング会社を選択

– 短期取得を目指す上での懸念はありませんでしたか。

公開された規格を読むと、求められる管理策が具体的にイメージできない項目が沢山あり、短期取得を実現するために限られた時間内で正しく管理策を解釈できるか不安がありました。そこで、LRMにコンサルティングを依頼しました。

– LRMとは以前から面識がおありだったのですか。

LRMには、ISMS2013年版への対応の際に、コンサルティングを依頼しました。その際、他のコンサルティング会社とは違うと思いました。無駄なことは極力省いて、弊社の実情に合ったマネジメントシステムを構築する柔軟な姿勢に共感しました。

– ISMS2013年版への対応でLRMにコンサルティングを依頼したことで、ISMSの運用に何等かの変化はありましたか。

従来のISMSは作成すべきドキュメントが多く、管理が面倒な仕組みでしたが、2013年版への対応によって、シンプルなマネジメントシステムに変更し工数を削減することができました。

その経験から、ISO27017の認証取得のサポートもLRMに依頼したいと考えました。今回は最初から短期間での認証取得を目指していたため、LRMならスケジュール通りの取得をサポートしてもらえるのではないかと期待しました。

「ISMSの2013年版の対応を依頼した時、LRMはすでにクラウドサービスを使っていたので、他のコンサルタントとはちょっと違うと感じていました」(ISMS事務局の皆様)

「ISMSの2013年版の対応を依頼した時、LRMはすでにクラウドサービスを使っていたので、
他のコンサルタントとはちょっと違うと感じていました」(ISMS事務局の皆様)

短期間にもかかわらず、良い雰囲気で審査準備を推進

– 認証取得はどのような体制で行われたのでしょうか。

ISMS事務局メンバーと、認証範囲の3サービスのシステム運用担当者で行いました。サービスに関わる部分は各サービスの運用担当者、会社の規程等の見直し、教育や監査はISMS事務局メンバー、と内容によって主体を変え、補完しあいながら進めました。

– 認証取得準備を通して最も苦労したことは何でしょうか。

第一に挙げられることは、期間が短かったことです。全員、本来の業務もある中で時間を捻出していかなければいけません。今回は特に期限が決まっていたので、本来の業務との兼ね合いで苦労しました。
特にサービス提供形態が異なる部分をどうやって統合した表現にするか、実際の業務の内容を規格に沿って整えるにはどうすべきか、など悩むことが沢山あり、時間に追われながら決めなければなりませんでした。ISMS事務局も、従業員教育、内部監査、既存のISMS文書の見直しなど、様々なタスクが発生しました。

– そのような状況の中でLRMが果たした役割をお話し下さい。

LRMのアドバイスがあったからこそ、審査の準備もスムーズに進み、予定通り進めることが出来ました。
ISO27017に対応した社内マニュアルの整備は、規格の要求を踏まえたLRMの質問にメンバーが回答しながら進めました。その中でこちらの回答と要求にずれがあることもありました。その際、LRMに解釈の仕方をレクチャーしてもらったことで、審査の場で的確に対応するための表現方法を学ぶことが出来ました。

コンサルティングを依頼した時点では、8月末の審査を予定していました。しかし諸事情あって、審査機関による審査がスタートする8月1日に審査を受けることに急きょ変更しました。1回2時間の打ち合わせが4回、さらに合間にメールで連絡を取り合って調整するなど濃密な1か月間でしたが、審査の準備がしっかり出来ました。

また、打ち合わせの雰囲気も良好でした。幸松さんの明るいキャラクターが大きく影響していると思います。きつめのスケジュールの中でも、プロジェクトメンバーのチームワークを良好に保ちながら進行できました。

「運用チームにとってはこれまでやって来たことが、ISO27017の規格と合致していることがわかったことと、お客様との共通言語が持てたことが一番良かったことです」(サービス運用担当者の皆様)

「運用チームにとってはこれまでやって来たことが、ISO27017の規格と合致していることがわかったことと、
お客様との共通言語が持てたことが一番良かったことです」(サービス運用担当者の皆様)

ISO27017認証取得による効果

– ISO27017認証取得の成果をお話し下さい。

クラウドサービスの普及に伴い、企業の保有する情報の適切な管理、保護といったセキュリティ対策は、以前にも増して必達事項です。

今回の認証取得は、弊社のクラウドサービスをお客様が利用していただく上で、保有する情報の適切な管理、保護といったセキュリティ対策がしっかりできていることをアピールできると考えております。

ただ、認証を取得したからといって、「セキュリティ」が保証されているわけではなく、想定されるリスクに対する具体的な管理策を実施し、決められた期間で見直し、改善を行っていくマネジメントシステムを実施していくことが重要であると考えています。

クラウドと情報セキュリティを理解しているコンサルティング会社

– 改めてLRMのコンサルティングをどのようにご評価されますか

LRMは、実効性のある情報セキュリティマネジメントシステムを作りあげることに長けたコンサルティング会社ということです。また、ISO27017という新たな規格に対する理解が深かったことも、ルールを策定する上で、我々が何をすべきかをしっかり見極めることができました。そこがLRMの価値だと考えています。

株式会社ワークスアプリケーションズ様、お忙しい中、有り難うございました。

株式会社ワークスアプリケーションズ様、お忙しい中、有り難うございました。
※上段左は弊社幸松、下段左は弊社井崎。

株式会社ワークスアプリケーションズ様のWebサイト
※ 取材日時 2016年9月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
ISO27017認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る