弊社クライアントのファイルフォース株式会社様が、ISMS認証(ISO27001)を取得しました。弊社のISMS認証取得サポートをご利用いただきました。(担当コンサルタント:石井、遠藤)
同社経営企画室 室長・執行役員 CFO・高原 慎太郎様からいただいたコメント:
御社の事業内容について教えてください。
弊社は、クラウド型ファイル共有サービス「ファイルフォース」を開発、販売しています。
クラウドストレージというと「Dropbox」「BOX」が有名ですが、当社のファイルフォースは法人向けに特化しているところが最大の特徴です。部署ごと、プロジェクトごとに、ひとつずつの共有フォルダを作成して、複数の利用者で共有して活用する、そんな使い方をイメージして開発を進めています。
それでは今回、ISMS認証取得に至った経緯について教えてください。
最近、特に金融機関や監査法人のような、高いセキュリティを求めるお客様との商談が増えておりまして、PマークかISMS認証のどちらかを持っているかと聞かれることが多くなりました。
また、既存のお客様からも情報セキュリティに関するチェックシートをいただくことが多くなりました。その一番上に、Pマーク、ISMS認証の有無をチェックする欄があり、認証があればフリーパスになるわけですから、改めて効果を痛感した次第です。そのような経験を通しまして、私たちのサービスを安心して使っていただくためには、やはりしっかりとした体制を作ることが必要と考えるようになりました。
最終的にPか、ISMSかという話になり、クラウド事業者としては機密性だけでなく、完全性、可用性もカバーするISMS認証の方がふさわしいのではないかと考えまして、ISMS認証を取得することにした次第です。
コンサル会社を弊社に決めていただくまでの経緯を教えてください。
実は、当社の社長がネットで検索して見つけてきたんですよ。御社のWebサイトには多くの顧客事例が掲載されていて、当社と似たようなベンチャー企業や、クラウド事業者が多かったので、安心してお願いできるかと思いました。
どのような体制で取り組みましたか?
私がメインの担当者になり、情報システムに詳しいものを1名、アシスタントを1名つけてもらって、3名で事務局を構成して推進していきました。
情報セキュリティ責任者は社長に就任してもらいました。
作業にどのくらいの時間がかかりましたか?
作業が半年がかりでしたね。他の業務も進めながら、週に1日くらいはこの準備にあてていました。
教育はどうやって実施しましたか?
資料を配布して、小テストを回収する形式で行いました。
今回を機会に新たに強化したセキュリティ対策はありますか?
入退室管理については、最初に解錠したものと最後に施錠したものを紙に記入するようにしました。サーバールームも同様に解錠施錠記録を残すようにしました。また、カギ付きの袖机(デスクワゴン)を新たに導入しました。従来使用していた袖机にはカギがなかったのです。外出時や帰宅時には、PCなどを収納して施錠するようにしました。キャビネットについては、従来のものをそのまま使用していますが、配置を変更したことと、一つ一つのキャビネットに「ここは機密情報」「ここは重要ではない情報」というような区分を決めて整理しました。
ISMS認証の審査の印象はいかがでしたか?
当社としてはしっかり準備したつもりでしたが、第一次審査では審査員の方と意見の相違が出てしまいました。この時にコンサルタントの石井さん、遠藤さんにすごく助けていただいたので、本当に感謝しています。第二次審査では、大きな問題はなく、スムーズに進みました。
一番時間がかかった作業は何でしたか?
実は私たちの会社は若いように見えて、社歴が15年ありまして、社内には使用していない機材や媒体や資料などがかなり沢山ありました。これらを今回、一気に廃棄したんですが、それが一番大変でしたね。この会議室がいっぱいになるくらいありましたよ。そしてこの時に事務局が3名いてよかったと思いました。私だけではここまで徹底してやらせることはできなかったと思います。社内の断捨離みたいな感じになりましたが、これで、本当にスッキリしたんですよ。
また、情報資産の洗い出しにも時間をかけましたよ。これもこれでやはり過去に蓄積された情報が沢山ありまして、必要なものと必要ではないものを選別して、それぞれ保管方法を決めていきました。
ISMS認証を取得しての感想を教えてください。
お客様からの反応はいいですよ。皆さん、ISMS認証がどんなものか、弊社よりもよくご存知な方も多くて、高く評価していただけていると思います。
コンサルティングで良かったことを教えてください。
コンサルタントの石井さん、遠藤さんのスムーズな仕事の進め方、的確なアドバイス、コンパクトな書類にはもちろん満足していました。しかし、なんといっても、審査で審査員の人とぶつかって困った時に、一緒に汗をかいていただけたことに本当に感謝しています。
これからISMS認証に取り組まれる方へひとことお願いします。
ISMS認証を取りたいならオプティマ・ソリューションズさんに頼めばいいですよと言うと、ちょっと生々しすぎますかね(笑)
ただ、コンサルタントを選ぶ際には、相性をよく見たほうがいいと思います。長い付き合いになるわけですしね。また、ISMS認証を取るにはやはりコンサルタントのサポートは欠かせないと思います。
実は、数年前に自力でISMS認証取得を進めていたことがあったのですが、うまく行きませんでした。やはり素人だけで取り組むには無理がありました。コンサルタントの方と契約をして、当然ながらお金も払って、そこに会社としてのコミットメントが発生します。それくらいして、背水の陣のような状況を設けないと、社内も動かないのかなと思います。
これからISMS認証を取得される方の参考になればと思います。
