弊社クライアントの株式会社GFD様が、ISMS認証(ISO27001)を取得しました。弊社のISMS認証取得サポートをご利用いただき、着手から約6ヵ月での取得を実現しました。
同社・取締役管理本部長 横山様からいただいたコメント:
御社の事業内容とISMS認証取得の経緯について教えてください。
当社はシステムインフラの技術力を基盤として様々なサービスを展開しています。業務上お客様のシステムに直接触れる機会が多いため、しっかりとした情報セキュリティ体制の構築は社内の必須事項と考え、創業以来、体制の構築に来取り組んできました。また、情報セキュリティというのは企業文化の構成要素の一つと捉えておりますので、企業規模の小さいうちに確立しておくべきたとも考えました。その為、これまでにプライバシーマークを取得し、今回ISMSの取得にも取り組んだ次第です。当社の業務内容においては、ISMSの取得が入札や取引の際の条件の一つになっている場合も多いのですが、それだけではなく、自社としてもむしろ積極的にISMSに取り組むことで業務の信頼性アップを実現したいと考えました。
コンサルを弊社に決めていただくまでの経緯を教えて下さい。
2012年に御社の支援を受けてプライバシーマークを取得しました。その際にサポートをいただいた遠藤さんの対応がとても素晴らしく、迷うことなくISMSも御社にお願いをしたいと思いました。
どのような体制で取り組みましたか?
私と技術者5~6名からなる情報セキュリティチームを設置しました。各種ドキュメントは私が中心となり作成を進め、具体的なセキュリティ対策の検討や実施に関しては、技術者を中心として実際の業務にどのように適用するのか知恵を絞らせました。
一番時間がかかった作業は何でしたか?
リスクアセスメントの中でも、情報資産の洗い出しやリスク分析のところですね。最終的には、情報資産台帳やリスク分析表といったドキュメントとして文書量は少なくなるのですが、そこに至る過程にかなり時間を要しました。
作業にどのくらいの時間がかかりましたか?
着手してから審査を通過するまでの4ヶ月間くらい、ほぼ毎週定例で遠藤さんにお越しいただいて、2時間程度のミーティングを実施しました。あとはミーティング毎に発生する各課題に対して数時間というところでしょうか。
教育はどうやって実施しましたか?
遠藤さんに集合研修を実施して頂いて、ほぼ全社員が受講しました。
安全管理策は何か追加しましたか?
従来からも取り組んでいましたが、今回のISMSの取り組みの中でさらに全体的に強化しました。大きなトピックスとしては、それからクラウドサービスを導入したことです。従来は、個人個人の判断に基づいてセキュリティを高めようとしてきた傾向がありました。今回は会社としての基準を作って、それに基づいてセキュリティを高めることができたと思います。
しかし、まだまだ懸案はあります。即時性とセキュリティのどちらを取るべきかなど、業務に取り組む中で検討を続けています。
現地審査の印象は?
プライバシーマークの審査と比較して、より細かなポイントまで掘り下げるといった印象でした。審査自体は、和やかな雰囲気の中で行っていただけた思います。
ISMSを取得しての感想を教えてください。
前述したとおり、ISMSの取得はある種の義務だと思って取り組んできましたので、取得出来たことは素直にうれしく感じています。また、思いのほか皆様から好意的な反響をいただき驚きました。
コンサルティングで良かったことを教えてください。
コンサルタントの遠藤さんについては、本当に感謝しています。
特に作業を進める際にこちらのペースに合わせていただけた点や、具体的なセキュリティ対策の内容について当社の事情を汲み取って歩み寄っていただける点は非常に助かりました。
なによりもコミュニケーションが円滑で、全てがスムーズに進んだ印象があります。
これからISMS認証に取り組まれる方へひとこと
企業規模の小さな段階からISMSを取得することで、適正な情報セキュリティ体制を保った状態で企業規模を成長させることが可能になると思います。企業規模が大きければ大きいほど、リスクアセスメントにより膨大な工数が必要となるでしょうし、改善対応にかかる負担も大きなものになると思います。
