クラウド専業インテグレーターとして、東北の課題を東北の企業とともにクラウドの力を使って解決するビジネスを展開している株式会社ヘプタゴン(本社:青森県三沢市)。同社は2022年11月にISO27001(情報セキュリティマネジメントシステム/以下、ISMS)を取得しました。今回、ISMS取得の経緯やオプティマ・ソリューションズにコンサルティングを依頼した背景などを、代表取締役社長 立花 拓也氏、ビジネスデベロップメント 菊池 崇仁氏に詳しく伺いました。
――ISMS取得のきっかけをお聞かせください。
大きなきっかけは2つありました。ひとつは自治体などの案件で、公的なセキュリティ認証取得の有無を問われるケースが増えてきたことです。案件数としては民間企業の受注の方が多いのですが、分け隔てなく自治体の案件も取り組んでいきたいと考えていることもあり、公的なセキュリティ認証の取得に目を向けないわけにはいきません。もちろん、民間企業からも公的なセキュリティ認証取得の有無を問われるケースもあります。これを踏まえ、すべてのお客様に「対外的に信用に足る会社」という印象を抱いていただけるように、公的なセキュリティ認証の取得を考えるようになりました。
もうひとつは、社内にセキュリティに関するフレームの必要性を感じ始めたからです。そもそも当社は、自社で開発したシステムを預かって運用・保守まで行うフルマネージドサービスというビジネススタイル。今までは社員が有する豊富な経験と知見のもと、各自の判断でセキュリティ対策を行ってきましたが、ルールとして明文化されていたわけではありませんでした。これまでも大きなトラブルはありませんでしたが、このまま個々の判断に依存していては社員に負担をかけ続けることになり、会社としての責任もあやふやです。そこで、公的なセキュリティ認証の取得を通じてセキュリティ対策の認識を統一する必要があると考えました。
――ISMSを選択した理由をお聞かせください。
さまざまな企業のセキュリティ対策の取り組み情報を収集し、それをもとにISMSとPマークのどちらが当社に合うか社内で議論しました。総意としてまとまったのは、現場に負担をかけず、対外的に求められているセキュリティ目標を達成できるという点でISMSでした。また、お客様の個人情報を預かって、それをマーケティング施策に生かすようなビジネスモデルではないため、個人情報に特化したPマークよりもISMSの方が合致するという面も考慮しました。
――コンサルティング会社の活用は考えていたのでしょうか。
公的な認証を取得するのは初めての試みで、右も左も分からない状態。2022年内の取得を目標に掲げていたこともあり、自分たちだけでは無理だと考えていました。ですから、当初よりコンサルティング会社を利用するつもりで進めました。
――コンサルティング会社の比較・検討はされましたか。
数社のコンサルティング会社のホームページを参照して比較・検討しました。まず、前提として当社の働き方に対応いただけるコンサルティング会社を重視しました。当社の働き方とはフルリモートワークのことで、社員が集まるオフィスを青森県三沢市に設けているものの、基本的には全社員が自宅で仕事をしています。お客様とのやり取りも、コロナ禍以降はオンラインによるミーティングが一般化。当社の業態や働き方が、ようやくビジネスシーンとマッチしてきたという印象を抱き始めていたところでした。
ただ、フルリモートワークという働き方でISMSを取得できるのか不安がありました。フルリモートワークの働き方を理解し、ISMSの取得までサポートしていただけるコンサルティング会社があるのかも分かりません。そんなとき、オプティマ・ソリューションズのホームページにて、当社と同じようなフルリモートワークの会社をサポートした事例を拝見しました。これを見て「我々もISMSを取得できる」と確信。オプティマ・ソリューションズに、ISMS取得のコンサルティングをお願いすることにしました。
――ISMS取得までの進捗状況を教えてください。
オプティマ・ソリューションズと取り組み始めたのは2022年5月です。ISMSの取得は2022年11月でした。ISMSの取得を進める当社の事務局メンバーは3名。代表の立花と菊池、そして開発部門の責任者という構成です。ルールの取りまとめやドキュメント作成など、ISMSを取得するための実務は菊池、トップの判断を要するところやマネジメントレビューなどは立花、事業部特有の判断を要するところは開発部門の担当者という体制で進めていきました。
オプティマ・ソリューションズのコンサルティングは、リモートのみで行っていただきました。取得に向けて本格的に動いていた8月末までは、月2~3回のペースでミーティングを行いました。その後、9月末の1次審査、10月末の2次審査を経て、無事11月にISMS取得することができました。ちなみに、オプティマ・ソリューションズとは一度もオフラインで顔を合わせたことがありません。とはいえ、最近のミーティングでは「一度は直接お話ししたいですね」と話しています(笑)。
――ISMSを取得する際、フルリモートワークの影響はありましたか。
業務システムをすべてクラウドで運用しているため、物理的管理の必要性がないことはメリットでした。これにより、物理的管理の工数を大きく削減することができました。半面、デメリットとまでは言えませんが、業務を行う各自の自宅やコワーキングスペースなどの物理空間をどう解釈すればいいのか悩みました。何とかオプティマ・ソリューションズのアドバイスを受けながらドキュメント化していった感じですね。
また、これもデメリットではありませんが、将来起こりうるかもしれないリスクに対してもドキュメント化の必要があることに驚きました。例えば、現在はサーバールームが存在しないため、物理ケーブルの保護などは不要ですが、「ない」と言い切ってしまうと、将来的に集まって働く場所としてオフィスを持った場合に辻褄が合わなくなります。解釈や考え方にもよると思いますが、悩みどころではありました。
――オンラインによるコンサルティングはいかがでしたか。
もともと当社はフルリモートワークですし、オプティマ・ソリューションズもオンラインに慣れているようでしたから、問題なく進めることができました。正直、オフラインと変わりません。それよりも、分からないところに対して随時ご回答いただくなど、毎回、オプティマ・ソリューションズの親身な対応に感謝していました。また、洗練されたテンプレートをいただいたこと、記載方法などに関するアドバイスなどにより、前述したフルリモートワークの解釈以外は、ドキュメント作成において苦労することはありませんでした。
――審査もオンラインと伺っています。
1次審査がオンライン、2次審査は現地のオフラインで行いました。オプティマ・ソリューションズからオンラインでの審査が増えていると伺っていましたので、審査機関に交渉したところ、1次審査はオンラインということで快諾いただきました。
1次審査は必要書類が整っているか、書類に不備がないかなどを確認する書類チェックがメインで、ほかに当社のオフィス状況のヒアリングがありました。書類については画面共有で確認していただきましたが、むしろオフラインよりも素早く提示できたのではないかと思うほど、スムーズに進めることができました。1次審査で要した時間は約半日。準備などを加味するとほぼ丸一日でしたが、これはオンラインでもオフラインでも変わらないスケジュール感だと思います。
2次審査は、当社の三沢オフィスに審査員にお越しいただいて、オフラインで進めました。1次審査で指摘された部分の修正など確認作業がメイン。これもトラブルなく進めることができました。
――ISMS取得による効果は感じていますか。
ISMSを取得後、すでに3つの案件のセキュリティチェックシートにISMSの取得を記載することができました。記載項目を大幅に削減できるだけでなく、セキュリティ対策の体制が整っている企業として信頼感も増していると思います。今後はホームページにISMSの取得を掲載することで、さらなる対外的な信頼向上を図ることができると考えています。
社内においては、ISMSを取得するプロセスで社員全員にドキュメントのレビューを依頼したこともあり、ISMSに対する認知度、セキュリティ対策への意識は高まったと感じています。例えば、セキュリティに関するコミュニケーションをする際は「ISMS的にはどうなのか」という意識が社員の共通認識としてあります。
――ISMSの運用における後の展開をお聞かせください。
2022年12月1日付で当社は株式会社デジタルキューブのグループ会社になり、会社を取り巻く環境が大きく変化しました。2社によるシナジーを最大化する取り組みを優先しつつ、その脇を固める形でISMSをベースとしたセキュリティ対策を行っていくことが今後の目標となります。幸い、デジタルキューブ社もISMSを取得しており、同じフレームで意見交換やセキュリティ対策を構築できるのは有り難いと思っています。
――最後にオプティマ・ソリューションズへの期待をお願いします。
ISMSの規格が更新されるという話は聞いてはいるものの、会社環境の変化や多忙な業務などにより、なかなかキャッチアップできない状況ですから、継続的なオプティマ・ソリューションズのサポートは大変助かります。今後もセキュリティ体制を維持・強化するうえで、オプティマ・ソリューションズのサポートに期待しています。引き続きよろしくお願いいたします。
――担当コンサルタントより
<ISMSコンサルタント小田一茂(おだ かずしげ)>
ISMS取得おめでとうございます。弊社の提供ひな形はフルリモートで事業を展開する組織(お客様)も、ほとんどそのままで活用できます。また、ISMS運用の維持に必要な社内ルールもコンパクトにまとまっています。例えばスタートアップ企業でも、改めて他の規程類を用意する必要がありません。
へプタゴン様は、その利点を素早くご理解されてISMS管理者の菊池様を中心に審査への準備をされました。審査までのコンサルティングもフルリモートで合計8回、1回あたり1時間程度と大変スムースでした。
今回の取材記事を拝読し、認証取得の効果と運用状況も分かりましたので、リアル打合せの実現をより強く願ってしまいました(笑)。