IoT技術を基軸にクラウドを活用したサービスを積極的に展開している株式会社ユビテック。
今後のサービス拡販を見据え、ISO27001(情報セキュリティマネジメントシステム/以下、ISMS)、ISO27017(以下、クラウドセキュリティ認証)を取得するため、オプティマ・ソリューションズのコンサルティングをご利用いただき無事に取得することができました。今回は認証取得の背景とコンサルティングの効果について、業務支援部 部長 江面 祥行氏に詳しく伺いました。
――今回、ISMSとクラウドセキュリティ認証の取得を担った業務支援部の業務についてお聞きかせください。
インフラ基盤の運用・保守や情報せキュリティを担う情報システム部門の役割に加え、サービスや製品の品質保証、社内の法務的な部分など、業務支援部は多岐に渡る業務があります。今回のISMSとクラウドセキュリティ認証においては取得から運用まで業務支援部にて担当いたしました。
――ISMSとクラウドセキュリティ認証を取得するに至った背景をお聞かせください。
近年はフィッシングメールやランサムウェア、マルウェアなど、情報漏えい問題に発展する脅威が増加しており、弊社がクラウド上のSaaSとして展開している以下の3つのサービスに対しても、お客様からセキュリティ対策の状況信頼性を問う声が聞こえるようになってきました。弊社は、お客様に安心してご利用いただくためには、自己点検に基づく対応状況の表明だけでなく、第三者機関による客観的視点から見て、十分なクラウドセキュリティを構築・運用していると認められることが急務と判断しました。同時に、社内においてもセキュリティへの意識を高める必要があると考えました。そこで注目したのがISMSとクラウドセキュリティ認証です。
ISMSは情報セキュリティの認証として広く認知されていますが、ISMSにアドオンする形のクラウドセキュリティ認証を取得しているのは大手企業がほとんどです。弊社が同水準のクラウドセキュリティを構築・運用できるのか多少の不安はありましたが、これを乗り越えることで、もう一つのクラウドセキュリティ認証であるISO27018(クラウド事業者がクラウド上で取り扱う個人情報の保護規格)取得にもつなげられる点に着目し、トライする価値があると判断しました。そこで2019年2月、ISMSとクラウドセキュリティ認証(ISO27017)の取得を目指すことになりました。
●クラウドセキュリティ認証を取得した3つのサービス
(1) Work Mate(クラウド型安全衛生見守り支援サービス)
(2) ROOM CONCIER(クラウド型会議室管理サービス)
(3) CanSee(クラウド型ビデオ会議サービス)
――取得にあたってコンサルティング会社の利用は想定されていたのでしょうか。
当初より、2つの理由でコンサルティング会社の利用を考えていました。一つはISO9001(品質マネジメントシステム)とISO14001(環境マネジメントシステム)を運用している部門から「自分たち単独で考えてやるにはISMSに関するベースがなさすぎる。外部のコンサルティング会社にサポートしてもらうのが得策」というアドバイスを受けたことです。
もう一つは、認証機関などが主催する取得セミナーを受講したからこその結論です。いくつかの取得セミナーに参加し、取得手順とスケジュールを引くことまでは分かるようになりましたが、それを具体的なアクションに起こそうとすると途端に分からない。例えば、資産をリスク評価しようとしたときにイメージはできますが、具体的に何をやればいいかが分からなくなるのです。
あれこれ悩むなら、コンサルティング会社の手を借りようと思った次第です。
――コンサルティング会社の選定基準を教えてください。
以下の3つを選定要件としました。
1)運用の自立をサポートしてくれる
認証取得にあたり、単なるコンサルティングサービスだけでは不安があります。ドキュメントの雛形提供や社員教育のサポート、困ったときにいつでも的確なアドバイスがもらえるのかなど、広範囲に対応してもらえると助かります。
しかし、ドキュメント作成を含め、何から何までフルサポートというのは求めていません。前述した品質と環境を運用している部門からの助言によると「全部お任せのフルサポートで取得してしまうと、その後の運用が身につかない」とのこと。与えられたものを右から左では、自分たちで管理策を決められなくなりますし、運用を維持していくことができません。そこで、運用の自立をサポートしてくれるコンサルティング会社を要件としました。
2)短期間での取得をサポートしてくれる
なるべく早くお客様にクラウドセキュリティを構築・運用していることをアピールしたかったこともあり、1年以内の取得が必須という状況でした。このスピード感で対応していただけるコンサルティング会社を求めました。
3)低コスト
やはりコストは重要です。同等のサービスであれば、なるべく低コストでサポートしていただけるコンサルティング会社を選択しようと思いました。
――オプティマ・ソリューションズを選定した理由をお聞かせください。
ネット検索や過去にお付き合いがあったところ、紹介などにより、4社のコンサルティング会社をピックアップしました。比較・検討した結果、1~3を満たしていたのがオプティマ・ソリューションズでした。
オプティマ・ソリューションズはサポート範囲が広く、取得後の運用の自立サポートも行ってくれるとのこと。取得することが目的ではなく、社内に浸透させることを目的にしているオプティマ・ソリューションズの考え方は弊社としても同意見でした。
取得のスピード感については、1年半という長期スケジュールを提案するコンサルティング会社もあるなか、オプティマ・ソリューションズからは「1年以内に取得できる」とうれしい言葉をいただきました。さらに他のコンサルティング会社と比較しても十分安価なご提案をいただいたので、オプティマ・ソリューションズにコンサルティングを依頼することにしました。
――無事に取得できたわけですが、オプティマ・ソリューションズをどのように評価していますか。
まず、オプティマ・ソリューションズのサポートがなかったら、今も取得できていなかったかもしれません。例えるなら、地図を持たないでゴールに向かう感じですね。しかし、オプティマ・ソリューションズという船に乗り、雛形という地図をいただいてナビゲーターである担当コンサルタントのアドバイスやサポートを受けることで無駄な寄り道をせず、無事、ISMSとクラウドセキュリティ認証の取得というゴールにたどり着くことができました。
とくに今回は、以下の点においてオプティマ・ソリューションズを高く評価しています。
<スケジュール通り10カ月で取得>
2019年4月末、オプティマ・ソリューションズと一緒に取得に向けた活動をスタートさせました。当初10カ月で取得するスケジュールを組みましたが、実際は1年かけて取得できれば合格ラインだと考えていました。
いざ始めてみると思いのほかスケジュール通りに進み、8カ月後には審査機関の審査を受け、予定通り10カ月で認証を取得することができました。もちろん、オプティマ・ソリューションズのコンサルティングのもと、弊社も全力で頑張りました。ですから、取得できたときは大きな安堵感と達成感がありましたね。とくにドキュメント作成で実際に手を動かしてくれた部下の頑張りには、オプティマ・ソリューションズと同様に感謝をしています。
<的確なアドバイス>
オプティマ・ソリューションズの担当コンサルタントの大塚さんには、前半は月2回、後半は月1回のペースで弊社にお越しいただき、Face to Faceのコンサルティングを実施していただきました。また電話やメールなど、いつでも相談できる体制を提供していただきました。
我々が心強かったのは、一つひとつの迷いに対し、その場ではっきりと的確に答えてくれたことです。管理策のドキュメントを作成していく過程では、やはり規格の解釈に悩むところがあるんですね。例えば、規格の内容を素直に読んでしまうと、すごくハイレベルな要求と受け取れる部分があって、弊社では実現が難しいと思うことが多々ありました。その際、このレベルでの管理策はどうかと大塚さんに相談し、「大丈夫です」と心強い答えが返ってくると、我々も非常に安心することができました。
もちろん「このレベルまで定めてもらわないと規格を満たせません」というようなアドバイスをいただいた際には、我々と一緒に弊社に適合するレベルを思案していただきました。こうしたサポートのおかげで迷走することなく、最短で取得することができたと感じています。
――取得後、社内のセキュリティ水準は向上したのでしょうか。
社内を見ていると、ちょっとした会話などのコミュニケーションでセキュリティの言動が表に出てくるところがあるので、私も含め社員全体がセキュリティを意識するようになったと感じています。そういう意味では、セキュリティ水準はアップしたと思いますね。
もちろん、運用期間が短いため、まだまだこれからという面はあります。今後は内部監査や定期的なチェックが入っていくので、さらにセキュリティの意識は根付いていくと考えています。
――運用の自立はできていますか。
PDCAを回す仕組みのベース部分を担当コンサルタントにつくっていただいたおかげで、かなり自分たちだけで運用できていると思っています。何かあったときには、いつでも担当コンサルタントのサポートを受けられるのも心強いですね。
――今後の展開とオプティマ・ソリューションズに対する期待をお聞かせください。
まずは、ISMSとクラウドセキュリティ認証をしっかり運用していくことが大事だと考えています。そうすれば、自ずとISO27018にも着手できるでしょう。
引き続き、オプティマ・ソリューションズには更新や新たな規格を取得する際のサポートをお願いすることになると思います。今後も変わらない支援をよろしくお願いします。
株式会社ユビテック様/プロフィール
1977年11月設立。オフィスコンピューター開発のベンチャー企業としてソフトとハードの両面から時代をリードする技術革新を提供。1980年代はコークス炉カメラに代表される製品やATMなどのセンサーモジュール開発に取り組み、2002年以降は通信・ネットワークの技術領域に進出。2007年以降はテレマティクスサービスを核に、デバイス、センシング、ネットワーク、ソフトウェアなどのIoT技術要素を培い、さまざまな分野に向けたソリューションを提供。近年はデータ分析におけるAI技術を習得し、独自の解析エンジンの開発も展開。サスティナブルな企業経営に寄与し、新たな社会基盤の構築にインパクトを与える企業へと成長し続けている。