―貴社の事業内容をお聞かせください。

青柳：当社ではソーシャルメディアに関わるシステム開発やSNS運用のコンサルティング、ツールの提供などを行っています。まれに受託開発などを行うことはありますが、ほとんどはソーシャルメディアに関わる業務ですね。特に多いのはTwitterやFacebookで、最近はLINEにも力を入れています。お客様からの要望があれば他のソーシャルメディアを扱うこともあります。

―情報セキュリティに関しては、これまでどのような取り組みをされてきましたか。

取締役CTO
青柳 公右平 様

―今回のISO27001取得のプロジェクトを開始したきっかけは何でしたか。

青柳：社内のセキュリティ委員会の活動の中で、ISMSやPマークについては「ツールとして使えるのではないか」という思いを持っていましたが、本格的にISO27001認証取得に向けて動き出したのは、大口のお客様からの「契約締結の手続きを簡素化したい」という要望がきっかけです。プロモーションツールを使っていただくお客様では、1カ月、数週間といった短期契約をいくつも結ぶことが多くなりますが、その度に様々な契約書を準備していると業務が煩雑になってしまいます。ISO27001認証を取得していれば契約書の数を減らせるということでしたので、今回のプロジェクトで取得しようと決めました。

―ニュートン・コンサルティングを選ばれた理由を教えてください。

青柳：まずは自分たちでインターネットなどでISO27001に関する資料を探しましたが、あまり見つけられませんでした。規格書も持っておらず、ここは外部のコンサル会社にお願いしようということになり、比較検討に入りました。5、6社に会って話を聞いたのですが、認証取得の方針やコストがコンサル会社によって全く違いましたね。

中には、「この書類に記入したら全て終わりです」というような、当社がコンサルタントに丸投げできるようなところもあったのですが、そのような会社は違うと感じました。というのも、当社では認証取得を決める前から情報セキュリティ委員会を立ち上げていたこともあり、「自分たちできちんとやりたい」という強い意志があったからです。認証取得ありきの活動ではなく、実務に活かしたい。ニュートンさんとはその辺りの考え方が一致し、しっかり取り組めそうだと感じたので決めました。

―プロジェクトはどのように進めましたか。

青柳：ニュートンさんによるISO27001勉強会とトップインタビューで認証取得に向けた下地を整えた後、社内のセキュリティ環境や情報資産などの現状をISMSの要求事項に照らして細かく確認しました。また、事業影響度分析やリスクアセスメントを行って自社のルールを洗い出し、足りないルールは補っていきました。

その後、完成したルールを自社の「ISMSマニュアル」として文書化し、社内に周知した上で内部監査を実施しました。内部監査に当たっては、あらかじめ実施のポイント等のレクチャーを受けています。このようにして体制を整え、ISO27001の審査に臨みました。

こうしたプロセスの全般において、都度ニュートンさんのガイダンスやレビューを受けながらも、常に当社が積極的に手を動かしています。ISMS運用マニュアルなどの文書類も、ニュートンさんの助言を参考にしながらゼロベースから作りました。「自分たちできちんとやりたい」という意志を反映した進め方でした。

―プロジェクトにおいて工夫した点、大変だった点などがあれば教えてください。

プログラマー
星野 久人 様

星野：そもそもISMSの用語が普段使っている言葉とは違うので、社内の言葉と照らし合わせながら自分たちにどう該当するのかを考えなければなりません。面白さはありましたが、大変でしたね。認証を取得することだけ考えればISO27001のガイドラインをそのまま社内ルールにすれば良いのですが、当社ではISMSの用語を日常業務の言葉に落とし込み、文化として社内に広げたいと考えていました。最終的には、何も考えずに普通に業務を行っていればISO27001に適合するという状態にしたかったからです。

そのためにも、既存の社内ルールにどうISO27001の必要要件を取り込めるのかを考えました。問題がある点は改善すべきですが、上手く回っている部分はそのまま業務を行っていればISO27001に適合しているという形にしたかったので、ISO27001と社内ルールの差分を洗い出し、適合しない部分は直すという形で進めました。

青柳：大変だったのはバックアップの問題ですね。当社のシステムは、様々な方法でバックアップを行なっているのですが、統一した方針等が存在せず、通知の方法などもバラバラでした。今回のプロジェクトをきっかけに、バックアップの方針と手段を定め、情報を集約し、全てのバックアップの状況を一目で把握できる状態にしました。ただ、審査でも指摘されたのですが、リカバリがきちんとできるかどうかのテストができておらず、現在はそれを進めています。

バックアップの方針の確立・手段の明確化を図ったことで、気づかずにバックアップが止まっていたものやエラー通知が届いていなかったものを洗い出して整備することができました。今回のプロジェクトに取り組んで良かったポイントの一つです。

―審査はいかがでしたか。

青柳：コンサルタントからのアドバイスもあり、不適合は「改善の機会」と捉えるようにしていました。なぜなら「不適合を出さないようにするためにはどうしたらいいか」という考え方にとらわれすぎると、常にコンサルタントに正解の提示を求めたくなります。審査員から指摘されたらそれを安易に受け入れる癖がついてしまうからです。つまり、自分たちで考える力を失ってしまうのです。

自分たちで「これがいい！　これはいらない！」と思って考えた結果、出てきた不適合であれば、それはむしろ自分たちの気付きにつながるわけですし、前向きに捉えられるようになりました。結果、一次審査では不適合がそれなりに出ましたが、出ないことの方がむしろ問題だと考えていたので、正直なところ、出て良かったですね。その後、二次審査を経て無事ISO27001認証を取得することができました。

―今後の活動予定について教えてください

青柳：ISO27001更新に向けて継続審査を受けなければなりませんので、現在はそのための活動を行っています。経営層から「今年は工数を掛けすぎないように」と言われているので、時間を決めて効率的に活動できるようにしています。

認証取得後は現場の意識も変わってきました。何かあれば「これはインシデントではないか」という報告が上がってきますし、順守すべきところは現場できちんとやってくれています。ただ、忘れがちなこともありますので、今後も社内に貼り紙をするなどして浸透を図っていきます。

―ニュートンのコンサルティングについて感想をお伺いできますか。

青柳：コンサルタントに丸投げするのではなく、最終的には当社が手を動かすという流れで進められて、ためになったと感じています。これから継続審査などもある中で、2年目、3年目は自分たちできちんとできるように導いていただきました。せっかく認証を取得しても、その後のことを自分たちでできないとまたコンサルタントに頼ることになってしまい、それはおかしな関係性だと思っていましたので、1回でノウハウを身に付けることができてありがたかったです。

また、ツール類が非常にしっかりしていて使いやすかったです。ISMSはやるべきことが非常に多いのですが、まともにやっているといくら時間があっても足りません。その点、「これとこれとこれは一緒にできる」などが考えられており、資料にまとまっていましたのでスムーズでした。

全体的に、当社の規模に合ったコンサルティングをしっかりしていただけて、心強かったですね。近々オフィスを移転する予定があるのですが、これから会社規模が大きくなっていく中で、壁に直面することもあるかも知れません。その時はまたお声掛けできたらと思います。

―本日は誠にありがとうございました。