サービス 導入事例 ニュース JMCリスクソリューションズ 会社情報 お問い合わせ

Home導入事例株式会社イーツ

導入事例

ISO27001/ISMS/BS7799 導入事例

株式会社イーツ
株式会社イーツは、取引先企業からお預りした情報資産を24時間・年中無休で監視するMSP(マネジメントサービスプロバイダ)サービスや、サーバーのホスティング・ハウジングなどの事業を手がけている企業。同社が情報セキュリティに対する第三者認証の取得の必要性を感じ始めたのは、2002年頃のこと。何らかの認証を取得していることが望ましい、という取引先からの要望に応えるため、取得すべき認証の検討を開始。2003年12月からプロジェクトをスタートし、2005年1月13日に無事、ISMS/BS7799の取得に成功されました。jmcはコンサルティング会社としてこの取得プロジェクトのサポートを担当。スケジュールのマネジメントやセキュリティポリシー策定のアドバイスを行いました。今回はプロジェクトリーダーの小形氏にご登場いただき、ISMS/BS7799取得までのプロセスや、取得後の効果、今後の目標などについて語っていただきました。



  「自分たちでルールを作る」ことが一番重要なポイント

 「お客様にISMS/BS7799の取得の報告をすると、“フロッピーを使っちゃいけないんでしょう?”といったことを必ず言われます。しかしISMSの要求事項を記載した“付属書A”(※1:下記注釈参照)には、そんな記載は一切ありません。ISMSとは自分たちで自社の情報資産の管理・運用のルールを決め、それが適切なものであるかどうかを第三者に判断してもらうもの。要求された規定を遵守するというものではないのです」
  そうおっしゃるのは株式会社イーツの取締役・技術本部長の小形氏。取引先企業から預かった情報資産の運用監視を行うMSPサービスや、サーバーのホスティング・ハウジングを手がけるイーツが、ISMS/BS7799の認証を取得されたのは2005年1月のこと。社内でのプロジェクト発足から取得までの約1年、jmcはコンサルティング担当としてこのプロジェクトに加わりました。
 「私たちは取得の範囲を全社ではなく、MSPサービスに限定することにしました。そのため対象となる情報資産もMSPサービスの拠点となる東新宿オフィスだけに絞りました。認証の範囲は後から拡張していくこともできるので、まずは本当に必要な範囲に限定するべきでしょうね」スムーズな認証取得の秘訣を小形氏はそう語ります。
株式会社イーツ 技術本部取締役本部長 小形雅英氏
株式会社イーツ
技術本部取締役本部長
小形雅英氏
  イーツが認証規格としてISMS/BS7799の取得を決め、その範囲をMSPサービスと定めたのは、システム面だけでなく、オペレーターなどの“人”が介在することによるセキュリティリスクへの対策が重要であると考えたため。イーツでは2003年12月に社内に対してISMS/BS7799の取得を宣言。全社員に取得することの意義を啓蒙しながら、取るまでの大変さばかりを考えるのではなく、取った後のメリットをイメージしてもらえるよう、アピールを続けていったと言います。



  コンサルトが“心配事症候群”から救ってくれた


「ISMS取得プロジェクトのメンバーは、MSPサービスに直接携わっている5人の社員。自社の情報資産の洗い直しからスタートするのですが、チェックを続けるうちに、どこまでを対象とすればいいのか、やってもやっても終わらないような気持ちになってきました。私がメンバーに対して指示したのは、理想論ではなく、現実に運用可能なルールを作ること。そのためにはコンサルタントに任せっぱなしというのではなく、自分たちで考えたものをチェックしてもらったり、アドバイスをもらうというパートナー的なスタンスが重要。jmcを選んだのも、そうした関係性がうまく作れると判断したからです」と小形氏はおっしゃいます。
  ISMS/BS7799の取得をスムーズに進めるうえで非常に重要なのは、行程ごとにPDCA(※2:下記注釈参照)のサイクルを作り、効率的に作業を進めていくこと。
イーツの本社エントランスに掲示されているISMS/BS7799認証の証明書
イーツの本社エントランスに掲示されているISMS/BS7799認証の証明書
そのためjmcではプロジェクトのスタート時に詳細なスケジュールを提案。週に1〜2回のミーティングにコンサルタントが参加し、アドバイスを実践していきました。
「セキュリティポリシーを策定していた時、メンバーは“心配事症候群”とでも呼ぶべき状態に陥ってしまいました。これはだいじょうぶなのか、あれは駄目じゃないか、とポイントが無限に増えてしまったのです。そうした点をコンサルタントにチェックしてもらえたのは、非常に助かりました。素人だけでやっていたら膨大な時間がかかってしまったと思います」と小形氏。
 冒頭の小形氏のお話にもあったように、ISMS/BS7799の認証基準を定めた“付属書A”には、要求事項のひとつひとつに対して具体的な指示が記載されているわけではありません。様々なセキュリティリスクに対して、きちんと対策を行うように、という言及があるだけです。具体策は現実性を考えながら各社それぞれで決めていくべきもの。認証だけを取得しても、運用できなければ本当の意味はないのです。



  ISMSのおかげで難しい案件獲得!営業面でも成果あり


「取得からまだ数ヶ月しか経っていませんが、すでに営業面でも大きな効果が出始めています。認証取得を目指されるお客様から、私たちの姿勢が高く評価され、契約継続が難しいとされていた案件を2件獲得することができたのです。また、運用・管理のルール上、作業記録を残すことを定めたので、ミスや失敗が埋もれてしまうことが一切なくなりました。これはセキュリティ対策だけでなく、日々の業務にとっても大きなメリットです」と小形氏。
  ISMS/BS7799の取得により、営業がお客さまに対してコスト面以外での提案の切り口を持てるようになったのは非常に大きな変化だ、ともおっしゃる小形氏。
イーツ社内でもISMS/BS7799を取得した成果と効果を再認識し、現在は新たにBS15000とISO9001の認証取得プロジェクトが進行中。このプロジェクトでも、jmcはコンサルティング会社として参加しています。
先日開催したjmcのセミナーでも認証取得の経緯をお話いただきました。現実的な生の声が聞けて大変参考になった、と参加者から好評を博しました
先日開催したjmcのセミナーでも認証取得の経緯をお話いただきました。現実的な生の声が聞けて大変参考になった、と参加者から好評を博しました
そのためjmcではプロジェクトのスタート時に詳細なスケジュールを提案。週に1〜2回のミーティングにコンサルタントが参加し、アドバイスを実践していきました。
「セキュリティポリシーを策定していた時、メンバーは“心配事症候群”とでも呼ぶべき状態に陥ってしまいました。これはだいじょうぶなのか、あれは駄目じゃないか、とポイントが無限に増えてしまったのです。そうした点をコンサルタントにチェックしてもらえたのは、非常に助かりました。素人だけでやっていたら膨大な時間がかかってしまったと思います」と小形氏。
  冒頭の小形氏のお話にもあったように、ISMS/BS7799の認証基準を定めた“付属書A”には、要求事項のひとつひとつに対して具体的な指示が記載されているわけではありません。様々なセキュリティリスクに対して、きちんと対策を行うように、という言及があるだけです。具体策は現実性を考えながら各社それぞれで決めていくべきもの。認証だけを取得しても、運用できなければ本当の意味はないのです。

※1 PDCA… 計画(Plan)を実行(Do)し、評価(Check)して改善(Act)に結びつけ、その結果を次の計画に活かすプロセス。

※2 付属書A… ISMS規格の中の詳細管理策。セキュリティ対策の参考例として127項目が挙げられており、リスク評価結果に応じて、該当する詳細管理策を附属書Aから選択し、セキュリティ対策を実現する。


株式会社イーツ
本   社 〒107-0052 東京都港区赤坂2-14-4
U  R  L http://www.i2ts.com/
資 本 金 3億3,584万円
設   立 1999年9月20日
事業内容 MSPサービス(24時間365日運用監視・障害対応サービス)、サーバーハウジング・ホスティングサービス、インターネットおよび携帯電話向け情報配信システムの構築、アプリケーション開発、ネットワークコンサルティング、ドメイン取得代行、運用・アウトソーシング ほか

お問い合わせ

株式会社JMCリスクソリューションズ
〒113-0034 東京都文京区湯島3-26-11 YMビル
TEL:03-6895-8763 FAX:03-6895-8212
JMCリスクソリューションズ お問い合わせ

Page Top