プライバシーマーク・ISMSの取得コンサルを行い、使いやすく有効活用可能なルールにするオプティマ・ソリューションズ

ユビテック様(ISMS、ISO27017クラウドセキュリティ認証取得)

IoT技術を基軸にクラウドを活用したサービスを積極的に展開している株式会社ユビテック。
今後のサービス拡販を見据え、ISO27001(情報セキュリティマネジメントシステム/以下、ISMS)、
ISO27017(以下、クラウドセキュリティ認証)を取得するため、オプティマ・ソリューションズの
コンサルティングをご利用いただき無事に取得することができました。今回は認証取得の背景と
コンサルティングの効果について、業務支援部 部長 江面 祥行氏に詳しく伺いました。

――今回、ISMSとクラウドセキュリティ認証の取得を担った業務支援部の業務についてお聞きかせください。
インフラ基盤の運用・保守や情報せキュリティを担う情報システム部門の役割に加え、サービスや
製品の品質保証、社内の法務的な部分など、業務支援部は多岐に渡る業務があります。今回のISMSと
クラウドセキュリティ認証においては取得から運用まで業務支援部にて担当いたしました。

――ISMSとクラウドセキュリティ認証を取得するに至った背景をお聞かせください。
近年はフィッシングメールやランサムウェア、マルウェアなど、情報漏えい問題に発展する脅威が
増加しており、弊社がクラウド上のSaaSとして展開している以下の3つのサービスに対しても、お客様
からセキュリティ対策の状況信頼性を問う声が聞こえるようになってきました。弊社は、お客様に安心
してご利用いただくためには、自己点検に基づく対応状況の表明だけでなく、第三者機関による客観的
視点から見て、十分なクラウドセキュリティを構築・運用していると認められることが急務と判断しま
した。同時に、社内においてもセキュリティへの意識を高める必要があると考えました。そこで注目し
たのがISMSとクラウドセキュリティ認証です。

ISMSは情報セキュリティの認証として広く認知されていますが、ISMSにアドオンする形のクラウドセ
キュリティ認証を取得しているのは大手企業がほとんどです。弊社が同水準のクラウドセキュリティを
構築・運用できるのか多少の不安はありましたが、これを乗り越えることで、もう一つのクラウドセキ
ュリティ認証であるISO27018(クラウド事業者がクラウド上で取り扱う個人情報の保護規格)取得にも
つなげられる点に着目し、トライする価値があると判断しました。そこで2019年2月、ISMSとクラウド
セキュリティ認証(ISO27017)の取得を目指すことになりました。

●クラウドセキュリティ認証を取得した3つのサービス
(1) Work Mate(クラウド型安全衛生見守り支援サービス)
(2) ROOM CONCIER(クラウド型会議室管理サービス)
(3) CanSee(クラウド型ビデオ会議サービス)

 

――取得にあたってコンサルティング会社の利用は想定されていたのでしょうか。
当初より、2つの理由でコンサルティング会社の利用を考えていました。一つはISO9001(品質マネジメ
ントシステム)とISO14001(環境マネジメントシステム)を運用している部門から「自分たち単独で考
えてやるにはISMSに関するベースがなさすぎる。外部のコンサルティング会社にサポートしてもらうの
が得策」というアドバイスを受けたことです。

もう一つは、認証機関などが主催する取得セミナーを受講したからこその結論です。いくつかの取得セミ
ナーに参加し、取得手順とスケジュールを引くことまでは分かるようになりましたが、それを具体的な
アクションに起こそうとすると途端に分からない。例えば、資産をリスク評価しようとしたときにイメ
ージはできますが、具体的に何をやればいいかが分からなくなるのです。

あれこれ悩むなら、コンサルティング会社の手を借りようと思った次第です。

――コンサルティング会社の選定基準を教えてください。
以下の3つを選定要件としました。

1)運用の自立をサポートしてくれる
認証取得にあたり、単なるコンサルティングサービスだけでは不安があります。ドキュメントの雛形提供
や社員教育のサポート、困ったときにいつでも的確なアドバイスがもらえるのかなど、広範囲に対応して
もらえると助かります。

しかし、ドキュメント作成を含め、何から何までフルサポートというのは求めていません。前述した品質
と環境を運用している部門からの助言によると「全部お任せのフルサポートで取得してしまうと、その後
の運用が身につかない」とのこと。与えられたものを右から左では、自分たちで管理策を決められなくな
りますし、運用を維持していくことができません。そこで、運用の自立をサポートしてくれるコンサルテ
ィング会社を要件としました。

2)短期間での取得をサポートしてくれる
なるべく早くお客様にクラウドセキュリティを構築・運用していることをアピールしたかったこともあり
、1年以内の取得が必須という状況でした。このスピード感で対応していただけるコンサルティング会社を
求めました。

3)低コスト
やはりコストは重要です。同等のサービスであれば、なるべく低コストでサポートしていただけるコンサ
ルティング会社を選択しようと思いました。

――オプティマ・ソリューションズを選定した理由をお聞かせください。
ネット検索や過去にお付き合いがあったところ、紹介などにより、4社のコンサルティング会社をピック
アップしました。比較・検討した結果、1~3を満たしていたのがオプティマ・ソリューションズでした。

オプティマ・ソリューションズはサポート範囲が広く、取得後の運用の自立サポートも行ってくれるとのこと。
取得することが目的ではなく、社内に浸透させることを目的にしているオプティマ・ソリューションズの考
え方は弊社としても同意見でした。

取得のスピード感については、1年半という長期スケジュールを提案するコンサルティング会社もあるなか、
オプティマ・ソリューションズからは「1年以内に取得できる」とうれしい言葉をいただきました。さらに
他のコンサルティング会社と比較しても十分安価なご提案をいただいたので、オプティマ・ソリューション
ズにコンサルティングを依頼することにしました。

――無事に取得できたわけですが、オプティマ・ソリューションズをどのように評価していますか。
まず、オプティマ・ソリューションズのサポートがなかったら、今も取得できていなかったかもしれません。例えるなら、地図を持たないでゴールに向かう感じですね。しかし、オプティマ・ソリューションズという船に乗り、雛形という地図をいただいてナビゲーターである担当コンサルタントのアドバイスやサポートを受けることで無駄な寄り道をせず、無事、ISMSとクラウドセキュリティ認証の取得というゴールにたどり着くことができました。

とくに今回は、以下の点においてオプティマ・ソリューションズを高く評価しています。

<スケジュール通り10カ月で取得>
2019年4月末、オプティマ・ソリューションズと一緒に取得に向けた活動をスタートさせました。
当初10カ月で取得するスケジュールを組みましたが、実際は1年かけて取得できれば合格ラインだと
考えていました。

いざ始めてみると思いのほかスケジュール通りに進み、8カ月後には審査機関の審査を受け、予定通り10カ月で
認証を取得することができました。もちろん、オプティマ・ソリューションズのコンサルティングのもと、
弊社も全力で頑張りました。ですから、取得できたときは大きな安堵感と達成感がありましたね。とくに
ドキュメント作成で実際に手を動かしてくれた部下の頑張りには、オプティマ・ソリューションズと同様に
感謝をしています。

<的確なアドバイス>
オプティマ・ソリューションズの担当コンサルタントの大塚さんには、前半は月2回、後半は月1回のペースで弊社にお越しいただき、Face to Faceのコンサルティングを実施していただきました。また電話やメールなど、いつでも相談できる体制を提供していただきました。

我々が心強かったのは、一つひとつの迷いに対し、その場ではっきりと的確に答えてくれたことです。管理策のドキュメントを作成していく過程では、やはり規格の解釈に悩むところがあるんですね。例えば、規格の内容を素直に読んでしまうと、すごくハイレベルな要求と受け取れる部分があって、弊社では実現が難しいと思うことが多々ありました。その際、このレベルでの管理策はどうかと大塚さんに相談し、「大丈夫です」と心強い答えが返ってくると、我々も非常に安心することができました。

もちろん「このレベルまで定めてもらわないと規格を満たせません」というようなアドバイスをいただいた際には、我々と一緒に弊社に適合するレベルを思案していただきました。こうしたサポートのおかげで迷走することなく、最短で取得することができたと感じています。

――取得後、社内のセキュリティ水準は向上したのでしょうか。
社内を見ていると、ちょっとした会話などのコミュニケーションでセキュリティの言動が表に出てくるところがあるので、私も含め社員全体がセキュリティを意識するようになったと感じています。そういう意味では、セキュリティ水準はアップしたと思いますね。

もちろん、運用期間が短いため、まだまだこれからという面はあります。今後は内部監査や定期的なチェックが入っていくので、さらにセキュリティの意識は根付いていくと考えています。

――運用の自立はできていますか。
PDCAを回す仕組みのベース部分を担当コンサルタントにつくっていただいたおかげで、かなり自分たちだけで運用できていると思っています。何かあったときには、いつでも担当コンサルタントのサポートを受けられるのも心強いですね。

――今後の展開とオプティマ・ソリューションズに対する期待をお聞かせください。
まずは、ISMSとクラウドセキュリティ認証をしっかり運用していくことが大事だと考えています。そうすれば、自ずとISO27018にも着手できるでしょう。

引き続き、オプティマ・ソリューションズには更新や新たな規格を取得する際のサポートをお願いすることになると思います。今後も変わらない支援をよろしくお願いします。

株式会社ユビテック様/プロフィール
1977年11月設立。オフィスコンピューター開発のベンチャー企業としてソフトとハードの両面から時代をリードする技術革新を提供。1980年代はコークス炉カメラに代表される製品やATMなどのセンサーモジュール開発に取り組み、2002年以降は通信・ネットワークの技術領域に進出。2007年以降はテレマティクスサービスを核に、デバイス、センシング、ネットワーク、ソフトウェアなどのIoT技術要素を培い、さまざまな分野に向けたソリューションを提供。近年はデータ分析におけるAI技術を習得し、独自の解析エンジンの開発も展開。サスティナブルな企業経営に寄与し、新たな社会基盤の構築にインパクトを与える企業へと成長し続けている。

所在地 〒106-0047 東京都港区南麻布3-20-1 Daiwa麻布テラス3F
従業員数 81名(単体50名)(2020年6月30日現在)
主な事業内容 IoTソリューションの開発・提供、電子機器の設計、製造、品質保証、
ソフトウェアの設計、開発、保守、クラウドサービスの提供、組み込みシステムのセキュリティに関する
コンサルティング
URL https://www.ubiteq.co.jp/

  • 東京都港区西新橋1-18-6
    クロスオフィス内幸町5階
  • 大阪市北区梅田1-11-4-923
    大阪駅前第4ビル9階
  • 愛知県名古屋市中区
    栄5丁目26-39 GS栄ビル3階
  • メール問い合わせ
  • Pマーク
  • ISMS