このページの本文へ移動

SaaS型アプリケーションでISO27001認証の取得/維持活動を支援し、現場の機動力をそのままに、コストを抑えた情報セキュリティマネジメントシステム(ISMS)を実現

株式会社メディアフォース様受付の写真

株式会社メディアフォース様 導入事例


多数のお客様企業にシステムインテグレーションを提供する株式会社メディアフォース様は、高度な情報セキュリティ管理体制の構築とその客観的評価を得るため、情報セキュリティマネジメントの国際規格であるISO27001認証取得を目指した。
専門コンサルティングファームの力を借りて活動を開始したが、膨大な文書化作業や規格を意識し過ぎた過度のルール作りなどに疑問を持ち、ISO27001認証取得に係る作業を一時中断。作業プロセスの検証を行った。
再開にあたって体制を一新し、富士通のSaaS型統合マネジメント支援サービス (以下、IMS-S)と富士通グループ会社である(株)富士通ソーシアルサイエンスラボラトリ(以下、富士通SSL)のコンサルティングサービスを利用することにより、約8カ月間でスムーズにISO27001認証取得を実現。今後、個人情報保護マネジメントシステム(以下、PMS)と情報セキュリティマネジメントシステム(以下、ISMS)の統合運用環境の整備も目指す。

[ 2012年11月12日掲載 ]

種別 SaaSを採用しています PaaSを採用していません IaaSを採用していません DaaSを採用していません NetWorkを採用していません プライベートクラウドを採用していません
サービス 統合マネジメント支援サービス(IMS-S)(注)
選んだ理由 コストを抑えたISMS構築・運用ができる。また、顧客先常駐の社員が、いつでもアクセスできるのも魅力
採用のポイント 社会の変化に合わせた迅速なリスク認識・評価項目が自動的に追加され、適切なリスク対応ができる
業種 システムインテグレーター

(注)Integrated Management system Support - Service

株式会社メディアフォース 取締役COO 兼事業統括本部本部長 加藤 健吾 氏
「情報セキュリティの高度化と生産性を左右する機動力確保はトレードオフの関係です。必要以上のセキュリティガードなどで運用が形骸化し、逆にセキュリティホールをつくってしまうのではないかと思われる管理システムが多い中で、『IMS-S』はバランスがとれていて、効率的な運用が期待できました」

【課題と効果】
1 ISMS構築・運用のための手間とコストを抑えたい SaaSアプリケーションを利用することで、効率的な運用とコスト低減に目処をつけた。また、外部からのリモート審査にも対応しているため、認証審査費用の節約にもなった。また、プライバシーマーク活動との統合ができることもメリットとして大きい
2 お客様先に常駐する多数の社員にISMSを認識させ、理解と対応スキルを向上させたい SaaSアプリケーションを利用し、必要な時にどこからでもインターネット経由でISMSに関する周知や教育(試験受験)、必要な文書の閲覧が可能。社内外の場所を問わず、社内と同様に効率的な対応をとれる環境が整備できた
3 常に変化する情報セキュリティの脆弱性や新たな脅威に、迅速に対応するリスク管理体制を整えたい 社会の変化に応じてベンダー側でリスク評価項目が追加・変更されるSaaSアプリケーションを利用し、変化に対して柔軟かつ迅速に対応するリスク管理体制を構築できた

入力フォーム 本事例に関するお問い合わせ

導入の背景

高度な情報セキュリティ管理体制構築を目指しPマーク、ISO27001認証の同時取得を目指す

株式会社メディアフォース様は、独立系SIerとして1985年に設立。Webシステム、汎用系システムの業務アプリケーションの設計・開発から運用保守、インフラ構築に至るまでトータルに手がけ、大手の都市銀行や流通業界をはじめ、幅広い分野にシステムインテグレーションサービスを提供しています。
近年、同社が力を入れてきたのが高度な情報セキュリティ管理体制の構築。お客様の重要なデータを扱うSIerは、情報保護の面におけるお客様の社会的信頼性を担っているともいえます。2007年、同社は高度な情報セキュリティを担保するために、プライバシーマーク(以下、Pマーク)とISO27001の認証取得を目標に据えました。

Pマークは取得するもISO27001認証取得準備では迷走

株式会社 メディアフォース 取締役COO 兼 事業統括本部本部長 加藤 健吾 氏の写真
加藤 健吾
株式会社 メディアフォース
取締役COO 兼 事業統括本部本部長

同社はPマークおよびISO27001認証取得の準備をセットで進めることを決定。その理由について同社取締役COO兼事業統括本部本部長の加藤健吾氏はこう語っています。「Pマークを含めたPMSそしてISMSも、インシデント管理や規定文書の管理など共通するプロセスが多いので、認証取得の準備、取得後の運用もセットで進め、工数やコストを抑えたいとの考えでした」。

専門コンサルティングファームのサポートを受けて認証取得準備を進めた同社は、2008年にPマークの認証を取得。しかしISO27001認証取得への道は、Pマーク認証取得のようにスムーズに運ばなかったといいます。加藤氏はこう述べています。「Pマークは定められた規則に対応していけば良いのに対し、ISO27001は当社の業務特性に合わせた情報セキュリティの方針を当社自身で決め、PDCAサイクルを通じて運用し継続的に改善を図るもので、企業ごとにマネジメントの性質が異なるのです。にもかかわらずPマークと同じ要領で準備を進めたため、当社の業務特性に合わせるべき部分で乖離が生じ、結局、ISO27001認証取得に係る作業を一時中断せざるを得ませんでした」。

また、コンサルティングファームが準備したISMS運用ツールにも課題があったといいます。同社業務管理本部総務人事グループ マネージャの佐藤邦彦氏はこう語っています。「例えばリスク管理では、Excelのテンプレートが用意されていたのですが、新たな脅威や脆弱性、法制度の変更などへの対応が発生した場合、すべてが手作業ゆえにその作業負荷が想定以上に高まるのではとの懸念がありました」。

導入のポイントとシステムの概要

立ち止まった経験から見えてきた4つのポイント

同社は再度ISO27001認証取得を目指すために自社の特性にあったISMSを構築することにし、支援ツールの選定に取りかかりました。検討に際しては、過去の作業を振り返り、重視すべき点を4つにまとめ、その上に立った評価がなされました。第1として、セキュリティを強固にすることで機動力が低下しないこと。SIerとして多くのSEをお客様企業に常駐させている同社の場合、現場の機動力が重視されます。必要以上のリスク対応は現場の機動力低下を招き、ISMS運用が逆に事業リスクとなってしまいます。そして第2が、構築・運用コストの最小化。それまでのコンサルティングに多大な投資をしていることもあり、ISMSの構築・運用コストはできる限り抑える必要がありました。第3のポイントはお客様企業に常駐する社員に対して常に教育を行い、ISMSを理解させ、必要な対応のスキルを向上できること。そして第4として、社会の変化に合わせてリスクを認識・評価し、迅速に適切なリスク対応ができることが評価ポイントとなりました。

セキュリティの高度化と機動性確保の良好なバランスを評価

株式会社メディアフォース 業務管理本部 総務人事グループ マネージャ 佐藤 邦彦 氏の写真
佐藤 邦彦
株式会社メディアフォース
業務管理本部 総務人事グループ マネージャ

これらの観点から複数の支援ツールを評価・検討した結果、同社は富士通のSaaS型統合マネジメント支援サービス「IMS-S」の利用を決定。SaaS型のメリットである「(1)お客様企業に常駐する社員がいつでもインターネットからアクセスできる」「(2)利用者数に応じた料金を支払う価格体系」「(3)周知・教育(試験)が社内外の場所を問わず同様に実施できる」「(4)リスク評価項目が自動的に追加され社会変化に応じた迅速なリスク対応が可能となる」などの点が評価されたのです。その上で加藤氏はこう述べています。「セキュリティの高度化と機動力確保はトレードオフの関係です。必要以上のセキュリティガードを行った場合、結局は運用が形骸化し、やがて必要な手続きなどが行われなくなり、逆にセキュリティホールをつくってしまうのではないか。そう思われる支援ツールが多い中で、富士通の『IMS-S』はバランスがとれていて、効率的な運用が期待できました」。

また、佐藤氏はこう語っています。「『IMS-S』のコンセプト、PMSとISMSの両マネジメントシステムの共通部分を統合し、経営の仕組みの一つとして運用できるという点に強く引かれました。両者はマネジメントの性質を異にしますが、PMSとISMSを統合して管理することで運用コストなどを効率化できないかと悩み続けていた当社にとって、まさにうってつけだったのです。画面も印象的でした。ISMSで求められる運用に沿った形で機能が整理されており、ISMS全体を見渡せるものになっていました」。

統合マネジメント支援サービス(IMS-S)の操作画面の一例(トップページ)
統合マネジメント支援サービス(IMS-S)の操作画面の一例(トップページ)

導入効果と今後の展開

リスク管理対象を絞り込むことで各実施フェーズへとスムーズに進んだ

2012年5月、同社は富士通SSLのISO27001認証取得支援コンサルティングと同時に「IMS-S」の運用を開始し、同年9月、ISO27001認証を取得することができました。順調な認証取得の運びを振り返り、佐藤氏はこう語っています。「コンサルティングのスタートにあたり、当社にとってのリスクとは何かについて経営陣と徹底的に話し合う時間を設けていただき、管理すべきリスクを見定め、絞り込みました。結果的に何千件もの情報資産のリスクをチェックするといった非効率的な作業に陥ることなく、その後の基本対策フェーズ、リスク分析フェーズ、運用、審査へと進むことができました」。

ツールを利用しながらISMSの理解が深まった

「IMS-S」の運用で得られた効果として、佐藤氏は次の点を挙げています。「導入理由となった課金方式、お客様企業常駐社員のアクセシビリティの良さなど運用後すぐに実感できました。また、SaaSアプリケーションを活用し、外部審査機関がリモートで審査できるため、従来型の審査と比べ、文書の印刷、審査準備工数や審査コストを抑えられる点も大きなメリットです。情報資産の洗い出しから評価、分析、リスク対応などに要していた作業は半分以下に軽減したと思います」。加えて「IMS-S」利用の最大の成果は、利用するにつれISMSの理解度が深まり、同社の業務特性に合ったISMS運用へとブラッシュアップされていくところにあるといいます。「『IMS-S』が使いやすい理由は、現場の担当者も管理者もそれぞれのトップページのto doにしたがい、必要な機能を用いて対策を実施していけば良いという直感的な仕組みにあります。さらに優れているのは、ISMSの運用において重要なポイントが整理されており、ISMSの運用が定着するような工夫がされている点。そして重要ポイントをしっかり理解するためにコンサルティングサービスが用意されているところです。豊富なノウハウを持ったコンサルティングによって、認証取得がスムーズに行えたと思っています。結果的に社員各自が自社に合ったISMSのあり方を考える環境が整いました」(佐藤氏)。

さらに加藤氏は、今後の展開についてこう語っています。「先にPマークを取得していますから、次はいよいよ『IMS-S』上でISMSとの統合です。さらなるコスト削減とセキュリティ強化を目指していこうと考えています」。
富士通は、認証規格に関するマネジメント活動を、クラウド技術を活用し、力強く支えてまいります。

一般財団法人 日本品質保証機構(JQA)様メッセージ

IMS-Sを用い構築したマネジメントシステムに対し、弊社にて審査を実施させていただきました。ISO27001の要求事項に合致していることと、実運用が確実に行われていることを審査を通して確認し、無事に認証登録となりました。ネットワークを介して、最新の規程や手順書を随時入手できるリモート審査の活用は、スムーズに審査を行うこともでき、本サービスの特長といえます。日々革新される情報技術へ対応するためにも、ISO27001を導入し、社内のセキュリティ体制を強化することを、お薦めいたします。

【株式会社メディアフォース 様 概要】
所在地 〒161-0033
東京都新宿区下落合2丁目3-18 SKビル5階
代表者 代表取締役社長 兼 CEO   藤井 均
設立 1985年5月
事業内容 業務アプリケーションの設計・開発をはじめとするシステム構築・運営のトータルサポート。システムインテグレーションサービス
従業員数 124名(2012年7月1日現在)
ホームページ 株式会社メディアフォースホームページ新規ウィンドウが開きます

【ご紹介したサービス】

【導入事例(PDF版)】

本事例に関するお問い合わせ

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)

本事例中に記載の肩書きや数値、固有名詞等は掲載日現在のものであり、このページの閲覧時には変更されている可能性があることをご了承ください。