バルクさんは当社の考えている要件を全面的に受け入れてくれました

インタビュー日 : 2016年05月11日

CLIENT’S PROFILE

  • GMOクラウド株式会社 (旧:GMOホスティング&セキュリティ)
  • 東京都渋谷区桜丘町26番1号 セルリアンタワー
  • http://ir.gmocloud.com/

GMOホスティング&セキュリティ株式会社様は、GMOインターネットグループにおいてホスティングを基盤としたセキュリティなど関連サービスを提供している会社です。バルクでは新規取得のときから支援させていただいていますが、今回、初めての更新審査を終え、バルクの担当コンサルタントを交えてこの3年間の振り返りと、今後に向けての展望を語っていただきました。

そもそもISO27001を取得しようとされたきっかけは何でしょうか?

大澤様:当社のビジネスの関係上、セキュリティは切っても切り離せないものでした。また検討を始めた当時、法人のお客様ではセキュリティを気にする方が増えはじめており、ISMSを取得していないと契約できないというような風潮がありました。
私自身は、最初言葉すら知らなかったんですが、会社のためになるならと思って責任者を引き受けましたが、ここまで大変だとは思いませんでした(笑)。

gmocloud001-1

今回更新を終えられたわけですが、3年前と比べて、今一番変わったところはどこですか?

大澤様:新規取得した当初は取ること自体が目的でした。しばらくは事故などもありましたが、だんだん情報セキュリティへの意識も高まってきました。組織的にあまり細かいことや面倒な手続きはなじまない風土があるため、ポイントを絞って徹底するというようなスタイルが当社には合っていたようです。そこにはいろいろなノウハウがあるようですが、3年運用してみて、ようやくそのようなことがわかってきました。
バルクコンサルタント・清水(以下「V清水」):大澤さんからそういう言葉が出てくること自体が一番の変化ですね(笑)。何しろ最初は社内の整理整頓も結構大変でしたから。
丹川様:当初は「やらされている」感が現場にもあったように感じましたが、最近、「こういうことって情報セキュリティ的にはどうなんですか?」と聴きに来る人が多くなりました。

gmocloud001-2

現場的にもずいぶん変わってきたわけですね。

丹川様:規程の場所も知らない人が多かったですが、いまでは規程の中身までかなり浸透してきています。
大澤様:一般スタッフも日ごろパスワードの取扱いとかセキュリティに関する不安を抱えているものですが、最近はISMSがそういう場合のよりどころになりつつあるようです。

gmocloud002

マネジメントシステムを維持していく上で工夫していることはありますか?

V清水:外から見ていて一番すごいと思うのは情報セキュリティ委員会ですね。社員数の比率から見ると非常に多くの方が参加されています。
大澤様:委員は1年ごとに交代し、委員会へは出席必須ということでやっています。
V清水:全体が底上げされてきたという感じがします。
大澤様:トップダウン自体私は好きではないので、委員に主体的に活動してもらうようにしています。上長を叱る権限も与えています(笑)。実際やっているかどうかは別として・・・

教育に関してはいかがですか?

大澤様:年一回全員必須の教育、および新人は入社1週間以内の教育を行なっています。それと毎月1回整理整頓日というのを設けています。
V清水:簡単なようですが、これを地道に続けるというのは大変なことだと思います。

gmocloud003

更新審査はいかがでしたか?

大澤様:予想したより厳しかったですね。従来は規定に沿った記録の確認というイメージが強かったですが、今年は委員1人1人の考えをしっかりチェックされるような感じでハラハラしました。
V清水:今後はISO19011なども参考に、監査の目的と目標を決めて臨むことも必要ですね。効果を上げるためにはそれが絶対に必要です。
大澤様:こういう進め方もあるのかと、自社の内部監査にも参考になりました。

バルクのコンサルティングについて一言。

大澤様:期待したとおりにやっていただきました。コンサルタントを使うことはおそろしさもあると思っていました。何もやってくれないこともあるし、間違ったことを教えられることもありますから。そういう点で、バルクさんは当社の考えている要件を全面的に受け入れてくれました。つまり、アドバイスと、作業と、そしてその説明もしていただいて、費用もリーズナブルでした。今後とも協力をお願いしたいと思います。

今後の維持・更新に向けて考えていることはありますか?

大澤様:規程や記録などの“うわべ”だけでなく、“なぜ?”という疑問に答えられるよう、委員のレベルアップを図りたいと思います。それにより規程も変わっていくものと考えています。
丹川様:全体の底上げ、プラス既存の規程についてもあまり見直しができていないので、代表委員による見直しをして、より当社にフィットしたものにしていきたいと思っています。
V清水:規程から入ると見直しが難しいので、切り口を変えてISOの管理策の解釈という視点で考えるのも良いと思います。
大澤様:情報セキュリティレベルの引き上げ、ということだけではここまで浸透しなかったと思います。ISOのマネジメントシステムということでPDCAやリスクマネジメントなどを行っていくことにより、情報セキュリティ以外の「現場力」も高まったように思えます。業務の上ではとてもメリットが大きいことです。

最後に、インタビュー当日開かれた情報セキュリティ委員会の様子を覗かせていただきました。

■委員会には40名近い委員が出席されていて、リスク対応計画、内部監査のフォロー、ADMIN権限についてなど、様々なテーマについて討議がされ、徹底が図られていました。

バルク清水より
取り組み当初から見させていただいていますが、GMOHS様の委員会は参加人数も多く、毎年参加者の見直しも実施されており、意思統一・意識向上には非常に有効な取り組みを実施されています。
これからの情報セキュリティの更なるステップアップを期待しています。

gmocloud004

ありがとうございました。