Next Success

株式会社オウケイウェイヴは、あらゆる質問のやり取りができるQ＆Aサイト「OKWave」を運営するとともに、そのノウハウを応用したビジネス向けのASPサービスも提供している。情報セキュリティに対するリスクの意識も高く、2007年6月に情報セキュリティマネジメントシステムの国際規格であるISO/IEC27001認証を取得した。

お客様に情報を開示する基準が明確になり、
セキュリティ意識を統一できた。
副社長　福田 匡成 氏 ※

-はじめに、情報セキュリティマネジメントシステム(ISO/IEC27001)の認証取得に取り組むきっかけについてお聞きかせください。

大きく2つの理由があります。ひとつは個人情報保護法等、情報セキュリティに対する社員の意識向上です。もうひとつは、企業様に安心して当社で提供しているASPサービスをご利用いただくためです。ISOの認証取得は、企業様がWebのネットワークを使ったサービスを利用する際のセキュリティチェックにも相当すると思います。

-認証を取得する中で、最も重要視した課題は何でしたか。

企業活動の本質でもありますが、事業継続性に関わる部分ですね。現在、多数のクライアント様と仕事をしておりますが、クライアント様それぞれで情報のセキュリティに対する意識はバラバラなのです。信頼いただくためにも、ある程度、情報を開示しなくてはならないケースがありますが、厳しい会社とそうでない会社があるため、セキュリティを確保しつつ、どこまで私たちの持っている情報を開示するのか。その判断は重要な課題でした。極端な例ですが、事業を継続させるためには、データセンターの場所や、データベースの構造を教えることができません。
このようなルールを私たちが独自に決定することは可能ですが、クライアント様へ開示できない情報について明確な説明をするためにも、認証という第三者の判断が欲しかったのです。

-情報を開示することで得られる信頼と生まれるリスクのバランスを考えることでもありますね。

そうですね。ですから単に情報を知られたくないというわけではなく、情報を知られることが、他のクライアント様に多大な迷惑をかける危険性を持っているため、制限するルールが必要でした。オウケイウェイヴがASPというサービスを提供している以上、ISOが信頼と事業継続性を高めていくための大切な基準になっていると考えています。

-認証を取得、維持するために、社内でさまざまなチェックが必要かと思います。社員全体に周知し、実行する方法としてどのようなものがありますか。

教育とPDCAを実践するとともに、「セキュリティ向上室」というタスクフォースを組織しています。「セキュリティ向上室」はセキュリティ対策や処理を審議、検討するチームです。ISOに関する教育カリキュラムの承認や、文書を追加をはじめ、ISOの規定以外でもセキュリティに関することはすべてここで行っています。

-審査機関にDNVを選んだのは、どのような理由からですか。

実績のある審査機関であることと、審査員の熱意ですね。構築時のアドバイスでは、フレームワークになる本質的な部分をわかりやすく説明いただき、あくまで私たちが主体になって構築できるスタイルにしてもらえたので作業もやりやすかったですね。外部コンサルタントを雇う必要もありませんでした。構築時の役割分担を広く細かく割り振ったので、作業する個々人の負担もそれほど重くはならなかったと思います。

セキュリティの向上について、社内全体で
話し合う機会を持とうする意識が増えました。
開発本部 本部長　加藤 義憲 氏

-認証取得準備をするメンバーになって感じたことをお聞かせください。

最初の頃は本当に認証を取得できるのか正直不安でした。セキュリティに関する認証があるのは知っていましたが、ISOという名前は担当が決まってはじめて知りましたし、ISOの規定を読んでも、「これは何のことを言っているのか？」とわからないことも少なからずありましたから。ただ、DNV様の審査員の方とのやり取りや、自分で本を読みながら勉強していく中で理解も進み、自社にあったISOの形になってくる実感が徐々にでてくるにつれて、会社全体のセキュリティがよりよくしていきたいという、希望が出てきました。

-何名で認証の取得準備に取り組んだのですか。

中心になって動いたメンバーは3人でしたが、適宜必要な文書の作成や、ルールをどのように指標にしていくのかについては、各部署の人間も加わって行いました。作業は通常の業務と並行して行っていましたね。

-通常業務と取得準備の作業を両立するには、会議のスケジュール合わせなど工夫する必要があったのではないですか。

ISOのルールを決めるときは、通常業務の中で同時並行させるというより、長めの時間を取って、集中的に話し合いの場を持つようにしました。基本的な取得までのスケジュールの中で、行わなければならないタスク、決めなければならない事項をピックアップしておいたので、会議をスムーズに進めることができたと思います。

-ISOの導入に伴い、今までと大きく変えたルール、作業フロー等はありますか。

これまで弊社は、ベンチャー企業ということもあり、個人が自由に決めていたことを、誰が、何を決められるかというところから話合って決めました。また、成長に合わせて常に最適な組織、フローということを考えていかなければならないので、このことは常に状況の変化に合わせて変えていかなければならないと認識しています。

-オウケイウェイブ様では、FAQシステムを中心にASPサービスのシステムを提供なさっていますが、ASPサービスで要求されているセキュリティ（サーバ等）について、どのような対策を配慮するようにしていますか。

アプリケーション面については、開発者が脆弱性を埋め込む可能性を減らすために、共通ライブラリ等を利用して、脆弱性の発生する部分を隔離しています。

-情報セキュリティは、そのリスク対策の効果を目に見える形にするのが難しいものですが、マネジメントシステムを維持管理するための効果測定や評価はどのように行っていますか。

具体的な例を言えば、社員にセキュリティカードを付けるよう規程に定めているのですが、付け忘れを1度しただけで情報セキュリティが適切に管理されていないということになるのかなど、効果の測定や、評価方法については色々な事象について議論をしながら策定をしましたが、重要なことは、弊社で保有する情報資産を守るために少し厳しいくらいのスタンスで効果測定や、評価をしています。わかりやすくするために、できるだけ数値に置き換えるようにして、数値に置き換えにくいところに関しては内部監査で実際にヒアリングをする中で監査項目を適切なものにしていくよう、努力しています。

-認証の取得後、情報セキュリティのリスク管理に対する社内の意識は、どう変わりましたか。

ルールができたことによってどうしなければならないかを一人一人の社員が個々の問題として捉えていた傾向がありましたが、一人一人の社員が会社全体としてどのようにしたらセキュリティを向上させていけるかについて話し合いの場を持つようになるなど、着実に社員の意識は変わりました。