企業インタビュー

ISO27001は、認証範囲を自分達で決めることができる。逆を返せば、それは決めなければけいないことが多いということになる。大阪証券取引所では協力会社のスタッフと共に取り組み、約１年という短期間で認証取得に成功した。

協力会社と二人三脚で自分達で構築していったセキュリティシステム

-----具体的にどのような流れで認証が行われたのでしょう?
河野■話がスタートしたのは2006年の6月に有冨常務がシステム本部担当役員になってからです。今後システムをどうしていくかを考え、電算センターのセキュリティを強化しようということになりました。外部からの認証を受けたほうが意識も高まるだろうということで、06年後半からISO27001を取ろうという動きになりました。

小池■ISOを具体的にスタートする前に、物理的に脆弱な部分は強化していこうということで、入り口にゲートを設け、本番の端末はセキュリティのある部屋に移したり、できることをまずスタートさせました。その後、ISMS推進委員会を発足させて認証を取得しようという流れでした。2007年3月にプロジェクト発足させようということになってからISMS推進委員会ができて活動を開始し、認証取得するまで、おおよそ１年かかりました。

DNV ■セキュリティに対してのPDCAのシステムが構築されて、運用が実施されたところで監査をしました。構築の状況と運用されてからの両方を見ます。第一段階（構築状況）が1月。2月に第二段階（運用面）の確認を行いました。

-----何に苦労しましたか?
小池■セキュリティに関しては、今まで体系だてた形になっていませんでした。それを形にして現場の運用にあわせていくのに苦労しました。作業のボリュームもあったし、皆の教育もしながらレベルをあげていかなければなりませんでした。昨年度はそれに加えて内部統制も構築しなければなりませんでした。どれも0 からスタートしたために大変でしたが、我々自身も何をしなければならないのか、規格の根本的なことを考えながらやってきたため、この作業をしてきたことで、やらなければならないことがとても明確になったと思います。

-----監査をしていくうえでアドバイスなどはするんですか？
DNV ■監査ではISMSが認証に値するかを確認していくわけですが、見過ごしやすいところやズレがある部分は、話を聞きながら修正していくということをしました。ISMSといっても一社一社でやっている内容が違います。経営者、リーダーの考えが色濃く反映されていくわけで、そこからどうやって情報セキュリティ体制、ISMSを構築していくかを把握してから監査に望むわけです。

-----他の会社に比べて大証に特徴的な部分はありましたか？
DNV ■有冨常務が言われていたように最初はあまりシステムができていませんでした。そこからシステムが構築されて、今のようにもってこられたわけですが、とても丁寧な取り組みをされていた。今まで抜けていた部分をISMSの考え方に沿って埋めていこうというとしているのが、とてもよく分かった。リスク分析も同じです。何でも荒っぽくやってしまう会社もあるんですが、大証はすべてがとても丁寧でした。

-----実際にやってみて苦労されたことはありますでしょうか?
河野■ISO27001という規格のことをそれまでまったく知らず、この取り組みを通じて理解していったわけですが、どこまでやっていいか分からないことに悩みましたね。各グループのリーダー達と毎晩、業務が終わってから集まって毎日3 時間くらい議論しました。どのレベルまでやればいいのか、どこまでやるべきなのか、というのを決めるのが一番大変でした。うちには協力会社や開発を依頼しているベンダーさん、オペレーターさんがたくさんいらっしゃいます。その人達の扱いをどうしていくか、意識をどうあわせていくかを浸透させるのが大変でした。

DNV ■大変だったと思います。けれど効果は確実にあったようで、外部の検査では、今回の認証取得がかなり大きく影響したと聞いています。

-----他の取引所はどんな状況なのでしよう?
小池■他の取引所も同じ時期に取得しているところもあります。取り組み方法は違うでしょうが、他のところを意識していくのではなく、認証を我々のやり方に照らし合わせていった時に、どういったやり方をするのがいいのか、どこまでやればいいのか、というようなことを考えながら進めていきました。生みの苦しみはありましたが、目標もあったし、達成感もありました。実際に品質も上がったと思います。

-----同じ時期に認証を取ったというのは、何か理由があるんでしようか？
DNV ■要求が強くなってきたんです。セキュリティは、機密性、完全性、可用性なんですが、中でも証券取引所の場合は「可用性」が大事になってくる。セキュリティというと多くは機密性なんですが、会社の業務内容によって重視しなければならない部分が変わってくるんです。ビジネスによっては機密性が重視されることもあるし、可用性が大事な場合もある。

-----その中で何が重要かアドバイスしていくのがDNVの役目なわけですね？
DNV ■ビジネスの観点でどういった点を重視していくかを把握しなければいけませんね。我々はまずレベル感を最初に見ます。3年間でどれくらいを狙うのか、初年度はどのくらいでつくられているのか、そういった部分を見ながらやっていく。もちろん一年目と二年目では見方が異なってきます。初年度の段階としてはビジネスの視点も確認しながら見ていましたが、とても丁寧でした。

-----協力会社の方もいっしょにやられてきたわけですね?
松井■2007年4月からグループのメンバーとして事務局の仕事に従事し、文書、規定などの作成をしてきました。

-----思いおこしてみて印象的なことは何かありましたでしようか?
松井■ここでは実質的なものを求めていました。現場に即した形でやっていこうという方針が最初にあったんですね。責任者の所信表明を汲み取った上で、それをどうやって進めていくかを考え、タイミングを見て文書化していきました。私の会社ではISOの取得をしていたので、その時の経験を生かして、そこに大証なりのやり方を構築していった。書面上ではいくらでも厳しくできますが、やりすぎもいけないし、実際に実現できないと意味がありません。

DNV ■監査していく上で一番評価したのはスケジュール管理でした。プロジェクト全体を一覧できるんです。線を引くとすべてが一目瞭然。今日までに内部監査の是正は終わったか、リスク管理はどこまでやったか、会議はしたか、などということが一目で分かるということに関してはとても評価が高かったんですよ。普通は色々決めてもこれが漏れて、あれが漏れてということが多いんですが、大証さんの仕事はそのあたり、とても統一感をもたれて的確に仕事を進めてらっしゃいました。

-----セキュリティに関しては具体的にどのような取り組みをされたのでしょう？
松井■分かりやすいところでは会議室はペーパーレスで、紙による情報漏えいを防ぐようにしていますね。パソコンもＬAＮケーブルを大元でまとめて制御できるようにもしています。パソコンもただ置いてあるのではなくて申請があった場合のみ使えるようになっています。

小池■形にしていくというのは大変な作業でしたけれど、それが結果として外部の監査にもキチンと使うことができました。

DNV ■今回の認証に関しては、過去に培ってきた書類を活用していましたよね。

小池■そうですね。今までの書類を一度全部整理して、そのうえで何が足りないのか、規格にあわせて仕事をしました。

DNV ■そういう部分でメリハリのあるお仕事されている印象がありました。キチンとするべき部分はやるけれど、活用できる部分は最大活用していた。

小池■グループリーダ（GL）の人達とISMS管理者達が一体になった取り組みができたような気がします。我々がいったいどこを目指せばいいか、何をしていけばいいか、一ヶ月議論したことは後から考えるととても効果があったのではないかと思います。

松井■今回のISMSにおいてするべきことが網羅されているISMS管理手順を作ってGLのレビューを受けて、そこで色々な内容が加わりましたが、そこからでしたね。皆さんには時間外で11 回に分けて時間を分けていただいて議論しまして。そもそも何をしたらいいのを徹底的に話し合った。ISMS管理者とGLとレビューをやったことで共通の認識が生まれてきたんだと思います。そこが一番の山場でしたね。それができたことで言葉も通じるようになったしやりやすくなりました。

DNV ■そこでズレが生じると大変なんです。経営者の概念とズレてきて、うまくいかなくなるというのは、実を言うと良くある話です。その点は見ていて違和感はありませんでしたね。

小池■やりすぎは良くない。そこまでできるのか？というような意見も活発に議論しました。

DNV ■皆が考えているものでも、実際にヒアリングしてみると、大きなズレがあることもあります。大証さんの場合は、そういう部分でも統一感を感じましたよ。

-----そういうところは、監査にも関係してくるものなんですか？
DNV ■しますね。トップはビジネスのベクトルを持っていますよね。それがお客様、外部環境への対応、社内の内部環境に対してどのように結びついているかは、やはり確認します。そこでズレがない。ISOも継続的改善が重要です。どこかで無理をして直していくというよりも常にステップアップしながら良くなっているのだということを確認したい。だから次の定期監査は、そっちの視点で行います。ある部分に着目した時、どのように克服しているかを見せていただきたい。徐々にテーマは絞られてきます。3年間で更新を迎えるわけですから、初回と3年後を比較してみて、足跡を確認していくわけです。