ユナイトピーシズがSecureNaviを採用した理由
ゆなぴー
今回は、ISMSの構築・運用のために、当社が ISMS/Pマークオートメーションツール「SecureNavi」 を採用した経緯と理由について、ご紹介いたします。
これからISMSやPマークを取得したいと考えている方や、すでにISMSやPマークを取得しているものの運用の煩雑さに困っている方、などのご参考になれば幸いです。
「情報セキュリティに強い会社にしたい!」
設立当初から、「情報セキュリティに強い会社にしたい!」 と考えていました。
というのも、IT企業として情報システムを取り扱う立場上、「情報セキュリティの重要性」を強く認識していましたし、お取引先の大手企業では、年々、情報セキュリティ対策が強化されていることを実感していました。
一方、中小企業では、大手企業の情報セキュリティレベルには追いついておらず、実態調査データによると、大企業では情報セキュリティ対策に多くの費用や人的リソースを割いているものの、中小企業では十分に対策を取れていない、といった結果が見られます。
この先、中小企業にも大企業並みの情報セキュリティ対策が必要となることが予測され、当社はそのお手伝いをしていきたい。そのためには、当社自身が 「情報セキュリティ関連認証をきちんと運用する会社」 になる必要があると考えました。
そこで、まずは情報セキュリティに関する認証取得に向けた調査を始めることにしました。
ISMS? Pマーク?
ISMS(情報セキュリティマネジメントシステム)とPマーク(プライバシーマーク)は、どちらも情報セキュリティに関する認証ですが、適用範囲に違いがあります。
| 認証 | 適用範囲 |
|---|---|
| ISMS | 組織全体の情報セキュリティマネジメントを対象とし、リスク管理や継続的な改善を重視します。 ISMSは、情報資産全般の保護を目的とし、組織全体でのセキュリティ対策を体系的に管理します。 |
| Pマーク | 個人情報の保護に特化しており、個人情報の適切な取り扱いを証明するものです。 Pマークは、個人情報の収集、利用、提供、管理に関する基準を満たすことを求められます。 |
✅ 個人情報だけでなく、情報資産全般の管理・運用を行いたい、という観点から、当社は「ISMS認証」の取得を目指すこととしました。
ISMSの構築・運用で求めるもの
ISMSを構築・認証取得し、運用していくうえで、以下の2点は絶対に実現したい、と考えていました。
① ISMS構築・認証取得時:「外部に丸投げはせず自社でしっかりと理解しながら進めたい」
せっかくISMS認証を取得するのであれば、自社でしっかりと理解・判断しながら進め、実際の業務に即した情報セキュリティ対策の仕組みを構築したい。
② ISMS運用時:「絶対に形骸化させたくない」
形だけの運用ではなく、本当に効果的な情報セキュリティ対策への取り組みを実施し、継続的な改善を図っていきたい。
✅ 認証取得・運用時の社内体制の決定や、外部の専門家による支援先の選定などの際の判断基準となるため、「認証取得や運用時に実現したいこと」を事前に決めておくことをお勧めいたします。
当初から、ISMS認証の取得をすべて自力で進めることは難しいと考えていました。そこで、外部の専門家による支援を受けることを前提に調査を開始し、大きく2つのタイプの支援を受けられることがわかりました。
| 目的 | サービス内容 | 特徴 | |
|---|---|---|---|
| ISMS コンサル | ISMSの構築や運用をサポートすること。 | ・ISMSの導入計画の策定 ・リスクアセスメントの実施 ・内部監査の支援 ・改善策の提案 ・トレーニングや教育の実施 | 組織が自力でISMSを構築・運用できるようにするためのアドバイスやサポートを提供。 コンサルタントは専門知識を活かして、組織のニーズに合わせたカスタマイズされた支援を行う。 |
| ISMS 認証代行 | ISMS認証の取得プロセスを代行すること。 | ・必要な書類の作成 ・認証機関との調整 ・認証審査の準備と対応 | 組織が直接関与することなく、認証取得に必要な手続きを代行。 時間やリソースの節約が可能だが、組織内でのセキュリティ意識の向上や内部能力の強化には限界がある。 |
どちらも、当社が「ISMSの構築・運用で求めるもの」を満たすことができるのか?、という疑問を抱いていました…
そんな中、ISMS/Pマークオートメーションツール『SecureNavi』 の存在を知ることとなります。
- 「自社に最適かつ形骸化しない情報セキュリティ体制の構築を実現」
- 「Excel・Wordの雛形を利用した運用や管理の煩雑さから解放」
- 「効率的な認証取得・形骸化しない認証維持が実現」
など、非常に魅力的なサービスのようです。そこで、早速、SecureNavi社に問い合わせを行いました。
SecureNaviは、情報セキュリティ管理の効率化を目的としたクラウドサービスで、最小工数で認証を取得でき、オンラインチャットや定期オンラインミーティングによるサポートも充実している、導入実績も増加を続けている、とのこと。デモにより実際のユーザーインターフェースを見せていただき、トライアル環境の利用などを重ね、非常に使い勝手のよいサービスであると感じました。
✅ SecureNavi は、自社で理解しながらISMSを構築でき、形骸化しない運用を実現できる、まさに当社が「ISMSの構築・運用で求めるもの」を十分に満たすことが期待できるサービスであると実感し、採用することとしました。
※ISMS構築・運用にかかる外部の支援について、主な項目を比較表にまとめましたので、ご参考にしてください。
| 比較項目 | SecureNavi | ISMS認証 コンサル | ISMS認証代行 |
|---|---|---|---|
| 工数削減 | ○ 文書ファイル ゼロで 工数削減 | △ 大量の Excel・Word 文書作成 | ◎ 文書作成 まで対応 してくれる |
| 効率的な 運用 | ◎ Automation ツールによる 効率運用 | ○ Excelや Wordでの ISMS運用 | △ 実態に沿わない 文書が存在し 運用が難しい |
| サポート | ◎ ツールと コンサルの 両面でサポート | ○ 担当者に よって 質がまちまち | ○ 担当者に よって 質がまちまち |
| ノウハウ | ◎ 属人化せず 自社でISMSを 構築・運用 | ○ 文書管理が 負担となり 形骸化しやすい | △ 丸投げとなり 内容を 把握できない |
次回は、「SecureNaviを活用して感じたメリット」について、具体的にご紹介いたします。
SecureNaviの公式サイトはこちら
SecureNavi株式会社は、情報セキュリティ認証や規制、ガイドラインへの準拠、社内の情報セキュリティ規程の整備・運用、監査や審査などの「文系のセキュリティ」領域をDX・高度化するソリューションを提供しています。
「SecureNavi」の詳細については、公式サイトをご覧ください。
SecureNavi|ISMS認証も、Pマークも、 カンタンに。
SecureNaviは、今まで煩雑な作業の多かったISMS認証やPマークにおける取り組みを効率化し、組織の情報セキュリティレベルを向上させるクラウドサービスです。
本件に関するお問い合わせは以下のリンクから。
お問い合わせ
ご依頼及び業務内容へのご質問などお気軽にお問い合わせください
