ISO NEXT
日揮ホールディングス株式会社 サステナビリティ協創部 新事業DXグループ 部長補佐 チーフエンジニア(DX/ICT) 長谷川 順一氏、同グループ データストラジスト 倉田 浩二郎氏に、ISO27001(情報セキュリティマネジメントシステム:ISMS)とアドオン認証のISO27017(クラウドサービスセキュリティ)の取得にあたってスリーエーコンサルティングのコンサルティングを利用した経緯とその評価について詳しく伺いました。
顧客の事業活動を支える各種プラント・施設の設計・建設に携わる総合エンジニアリング会社。施設・設備計画の初期段階から携わり、プラント完工後もO&M(Operation and Maintenance:運転・保守)に関わるサービスを提供することで、ライフサイクルを通して顧客の事業価値向上に貢献。プロジェクト遂行実績は世界80か国2万件以上におよぶ。
日本の石油会社ほか、オイルメジャーや産油国国営石油会社など、世界各地域の顧客から世界最高水準のパフォーマンスを評価されている。このほか、触媒、ファインケミカル、ファインセラミックスの三つの分野を中心とした機能材製造事業、エネルギー・環境コンサルティング事業なども展開。
資本金:236億7,278万円(2022年3月31日現在)、従業員数(連結):7,275名(2022年3月31日現在)
ISMSを取得することになった背景をお聞かせください。
我々が開発したCoreSafetyというSaaSのアプリケーションをお客様に安心してご利用いただくため、ISMSの認証が必要になりました。CoreSafetyとは、プラントを可視化するためのアプリケーションです。
これまでの一般的なプラントは、経過時間や稼働時間などを考慮し定期的にメンテナンスを行っていくスタイルですが、CoreSafetyを導入すればメンテナンスや部品交換のタイミングなどをリスクに応じて適切に考察することができます。
CoreSafetyを利用されるお客様はプラントを所有する大手企業が多く、CoreSafetyを利用する契約書を作成する段階で情報セキュリティの話が出てきます。ISMS取得の有無を問うチェックリストに記入しなければならないシーンもあるため、ISMSを取得する運びとなりました。
御社はすでにISMSをはじめ、数々認証を取得されていると伺っています。
おっしゃり通り、2006年にISMS、その前には1993年にISO9001(品質マネジメントシステム)、2003年にISO14001(環境マネジメントシステム)の認証を取得。また、2017年には石油、石油化学、天然ガス業界向けの要求事項を加えた品質マネジメントシステム規格、ISO/TS29001も取得しています。
しかし、これらはすべてコア事業であるプラントエンジニアリングに関わる認証です。ISMSもEPC(Engineering:設計、Procurement:調達、Construction:建設)の事業に関わる情報基盤ということで取得しています。ですから、今回のCoreSafetyには適用外ということになります。
では、あらためて部門の概要をお聞かせください。
新事業DXグループは、2020年8月に新設されたばかりの部門です。持続可能な社会の発展に寄与する新しい事業を考えるサステナビリティ協創部に属するグループで、ITを駆使しながら脱炭素につながる新規事業を生み出すのが我々のミッションとなります。
ITが主戦場となりますから、社内外に情報セキュリティへの取り組みをしっかりと示すためにも、ISMSの取得は必須でした。
取得にあたり、どのようなことから始めたられたのでしょうか。
2021年4月からISMS取得の検討を始めました。とはいえ、何も体制が整っていない状況でしたから、「どうすれば取得できるのか」「どんな準備が必要か」「どれぐらいの費用が必要か」など、初歩的なところから調査しました。
コンサルティング会社を入れる予定はありましたか。
調査の過程でコンサルティング会社の存在を知りました。我々の部門は、発足してわずか一年足らずでリソース不足を痛感していましたから、コンサルティング会社の存在は有り難いと思いました。そこでたどり着いたのがスリーエーコンサルティングでした。
コンサルティング会社の比較・検討はされましたか。
比較・検討はあまりしていません。比較・検討で時間を消費するよりも早く先に進めたかったというのが本音ですが、スリーエーコンサルティングのサービスは当社が求める要件をクリアしていたのも事実です。具体的には以下の通りです。
<リーズナブルな費用>
最初に伺ったのは費用です。リーズナブルな価格でしたから、予定していた次年度予算に計上しやすいと思いました。
<安心の実績>
「お客様の工数を限りなく『ゼロ』に近づけます!」というキャッチフレーズに惹かれました。しかも、取得も更新も実績豊富ということで「任せられる」と思いました。
<ISO27017をサポート>
CoreSafetyはSaaSのアプリケーションですから、ISMSに加えてISMSを補完するアドオン認証、ISO27017(クラウドサービスセキュリティ)も取得しようと考えていました。ISMSとクラウドサービスセキュリティの両方に対応するコンサルティング会社となると、そう多くはありませんでした。もちろん、スリーエーコンサルティングは両方に対応していました。
取得までの進捗状況を教えてください。
2021年8月、正式にスリーエーコンサルティングに依頼しました。その一年後の2022年8月、無事にISMSを取得することができました。取得の範囲は、CoreSafetyに関わる部分になります。
スリーエーコンサルティングに依頼する前は、2021年内にエビデンスを揃えて2022年中にISMSを取得、クラウドサービスセキュリティはその後と考えていましたから、予定より早く取得できたと思っています。
取得に至るまで具体的にはどのように進めていったのでしょうか。
何をどこまで用意すればいいか分かっていなかったため、まずはスリーエーコンサルティングと一緒にロードマップ作成を行い、その後、当社ですべきこと、用意すべき書類などをスリーエーコンサルティングに指示していただき進めていきました。当社が行った一例としては、CoreSafetyのオペレーションマニュアル作成、それをもとにしたお客様への説明会の開催、クラウドの最新情報の入手などが挙げられます。
用意すべき書類は、例えば、クラウドサービスセキュリティの場合は当社とお客様の契約関連の書類が求められました。スリーエーコンサルティングに指示していただきながら作成し、レビューもしていただきました。なお、ISMSで必要なドキュメント作成はスリーエーコンサルティングに行っていただきました。これにより、当社の手間は大きく軽減されました。
ISMSを取得するうえで苦労した点などはございますか。
ISMSに関しては、情報システム部門と我々の部門との切り分けが難しかったですね。例えば、PCやパスワードの管理などに関しては情報システム部門の管轄で、ソフトウェア開発に使っているソースコード管理ツールやプロジェクト管理ツールは我々の部門の管轄となります。そういったところをすべて洗い出し、整理しながら記載していきました。
ほか、クラウドサービスセキュリティに記載されている文章の表現が難しく、「何をどこまでやればいいのか」悩みました。ただ、困ったときはスリーエーコンサルティングに相談できたので、それほどナーバスになることなく進めることができました。
スリーエーコンサルティングへの評価をお聞かせください。
今回のISMSおよびクラウドサービスセキュリティ取得の取り組みに関して、我々はスリーエーコンサルティングの対応に大変満足しています。
具体的には、全体を通じて手慣れている印象を受けました。必要な書類はリスト化されており、我々はそれに合わせて粛々と進めていくフローでした。
ちなみにコロナ禍という状況だったため、対面はほとんどなく、オンライン中心で対応していただきました。当社の業務に合わせていただいた恰好ですが、緊急を要するときはチャットで連絡を取ることができましたから、大きな問題もなく進めていくことができました。
また、審査に関しては、審査機関の事前情報をいただくことができましたので、非常にスムーズだったと思います。審査の進捗状況が分かるサポートも助かりました。
今後の展開およびスリーエーコンサルティングへの期待をお願いします。
我々が展開しているDXは全社的に注力していかなければならない部分ですから、状況によっては組織形態が変っていくことも予想されます。それに合わせて今後はISMSの取得範囲を広げる、さらなるアドオン認証を取得する、あるいは品質マネジメントシステムや環境マネジメントシステム、プライバシーマーク(Pマーク)を取得するといった場面が出てくるかもしれません。
そういった展開になった場合、スリーエーコンサルティングには今回と同様の支援はもちろん、認証に関するさまざまな情報を共有いただけると助かります。幸いにも、ISMSの運用・更新におけるコンサルティングに関しては、スリーエーコンサルティングとの契約を延長させていただきましたから、さらにより良い関係を築いてきたいと考えています。今後とも、引き続きよろしくお願いいたします。
