二人三脚で半年でのISO取得を実現

今回お話を伺ったのは、ネットワークシステムやソフトウェアの設計・構築、エンジニアの派遣などを行われている、株式会社エビデンス様です。「Ping Machinegun（ピングマシンガン）」「Libra（ライブラ）」など、開発に役立つネットワークツールを提供されています。この記事では、株式会社エビデンス様がISO27001認証（以下、ISO）の取得を目指したきっかけや、ISOプロをお選びいただいた理由、ISO取得後の変化などをご紹介します。

業務拡大に伴い感じたISOの必要性

－－貴社がISOを導入しようと思ったきっかけを教えてください。

伊勢本様：
事業規模の拡大に伴い、ISO取得の必要性を感じたからです。これまで、特に大企業からのご依頼の際は「ISOを取得しているか」と聞かれることが多くありました。ISOを取得していないと直接取引ができないことも多いことから、ちょうど1年ほど前にISOを取得しようと決めました。

－－ISOを取得するにあたり、なぜコンサルへの依頼を検討されたのでしょうか。

伊勢本様：
最初は社内での取得も考えましたが、当初担当者が私1人しかいませんでした。　ISOに関する知識はありましたが、具体的に何をどうすれば取得できるか不安な面もあり、プロに依頼することにしました。

－－ISOの取得は工数も多いですし、お1人だと不安な面もありますよね。その中で、なぜ弊社をお選びいただけたのでしょうか。

伊勢本様：
大体4～6社のコンサル会社に話を聞いて決めたのですが、決め手は3つありました。
1つ目は、対応の柔軟さです。他社の場合、コンサルタント主導でISO取得を目指すサービスが多かった。しかしISOプロさんは「知識向上のためにも弊社主導で進行したいので、サポートして欲しい」という、弊社の希望にも対応してくれました。

2つ目は、費用面の安さです。他社だと、ISO取得までに数百万、その後の審査に数百万かかることもありました。しかしISOプロさんは月額料金制と一括払い制が選べるうえ、非常に良心的な価格で依頼できます。

3つ目は、マンツーマンでのサポートです。他社では、定期的に1つの会場に集まり、講習形式で進行するサービスも多くありました。コロナウイルスの流行を考えると大人数で集まることは避けたく、また「1対多」のやりとりはミスが発生しやすそうだと思ったため、ISOプロさんのマンツーマンでのサポートは魅力的でした。

膨大な資料作成も二人三脚でクリア

－－ISOの取得にあたり、苦労された点はありましたか？

伊勢本様：
作成資料の数が多かったことです。弊社はこれまで、情報資産の洗い出しやリスクの分析など、手を付けていなかった分野が多くありました。そうした分野に1人で対処するのはやはり大変でしたね。

－－特にISO27001は、情報資産台帳をはじめとして、他の ISOよりも作成資料が多いんですよね。1つ1つの作成量も多く、大変な作業だったかと思います。

伊勢本様：
わからないことがあれば隔週のミーティングはもちろん、それ以外の日にも随時質問させてもらいました。いつも即日で返答していただき、分かりづらい部分は電話で説明いただき、かなり丁寧に手厚くサポートしてくれました。また、ISOの取得には通常1年間かかるところを、無理を言って半年でお願いしていたのですが、その要望にもしっかり応えていただけました。

－－今回は貴社主導の体制をご希望ということで、二人三脚のイメージで柔軟に対応させて頂きました。

伊勢本様：
本当に、臨機応変に対応して頂きました！弊社主導といっても、間違っている点への指摘や、より楽に作業を進めるアドバイスなども適宜頂けて、とても満足しています。

社員教育にも生かしサービス向上を目指す

－－無事ISOを取得された今、取得前と比べて社内に変化はありましたか？

伊勢本様：
特に管理職以上の役職の方には、セキュリティにより関心を持っていただけるようになりました。ISOの取得について、毎月「こういう取り組みをしています」という発信を続けた結果、例えば自社のシステム変更はダブルチェックをするようになりました。ISOの取得を通じて、その大変さやリスク管理の大切さを周知できましたし、業務上のミスも減らせていると思います。

－－素晴らしいですね！一方で、対外的な変化はありましたか？

伊勢本様：
契約の際に「ISOを取得しています」と明記できるようになったおかげで、大企業との直接取引できるようになりました。また、新規取引の増加も実感しています。

－－今後、取得したISOをどう生かしていきたいですか？今後の展望とあわせて教えてください。

伊勢本様：
社員全体に対して、情報セキュリティにもっと興味と危機感を持ってもらえるようにしたいです。なぜISOを取ったのか、そもそもISOとはどういう資格なのかをより周知することで、社員の教育や意識づけに活用していきたいです。例えば、弊社はエンジニア派遣を行っているため、取引先の内部システムに関わることもあります。社員の皆さんには、ISOをきっかけに業務ひとつひとつの意味を見直し、情報の取扱いにより危機感を持ったうえで仕事に臨んで欲しいですね。

－－最後に、貴社からのメッセージをどうぞ。

伊勢本様：
弊社は大企業との取引が大半ですが、例えばとある中小企業のシステム一式お任せいただいたこともあります。内容や規模に関わらず、安い価格で質の高いサービスを提供できるのが弊社の強みです。マルチベンダー対応が可能な点も、弊社のPRポイントです。「こういった改善をしてほしい」「こういったことに困っている」ということがあれば、ぜひお気軽にお声がけください。

まとめ

業務拡大に伴い、ISOの取得を行った株式会社エビデンス様。ISOを取得した結果、大企業との契約がスムーズになりました。また、一部社員のセキュリティ意識向上も果たされました。ISOは、今後の社員教育にも引き続き貢献することでしょう。ISOプロでは、お客様に合わせた柔軟な対応を心がけております。ISO取得をご検討の方は、ぜひ一度お問い合わせくださいませ。