ISMS効率化ツール
M@gicPolicyCoSMO 導入事例
【エンターテイメント】
株式会社 ソニー・ミュージックコミュニケーションズ様 導入事例
「リスクアセスメント作業の効率化とISMS運用の効率化を実現するために
ツールの導入を決断しました。」
ソニー・ミュージックコミュニケーションズ(以下、SMC)のビジネスの原点は、音楽です。1979年、レコード会社のジャケット製版部門として活動を開始し、やがてデザイン部門を統合し、これが私たちのビジネスの基盤となりました。ジャケットは音楽という商品の「顔」であり、感性や時代の空気を最も映し出すもの。私たちはここに、ユーザーはもちろん、時代や社会とコミュニケーションする「ものづくり」の可能性を見出し、1987年にレコード会社から分社、独自の道を歩みはじめました。
その後、ジャケット制作からポスターなど販促物の制作、さらにスタジオ運営、ディスク製造受託営業、ショップの開発、イベントの企画制作とフィールドを拡大し、現在では音楽、ゲーム、映像等のエンタテインメント分野を核に、多角的なビジネスを展開しております。
株式会社
ソニー・ミュージックコミュニケーションズ
経営管理本部
業務管理部 部長
兼 環境事務局 部長
兼 広報室 部長
青木 善彦 様
SMCは、B2Bがビジネスの基本です。クライアントが持つ経営戦略上極めて重要な新製品発売情報、販売戦略情報、販売促進戦略情報、出店計画情報等の機密情報、とりわけエンタテインメント業界ですから、アーティストの肖像、音源、画源、ゲームコンテンツ等、知的財産権(著作権・商標等)に該当する情報資産の提供を受け、種々のクリエイティブワーク業務を行っています。
SMCは、上記の情報資産が、企業活動の源泉であると認識し、以前から漏洩、改竄、破壊、損失および災害による消失等の種々の脅威から保護するための情報セキュリティ体制の構築・維持を、経営の重大な課題と位置付けて実施してきました。
内部評価だけでは、ステークホルダーに対する企業姿勢として、何ら実効性がないことを踏まえ、第三者認証審査を受けることにより、クライアントはもとより、さまざまなステークホルダーに対して、より一層の信頼獲得そして業容拡大に結びつけたいというトップマネジメントの判断により、今回のISMS認証取得に至りました。
併せて、エンタテインメントソフト制作業務は、ますますボーダレス化が進み、国内のみならず海外のクライアントや協力会社と、高速回線を利用したデータ交換による業務も行っています。そこで国内認証だけでなくBS7799-2認証の取得も目指しました。
また、業務特性上、自社のみで完結するものは少なく、外部の多数の協力会社との協業が不可欠なため、情報セキュリティ体制の構築・維持にあたっては、協力会社も含めた一貫した情報セキュリティ管理が必要との認識からその体制整備も行いました。
SMCが手がけている業務は、大きく「音楽」、「映像」、「ゲーム」、「一般」の四部門に大別されますが、それぞれがほぼ独立した業務として動いているため、20〜30の企業ユニットの集合体のような組織体系です。そのため、各部門がそれぞれに情報資産の洗い出しを行うと、膨大な資産台帳が出現することが予想されました。
懸念点の1つとしては、その膨大な個別の情報資産を1つずつリスクアセスメントを実施すると、気の遠くなるような時間が掛かる事が予想され、非現実的と思われたことです。
また、制作プロセスでは、成果物をクライアントに納めるまでの間、多数の協力会社との協業体制で業務を進行するため、協力会社と一体となったISMS構築が不可避です。そのための手順・方策をどのように構築するかも懸念点の一つでした。
もう一つのポイントで最大の難関と考えられた点は、従業者教育の実施方法及びその効果測定でした。情報セキュリティの必要性があると判断された範囲は、結果として全部門に及んだため、約500名の全従業者が教育の対象になり、構築スケジュール上では約1ヶ月の期間で教育の実施を行わなければならない事でした。
膨大な情報資産のリスクアセスメントの実施方法
協力会社との一体になったISMS構築(形骸化のない、PDCAサイクルの実装)
全社員(500名)への短期間による効果的な教育実施
ISMS 構築にあたって、先に挙げた問題点に合わせ、以下の事項をポイントであると考えました。
- 可能な限り短期間での構築を行うため、膨大な情報資産を効率よくリスクアセスメントできる手法
- 500名の教育対象者に対する教育の実施及びその効果が測定できる仕組み
- 規格の要求事項との適合性、及び網羅性を担保しながらの効果的な構築
- PDCAマネジメントサイクルを回す中で、構築作業を標準化し、担当者が入れ替わっても同様の運用が可能となる仕組み
リスクアセスメントの大変さは巷でよく聞くことですが、 M@gicPolicyCoSMO では、情報資産を「情報」、「ソフトウェア」などといった6つの視点で分類する仕組みがあり、6つの視点ごとに資産の特性を表す分類が実装されていることで、情報資産の洗出しやその後の平準的な評価(グループ化)に効果を発揮しました。また、 M@gicPolicyCoSMO では、情報資産に関連する脅威・脆弱性として用意されており、その脅威・脆弱性に推奨する詳細管理策が用意されていたため、これらを参考にすることで懸念していたリスクアセスメントが思ったよりスムーズに実施出来ました。
情報セキュリティをきちんと浸透させたいという強い思いがあり、教育の実施については、社内のEラーニング等を使用することを決定していましが、その教育の有効性(理解度)について、効率的に確認する手段が無いのが悩みの種でした。
M@gicPolicyCoSMO では、教育テストを実施とその結果の自動集計が出来たため、テストの管理(再テストの実施)や理解度の分析に大いに役に立ちました。
要求事項を網羅的に満たした ISMS を実装したいという責任感がありました。
そのために私も色々な研修でスキルアップし、ISMS で求められているリスクアセスメント、内部監査、マネジメントレビュー、予防・是正処置などの要求事項を漏れなく対応できる仕組みが必要だと感じていました。
M@gicPolicyCoSMO は、こういった ISMS の要求事項に対応したツールと言えますね。
今回の情報セキュリティの取組みは、協力会社を含めたSMCにおける情報セキュリティマネジメントの仕組み作りであり、これは継続的な仕組みでなければならないと考えておりました。継続的に続けていくためにも、平準化されたツール的なものがあれば、担当者が変わったとしても、引継ぎや運用がスムーズであると感じていました。
M@gicPolicyCoSMO は、PDCA のサイクルをサポートしたツールであるため、これからの運用にも期待をしています。
実際、構築作業を開始した2月から、約5ヵ月で構築を終了し、審査を含めトータル9ヵ月という短期間で認証審査合格となった要因として全従業員の協力を得られたことが大きいですが、活動をサポートしたものとして M@gicPolicyCoSMO の導入があったことは間違いないと言えます。
« 同社がISMS構築の際に、社内で展開した 「ISMS啓蒙ポスター」 »
© WARNINGMAN PROJECT Sony Creative Products Inc.
TEL: 03-3266-7811(代表) FAX: 03-3266-7822