ISMS効率化ツール
M@gicPolicyCoSMO 導入事例
【電気通信事業者】
株式会社 エヌ・ティ・ティピー・シーコミュニケーションズ様  導入事例


M@gicPolicyCoSMOの導入により、リスクアセスメント作業工数が大幅に削減。期待どおりのISMS活動を維持しています。(株)エヌ・ティ・ティピー・シーコミュニケーションズ 経営企画部 情報マネジメント推進室 主査 中原健治氏
株式会社エヌ・ティ・ティピー・シーコミュニケーションズ
経営企画部 情報マネジメント推進室
主査 中原 健治氏

会社プロフィール
エヌ・ティ・ティピー・シーコミュニケーションズ(以下、NTTPCコミュニケーションズ)は、情報通信分野をリードするトータルネットワークソリューションプロバイダです。パソコンと電話回線がつながった1985年。私たちは既に、「すべてのパソコンのネットワーク化を実現する」という壮大な構想を揚げ、ネットワーク世界に船出しました。音声だけでなく、文字・画像をミックスした情報が自由に行き交う環境を夢見て、従来の電話回線とは全く違った、新しい通信網の創造に着手し、次々に全国へと広げていきました。そして二十数年がたった今日、ネットワークを介した企業活動がありふれた光景となっています。今でも、そしてこれからも21世紀の社会を変える 常に新しいネットワークの展開に貢献し続けていく、それがNTTPCコミュニケーションズです。

情報セキュリティマネジメントシステム(ISMS)に着目した経緯
ステークスホルダーに示す情報セキュリティへの取り組み
私たちNTTPCコミュニケーションズは、セキュリティを事業活動の最重要事項と位置づけ、最良のセキュリティを積極的に追求してきました。私たちが提供するサービスは、大規模なインフラや高信頼な体制をベースに最適なネットワーク環境を構築するネットワーク事業、サービス・技術・製品を組み合わせてスピーディなベストソリューションを提供するオンデマンド事業、お客さまの会計業務の効率化を図る法人向け請求業務一元化事業、これらに関わるネットワーク構築、保守、システム開発等と多岐にわたっています。当社は従来より全てのソリューションにおいて、高度な情報セキュリティの確保に最大限努力するよう取り組んできました。そして、この最大限の努力を CSR(Corporate Social Responsibility) の一環として、より一層確固なる姿勢をステークホルダーに示すために2005年2月*1にISMS認証を取得しました。当初の認証取得では、一部の組織を適用範囲(スコープ)といたしましたが、2007年の継続審査(サーベイランス)時に全社へと拡大し、CSRをベースにした高度な情報セキュリティを求め、スパイラルアップ活動を続けています。

*1 認証登録番号IS 89520/JIS Q 27001:2006(ISO/IEC 27001:2005)



ISMS構築の問題点
効果的な期待通りのISMS活動を実現できない
私たちNTTPCコミュニケーションズでは、2005年にISMS認証取得してから3年が経ち取得すること以上にPDCAマネジメントサイクルを継続させていくことに大きな意義を感じておりました。しかしながら、この維持・継続していく中で、定期的に実施するリスクアセスメントの作業に膨大な対策工数が必要となり、このことがPDCAマネジメントサイクルにおける一つの課題でした。リスクアセスメント作業には、専門的な知識と多くの手間が必要です。知識という点ではリスク分析手法を変更するごとに、説明から始まり作業が振出しに戻ってしまいます。手間という点では、リスクアセスメント作業をペーパーや表計算ソフトなどを使用し、各部門毎に実施していましたので作業工数がかなりかかっておりました。また、業務分掌が複雑なため各部門への調整も支障をきたす原因でありました。もちろんリスクアセスメント作業は重要でありますが、ISMSを有効に機能させるためにISMSの内部監査や教育訓練などの多くのISMS活動を明確にし、運営管理していくことも重要なミッションですので、運用にかかる負荷が軽減できればより効果的な期待どおりの確実なISMS活動を実現できるという思いが強くありました。


問題点

リスクアセスメント等の膨大な対策工数が、ISMS年間活動計画の妨げになっている

リスク分析手法を変更するごとに、リスクアセスメント作業が振出しに戻る

業務分掌に合わせた作業の割り振りに工数がかかる



M@gicPolicyCoSMO の導入の効果/利点

  1. 効果的・効率的なリスクアセスメントの実施
  2. 計画・対策措置の進捗管理の実施


ポイント1
2007年の継続審査(サーベイランス)後に、ISMS構築・運用するツール等を導入する話が持ち上がり検討しておりました。一般的にISMS関連のツールといえば文書管理に特化したものが多いですが、M@gicPolicyCoSMO はPDCAサイクルを基本としたISMS活動のリスクアセスメントや様々なISMS活動を網羅的に支援する機能を有しておりましたので、私たちが構築したISMSを引き続きトータル的に管理できるツールと判断して導入いたしました。
M@gicPolicyCoSMO は、社内ポータルサイトでISMS運用が実施できますので、リスクアセスメントにおいてもWeb上で情報資産の一元管理を行うことにより、情報資産の洗い出しが効率的に行うことができました。特に工数を要する情報資産の洗出し、資産価値の評価・グルーピング、脅威・ぜい弱性の識別・評価では、工数削減することができました。ISO/IEC27001の要求事項を満たすリスクアセスメントのプロセスと作業に必要な手法が搭載されていますので、標準化されたリスクアセスメントを適切に実施できたと思います。また、規格で要求されているリスクアセスメントの再現性についても、バラつきを最小限に抑制できたと思っております。作業の過程でリスクアセスメントの結果を様々な帳票で確認できるため、リスク受容基準や水準の決定を迅速に行うことができ、リスクアセスメントの結果に基づいた有効な管理策の選択、及び効率的なリスク対応計画が実現できました。

ポイント2
部門間の調整や様々な計画の進捗管理ですが、各部門に作業を依頼している場合、部門ごとの進捗・遅延部門へのサポートなどを随時管理することが重要になります。M@gicPolicyCoSMO では、ISMS活動で策定する様々なISMSの計画をイントラネットワーク環境下で支援する機能を有していますので、M@gicPolicyCoSMO 装備の機能をフルに活用することで責任者を明確にした計画のスケジュールを一括管理できました。各部門に実施させるタスクなどの管理や遅延部門の把握なども容易に把握することができ、運用がスムーズだと感じております。また、活動の記録に関しても一元管理できるので、社内外から要求があった場合、今までは資料の編集作業に時間がかかっていましたが、現在、M@gicPolicyCoSMO 内に保存されたデータを活用し、そのまま提示したり、必要に応じて加工できるため、作業工数を短縮できるようになりました。

結論としては、私たちNTTPCコミュニケーションズは、M@gicPolicyCoSMO を導入したことでその効果を最大限に引き出し、ISMS活動の効率化と共に本来のISMS活動(=PDCAマネジメントサイクルのスパイラルアップ)に注力できるようになった点を大いに評価しています。


«同社がISMS活動推進の際に社内で使用したグッズ»
「ノートパソコン管理」シール
「クリアデスク・クリアスクリーン」シール
「セキュリティパトロール」腕章



社名

設立

資本金

代表者

所在地

:  株式会社エヌ・ティ・ティピー・シーコミュニケーションズ

:  1985年9月4日

:  40億円

:  代表取締役社長 石田 守

: 〒105-0004 東京都港区新橋6-1-11ダヴィンチ御成門

TEL:0120-725-571

URL: http://www.nttpc.co.jp/


Copyright (C) Asgent, Inc. All Rights Reserved.