豊富なノウハウが詰まったコンサルティングとツールによる支援でISO27001認証を取得

「『業務』と『セキュリティ』の両立を可能とするコンサルティングと、 使い勝手の良いリスク分析・対策立案ツールの活用によって、 効率的なISO認証取得が実現できました」

調味料および加工食品の製造・販売を事業展開するミツカングループは、情報セキュリティに長年注力してきました。この度、情報セキュリティの継続的な品質向上のため、管理策の網羅性確保とマネジメント体制の確立を実施。その実現手段として、「ISO27001」の認証取得に取り組みました。

認証取得にあたり、富士通のソリューションを採用。リスクアセスメントを効率化するリスク分析・対策立案ツールや、ISMS文書作成をはじめとする豊富な実績に基づいた富士通のコンサルティング支援を有効活用し、短期間での認証取得に成功しています。

本事例に関するお問い合わせ

導入の背景

常に先手を打つ情報セキュリティ対策

情報セキュリティの重要性が高まるなか、企業には継続的に情報セキュリティへの対策・強化ができるような社内体制構築が求められています。「米酢」や「味ぽん」の製造・販売で広く知られるミツカングループは、情報セキュリティ対策・強化に長年注力し続けてきました。

ミツカングループの情報システムを担うグループ会社であるミツカンビジテックの桝田氏は「情報セキュリティは優先度の高い経営課題であると常に認識し、技術的対策やルール整備、社員啓蒙など、必要な対策を実施しています。情報セキュリティへの取り組みは海外展開等、事業が拡大していく今後、ますます不可欠となるでしょう」と語ります。

このような考えのもと、世の中の情報セキュリティ事情の変化や社内システムの刷新、個人情報保護法など法規制の施行に合わせ、随時先手を打った対策を講じてきました。その結果、不正アクセスによるシステムダウンや内部からの情報漏えいといった大きな事故を発生させることなく、現在に至っています。 同グループはこの成果を今後も持続できるよう、より確実な情報セキュリティ対策の必要性を強く感じていました。

導入のポイント

ISO27001認証取得に取り組む

ミツカンビジテック情報システム部では、2006年5月、情報セキュリティのさらなる品質向上への取り組みを開始。機密性と完全性と可用性の3要素を整備・維持できるよう、情報セキュリティに関する管理項目の網羅性の確度を高めるとともに、組織や運用手順などの整備によるマネジメント体制確立を図りました。

その実現手段として、情報セキュリティマネジメントシステムの国際規格である「ISO27001」の採用および認証取得を選択しました。同部では、従来から設定していた情報セキュリティの管理項目に、自分たちが気づいていない“抜け穴”が本当にないか、外部の客観的な基準と一度照らし合わせる必要があると考えていたからです。

ミツカンビジテックの富田氏は「ISO27001には情報セキュリティに不可欠な管理策が網羅されており、当グループの管理策の漏れ・抜けを防止可能です。さらには、標準化された管理項目と審査サイクルを有効活用する事で、技術的対策・人的対策・法的対策等、様々な観点から私たちが目指すマネジメント体制が確立できます｣と話しました。

取得範囲をミツカングループの情報セキュリティ対策の立案・実行責任部門であるミツカンビジテック情報システム部に定め、2006年8月、取得に向けて本格スタートしました。しかし、同部にはISO27001認証に取り組んだ経験がなく、自社で取得できるノウハウがありませんでした。そこで、外部の支援を受けながら、自社主導で取得するというアプローチを採ったのです。

複数のITベンダーやコンサルティング会社の提案を比較検討した結果、富士通のソリューションを選びました。採用理由にまず挙げられるのが、豊富なISO27001認証取得実績に裏打ちされた富士通のコンサルティング力やノウハウです。
桝田氏は「富士通はISO27001を自身で取得している上に、200社以上のソリューション提供事例を持っています。経験豊富な富士通にご支援いただければ、直面するであろう幾多の困難を乗り切れると確信しました」と強調します。その上、富士通はミツカングループのシステム保守・運用を35年以上担っており、同グループの業務やシステムを熟知している点も安心感につながりました。

富士通のリスク分析・対策立案ツール「RACONTIS/Web」（ラコンティス）の存在もポイントでした。富田氏は「実績の高いパッケージソフトを有効活用すれば、ノウハウのない私たちでも、初期のリスクアセスメントが認証取得に必要とされるレベルに達しているかどうかを確認しながら効率的に認証取得作業を実施できます。また、パッケージの成長と共に次年度以降も有効活用でき、継続的な品質向上を推進できます。このようなツールを用意したのは富士通だけでした」と話します。

ソリューションの概要

ツール活用でリスクアセスメントを効率化

同部は2007年1月から認証取得に向けて具体的に動き始めました。情報システム部の各課から選抜した情報セキュリティ推進メンバーによりチームを構成。富士通のコンサルティングを随時受けながら、規格の要求事項であるPDCAサイクルに沿った形で認証取得を進めてきました。

Planフェーズでは規格の理解や推進体制整備などを行った後に、ISMS文書作成に着手。「富士通は単に文書テンプレートを提供するのではなく、私たちの業務やシステムを理解した上で、文面の一言一句まで精査したり業務実態を細かくヒアリングしたりするなど、ミツカンにとってベストな文書を作成できるよう親身になってご支援くださいました」と富田氏は満足気に振り返ります。

Doフェーズでは主要活動として、情報資産の洗い出しを行い、ツールを用いて効率的なリスクアセスメントを実施しました。富士通はツール提供にとどまらず、同部がツールを使いこなせるようになるよう活動支援を行っています。

富田氏は「ツールのどの機能をどう使えばどのようなリスク値が出るのかなど、富士通に丁寧なサポートをしていただけたのが大きかったですね。おかげで、リスク値の根拠を審査機関へ私たち自身で説明できるようなりました」と評価します。さらには「ツールには一般的に考えられうる脆弱性や脅威がプレインストールされており、登録した当部の各情報資産とマッピングしていくことで、当部のシステムに考えられうるリスクを網羅できました」（富田氏）などツールの機能面も合わさり、リスクアセスメントの効率化が実現されました。

2007年6月末にまず予備審査を受審。その後Checkフェーズでは、内部監査及び有効性測定を、Actionフェーズでは是正・予防処置をそれぞれ実施。そして7月に第一審査、9月に第二審査を受審し、無事認証取得できました。

「文書への記載レベルについてアドバイスをいただいたり、推進会議にてやるべき作業を整理して優先度を定めていただいたり、ツールに則ればやるべきタスクを順にクリアできたりなど、認証取得に至るまでのコンサルティングの中に、富士通の豊富なノウハウを実感しましたね」（桝田氏）

導入効果と今後の展開

所要期間を予定より1ヶ月短縮

ミツカンビジテック情報システム部は今回のISO27001認証取得にあたり、「当初は認証取得に要する期間を10ヶ月と想定していましたが、予定より1ヶ月短縮できました。審査機関からはツールを用いた効率的なリスク分析などが高く評価されました」（富田氏）とその効果を振り返ります。

そして、今回の認証取得への取り組みによって、自社の情報セキュリティにおけるリスクを体系的に網羅できたため、定量的なリスク管理が可能となりました。桝田氏は「ウィークポイントが顕在化できたため、投資の優先順位や強弱がつけやすくなり、情報セキュリティ向上と同時に、情報セキュリティへのIT投資の最適化にもつながるでしょう」と語ります。

今後、同部では認証取得2年目以降の定着とレベルアップを図っていきます。「今回網羅性を高めた管理策、整備した組織体制・運用手順をベースに、富士通の支援を受けつつ、社内外の環境変化に応じて適切な情報セキュリティ対策を実施し、継続的な品質向上に努めていきたいと思います」と展望を語る桝田氏。将来的にはISO27001認証の他部署への展開も視野に入れています。ミツカングループはこれからも情報セキュリティの品質向上を推進し続けます。

【ミツカングループ様 会社概要】

本事例中に記載の肩書きや数値、固有名詞等は掲載日現在のものであり、このページの閲覧時には変更されている可能性があることをご了承ください。