ISMS取得、運用に際し「内製の限界」を乗り越える伴走型支援

クラウドを基盤とした業務アプリケーション開発を手がける株式会社インテリジェントクラウドコンサルティング（ICC）。マイクロソフトのDynamics 365やPower Platformに特化したシステム開発を通じ、企業のDX推進を支援しています。同社は事業拡大に伴い、情報セキュリティ体制の強化を目的にISMS認証の取得を決断しました。今回、ISMS取得の背景やプロセス、スリーエーコンサルティングの支援について、同社 取締役副社長 COOの岡崎 禎氏、セールス＆コーポレイト部の黒川 明宣氏に話を伺いました。

事業拡大を見据え、ISMS取得による社内基盤強化を目指す

──御社でISMS認証を取得しようと思われた背景を教えてください。

事業拡大に伴う基盤整備が一番大きなポイントです。創業7年目を迎え、事業が順調に拡大していく中で、セキュリティ体制をきちんと整え、社会的な信頼を高めていきたいと考えました。

当社はお客様の業務アプリケーションを扱うため、契約情報や見積もり情報、サポートログなど、企業にとって重要な情報を日常的に取り扱っています。そうした中で、第三者認証を取得し、対外的に「信頼される企業」であることを示すことが重要だと判断しました。

──PマークではなくISMSを選ばれた理由は何でしょうか。

当社はBtoBビジネスが中心で、個人情報よりも企業情報を扱うケースが多いため、より広い範囲をカバーできるISMSを優先しました。また、今回は開発部門から段階的に整備していく方針だったこともあり、ISMSが適していると考えました。

取締役副社長 COO　　岡崎 禎様

内製で直面した「終わりが見えない」課題とコンサル活用の決断

──ISMS取得にあたっては、当初は内製で進められていたと伺いました。

はい。私ともう1名の2名体制で、規程や帳票、記録簿など、認証取得に必要な相当量の文書を自分たちで作成していました。しかし、調べながら進めていく中で、「あるべき姿」や「こうした方がいい」という情報は多く見つかるのですが、「ここまでやれば認証が取れる」という基準が見えないと感じていました。

──どのような点が特に難しかったのでしょうか。

ゴールが分からないまま進めることになるので、必要なことを全部取り組んでいくうちに、このままだと何年かけても終わらないという感覚がありました。セキュリティは突き詰めると上限がないので、時間もコストも制約があるなかで、認証取得に「必要十分なライン」を見極めることが一番難しかったですね。

──そこで外部パートナーの活用を検討されたのですね。

はい。社内からも取得への期限が設定されたこともあり、外部の知見が必要だと感じました。自分たちで準備したものが過剰なのか不足しているのか、その“さじ加減”が分からなかったのです。

また、取得後の運用面での不安もありました。法令改正への対応などを自分たちで追い続けるのは現実的ではないと感じており、その点でも専門的な支援の必要性を強く感じました。

複数社比較を通じて見えた“伴走型支援”の価値

──コンサルティング会社の選定にあたっては、どのような比較をされたのでしょうか。

複数社の候補から比較検討しました。価格帯もさまざまでしたが、単純に価格だけで判断するのではなく、どこまで実務に寄り添ってもらえるかという点を重視しました。

──その中でスリーエーコンサルティングを選定した決め手は何だったのでしょうか。

コンサルティングだけにとどまらず、実務面まで支援してもらえる点です。審査に向けたアドバイスはもちろんですが、運用管理の進め方や文書の取りまとめに至るまでトータルにサポートしていただける点は「安心して任せられる」と感じました。

それまでに、私たちは内製にて多くの資料を作成していましたが、それをどのように整理し、審査に通る形にまとめるかが課題でした。その部分まで支援していただける点は非常に魅力的でした。

──やり取りの中での印象はいかがでしたか。

同じ目線で話していただける安心感がありました。当社の業務やビジネス上の課題を理解した上で、現実的な提案をわかりやすく提示していただけたのが印象的です。また、「ぜひサポートします」という熱意も伝わってきて、社内への説明もしやすかったですね。

最終的には、コストと支援内容のバランス、そして実際の運用を見据え自社の工数をどれだけ抑えられるかという観点で総合的に判断し、スリーエーコンサルティングを選定しました。

専門的知見とクラウドツールにより、約半年の短期間で認証取得を実現

──実際のISMS認証取得までのプロセスについて教えてください。

2025年7月に契約し、同12月末までに認証取得というスケジュールでした。提案を受けたコンサルティング会社の中には「年内取得は難しい」という声もありましたが、スリーエーコンサルティングと認証機関（審査機関）の協力のもと、当初の目標通り取得することができました。

──具体的にはどのようにプロジェクトが進んでいったのでしょうか。

まずはトップインタビューから始まり、その後、認証機関の選定やリスクアセスメントの整理などを進めていきました。特に印象的だったのは、必要な項目が整理された形で提示され、「何をすべきか」が明確になった点です。

──支援の中で特に価値を感じられた点は何でしょうか。

「いつまでに何をやるか」が具体的に示されたことです。自分たちで進めていたときはスケジュールを組むこと自体が難しかったのですが、全体のタイムラインが見えたことで、自分たちがやるべきことに集中できました。

また、管理ツール「ISMSアシスト」上に必要な帳票や項目が整理されて表示されるため、「いつまでに、何を対応すればよいか」という基準が明確になりました。自分たちで準備していた内容と比較して、必要な範囲を理解できたことも大きかったです。結果として、限られた期間の中でも無理なく進めることができ、期日内での認証取得を実現することができました。

「ISMSに関する情報はここに集約されている」安心感が大きな価値

──実際の運用面でISMSアシストの評価はいかがでしょうか。

必要な情報が一元管理されている点に価値を感じています。どこを見ればよいかが明確で、「ISMSに関する情報はここに集約されている」と分かるのは非常に助かります。

また、必要な帳票や対応項目が整理されているため、「何をどこまでやればいいのか」で迷うことがありません。不要な文書までアップロードしてしまう心配がなく、最小限の対応で認証・運用ができる点は大きなメリットだと感じています。

──特に役立っている機能やポイントはありますか。

運用面では法令対応やリスクアセスメントの部分ですね。法令改正なども含めて、必要な対応はコンサルタントが連携して適切に提示してくれるため、自分たちはそれに沿って対応すればよい状態になっています。何をやるべきか」に集中できる環境が整いました。結果として、運用負担の軽減につながっています。

自分たちで気づきにくい物理的なセキュリティ強化も進んだ

──ISMS取得によって得られた効果や変化について教えてください。

ISMSは、認証を取得したことで売上が増えるといった性質のものではありませんが、認証取得に関しては、もともと内製で進めていた期間を含めて考えると、短期間で取得できたことの価値は大きいと感じています。目標通りにISMSを取得でき、それによって社内基盤が強化でき、セキュリティ体制を備えた企業であると外部に説明できる点は大きなビジネスメリットを感じています。

──運用フェーズに入ってからの変化はいかがでしょうか。

ISMSは取得して終わりではなく、運用していくことが重要だと感じています。日々の業務と並行して進める必要があるため、どうしても生産性とのバランスは課題になりますが、その点でもスリーエーコンサルティングの支援を受けることで社内の工数は大きく抑えられていると感じています。また、担当者としても「何をいつやるべきか」が明確になったことで、精神的な負担が軽減された点も大きいと感じています。

ISMS取得、運用が実現できたことで、社内に変化も生まれました。外部の視点が入ることで、自分たちでは気づけなかった改善点に気づくことができたのです。例えば、会議室のガラスをすりガラスにし、外から見えないようにするといった、物理的なセキュリティ対策についても、助言をもとに改善が進んでいます。

社内では社員の意識の変化もありました。情報セキュリティに対する理解が進み、リテラシーが向上することで、組織としての成熟につながっていると感じています。リスクをゼロにすることはできませんが、対応のためのルールやプロセスが整備されたことは大きな成果です。

外部パートナーに丸投げにせず「自分ごと化」することが成功への道

──今後の展望について教えてください。

今後はPマークの取得も視野に入れていますが、それ以上に重要だと感じているのがAI活用に伴う情報セキュリティ対策です。現在、お客様向けのシステム開発だけでなく、自社の業務においてもAIを活用する機会が増えています。提案書や見積書の作成など、業務効率化の面でも欠かせない存在になりつつあります。

一方で、AI活用には新たなリスクも伴います。そのため、今後はAIに関するルールやガイドラインの整備を進め、情報セキュリティの観点からも体制を強化していきたいと考えています。

──スリーエーコンサルティングに期待することはどんなことでしょうか。

現状の支援には非常に満足しており、今後も継続的にサポートしていただければありがたいです。その上で、法令やトレンドなどの最新情報についても、日常的なやり取りの中で共有していただけるとありがたいですね。

──最後に、ISMS取得を検討している企業へのアドバイスをお願いします。

ISMSは取得することがゴールではなく、運用を通じて組織を成長させていくための仕組みです。その視点を持ちながら取り組むことが重要だと思います。その上で、前提として、パートナーを活用しても社内の負荷がゼロになることはないので、過度に完璧を目指すことなく「頑張りすぎないこと」が大切だと思います。

しかしながら、コンサルティング会社にすべてを任せきりにするのではなく、コンサルタントと会話できる程度の知識は持っておくべきです。そうすることで、よりスムーズにプロジェクトが進み、結果として効率的な取得と運用につながると感じています。