株式会社東陽テクニカ様は、1958年に工作機械の輸入販売を主業務とする光和通商株式会社として 設立されて以来、世界最高水準の“はかる”技術の提供を通じて日本の産業に貢献されています。
2016年に社内カンパニーとして『セキュリティ＆ラボカンパニー』を設立され、IoTとサイバーセキュリティの統合セキュリティサービス『TOYOクラウド』の提供を開始されています。この度、カンパニー内のセキュリティレベル向上とTOYOクラウドの差別化、競争力向上を目的にISO/IEC27001:2013及びISO/IEC27017:2015を同時取得されました。

ISO全般または、ISO/IEC27001、及び、ISO/IEC27017についてどのようなイメージをお持ちでしたか。

昨今、情報漏洩や不正アクセスといったセキュリティ脅威が拡大する中、取引先であるお客様から当社の情報セキュリティ管理体制に関する調査依頼が増えてきておりました。調査内容には必ずといっても良いほどISMSの取得の有無を回答する設問があり、情報セキュリティマネジメントシステムとして世界的にも知名度が高く、組織のセキュリティ対策状況を把握するための一つの指標となる国際規格である、というイメージを持っていました。

ISO/IEC27001、及び、ISO/IEC27017を導入されるきっかけや目的を教えてください。

当社が長年手がけている物販事業とは異なり、サイバーセキュリティサービス事業に特化し新しい価値を提供する目的で、当部門は2016年11月1日付で社内カンパニーとして発足しました。セキュリティサービスをお客様にご提供するにあたり、当部門で取り扱う情報資産を適切に保護し管理する体制を強化することが重要課題の一つであると考え、ISO/IEC 27001(ISMS)の導入を目指しました。
また、当部門がセキュリティサービス基盤として運用している独自統合型プラットフォーム「TOYOクラウド」上においても、お客様からお預かりする情報資産を適切に保護し管理する体制を新たに確立するためにISO/IEC 27017(Cloud Security)の導入も同時に目指しました。

ISO/IEC27001、及び、ISO/IEC27017を導入から認証取得するまでの出来事で印象に残ったことなどございましたらお教えください。

当部門には、ISO認証取得業務の実務経験者がいませんでした。そのため、すでに複数のISO認証取得の実績をもつ本社の品質保証部に協力を依頼し事務局のメンバーとして加わってもらい認証取得を目指しました。結果として、当社の文書体系に沿った各種規程の作成や内部監査などの面でISO認証取得業務の実績やノウハウを活かすことができました。

ISO/IEC27001、及び、ISO/IEC27017導入を通じて貴組織にどのような変化がありましたか。

セキュリティサービスを取り扱う部門であるため従業員にセキュリティ意識はもともと備わっていました。ISO/IEC 27001およびISO/IEC 27017の導入により、各種規程や手順書を文書化し周知することで、役割や責任がより明確になり従業員のセキュリティ意識が向上したと実感しています。

ISO/IEC27001、及び、ISO/IEC27017導入、取得にあたっての当社コンサルティングはいかがでしたでしょうか。

今回のISO/IEC 27001およびISO/IEC 27017認証取得については、当社全体ではなくスコープを限定した当部門内での導入でした。当社既存の規程や組織体系を把握いただいた上で、既存のルールに則った形でよりセキュリティを考慮した規程の作成支援をしていただきました。また、内部監査や認証審査においても個々の情報セキュリティ管理策の意義や目的を適切にご説明いただいたことにより当部門の担当者の理解が深まり認証審査に臨むことができました。

ISO/IEC27001、及び、ISO/IEC27017の今後の活用はどのようされる予定でしょうか

当部門が取り扱う情報資産、それに関連するセキュリティリスクは、業務環境、業務内容および技術動向などとともに常に変化しています。当部門が運用する「TOYOクラウド」のセキュリティサービス拡充にあわせたセキュリティリスクアセスメントに加え、定期的に情報セキュリティ管理策を見直し、セキュリティリスクに常に対応していくことで、お客様がより安心して「TOYOクラウド」サービスをご利用いただけるよう、当部門は今後も継続的に情報セキュリティマネジメントの維持・改善に努めてまいります。