Repro株式会社様 – 顧客事例 –

最短でのISMS認証取得を目指し、LRMにサポートを依頼。特に内部監査員代行は審査対策にもなって良かったです。次年度の維持審査に向け、運用改善サポートも契約しました。

Repro株式会社は、2018年12月、LRMのコンサルティングを受けてISMS/ISO27001認証を取得しました。
認証取得に取り組み始めた目的、構築したルールを社内に浸透させるための取り組み、LRMのサポートやサービスに対するご評価などについて、情報処理安全確保支援士の資格を持つコーポレートオペレーションエンジニア・佐藤友厚氏にお話を伺いました。

記事index

LRMへの依頼内容；ISMS/ISO27001認証新規取得コンサルティング
グローバル展開を見据えISMS/ISO27001認証を取得
審査機関に紹介された中からスタートアップに強いLRMに依頼
時間がかかることを前提に取り組む情報セキュリティ意識の浸透
LRMのリードと迅速な対応で半年でのISMS/ISO27001認証取得が実現
半年の準備期間では実現出来なかった全体最適が次の課題
次年度の維持審査に対応するため『情報セキュリティ倶楽部』を契約

（Repro株式会社について）

web・モバイルアプリ事業の成長につながるカスタマーエンゲージメントを生み出すマーケティングプラットフォームの開発・提供を行っている。web・アプリユーザーの行動・属性情報を分析し、ユーザーが動く最適な「体験」と「今」を見える化。分析結果からプッシュ通知・アプリ内メッセージ・webメッセージ・広告配信などのマーケティング施策を一気通貫して実行することが可能。マーケティングに必要な機能が凝縮され、使い勝手が良いことに加え、カスタマーサクセスチームによる丁寧なサポートによって“代えのきかない唯一のマーケティングプラットフォーム”のポジションを確立。世界59か国6,500以上のサービスへの導入実績を持ち、国内シェアNo.1を誇っている（2019年4月時点、アプリ市場データ分析ツール調べ）。“世界で通用する日本発のマーケティングプラットフォーム”の実現に向け、2019年6月には同社初の海外拠点を開設。着々と進化を遂げる。
設立；2014年4月。本社；東京都渋谷区。従業員数；約200名（2019年8月現在）。

LRMへの依頼内容；ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は2018年6月末、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。

LRMの担当者は村田さんです。期が変わる前の12月中に取得することを優先したため、半年間という短期間での取り組みでしたが、12月上旬には第2段階審査を受審し、期限通りにISMS認証取得が出来ました。

グローバル展開を見据えISMS/ISO27001認証を取得

— まず、佐藤さんご自身について伺います。コーポレートオペレーションエンジニアとはどのような役割を担っておられるのですか。

コーポレートオペレーションエンジニアとは、社内のITやセキュリティ施策の統括を行うエンジニアです。一般的に情報システムと呼ばれる部門がありますが、それに加えて業務調整など、各セクションの業務フローを洗い出した上で最適化していく役割も担っています。私自身はReproに参画する以前から情報セキュリティ分野の業務を担ってきて、過去にはISMSの運用に携わった経験もあります。

— 御社がISMS認証を取得した理由をお話し下さい。

直接的なきっかけとなったのは、お客様からの要望です。弊社が提供する『Repro』は、間接的にではありますが、お客様のデータと結びつくことで個人データを扱うこともあります。そのため弊社におけるセキュリティ対策が今後どのように強化されていくのか、情報のライフサイクルはきちんと設定されているのかなどを気にされるお客様がいらっしゃいます。ISMS認証の有無が、今後の受注活動に影響を与える可能性が生まれていました。

一方、事業規模が拡大する中、これまで以上に社内の情報セキュリティを強化していく必要が出てきていました。
今後は世界市場でのシェアを伸ばして行くための環境整備も求められるようになります。

以上のような背景があり、国際規格に則ったISMS認証を取得することになりました。認証範囲は全社としました。

— ISMS認証を取得するにあたり業務手順が増えてスピードが落ちるといったご懸念はございませんでしたか。

ルールを構築して運用を始めると、最初はスピード感を落とさざるを得ないところは出てきます。そこからPDCAサイクルを回しながら最適化していくのがISMSの取り組みだと考えています。ただ、今回は、決算期が変わる12月末までに取得したいという会社としての意向もありましたので、最適化は次期の課題とし、ひとまずは期間内で取得することを目標に置いて取り組みました。

しかしルールを構築し運用を始め、その証跡を取るには、半年という期間はかなり厳しい。最後の2ヶ月は審査の期間になるので正味4ヶ月しかありません。そのため今回の取り組みは、時間的な戦いではありました。

審査機関に紹介された中からスタートアップに強いLRMに依頼

「“攻め”だけではなく守りも固める必要があると考えISMS認証を取得しました」
（コーポレートオペレーション
エンジニア・佐藤友厚氏）

— 約6ヶ月間でのISMS認証取得を目指して、まず取り組んだことをお話し下さい。

まず着手したのはコンサルティング会社の選定です。私は以前に在籍した会社で、ISMSの運用に携わった経験はありましたが、初期構築に関わる経験は初めてですし、リソース的にも厳しかったので、経験豊富なコンサルタントにサポートしていただくことにしました。

— LRMにご依頼された経緯をお話し下さい。

審査機関からお勧めの会社として3社ぐらいご紹介いただき、各社のホームページを拝見し、実際にお会いしてお話を伺った結果、LRMに依頼しました。

依頼した決め手は、コンサルティング事例が豊富にあったことです。特に弊社のようなスタートアップ企業のサポート経験が最も多いコンサルティング会社であるという認識を持ちました。結果として期限内にISMS認証が取得出来ましたので十分だったと思っています。

時間がかかることを前提に取り組む情報セキュリティ意識の浸透

— LRMとの打ち合わせは何回ぐらい行われましたか。

LRMの村田さんに弊社へお越しいただいたのは内部監査を含めて14回です。最初の3回でリスクアセスメントを行い、それをもとにマニュアルのひな形を作成してもらって、読み合わせをしながらより実態に合わせて修正して行きました。内部監査も審査の前に3回実施しています。

リスクアセスメントと内部監査に時間がかかったのは、社内の部署が多いからです。弊社は3名から5名のチームで業務を行っています。リスクアセスメントと内部監査は、それぞれのチームごとに実施しました。

— 大変だった作業はございましたか。

ISMS認証を取得するための作業で大変だったことは特にありませんでした。最初にLRMに示していただいたスケジュールに沿って、粛々と決められたタスクをこなして行きました。

ただ情報セキュリティの強化という目的を果たすには、構築したルールを社内に周知して、正しく運用できるよう浸透させていく必要があります。それは大変というより、初めのうちはうまくいかないことを前提として取り組む必要があることだと考えています。周知したところで、きちんとマニュアルが読まれているかどうかを確かめる術はありませんし、読まれていたとしても実際の意識、行動として徹底出来ているかどうかもわかりません。ISMS認証を取得するためのタスクをこなしていくことよりも、社内に情報セキュリティの意識と行動を浸透させていくことの方が難しい問題です。

— その問題はこの半年間で解消できたのですか。

これは時間をかけて解決すべき問題です。大概は1ヶ月も経てば忘れてしまいます。交通ルールと一緒で、定期的に周知しなければ身に付きません。テストも年に何回するかはまだ決めていませんが、定期的に実施する必要があると考えています。

その一方で、パスワード管理ソフトを始めとするツールを導入することで管理手順を自動化するなど、意識しなくてもセキュリティが守られている状態を作ることも必要です。そういった環境整備も今後の課題になると考えています。

— 認証取得に至るまでの半年間で、ルールを浸透させるために取り組まれたことはございましたか。

まずLRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使った従業員教育を行いました。ただ『セキュリオ』の教材はISMSの基礎にあたる部分だけで、弊社独自のルールには触れていません。そこで情報共有サービス『esa』やコラボレーションツール『Slack』を使って、構築したルールの周知を行いました。

またツールを使った周知だけではなく、実際現場に足を運んで対面でチェックし、出来ていない人がいれば個別に話をするといった対策も取っています。

さらに各チームのリーダーには、それぞれのチームにおける情報セキュリティに対する責任を持たせるようにしました。これまでのチームは業務を遂行するための単位でしたが、これからは情報セキュリティに取り組む単位でもあるということを意識させるようにしています。将来的には、経営会議を巻き込むなどして、情報セキュリティに対する意識や行動が、会社からの評価対象になるというレベルにまで落とし込んでいく必要もあると考えています。

LRMのリードと迅速な対応で半年でのISMS/ISO27001認証取得が実現

— LRMのサポートとサービスについて伺います。御社内でISMS認証取得に向けた作業を進めて行く上で、どのようなサポートがございましたか。

最初にスケジュールとタスクを提示していただき、情報資産管理台帳や様式類の準備、マニュアルの作成、従業員教育など、いつまでに何をしなければいけないかを明確にしていただきました。また、決められたタスクに取り組む中で確認したいことが発生した際は、ドキュメントにコメントを書き込み、それに対していただいたアドバイスをもとに作業を続けました。

— コンサルタントの対応はいかがでしたか。

きちんと対応していただきました。例えば、文書作成はGoogle Drive上で行いましたが、修正をする中で確認したい箇所にコメントを書き込むと、自動的に村田さん側にもアラートが届きます。すると大概はその日のうちに回答していただきました。即対応していただいたことで、待機時間のロスを省くことが出来ました。

LRMの的確なリードと迅速な対応によって、準備期間が短縮出来た部分はあったと思います。

— 先ほどお話に出ていた『セキュリオ』ですが、お使いになられたご感想をお話し下さい。

『セキュリオ』は、ISMS認証を取得したり維持したりするために最低限必要なタスクとしての従業員教育を実施するシステムとして便利だと思いました。実施状況やテストの結果を管理し、成績が基準に到達していない社員に対して再テストを促すことも出来ます。従業員が200名規模になってくると、そういった管理も煩雑になりますし、今後ISMSを運用し続ける中で実施記録や成績を見ることが出来た方が良いので、認証取得後も『セキュリオ』を継続契約しました。

— 内部監査も3回実施されたとおっしゃっていました。この時もLRMが来て実施したのですね。

はい。外部の視点でチェックしていただいた方が、緊張感を持って臨めると考え、LRMに内部監査員を代行していただきました。

内部のメンバーが内部監査員を務めると、甘えが生じます。外部の方にチェックしていただければ緊張感が生まれ、それが意識付けにも効果的に働きます。内部の者では見えない部分もありますので、第三者の視点でチェックしていただく意味はあると思っています。本審査で来られる審査機関の方も弊社の業務をご存知ない方ですので、我々には思い至らないような質問をされることは想定出来ました。内部監査員を代行していただいたことで、本審査でしっかり応えるための訓練にもなりました。

— そういったチェックをしてもらう上で、世代的に若いLRMのコンサルタントにご不安はありませんでしたか。

そのような不安は一切ありませんでした。むしろReproは若い世代が集まっている会社です。そういった従業員たちと世代が近いコンサルタントの方がコミュニケーションを取りやすいという期待を持っていました。

ISMSの内部監査は敵対的な監査ではありませんので、シームレスな関係でありのままを評価していただく必要があると考えています。そういう意味でも期待通りの対応をしていただきました。

半年の準備期間では実現出来なかった全体最適が次の課題

— ISMS認証取得の取り組みを振り返られたご感想をお話し下さい。

担当者としては計画通りにISMS認証が取得出来て、まずはホッとしている状況です。また認証取得に向けたイベントとしてマネジメントレビューを実施し、会社としてのスタンスを示すことが出来たことも良かったと思っています。

しかし一方では、半年という期間は、最低限の体制を構築する期間として不十分だったと改めて実感しました。

— 具体的にはどういった部分が不十分と感じられましたか。

1つは社内への浸透です。現場に周知して運用をスタートし、チェックして出来ていなければ、改めて周知をして、またチェックするというサイクルを最低2回は回さないとスタート地点に立てたとは言えないと考えています。

また、マニュアルと現状の整合性を取る作業も追いつかない部分がありました。特にプロダクト開発に関わる部分では、開発体制とスケジュールの関係から、洗い出したリスクに対して現場が対応出来ない部分がどうしても出てきてしまいます。その解決は改善の機会として先送りすることは可能ですが、出来るなら新規取得のフェーズでやりきりたいと考えていました。そういう意味で半年という期間は、最短どころか短すぎたと感じています。

今回は半年間での認証取得が命題としてありましたので、そちらを優先しました。次の期で全体最適を行い、より実態に即したマネジメントシステムに改善していく計画です。

「全体最適化が次年度の課題です」（右；佐藤氏） ※左は弊社・村田