ウォンテッドリー株式会社様 – 顧客事例 –
ウォンテッドリー株式会社は、2019年7月、情報の取り扱いにおける社会的責任を負うことを目的としてISMS/ISO27001認証を取得しました。ビジネスSNS「Wantedly」を提供する同社がISMS/ISO27001認証取得に取り組んだ理由、また認証取得による社内の変化、さらにLRMにサポートを依頼した理由などについて、コーポレート法務弁護士・植田貴之氏、エンジニア・坂部広大氏に話を伺いました。
記事index
ビジネスSNS「Wantedly」を運営。「シゴトでココロオドルひとをふやす」ことをミッションに掲げ、2012年2月のリリース以来、スタートアップ企業、ベンチャー企業を中心に利用者を増やし続けてきた。近年は大手企業、NPOでもユーザーを拡大中。利用者数は月間260万人に達する。
現在は会社訪問アプリ『Wantedly Visit』、つながり管理アプリ『Wantedly People』という2つのプロダクトに力を入れている。『Wantedly Visit』は、共感を軸に人とシゴトの出会いを創出するサービスで、約3万社以上が利用中。『Wantedly People』は、名刺交換をきっかけとして人と人がつながりを構築し、深めることで、共感できる仲間と出会える機会を生み出すサービス。2016年にリリースされ、名刺登録枚数は1億枚を超える。今後は、全世界1,000万ユーザー達成を目指しており、シンガポール、香港に拠点を構えるなど、海外展開にも積極的に取り組む。
設立;2010年9月。本社;東京都港区。従業員数;約130名。
依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
ウォンテッドリー株式会社は、2018年11月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得のコンサルティングを依頼しました。LRMにプロジェクトの交通整理をしていただいて、2019年7月上旬、ISMS認証を取得しました。LRMの担当者は幸松さんと小宮さんです。
ISMS認証取得の目的;情報の取り扱いにおける社会的責任を果たす
生産性を損なわない合理的な
ルールを構築するためITベンチャーの支援実績があるLRMに依頼しました
(エンジニア・坂部広大氏)
— ISMS認証を取得した目的をお話し下さい。
弊社がISMS認証を取得した目的は、情報の取り扱いにおける社会的責任を果たす体制を構築することでした。
それまでエンジニア主体の弊社は、情報セキュリティ対策を中心にルールを構築していました。
ただそれは外部からは見えにくい状況でした。実際、弊社の情報セキュリティへの取り組み状況をお客様にご理解いただくために、商談が長期化することもありました。
そこで情報のセキュリティレベルの透明化をはかるために、第三者機関の認定を受け、自社のセキュリティへの取り組み状況をお客様へわかりやすくお伝えできる体制を整えることにしました。
検討するにあたりグローバル水準の認定から日本独自の認定まで調査し、ISMSが弊社の文化に合っていると判断しました。その理由は、ISMSは継続的にセキュリティを改善するマネジメントシステムが構築出来ていることに対して認証が与えられるからです。テクノロジーが変わっていく中で、PDCAサイクルを回しながらセキュリティが担保できている状態を保っていくという考え方が弊社に合っているという判断をしました。
ただ、認証に向けてどれぐらいの時間と費用がかかるか見当が付きませんでしたので、まずはコンサルティング会社の選定と認定企業へのヒアリングからスタートしました。長期的に情報セキュリティを高めることを重視した結果、LRMに依頼しました。
ITベンチャーと大手IT企業へのサポート実績が決め手
— コンサルティング会社選定の基準をお話し下さい。
コンサルティング会社選定にあたっては、弊社の実情に合った運用が出来るようなサポートをしていただけることを重視しました。弊社に合うかどうかを判断する基準は以下の3つです。
(1)組織のスケールへの対応
従業員数が飛躍的に増加しても継続的にサポートしていただけるかどうかを評価しました。
(2)自走できる体制作りのサポート
自分達で判断して運用が出来る状態をサポートしていただけるかを評価しました。
(3)弊社の実態に応じたルール作りのサポート
弊社の状況に応じたルールを提案し、継続的にセキュリティレベルを高めていくサポートをしていただけるかを評価しました。
— 最終的にLRMに依頼された理由をお話し下さい。
決め手となったのはITベンチャーに対するサポート実績です。選定にあたっての3つの基準のうち、弊社が最も重視したのが(3)弊社の実態に応じたルール作りのサポートでしたが、そのためには弊社のようなエンジニア主体の企業に対する理解が必要です。Chatwork社やヌーラボ社のような広く利用されているクラウドサービスを提供する会社との契約が多いLRMなら、弊社の文化をご理解いただいた上でサポートしていただけると考えました。また、サポートの方法として、我々が普段使っている『Slack』などのクラウドツールを使うことをご提案いただいた点からも、クラウドツールに対する理解があると判断出来ました。
それに加えて、(1)組織のスケールへの対応に関しても、LRMは誰もが知っている大手IT業へのサポート実績がありますので、ISMS認証取得後、規模が飛躍的に拡大しても継続してサポートしていただけることが期待できました。
生産性を損なわない合理的なルール作り
— (3)弊社の実態に応じたルール作りのサポートについて、少し詳しく伺いたいのですが、ISMSに取り組むことで御社の業務手順を変えなければいけないというご不安は予めお持ちだったのですか。
はい。それは最大の不安要素でした。実際、見送ったコンサルティング会社の中には、先方が考えたルールを弊社に押し付けるような提案もありました。
弊社は「最短距離の最大社会的インパクト」をポリシーとして事業を推進しているため、従業員の生産性は重要な指標です。そのポリシーに反したルールを、合理的な理由なく導入することはしないようにしています。そのため、端末やクラウドサービスなど、業務で使用するツールは過剰な制限を設けずに使えるようにしています。「他社ではこうだからこうしなければいけない」というような不合理な理由で、ルールを持ち込みたくありませんでした。
— その生産性と、最初におっしゃった「情報の取り扱いにおける社会的責任を持つ」ということのバランスは、どのように取られるイメージだったのでしょうか。
弊社は生産性を重視していますが、そこに偏りすぎて、情報漏えいのリスクにさらされることは本意ではありません。
両者はトレードオフの関係にあり、現在も調整中ですが、まずは自分達がどのような情報をどのように扱っているかということと、それに伴うリスクを明らかにして、変える必要があることは何かしらの対応をしようと考えていました。ただ、結果として新しく運用を変えたことはほとんどありませんでした。
リスクの存在を把握して検討することがセキュリティを高める
リスクを把握すらしていないのとリスクを踏まえて従来の運用を維持するのとでは全くレベルが違います
(コーポレート・法務弁護士・植田貴之氏)
— 取得に向けた社内体制をお話し下さい。
スタート時点ではインフラチームのエンジニアの坂部が1人で担当していました。
しかし、社内の実態を調べていく中で、コーポレートチームやセールスチームも一緒にルールづくりに加わる必要を強く感じたため、コーポレートの植田をはじめ徐々に一緒に取り組む仲間を増やしていきました。最終的には6名でISMS事務局を組織して取り組みました。
— 社内の理解を得ていくことについて特にご苦労はされなかったのですか。
社内の理解を得ることに関して特に苦労はしませんでした。弊社では、毎週金曜日にDemoDayという全社員ミーティングの機会があります。そこでISMS取得に向けた雰囲気を少しずつ作っていくということはやっていましたし、各従業員もそれぞれ課題意識を持っているところはあったようで、抵抗を示すような話は出てきませんでした。
— 先ほど運用を変えたことはほとんどなかったとのことでしたが、ISMS認証取得に向けて実際に行った作業はどのようなことですか。
最も時間をかけたのは、情報資産の洗い出しとリスクアセスメントです。どのような情報資産があるか、また各情報の管理についてどのようなリスクがあるのかという議論を、特に時間をかけて行いました。その上で、改善が必要であればルール作りに反映しましたし、多少のリスクを踏まえてでも業務効率などを考えて従来どおりの運用を維持するという判断をしたものもあります。リスクの存在すら把握していないのと、リスクを踏まえたうえで従来の運用を維持するのとでは、セキュリティリスクは大きく違ってきます。
— 検討したリスクにはどのようなものがありましたか。
色々ありましたが、例えば次のようなものがあります。
(1)クラウドサービスのアカウント管理
パスワードが適切に設定されているか、2段階認証の設定ができているかどうか、アクセス権限の管理は出来ているかといった検討をしました。パスワードポリシーや共通アカウントの運用ルールについては、明確なルールが定まっていなかったので、改めて決めることとしました。
(2)自宅での私物PC利用
弊社では、基本的に仕事は会社から支給されたPCを使うルールになっていますが、場合によって自宅で私物PCを利用して仕事をすることもあるため、私物PCの利用にどんなリスクがあるかという議論をおこないました。しかし、弊社では業務用のデータは全てクラウド上で管理をしていますし、私物PCのセキュリティレベルが一定以上に保たれていれば、極端にリスクが増大するわけではありません。そこで、私物PCの使用自体を禁止するのではなく、ウイルス対策ソフトを入れたり、ノートPCに関してはハードディスクを暗号化したりするなど、セキュリティレベルを会社支給のPCと合わせることを条件として、従来通りに使えるようにしました。
(3)名刺管理
内部監査の際、クライアントの名刺の保管方法に関する取り決めが無いことが問題となりました。これまで、クライアントの名刺は、自社サービスの『Wantedly People』を使用してデータ管理することが多かったのですが、データ化した後の生の名刺の管理は個々に任せていました。そこで、内部監査の際の指摘をきっかけに、名刺管理用ボックスを各部署に設置し、そちらで管理する運用に変更しました。
ルールの最終決定までLRMがマネジメント
— ルール構築におけるLRMの果たした役割をお話し下さい。
LRMにはプロジェクトの交通整理を行っていただきました。タスクを洗い出していただき、スケジュールを引いてもらって、我々がルールを最終決定するところまでマネジメントしていただきました。
— 持ち帰って社内で行った作業はありませんでしたか。
規程類の調整などの作業はありましたが、LRMにかなりサポートしていただきましたので、必要最小限で済みました。
— 従業員教育は、セキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用されたのですか。
はい。当時の従業員数は90名強でしたが、全員『セキュリオ』のeラーニングを受講しました。
— 『セキュリオ』をご利用になられたご感想をお話し下さい。
個人の学習到達度を測るためにeラーニングは必要だろうと思いましたし、審査では従業員の学習到達度もチェックポイントになると予想出来ましたので、『セキュリオ』を利用しました。 サービスのUIやUXが悪いと、従業員に使ってもらうのが難しくなるケースもあるのですが、『セキュリオ』はそういった心配もなく無事全員に受講してもらうことができました。
— 内部監査はLRMが内部監査員を代行したのですか。
はい。第三者にチェックされると、社内でやるよりもより客観的な目線でかつ公平な目線でチェックをしてもらえるため、大変有用だったと考えています。
— 審査を迎えるにあたってご不安はありませんでしたか。
不安はありましたが、リスクの大小をちゃんと社内評価しているのか、またそれに対して会社としてどう対応していくか、ということをきちんと説明が出来る状態は作れていました。また審査員がクラウドサービスに対して理解のある方だったということもあって、結果的に、大きな指摘を受けることなく審査を通過し、ISMS認証を取得することが出来ました。
現場が主体的にセキュリティを見直して、様々な取り組みが始まっています
(右から、植田氏、坂部氏 ※左から弊社小宮、幸松)
情報セキュリティに対する全社的な意識の高まり
— 取り組みを通した社内の変化をお話し下さい。
定性的な部分では、社内全体でセキュリティに対する意識レベルが非常に上がりました。ボトムアップ、トップダウンの両面で情報セキュリティに対する意識が高まったと感じています。
弊社は『GitHub』のIssueという機能を使って課題管理をしているのですが、これまでほとんど上がってこなかった情報セキュリティに関する課題が頻繁にGitHubにアップされるようになりました。また、現場からISMS事務局メンバーに対して質問する頻度も増えるようになってきました。現場の従業員主導で様々な疑問や提案をしてくれるようになってきているので、事務局としても自分たちで把握しにくいリスクを拾いやすい土壌ができつつあります。
また、同時に経営層、マネージャー層のセキュリティ意識も一層高まってきたので、セキュリティへの投資もしやすくなりました。
— 社内の意識の変化について、具体的な事例がありましたらご紹介下さい。
例えば、外出先で作業をする際のPCの覗き見防止用シールドの利用を会社として推進できないかという提案があり、すぐに導入が決まるということがありました。
この他にもボトムアップで出てきた意見に基づいてすでに実行していることはいくつもあります。そういう話が出ること自体がISMSの成果であると考えています。
— コンサルティング会社の選定基準に、「自走できる」ということがありましたが、結果として自走出来ているということになるのでしょうか。
まだISMS認証を取得して1ヶ月しか経っていませんので、評価はこれからですが、良いスタートは切れた状態ではあると思います。
— 今後の課題をお話し下さい。
ノートPCのシールド同様、現場からはいろいろな課題が上がっており、すでにいくつもの新しい取り組みが始まっています。ISMS事務局としては、それらを来年に向けてどうアセスメントしていくか、また、実際にどうルールに落とし込んで行くのかというフローを確立することが課題です。
ISMSの最大の効果は、社内の情報資産1つ1つに対し、グローバルな規格を通してリスクをチェックし、効果的な対策が打てるようになることです。現状は、そのグローバルスタンダードに沿ってPDCAサイクルを回しながら改善していける体制を整備した段階です。今後はそれを踏まえて、今ある課題を検討するとともに、新たに出てくるリスクに対しても同様に対応していくということを継続していきたいと考えています。
判断を間違えないよう第三者の視点は必要
— LRMのコンサルを振り返っていかがでしたか。
期待以上でした。特に、弊社が普段使用しているGitHub上で、文書類の管理ができたことが良かったです。
当初、文書類の管理はGoogleDriveで行っていました。しかし、GoogleDriveでの管理は、資料が散逸するうえ、社内共有に難があったため、LRMに相談し、『GitHub』上での管理に切り替えていただきました。
— 今後LRMにご期待されることはございますか。
弊社は、ISMS認証取得後、『セキュリオ』の利用契約を更新し、またISMSの運用改善サポートサービスである『情報セキュリティ倶楽部』を契約しました。運用フェーズは初めてですし、新規取得に向けた作業とは違うことも多いと予測しています。なるべく自走するようには務めて参りますが、間違った方向にいかないためにも、第三者視点でのチェックは引き続き必要です。LRMは弊社と属性の近い企業の運用事例を豊富にお持ちなので、そのような知見をお借りしながら、より良い運用をしていきたいと考えています。
ウォンテッドリー株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ ウォンテッドリー株式会社様のWEBサイト
※ 取材日時 2019年8月
- クラウドサービス(SaaS)開発・提供
- サービス開発・提供
- 社内の運用を変えない
- 50~199名
- 東京
- 1拠点