株式会社キャリアデベロップメント・アンド・クリエイション様 – 顧客事例 –
株式会社キャリアデベロップメント・アンド・クリエイション は、事業展開を円滑に進めるため、LRMのサポートのもとISMS/ISO27001認証を取得しました。同社の情報セキュリティに対する基本的な考え方から取り組みの経緯を、代表取締役CEO・和氣忠氏、CTO・土屋優樹氏のお二人に伺いました。
記事index
企業における人材開発および育成・発掘が進むためのプログラムを提供するHRテックサービス会社である。単発的なトレーニングや定期的な人事考課によって行動改善を目指す人材開発に対し、同社は同僚同士や上司・部下間の日常的なコミュニケーションの中で、個人が得意なことに気付かされ自信を得ていくことで、意識や行動を変えていくことを目指す。そのベースとなるのは、代表取締役CEO・和氣忠氏が開発したマイクロフィードバックコミュニケーション手法(同社登録商標)。同じ職場で働く仲間のアクションに対し、日常的に、簡単なアドバイスや声がけを高頻度で行うことでお互いの「得意・長所」を伸ばすコミュニケーション手法だ。2018年12月、マイクロフィードバックコミュニケーション手法を職場で実践するためのツール『TeaMeアプリ』を正式にリリースして商用サービスを開始。大手企業への導入が進む。日本で働く人々がそれぞれ持っている成長ポテンシャルを開花させることで真のダイバーシティ経営を実現し、日本企業のイノベーション推進に貢献していく。
本社;東京都港区。設立;2017年3月。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
和氣氏 株式会社キャリアデベロップメント・アンド・クリエイションは、2019年1月、LRMにISMS/ISO27001(以下、ISMS)認証取得コンサルティングを依頼しました。LRMの担当者は、大谷さんと三崎さんです。
弊社の希望通り、最小限の必要条件で運用出来るマネジメントシステムを、無駄なく効率的に構築し、2019年8月にISMS認証を取得することが出来ました。
顧客が安心出来る情報セキュリティ体制を整備するためにISMS/ISO27001認証を取得
— ISMS認証を取得した目的をお話し下さい。
弊社がISMS認証を取得した目的は、お客様にご安心いただける情報セキュリティ体制を整備するためです。
情報セキュリティ系の公的認証の取得を検討し始めたのは『TeaMeアプリ』を正式にリリースした2018年12月です。
その前にパイロット版の運用をしていた頃から、お客様からセキュリティチェックシートやクラウドサービスの利用基準をいただくことがあり、その中に公的認証の取得を問う項目は必ず入っていました。パイロット版は期間限定なので取得していなくても許されていましたが、商用サービスリリース以降は弊社としてもISMSかプライバシーマーク(以下、Pマーク)のいずれかは取得した方が良いと判断しました。
ISMSを選んだ理由は、弊社なりに調べた結果、企業向けサービスを提供している弊社にとってISMSの方が運用しやすいと考えたからです。
もともと弊社のサービスは、お客様である企業の財務情報や極秘情報などクリティカルな情報には触れない仕組みになっています。個人情報もメールアドレスぐらいしかお預かりしません。Pマークは取得企業の規模や状況に関わらず、
個人情報の取り扱い方を、非常に細かく管理する必要があります。一方、ISMSは認証取得企業の実態に合わせたルールを構築することが出来ます。そのため弊社にとってはISMSの方が運用しやすいと考えました。導入企業からいただくセキュリティチェックシートの内容も、ISMSの内容に近いと感じました。
LRMにサポートを依頼した決め手はクラウドサービスに対する理解の深さ
不要な情報を持ち過ぎて複雑怪奇になっていることがそもそものリスクです
(CTO・土屋優樹氏)
— ISMS認証を取得しようとすればコンサルティング会社のサポートは必須ですか。
もちろん、必須です。弊社としては手間を掛けたくありませんので、ISMS認証の取得プロセスになれている方のサポートを受けた方が効率的ですし、いつ頃までに取れるか大体の目安がわかります。コンサルティング会社を使わない手はありません。
— 選定に当たっては何社か比較されたのですか。
LRMともう1社比較しました。実は、弊社がISMS認証を取得しようと決めた時に、ある知り合いの会社が先行して取得した話をうかがい、色々と教えていただきました。
その際に、その会社がサポートを依頼していたLRMと、もう1社をご紹介いただき、比較してLRMに依頼しました。
— コンサルティング会社選定にあたって重視したことをお話し下さい。
一番の要件は「無駄なことはやりたくない」ということです。ISMS認証取得までのプロセスから無駄を排除することはもちろん、意味のないルールやドキュメントは作りたくないという基本的な考えを尊重していただけるコンサルティング会社に依頼したいと考えました。
紹介してくれた会社の話を聞いて、LRMは、ドキュメント類のボリューム感が、予想以上に少ないのが好印象でした。文書がいくら立派でも文書量が多くては形骸化してしまいます。管理コストがかかりますし、審査の時に指摘されれば墓穴を掘ることになってしまいます。あくまでも目指すゴールは認証を取ることですが、「ちゃんとやっている」とアピールするために外形的に立派な文書を作ることは後々自分の首を絞めるだけだと思っていました。知人の会社の話を聞いて、LRMのサポートには、実際の業務プロセスに沿った形でなおかつコンパクトな文書体系が作れるイメージを持ちました。
— それがLRMに依頼された決め手ですか。
最終的にLRMに依頼する決め手となったのは、クラウドサービスに対する理解度の高さです。ISMSの規格は、社内システムに関して言えば、オンプレミスを前提とした思想で作られています。極めて巨大な組織の複雑なシステムと、複雑なインシデントが起きる可能性を前提にして、リスクを回避していくプロセス設計がされています。
それに対して弊社は、自社でインフラを持たず既存のクラウドサービスを使ったシンプルな管理体系の中で業務を行い、サービスを提供しています。このギャップを理解していただけないと、無駄を省いたマネジメントシステムの構築は出来ないだろうと感じていました。LRMの営業の方とお会いした際に、クラウドサービスに詳しいコンサルタントが複数在籍し、我々が心配していたようなところでいかに折り合いをつけるかという経験を積み上げてきているという話を聞いて依頼することを決めました。
— 進め方に関する説明はございましたか。
打ち合わせの回数、各種ひな形を使った文書作成、クラウドストレージ『box』上でのドキュメント共有、またはセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使った従業員教育などの説明は頂きました。ひな形が充実していることも、効率良く作業を進めるポイントになると思いました。
不要な情報を持たず、可能な範囲で事故を避けて行くことが現実的なセキュリティ対策
— 具体的な取り組み内容について伺う前に、御社のセキュリティにについてのお考えを伺います。先ほどは、そもそもクリティカルな情報は持っていないとおっしゃっていましたね。
はい。サービスの立て付け上、クリティカルな情報はほとんど持っていません。従って、今のところは致命的な事故が起きることはほぼないと思っています。もちろんリスクはありますので、それを認識しておく必要はあります。
しかし、セキュリティというものは品質管理と同様切りがありません。ISO9001認証を取っている企業は沢山知っていますが、その例を見ていると、頑張って立派なドキュメントを作成しても一定以上の品質は保証されません。それと同様、セキュリティも厳しいルールを作っても、それほどの効果はないと思っています。現実レベルで適確にやった方がビジネスパフォーマンス的に優れています。これから事業を前に進めていく際に、ガチガチにセキュリティを固めていくほどの余裕はありませんので、うまい具合にバランスとりながら事故を避けていくのが現実的です。
— オフィスの入り口の物理的な対策も特別にはされていないのですか。
オフィスのセキュリティについては、お客様が最も不安視される1つの要因ですので、オフィスを探す際に、ペンシルビルであること、ワンフロア・ワンオフィスであることを条件に探しました。エレベーターもセキュリティカードを使って弊社のフロアで停止できないよう制御出来るようになっています。階段で上がって来てもロックがかかっています。さらにリモートキーもつけているため、入退室の履歴は全て見ることが出来ます。誰が入ったかという入退室管理システムはありませんが、これだけやっていればお客様は納得して下さいます。
— メールに関しては従来から取っている対策はございましたか。
メールの添付ファイルは全てZIP化してパスワードをかけて送っています。また、パソコンはOSのセキュリティが堅牢なMacを標準使用しています。MacはハードディスクをOSで暗号化が出来るため暗号化してあります。お客様側の情報システム部門も、Macならセキュリティソフトを入れなくて良いとおっしゃいます。開発環境でセキュリティソフトを入れちゃうと仕事になりません。
以上の通り、リスクの根源構造を可能な限り排除して、インシデントが発生しにくい状況で業務を行っています。
— ここで一旦、CTOの土屋さんにお話しを伺います。土屋さんはISMSに関してはどのような印象を持たれていたのですか。
土屋氏 私自身はISMSを運用している環境で仕事をした経験はありません。ただ、ISMS認証を取得している開発会社と取引をしたことがありますが、基本的には大変そうなことをやっているという印象しかありませんでした。目的と手段が混同され、よくわからないキメが出来上がっているような運用がされている開発会社は少なくありません。
諸悪の根源は、持たなくて良い情報を持ち続けることにあると思っています。不要な情報を沢山持っているがゆえに巨大な倉庫を作ったり、分社化したり、ビル全体をセキュアにしたりしていますが、それなら最初から持たなければ良いじゃないかというところには何故か行き着かない。シンプルさとは対局にあるのがISMSやPマークを運用している会社のイメージでした。
なぜそうなるのかというと、ISMSもPマークも古い制度であり、現代の状況にフィットしていないからだと考えていました。私はUSBメモリーも使ったことがありませんし、データを持ち出したり印刷をしたりもしません。それが現代のビジネスの実態だと思いますが、ISMSもPマークも、それらがある前提で規格が作られていますので、認証を取得するにはその規格通りのルールを作る必要があるのだろうと思っていました。
しかし今回、実際にLRMと打ち合わせをする中で、そういう複雑なことをしなくてもISMS認証を取得できるということを知り、新鮮でした。最初はどんな表現で切り抜けようかと考えていましたが、単純に「不要」と書けば良いと聞いて、気持ち的には楽になりました。
ISMS/ISO27001認証取得に向けて追加したリスク対策
リスクの根源構造を可能な限り排除した環境で事業を行っています
(代表取締役CEO・和氣忠氏)
— 具体的に、LRMと一緒に行った取り組みは、どのようなことですか。
和氣氏 LRMと一緒に行ったことは、まずはISMS認証を取得するために必要な文書類の整備です。情報資産やリスクの洗い出しをしてリスト化し、マニュアルを作成しました。その他に従業員教育、内部監査、マネジメントレビューなども実施しました。
打ち合わせの回数は、オンラインを含めて5回です。その中に内部監査とマネジメントレビューも含まれています。
— 今回、リスクの洗い出しを行った際に、改めて対策を検討されたことはありましたか。
細かいところですが、不足していた部分を補完するための対策を検討しました。例えばNASの導入です。NASは以前から便利じゃないかと思って買って置いたのですが、今回検討した結果、電気が落ちると怖いですし、外から侵入されるリスクがあるのでやめました。その代わりに暗号化が出来るポータブルディスクにバックアップを取ることになりました。
また、Wi-Fiルーターも見直して、外部アクセスが来たら記録され、ブロックも出来る機種に変えました。
その他、委託先管理として、外部の開発パートナーのうち公的認証を持っていないパートナーに対して、セキュリティチェックシートを作成し回答してもらいました。
— 現場の業務フローが変化したことはございませんでしたか。
仕事上、ボトルネックとなるような変化はありません。よくある対策を例に取れば、メールソフトに送信時の確認プロセスを設定するといったこともやっていません。もしやっても誰も使わなくなるだけです。このような管理側にとっては安心出来るプロセスだけど、実務上は辛い、といった類いのルールは導入しませんでした。それによって引き起こされる可能性のあるリスクは、許容リスクとしてリストアップしました。
— 再び土屋さんにお話しを伺います。土屋さんが担当されたIT領域では検討した事項はありましたか。
土屋氏 私は主にシステムの権限設定を検討しました。悩んだのが使用しているクラウドサービス上で開発パートナーの権限です。閲覧権限と書き込み権限のいずれかを与えるかで悩みました。基本的には個別に閲覧権限と書き込み権源を分けて与えれば良いと思うのですが、あまり細かく分けてしまうと実務が回らなくなってしまいます。気持ちとしては全員に同じ権限にしても良いと思っていましたが、それではやり過ぎのような気がしたため、LRMにさじ加減を相談し、結果としてリーダーの方にオーナー権限を持たせて、他の方は閲覧権限のみで、リーダーの差配で業務を行ってもらうという形に決めました。
和氣氏 ただ弊社の場合、いろいろなオペレーションを全てフラットにやろうという暗黙の了解のもとで仕事をしています。ピラミッド管理を始めるといろいろな権限と役割分担が複雑になりますし全員動きにくくなります。弊社は開発パートナーを含めて小チームですし、基本的にはお互いにトラストして無駄なくやりましょうという合意のもとで事業を運営しています。
そもそも弊社が提供する『TeaMeアプリ』は、フラットなカルチャーを目指す組織で使われることを前提に設計されています。それを作っている弊社がピラミッド管理をするのは矛盾しています。
ブラックボックス化を防止するため、自分自身で文書を作成
— 文書作成の作業は御社が行われたのですか。
和氣氏 そうです。新規構築の段階で文書作成を丸投げしてしまうと、運用フェーズになった時に、どうして良いかわからくなり、結果的に運用負担を大きくしてしまいます。最初に最小限、自分で手を入れた方が負担を軽減出来ます。
そもそも私はマネジメントコンサルタント出身なので、人に頼りたいとは思っていません。ブラックボックスが気持ち良くないのです。認証を取った後にドキュメントだけが残ってもそれをどうして良いかわからなくなってしまいます。変えて良いのか、変えられないものなのかわからないまま縛られるのは、性格に合わない。フロントロードという形で、先にちょっと手を入れて置けば後が楽になるという考えがベースにあります。
— 文書作成の作業に充てられた時間はどれぐらいですか。
さほど掛かっていないはずです。5時間ぐらいでしょうか。10時間はかかっていません。私はそのような仕事は早いですよ。法務文書など、その手のプロセス文書を読み込むスピードが早いですし、文書の性質に合わせた表現もトレーニングされています。今回は、LRMのひな形を使って、参考例も見ながら1回作ってみて、わからないことがあれば聞いて作り直す、ということを何往復かして作成しました。自分が書きかえたものは全部変更履歴にしてお渡しして、表現の問題を含めて確認していただきました。 ただ、リスク管理表の作成は気が滅入る作業でした。非常に細かいExcelシートを作る作業です。洗い出したリスクを1つ1つ検討して、現状とあるべき姿を書き出して、リスクのレベルを点数化し、要改善のものはどう改善するかを書き込んでいく作業は根気がいる作業でした。
しかし、それも使いやすいひな形が用意されていたので、それに沿って作業をしました。
— 従業員教育についてお話し下さい。
従業員教育は、セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使い、最低限理解しておくべきISMSの基本を学習しました。
『セキュリオ』のトレーニングは極めてシンプルで素晴らしく良くできていますね。難しくやったところで、簡単にやったところと効果は一緒だという割り切りがありますし、システム上で完結しているので審査用にわざわざ提出書類を作る必要がありません。非常に合理的です。
コンサルティング会社の手法としてよくあるのが、顧客を集めて行う集合研修やオンラインのビデオ研修です。
ああいったものは非常に非効率的だと思っていましたので、こういう形で効率的に出来て良かったです。
— 内部監査はいかがでしたか。
内部監査は、LRMに内部監査員を代行してもらいました。小規模な会社が自分達でやると、自問自答になってしまうので委託した方が自然です。コンサルタントが第三者視点でチェックしたという立て付けの方が審査員にとっても評価しやすいでしょう。
— 審査はいかがでしたか。
審査もスムーズに行きました。いくつか面倒な指摘もありましたが、LRMに相談して対応すべき点は対応して文書を提出し直して、一通りこちらでやる作業は終えることが出来ました。
無駄なミーティングやコミュニケーションコストも発生せず、良い塩梅の取り組みになりました
(右から;土屋氏、和氣氏 ※中央は開発パートナー会社・大島氏。左から2名は、弊社三崎、大谷)
マネジメントシステムの構築は経験に基づいたバランスの取り方が大事
— LRMのサポートはいかがでしたか。
「無駄のない取り組みにしたい」という我々の希望には完全に沿ってサポートしていただけたので心地よかったです。特に、文書のひな形と作成におけるアドバイス、情報セキュリティ支援サービスの仕組みが良かった。マネジメントシステムの構築には加減というものが大事です。ここまではやるべきだけど、これ以上やっても仕方がないからこれぐらいで、というバランスの取り方は経験がなければ出来ません。不安になればなるほどどんどん作業してしまうことになってしまいます。無駄なミーティングやコミュニケーションコストも発生せず、良い塩梅の取り組みになりました。
— 土屋さんから何がございましたらお願いいたします。
土屋氏 私もひな形をチェックしましたが、シンプルで長ったらしくなく、要点は抑えてあるのだろうなという印象を持ちました。ISMSの文書類は、法律文書に近く、同じ日本語でも我々が知っている日本語とはかけ離れた文章で書かれています。細かいニュアンスや読点の位置、句点の位置を変えるわけにいかない類いのものもあると思っていますので、“どうしても納得のいかないモノ以外は納得”というスタンスでやろうと思って読んでいました。しかし蓋を開けてみると、平易な文章でまとめてあり、そんなに深く考える必要はなかったと思いました。哲学的にも弊社の考えと合致していましたので苦労することなく作業を進めることが出来ました。
ISMSを無駄なく運用していくため『情報セキュリティ倶楽部』を契約
— 情報セキュリティに関する今後の課題はございますか。
今後は1年に1度PDCAサイクルを回すプロセス設計になっていますので、しっかり取り組みたいと考えています。
その中で、社員が増えた際の従業員教育は特に重要ですので、一般社員用に要点を押さえた簡易版のルールブックを作ろうと考えています。ドキュメント量が多くはないと言っても、きちんと読むのは従業員レベルではかなりきつい作業となります。重要な箇所だけ抜き出した簡易版のマニュアルを作る計画です。
以上のような取り組みを控えて、ISMSを無駄なく運用していくためにはどのようなストラクチャーが良いかを考えると、これからもLRMと関係性を持って行く方が良いと考えています。そこで引き続きISMSの運用改善サポート『情報セキュリティ倶楽部』の契約を検討しているところです。
※その後、正式に『情報セキュリティ倶楽部』をご契約いただきました。
株式会社キャリアデベロップメント・アンド・クリエイション 様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社キャリアデベロップメント・アンド・クリエイション様のWEBサイト
※ 取材日時 2019年12月
- システム開発・運用
- 人材サービス・派遣
- 担当者の負担軽減
- 社内の運用を変えない
- 50名未満
- 東京
- 1拠点