株式会社イエソド様 – 顧客事例 –

目指したのは、社員が意識しなくても様々な手続が自動的に進み、セキュリティも守られる体制作りです。ISMSの基本を理解したことで実現出来ました

株式会社イエソドは、自社サービス『YESOD』の正式ローンチを控えた2020年4月、ISMS/ISO27001認証を取得しました。担当者はシステムコンサルティングの経験を持つビジネス統括・竹内伸次氏です。ISMS/ISO27001認証を取得した理由は何か。そしてその取り組み成果は。ITシステムの活用やIT統制、内部統制に関する豊富な経験と高い知識を備えた同社の、情報セキュリティに対する考えなどを交え、竹内氏にお話しいただきました。

(株式会社イエソドについて)

「企業の人・組織・情報にまつわる非効率をなくす」をミッションに、管理部門(総務、労務、情報システム部、監査)および情報システム部門向けのクラウド型サービス『YESOD』を開発する。『YESOD』は、正社員やアルバイト、パートなど企業が直接雇用する従業員だけではなく、
派遣や業務委託も含めた、同じ企業内で働く全員の情報を一元管理し、とりまとめた情報を各種SaaSに連携、アカウント発行や権限設定を自動化するサービスだ。企業の人・組織・情報を正しく整理することで、業務改善、内部統制、情報セキュリティへの対応を一気通貫に整える。特に個人に権限を付与するのではなく、組織内の役割に対して権限を付与することでIT統制強化を実現する。現在はβ版として提供中。2020年内の正式リリースを目指している。
本社;東京都千代田区。設立;2018年9月。従業員数;約6名(2020年5月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証取得コンサルティング

— LRMへのご依頼内容をお話しください。

株式会社イソエドは2019年9月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。LRMの担当者・金子さんと私の二人三脚で準備を進め、2020年4月ISMS認証を取得しました。

ISMS認証を早期に取得した理由。社内の体制整備と外部へのアピール

— 竹内様は普段どのようなお仕事をされていますか。

私はビジネス統括として主に事業全体を推進する役割を担っています。弊社は私と代表の2人で事業を開始した会社です。代表はエンジニアですので、代表がプロダクトと経営に関わる様々な意思決定を担い、私がそれ以外の全部を担うという役割分担で事業を開始しました。現在はフロント業務を中心に業務を行っておりますが、ISMS認証を取得するにあたり情報セキュリティ管理者を兼任することになりました。

— プロフィールを拝見しましたが、ご創業前はIT系のコンサルタントをされていたのですか。

前職時代は総合コンサルティングファームに所属していました。私はその中のシステムコンサルティングの部署に所属していました。お客さまの経営に関わる課題をシステムで解決することが主な業務でした。

— システムコンサルティングというIT活用を推進されるお立場からのお考えを伺いたいのですが、情報システムの活用と情報セキュリティは相矛盾する要素はございませんか。

ITの活用と情報セキュリティマネジメントは表裏一体の関係です。ITシステムを活用するなら、情報セキュリティマネジメントはセットで必要となってくるものだと考えます。イエソドという企業もIT活用を推進していく立場ですので、私達自身にもセキュリティ体制をしっかり整備することが求められていると考えています。

— 御社のサービスでも情報セキュリティと内部統制を謳っておられますね。

はい。我々が扱う情報そのものが非常に機微な情報を含んでいますし、サービス自体も、セキュリティ強化、内部統制強化を謳っております。そのため、まだ6名という小さな会社ですけれども、早いうちからISMSを取得して、情報セキュリティ体制をしっかり整備し、外部にアピールしていきたいと考えていました。

— それがISMS認証を取得した理由にも繋がっているのでしょうか。

はい、その通りです。外部に向けてセキュリティ体制がきちんとしていることをアピールしたかったということに加えて、人数の少ない今のうちにセキュリティ体制をしっかり確立したかったことがISMS認証を取得した理由です。組織規模が拡大してからのセキュリティマネジメント構築は大変だと考えていました。

— ISMS認証取得に向けた準備がスタートした時期は『YESOD』のβ版をリリースした直後でした。正式版を出す前に取得したいというお考えもございましたか。

はい。一般公開に向けた営業活動の中で、導入をご検討いただくお客さまと商談する際は、セキュリティに関するご質問もいただいていました。そこである企業からLRMをご紹介いただき取得に至りました。

取引先の紹介を受けてLRMに依頼。スタートアップへのサポート実績が決め手に

「LRMのサポート実績は我々が求めていた条件にぴったりでした」(ビジネス統括・竹内伸次氏)

「LRMのサポート実績は我々が求めていた条件にぴったりでした」
(ビジネス統括・竹内伸次氏)

— 従業員のみなさんの情報セキュリティリテラシーはどのような状態ですか。

弊社はエンジニア中心の組織です。従ってITに対する理解は非常に高い会社です。
加えて弊社の代表は、長年にわたって社内の内部統制やIT統制に関与してきたこともございますので、全体的に情報セキュリティリテラシーも高いという自負はあります。

— そのようなベースに加え、竹内さんご自身、システムコンサルタントとして情報セキュリティも意識したITシステムの利活用をご支援してきたご経験がある御社なら、ISMS認証の自社取得も出来そうです。外部のコンサルティング会社のサポートを受けた理由をお話し下さい。

弊社は現在、6名という小規模な組織ですので、人的コストが体制整備に取られてしまうと経営的なダメージとなってしまいます。また、取得に向けてどのような視点が必要なのか、どういう進め方が効率的なのかも我々にはわかりませんでした。総合的に見て、専門のコンサルタントにご教示いただいた方が良いと判断しました。

— LRMにご依頼されたきっかけはご紹介であるとのことでしたが、実際に契約するにあたってはどのような要素をご評価されたのでしょうか。

LRMに依頼した最終的な決め手は、スタートアップ企業への支援実績です。ISMSのコンサルティング会社には、大企業を対象に事業を行っている会社もあると思いますが、弊社としては、スタートアップを初めとする小規模な企業に対するサポート実績が豊富な会社に依頼したいと考えていました。ご紹介いただいた会社は、弊社の取引先です。スタートアップから規模を拡大している会社で、その会社が、LRMのコンサルティングをご利用になり、ISMS認証を取得したと伺いました。これまでの実績を拝見してもベンチャー企業が中心でしたので、我々が求めていた条件に合致していると判断出来ました。

「きちんと線路を敷きさえすれば、様々な手続が自然に進むと同時にセキュリティも守られる」

— ISMS認証取得の期限は定めていましたか。

特に期限は設けていませんでしたが、営業にも生かしたかったので、出来るだけ早く取得したいとは考えていました。

— ISMS認証を取得する上で、進め方や成果物などに関するご希望はございましたか。

弊社はスタートアップ、かつ生産性の最大化を重視する組織という特性があります。そのため縛られた働き方は受け入れ難い気持ちはありました。その一方でセキュリティを強化する体制はきちんと整える必要もありましたので、我々の働き方に合ったセキュリティマネジメントをしていきたいと考えていました。その希望はLRMにもお伝えしていましたし、実際にそれを意識してマネジメントシステムを構築していきました。

— つまり、セキュリティ体制の強化が縛られた働き方に結びつく可能性も危惧しておられたのですね。

はい。ただし我々は「セキュリティ強化=働きにくい環境」とは考えていません。効率の良い手順、効率の良いルールを作り、それに社員全員の共感が得られれば、セキュリティと働きやすさは両立出来ると考えています。多くの企業ではセキュリティというと性悪説に立ち、「とりあえず縛ろう」といった考えに経ってセキュリティを強化しているように思います。それに対して我々は違う考えを持っています。弊社の代表もよく言っていますが、きちんと線路を敷いてあげれば、現場で働く従業員は列車に乗っているだけで様々な手続が自然と進んでいき、同時にセキュリティも守れるといった形が理想です。そのような業務環境を構築出来れば、効率的にルールに沿った働き方ができ、社員がルールに従っていたほうが物事がスムーズに進むという意識が芽生えます。

社員自身が考えることで全員が納得出来るルールが構築できた

— ISMS認証を取得したことで、まず社外へのアピールという目的は達成出来たと思いますが、社内のセキュリティ体制確立に関してはいかがですか。

社内のセキュリティ体制を確立していくベースは出来たと考えています。今回の取り組みでは、ルールを決めて行く工程で、社員それぞれの意見を聞いて修正を重ねました。そのような取り組みを通して全員が会社のセキュリティ体制をどうしていくかということを考えるようになり、それが自分達の働き方に合ったセキュリティルールとはどういうものだろうということを考えるきっかけにもなりました。単にルールを整理するだけではなく、社員自身の意識を少しは変えられたことは副次的効果です。さらに、社員自身が考えることで各自納得できるルールが構築出来ましたので、当初の目的も達成出来たと考えています。

— 社員のみなさんの意識向上に関して、行動や会話などで感じることがございましたらお話し下さい。

例えば、業務上必要なサービスを新たに導入する際に、ISMSのルールを意識した会話が生まれています。ISMSのルールと照らし合わせ、このサービスは会社として契約し、アクセス権を渡せるサービスであるかどうかを検討し、導入を決めるようになりました。

— ISMSを構築したことで、みなさんの業務手順が変わるということはございましたか。

ルールを明確に定めたことで、一部、業務を変更したところはありました。ただ、そんなに大きな変更はありませんし、定めたルールを遂行する上で負荷がかからないようにするために、仕組みで解決出来るところは積極的に導入しました。

わかりやすい例を挙げるとすると、パスワードやスクリーンセーバーなど、PCの設定です。これらは設定を自動的に統一できるサービスを導入しました。弊社はもともと、紙の情報は原則的に持たずに、全てクラウド上で完結するようにしていましたが、なおかつ入り口を仕組みで制御するという考え方で体制を整えました。例えば、外出先でPCを落としたりなくしたりした場合でも、パスワード管理ツール上で止めてしまえば情報が漏れることはありません。

— 新型コロナウィルスの影響で内部監査を実施する前の2月頃から、御社もリモートワークに移行されたと思います。ISMSの規格にもリモートワークの項番がありますので、御社の働き方を踏まえたルールを作りました。それによってスムーズに移行出来たという実感はございますか。

おっしゃる通り、一定のルールや体制があることは安心して移行できる要因になりました。ルールが何もない状態では不安が残ったと思います。

弊社ではリモートワーク自体はこれまでも認めていました。そのためISMSのルール構築では、先ほど申し上げたようなパスワード管理などのツールを導入し、リモートワークに堪えられるよう体制を整備しました。そういったルールの整備があったことで、強制的にリモートワークに移行せざるを得ない状況になった際には、慌てることなく移行出来た感覚はありますし、リモートでの業務を安心して行える体制にはなっていると感じます。

— 今回の取り組みでご苦労されたことはございましたか。

会社の情報資産の棚卸は、これまでとりまとめて来なかったこともあり、少し手間取りました。どこにどのような情報があって、どういう管理をしているかという棚卸の作業です。例えば会社の登記情報や経営に関わる情報など、クラウドサービスの中でバラバラになっていましたので、改めて整備をする必要がありました。

— そのために残業や休日出勤などもされたのですか。

いいえ。LRMから整備すべきドキュメント類のフォーマットや作成事例をご提供いただきましたので、残業したり休日出勤したりするほどの工数をかける必要はありませんでした。通常業務と並行して進めることは出来ました。

ISMSの基本を理解した上での取り組み。実情に合わせたルール作りが実現

— LRMからはドキュメント類のフォーマットや他社事例が提供されたとのことでしたが、ISMS認証取得に向けて行ったことはフォーマット類を埋めていく作業ですか。

基本的には、フォーマットに当てはめることで求められる文書類が整いました。その中で、他社の事例やLRMのアドバイスを参考にして作った箇所もあります。

— LRMとの打ち合わせはどのぐらいの時間をかけたのですか。

9月と10月に2時間ぐらいの打ち合わせを合計4回ほど実施して、ドキュメント類を一通り整理しました。その後、3ヶ月ぐらい間を置いて、内部監査員を代行していただいて内部監査を実施し、審査を迎えました。

— 文書類を一通りまとめるまでのお打ち合わせではどのようなお話をされたのですか。

ルール作りにおいては、我々の働き方に合う適切なルール案をいただきました。また、実際に、働き方とそこに適用しているルールなど、参考事例をご紹介いただきました。そういったご意見や参考事例をいただきながらルール作りを進めていきました。

— LRMのアドバイスは適切だと思われましたか。

非常に参考になりました。我々があまり持っていなかった視点も提供いただきました。例えばオフィスのカギの管理です。オフィスのカギはこれまで代表が一人で管理していましたが、代表に何か起きると対処できなくなってしまいます。これまでそういったリスクは何となく見過ごしていましたが、ご指摘いただき確かに看過できない問題ですし、そういった視点は必要だと思いました。このようなフォーマット上には乗ってこないような、我々の現場感に合ったリスクは、あまり意識しなかった点だと思います。

— 業務手順が大きく変わるようなことはなかったとのことでしたが、逆に「そこまでしなくても良いのか」と感じられることはございませんでしたか。

1つ1つのルールに対してというより、ISMSそのものに対する認識は変わりました。取り組み前は、ISMSとはルール自体をチェックされるものだと思っていました。しかしISMS認証取得に向けた準備を進める前に、厳しいルールを設けて縛るのではなく、セキュリティマネジメントの計画を立てて実行し、改善を重ねていくことがISMSの基本であることをご説明いただきました。その点は我々の認識とは全く違うものでした。それを理解した上で取り組めたことで、本質から外れずに自社の実情に合わせたルール作りが出来ました。

— 文書作りが一通り終わった後は従業員教育ですか。

はい。文書作りが終わった後、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能による従業員教育を実施しました。
ただ、作る過程で従業員同士、我々にとってどういうルールが良いかという話は頻繁にしておりましたので、それ自体に教育的効果があり、意識向上に繋がりました。

事前準備がしっかり出来たことで不安なく審査を迎えられた

— 『セキュリオ』をご利用になられたご感想をお話し下さい。

『セキュリオ』は教育用のコンテンツをご用意いただく他、実施の状況や記録を管理できるツールです。社員に周知してコンテンツを配信し、各自受講し終えれば自動的に管理されます。また、従業員教育だけではなく、法令管理出来る機能があり、常に最新版を参照出来る点も便利でした。必要なものが十分に揃っていると思っていますので、今後も利用し続けたいと考えています。

— 内部監査員代行もご利用にはなられたのですか。

はい。内部で監査をするとどうしても評価が甘くなりますし、表面的なチェックになってしまう恐れがあります。
その点、第三者にチェックしていただければ、内部監査を受ける側にも緊張感が生まれますし、本質的な監査が出来ますので効果があったと考えています。また実際の審査に向けた演習にもなりました。

— 実際の審査はいかがでしたか。

しっかり事前準備が出来ている状態で迎えられたと思っていましたので、不安なく当日を迎えることが出来ました。
事前準備を進める際に発生した疑問点はLRMに質問して迅速に対応していただきました。結果に関しても、致命的な指摘を受けることがなく、いくつかいただいた改善の機会も社内ですぐに対処できる軽微なものだけでした。

「専門家としての情報発信により、我々の意識を高めていただけると有り難いです」(右;竹内氏)※左は弊社・金子

「専門家としての情報発信により、我々の意識を高めていただけると有り難いです」
(右;竹内氏)※左は弊社・金子

組織拡大に合わせた体制整備が課題

— 今後の課題をお話し下さい。

今考えられる最大の課題は、組織拡大に合わせたマネジメントシステムの改善です。今回はLRMのサポートを受けて、我々の規模に合った体制作りが出来ました。しかし“小規模だからこれで良し”としたところもありますので、組織の拡大に応じて改善し続けることは必要であると考えています。

— すでに増員計画もおありなのでしょうか。

既にサービスの正式ローンチに向け、増員を図っているところです。2年後には最大30名規模には拡大する予定で採用活動を行っています。

— 新型コロナウィルスの影響で働き方がドラスティックに変わるとも言われていますが、その中で『YESOD』のようなサービスは必要性が増すような感覚もおありなのではないでしょうか。

その通りですね。リモートワークが定着しつつある中、情報管理は一気にクラウドに移行していくでしょう。そうすればクラウド自体を管理するツールの必要性は高まります。『YESOD』のようなサービスは様々な領域で求められるようになるのではないでしょうか。

— ISO270017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証の取得もご検討はされているのですか。

これから検討したいと考えています。お取引先からISMSクラウドセキュリティ認証も取得してはどうかとご助言いただいていることもありますので、現在の社会的混乱が落ち着いて、コストがかけられそうだと判断出来るタイミングが来れば動き始めようと考えています。

— LRMに対する御期待がございましたらお話し下さい。

ISMSクラウドセキュリティ認証を取得する際には再びサポートを依頼したいと考えています。また『セキュリオ』は継続契約する予定です。継続的な取引の中で期待することは、情報セキュリティに関わる情報発信です。情報セキュリティに関する世の中の動向は、我々が普通に事業をしている中ではフォローしきれないところがあります。専門家としての情報発信を受け、我々の意識を高めていただけると有り難いと考えています。

株式会社イエソド様、お忙しい中ありがとうございました。今後ともよろしくお願いいたします。

株式会社イエソド様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社イエソド様のWEBサイト
※ 取材日時 2020年5月

  • クラウドサービス(SaaS)開発・提供
  • 50名未満
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら