株式会社クレイ様 – 顧客事例 –
自社サービスの『DocBase』が着実に導入企業数を増やす中、さらなる成長を目指してISMS/ISO27001認証を取得した株式会社クレイ。しかし実際にスタートするまでは不安も大きく、一部の社員の反対もあったと言います。
LRMのサポートによって、その不安はどう解消されたのか。ISMS/ISO27001認証取得までの一部始終を、代表取締役・天野充広氏、エンジニア・浅海拓来氏に伺いました。
記事index
(株式会社クレイについて)
クラウド情報共有ツール『DocBase』を開発・提供するITベンチャー企業。『DocBase』は組織で使うことを前提に設計されたドキュメントツールである。「小さなメモから始めてチームを育てる」をコンセプトとして開発された。書きやすい文書エディタ、テレワーク利用を想定した強固なセキュリティなどの機能的特徴に加え、価格設定を1ユーザー数百円という低価格にすることで、従業員、または社内外のプロジェクトメンバー全員が参加し、時間と場所を選ばずに情報共有が行えるサービスを実現した。2015年の正式リリース以来、着実にユーザー企業を増やし、スタートアップから数千名規模の大手まで、これまでに7000社以上が導入。もともとはクライアントやパートナー企業を巻き込んだチームによる開発を得意とし、受託開発で力を蓄えてきた。今後も受託開発は続ける傍ら、『DocBase』を中心にチームの活動をより円滑化させるサービスを横展開していく計画である。
本社;東京都武蔵野市。設立;2007年7月。従業員数;約9名(2020年6月現在)。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
株式会社クレイは2019年12月、LRMにISMS/ISO27001認証新規取得コンサルティングを依頼しました。
担当は金子さんと二宮さんです。12月のキックオフから2020年3月の第2段階審査のフォローまでサポートしていただき、4月にISMS認証を取得しました。
ISMS認証取得に関しては、従来のような自由が利かなくなる不安もありましたが、キックオフの段階で不安を取り除いていただき、最後まで安心して取り組むことが出来ました。
クライアントやパートナーを交えた朝会。株式会社クレイのユニークな企業文化
— 今、テレワークを導入する企業が増えていますが、御社は普段からテレワークを実施されていたのですか。
はい。従来から週1日のリモートワークを実施していました。週4で出社し、1日だけリモートで働きます。いつリモートにするかは各自に任せています。
社員個別の事情に合わせてリモートワークのやり方を変える場合もあります。実際に、弊社社員の奥さんが出産したときには2ヶ月間フルリモートにし、その後もしばらくは週3日のリモートワークと週2日の出社を組み合わせたりしていました。出産・育児以外にも、家庭の事情にはなるべく配慮していきたいと考えています。
また、外部の開発パートナーやクライアントとも、基本的にはいつもビデオ会議で打ち合わせをしています。リモート環境でのプロジェクト進行には慣れている方だと思います。
— 御社の働き方、プロジェクトの進め方について、他に特色のある取り組みがございましたらお話し下さい。
弊社の特徴は、クライアントや外部の開発パートナーと協力しながら仕事をしているため、クラウドツールを多用している点です。ソース管理で『GitHub』を使う他、アジャイルプロジェクトのタスク管理ツール『Pivotal Tracker』、『Slack』を利用しています。そもそも弊社の『DocBase』も、リモートによるプロジェクト推進に力を発揮するサービスです。
— 『DocBase』はもともと、テレワーク向けに作ったサービスなのですか。
具体的にテレワークを想定していたわけではなく、もともと組織をまたぐチーム組成の出来るツールとして開発していました。弊社の中でも、プロジェクトごとのチームに、クライアントや外部の開発パートナーが参加しています。
場所と時間に縛られずに情報共有ができるツールですので、テレワーク向けという言い方は間違いではありませんね。
事実、新型コロナウィルス感染拡大による緊急事態宣言発令後は、テレワークに移行した企業様への導入が急増しています。
— 開発を外に出している部分もあるのですか。
外に出しているというより、フリーランスの方に入ってもらって、一緒にチームとして開発をしています。これは弊社独特のスタイルだと思っているのですが、プロジェクトに内と外という概念を持ち込んでいません。弊社の社員だけではなく、クライアントも開発パートナーも全て、チームメンバーとして関わっていただいています。
象徴的な取り組みが、毎日行っている朝会です。プロジェクトごとに最長15分の会議を実施しています。その会議にはクライアントにも、開発のフリーランスのエンジニアの方にも入っていただきます。弊社では常時10件ぐらいのプロジェクトが動いていて、大きなプロジェクトだと10数名のチームになります。クライアントにも、開発パートナーであることは隠さずに全て公開しています。プロジェクトの進捗状況の報告や確認は全てこの会議の中で行います。その他にわざわざ集まって話をするようなことはありません。このような朝会をもう7年ぐらい続けています。
— 規模を拡大して完全内製化を図るという方針は持たれていないのですか。
弊社は組織の規模拡大を追求する考えは持っていません。それよりも外部の力をうまく組み合わせていく考えです。
社員に関してはサービスの規模に合わせて必要な人、一緒にやっていく上で良いなと思える方を採用していく方針です。
より多くのユーザーに使ってもらうための環境整備。しかし不安も・・・
『DocBase』上でLRMと一緒に文書作成が出来たのが進めやすかったです
(エンジニア・浅海拓来氏)
— ISMSの認証範囲は全社ですか。
はい。会社全体です。ただISMS認証を取得したきっかけは『DocBase』です。『DocBase』ではお客さまの企業情報を始めとする特に重要な情報をお預かりします。そういった情報資産を守るためにISMS認証を取得しました。
— ISMS認証取得を検討し始めた時期を教えて下さい。
必要性を感じ始めたのは数年前です。お客様から何度かISMS認証取得を求められたことがきっかけです。ただISMS認証には不安もありましたので保留していました。当時のお客様はIT企業が多く、サービス規約に示したセキュリティ対策でご納得いただけていたという事情もありました。
正直に言うと、我々にはセキュリティには万全の対策を取ってきた自負がありました。『DocBase』のリリース当初から、企業情報はお客様ごとにカギを使って暗号化する対策を取ってきました。仮に漏れたとしてもカギがなければ復号出来ません。また、リリース以降も必要に応じてセキュリティの機能を追加してきましたので、第三者機関による証明は必要ないだろうと思っていました。
しかし2年ほど前から非IT分野のお客様が増え、情報システム部門からセキュリティチェックシートの記入を求められることが増えてきました。より多くのお客様にお使いいただくには、セキュリティ対策にしっかり取り組んでいることを示す必要があると考えてISMS認証取得を決断しました。
— ご不安があったのは、取得までの過程に対してですか、それとも取得後の運用に対してですか。
両方です。マネジメントの立場では、取得までの負担が大きいと思っていました。コンサルタントに来ていただいたとしても、実際の作業は全て自分たちでやらなければいけないと思っていたので、大変だろうなという印象しか持っていませんでした。
一方、社員からは、ISMS認証取得によってルールが出来ると、従来のような自由がなくなって仕事がやりづらくなるから反対だという声が上がりました。
— 自由というのはテレワークを許容しているところですか。
社員のテレワークだけではなく、社内システムに外部の方が入って一緒にプロジェクトを動かしていることや、各自使い易いデバイスやツールを使用してたことです。ISMSに対する正確な知識がなかったので、始まったらいろいろなことが制限されて仕事が出来なくなるという不安がありました。可能なら自分達の開発スタイルや仕事の進め方は維持したいという気持ちはありました。
— ISMS認証取得に向けた社内体制をお話し下さい。
ISMS認証取得は、代表の天野と、『DocBase』開発の中心を担う浅海が2名体制で取り組みました。
— 代表自らご担当された理由をお話し下さい。
『DocBase』のサービス責任者であること、社内でISMS認証を取得した方が良いだろうと最も強く思っていたことが理由です。また一人では不安だったので、『DocBase』開発の中心である浅海にも入ってもらいました。
企業の実情に即したISMSを構築するコンサルティング方針が依頼の決め手
— コンサルティング会社選定の経緯をお話下さい。
ISMS認証を取得しようと決めた際、何人かの知人に相談したところLRMをご紹介いただき、依頼しました。親しく交流させていただいているITベンチャー2社が、いずれもLRMのサポートを受けてISMS認証を取得していました。
— 最終的に依頼する上で、チェックされたポイントはありませんでしたか。
特にありません。ご紹介いただいた方々はいずれも数多くのユーザーを抱えるクラウドサービスのサービス責任者です。親しい同業者からのご紹介でしたので、最初から信用していました。ご担当いただいた金子さんともお会いして不安に感じる要素もありませんでしたので決めました。
また、金子さんとお会いした時の会話で安心できたことがありました。それまで我々は、ISMSには「こうしなければいけない」という決まりがあって、その決まりに自分達を合わせていかなければいけないと思っていました。しかし、金子さんにお越し頂いた際に、LRMは認証取得企業の実情に即した情報セキュリティマネジメントシステムを構築する方針であると伺って、それまで抱いていた不安を払拭することが出来ました。
ルールを明文化し、リスクを認識すれば、従来通りに仕事が出来る
— 実際にご自身達の開発スタイルや仕事の進め方を維持できるマネジメントシステムは構築出来ましたか。
ルールを明確に決めましたので、多少は「こうしなければいけない」ということはありますが、当初恐れていたような負担を感じる事態には至っていません。
LRMのコンサルティングを通してわかったことは、ISMSの本質は、自分達のルールを明文化し、リスクを認識することであるということです。自分達のルールを明確にして、これはセキュリティを担保出来る、これは担保出来ない、ということを切り分けて認識していれば、自分達のスタイルを維持したまま仕事が出来ることがわかりました。
— 新たに取り入れたルールには、例えばどのようなものがありますか。
例えばWEBサービスの一覧を作成しました。Webサービスは、これまで開発者が自由に追加して使っていましたが、ISMS認証取得を機に、正式に採用する場合は申告して台帳に載せることにしました。
また、デバイスに関しても管理台帳を作って、私物は原則として使用禁止にしました。それに関しては不便にはなりましたが、状況把握出来るようになったことは良かったと思っています。
— 逆にこれは絶対にしなければいけないと思っていたことで、やらなくて良かったということがありましたら教えて下さい。
社員の入退室管理です。ISMSの構築に取り組むまでは、必ず玄関に入退室管理システムを設置して記録しなければいけないと思っていました。しかし結果として、社内のシステムでカバー出来ると考えて、新たな追加対策は取りませんでした。弊社は以前から、社員が会社に出社したら出退勤を自動的に記録するシステムを自前で用意していました。
そのシステムである程度は把握することが可能です。LRMのお二人の話を聞いて、厳密ではありませんが、リスクを許容する形で大丈夫だろうと判断しました。
— ルール決めで意見がまとまらず、難航したことはありませんでしたか。
ほとんどありませんが、社員から指摘されたことはありました。添付ファイル送信時にZIPファイル化してパスワードをかけるという手順についての指摘です。『Slack』などでパスワードなどのアカウント情報を送る際に、そのまま流すことはリスクがあるのではないかと考え、一旦はパスワードをかけるルールにしました。
しかし、社員から時代に合っていないからやめて欲しいという指摘がありました。今回の審査は、ZIP化してパスワードをかけるルールのままで受審しましたが、今は特定のメンバーが認証して入るシステムの場合は、パスワードをかけなくて良いルールに変えました。原則としてメールでの重要なファイル送信は禁止しています。『Slack』なら認証を経た決まった人だけがログインしていることになりますので、パスワードをかける必要がないという考えです。
また、パスワードの文字数に関する指摘もありました。これまで社内規定で、14文字のランダム文字列、かつ全サービスでユニークなパスワードを設定、さらに2段階認証のあるものは2段階認証をつける、という決まりを設けていました。しかし最近はパスワードの文字数制限がないサービスが増えており、30文字、40文字ぐらいは当たり前ですし、
パスワードの生成やログイン時の入力自体はパスワードツールに任せているため14文字は短すぎるという意見が出ました。これについても、今年の維持審査に向けて変更する可能性があります。
— 今回の取り組みを経て、社内に何らかの変化は見られましたか。
第2段階審査を受けてすぐにフルリモートに移行してしまったので、実感できることはありません。
— テレワークに関するルールは何か作られましたか。
特別テレワークを想定したルールは設けていませんが、以前から自宅で作業する際のルールは設けていました。それをそのまま適用していますので、仕事の進め方に変化はありません。
経営者またはサービス責任者の視点で良くなったと思っているのは、インシデント報告書のルールが出来たことです。これまでも『DocBase』で障害が起きた時は、ヘルプセンターの報告書を出してお客様に見える形にしていました。
しかしサービスに関わる人達に発信する仕組みがありませんでした。今はサービスの運用で何か起きたら、インシデント報告書を作成し、どういった種類のインシデントなのか、どれぐらいのセキュリティレベルなのか、どう対処したのかを内部に情報公開することになっています。
— 社内システムに外部の方が入って一緒に仕事を進めるというスタイルに関連したルールはございますか。
一部、パートナーの権限を制限したところはあります。本番サービスの管理領域に関しては、カギを渡さないというルールを定めました。
「LRMの柔軟なサポートがなければプロジェクトは進まなかった」
— ルールが決まるまでの過程でご苦労された点はございましたか。
最も苦労したのが書類作りです。情報資産の洗い出しという作業はやったことがありませんので、どのレベルまで情報資産を洗い出せば良いかという判断は大いに悩みました。特に気を遣ったのが、『DocBase』に関連する情報資産の洗い出しとリスクレベルの設定です。また、自社サービスと受託開発では、同じような情報でもリスクが変わりますので、切り分けてリスト化する作業にも手間取りました。
— そういったご苦労に対して、LRMはどのようなサポートをしてくれましたか。
情報資産の洗い出しに関しては、一旦こちらでまとめたものを見ていただいて、改善すべき点があればアドバイスをいただきました。
また作業が遅れがちな時もフォローしていただきました。他の業務と並行して作業をしていたこともあって、やるべきことを忘れてしまうことがたまにありました。そういった時に、いつまでに何をすべきかを改めて示した上で、『Zoom』を使ったオンラインの打ち合わせを緊急にセッティングし、チェックしてくれました。金子さんと二宮さんの柔軟なサポートがなければ進まなかったと思います。
— 従業員教育に関してはいかがでしたか。
セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使って、全員にテストを受けてもらいました。情報セキュリティの考え方を共有するには便利なツールですので、今後も継続していきたいと考えています。
— 『セキュリオ』を使った教育は社員の方だけを対象に実施されたのですか。
はい、社内だけで実施しました。あれは外部の方に使っていただくことも出来るのですか。
<LRM>
はい。特に社内、社外の制限はありませんので、パートナーの方に使っていただいても問題ありません。お取り組み終了後に有償でご契約いただく場合、配信数は月30配信もしくは年間100配信です。ユーザー数は社内外問わず、10,000ユーザーまでお使いいただけます。
では、今後はそういう形で開発パートナーの方にもテストを受けていただくことはやってみた方がいいかも知れません。現状では委託先管理としてアンケートは実施していますが、開発パートナーの方々にも弊社の情報セキュリティマネジメントに準じた仕事をしていただけるよう検討したいと思います。
— 内部監査員代行についてはいかがですか。メリットを感じられることはございましたか。
はい。代行していただいて良かったと思います。
今回、金子さんたちに来ていただいて内部監査を実施したことで、ロッカーを含め、社内の整理が一気に進みました。このまま審査を迎えるのはまずいということで、社員全員に出社してもらって、個人的なものは家に持ち帰ってもらいました。また、各自持っている情報資産も全て出してもらって、まとめていきました。さらに、二人で社内の掃除や創業時から累積していた書類も全て2日かけて整理しました。ひょっとすると、文書類をまとめる作業よりも苦労したかも知れませんが、整理が出来て良かったと思っています。
— 紙は結構使うのですか。
ほとんどデジタル化出来ていますが、契約書や決算資料などは紙のままです。頑張って減らそうとは思っていますが、どうしても出てきます。今回、そういった書類はまとめて鍵付きキャビネットに保管しました。
— 審査の結果はいかがでしたか。
思ったよりも短時間でスムーズに終わりました。もっと物理的なところが見られるのかなと思いましたが、苦労して整理したところがあまり見られませんでした。「キャビネットもありますね」と、大体整理されていることを確認して終わりました。指摘も軽微なものだけでした。
文書類の作成とチェックには『DocBase』を活用
『DocBase』の導入企業が急増しているので、インフラ周りの強化が課題です
(代表取締役・天野充広氏)
— ISMS認証取得のプロジェクトでは『DocBase』は使われたのですか。
はい。LRMのお二人にも弊社が管理する『DocBase』に入っていただいて、検討課題を共有しながら作業を進めました。また、マニュアルなどの文書類も『DocBase』で管理しやすいものは『DocBase』を使っています。Microsoft『Excel』で作成した台帳類などは『DocBase』からリンクを張って管理しています。そういった外部のドキュメント類も『DocBase』でうまく表示させることが出来ればさらにまとめやすくなるかなと思っています。
— 『DocBase』を活用されることは御社の方からのご希望だったのですか。
いいえ、独自のツールを使うという発想は持っていませんでした。最初に金子さんと二宮さんから、使いましょうかというお話しをいただいて、文書作成と進捗確認に活用しました。『DocBase』には承認系の機能がないので、代わりに「いいね」の機能を使うという方法もLRMからご提案いただいて採用しました。
— 審査前の準備などで、メールや電話でお問い合わせされることはありましたか。
メールでのやりとりは多少ありましたが、大体のことは予め設定された定期的な打ち合わせと、途中追加で実施したオンライン会議で確認し、アドバイスをもらうという形で進めることが出来ました。
フルリモートの環境整備とISMS運用体制の見直しが次の課題
— ISMS認証を取得したことについて、外部からの反応はありましたか。
まだプレスリリースをさらりと出したばかりなので、具体的にはこれからだと思います。
— 今回のコロナ禍の影響を受けて、事業継続で不安になられるようなことはありませんでしたか。
事業継続の不安はありませんが、違う意味での影響はありました。テレワークを採用する企業が増えたことで『DocBase』を導入されるお客さまが増えましたので、インフラ周りをさらに強化しなければいけない状況になりました。『DocBase』は今後もニーズが増えることが見込まれます。ISMS認証の取得が効力を発揮する機会も増えるでしょう。
— 今後の情報セキュリティ上の取り組みについて展望などがございましたらお話し下さい。
現在、弊社自体も完全にテレワークに移行していますが、ISMSの構築段階ではそこまで想定していませんでした。
今後、やりづらいところや、気付いていないリスクが見つかるかもしれませんので、その時は改善して自分達のルールに組み込んでいきたいです。
また、ISMSの運用体制も見直す必要が出てくると考えています。現在は天野と浅海の2名が中心になっていますが、
実働は現場の社員に任せた方がより実情に合ったマネジメントシステムになると考えています。
今年度は、現状の体制を維持していきますが、来年度以降は、天野がトップマネジメント、浅海がセキュリティ管理者となり、実働を別のメンバーに任せることも考えています。その際は管理者教育も重要な課題となるでしょう。
今後は運用体制を見直さなければいけません。
管理者教育のサポートにも期待しています
(右から浅海氏、天野氏 ※左から弊社金子、二宮)
ISMS運用の抜け漏れを防ぐために『情報セキュリティ倶楽部』を契約
— LRMのコンサルティングを受けたご感想をお話し下さい。
LRMに依頼したおかげでいろいろ助かったなと感じました。お二人とも何かあったらすぐに来て下さるなど、迅速な対応で、説明はわかりやすかったです。LRMと話す前は不安しかありませんでしたが、今ならLRMから言われた通りにやれば開発スタイルを変えることなく、ISMS認証が取得できると言い切れます。
— ISMSの運用サポートはお考えですか。
ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。我々だけで運用していくと、監査や教育などいろいろな面で抜け漏れが発生する可能性もあります。また、状況が変わってルールを見直さなければいけないことも出てくるでしょう。その時に、我々が考えていることをチェックしていただいて、他社の実例なども交えてアドバイスしていただけることを期待しています。さらに新しいメンバーにISMS運用の実働を任せる可能性もありますので、管理者教育を含め、様々な局面でLRMのサポートが必要になると考えています。
株式会社クレイ様、お忙しい中ご対応いただきありがとうございました。
今後ともよろしくお願いいたします。
※ 株式会社クレイ様のWEBサイト
※ 取材日時 2020年6月
- クラウドサービス(SaaS)開発・提供
- 受託開発
- 社内の運用を変えない
- 50名未満
- 東京
- 1拠点