フラッグシップ合同会社様 – 顧客事例 –
事業の成長とともに大きくなってきた情報セキュリティ上の課題に対応するためISMS/ISO27001認証を取得したフラッグシップ合同会社。しかし自社の事業環境に及ぼす影響には不安もあったと言います。LRMにサポートを依頼した経緯、ISMS/ISO27001認証を取得した成果などについて、代表・神馬光滋氏にお話を伺いました。
記事index
(フラッグシップ合同会社について)
世界最大の自社ECサイト開発・運用のためのクラウドサービス『Shopify』によるECサイト開発支援を行う会社である。特に同サービスの最上位版にあたる『Shopify Plus』を使った月商1億円以上のエンタープライズECサイトの開発に特化。日本初のShopify Expert並びにShopify Plus Partner認定企業として、『Shopify Plus』を使った自社ECサイト開発支援では、国内最多の導入実績を誇る。同プラットフォームを使ってECサイトのベストプラクティスを実現するノウハウと、機能拡張モジュールを豊富に保有することで、短期間でのローンチを実現。社内公用語に英語を採用し、英語が堪能な社員を揃えることでカナダに本拠地を置く開発元やパートナー企業との円滑なコミュニケーションを実現していることも大きな強みとなっている。さらにGUIオートメーションツールの導入、業務効率化システムの開発、フロントエンドを制御する高機能CMSやマニュアルなどの提供により、クライアント企業における業務の内製化を徹底支援するビジネスモデルも、他のEC支援会社との差別化要因の1つである。
設立;2012年7月。本社;東京都目黒区。従業員数;23名(2020年8月現在)。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
フラッグシップ合同会社は2019年12月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。LRMの担当者は松岡さんと二宮さんです。お二人のサポートを受け、2020年6月下旬、ISMS認証を取得しました。
— 審査時期は2020年4月から6月にかけてということで、コロナ禍による緊急事態宣言の最中のことだったのですね。
そうです。文書の読み合わせは対面で実施出来ましたが、その後の細かい確認や内部監査はメールと『Zoom』を使って行いました。審査機関による審査もリモートで実施しました。
ビジネスの成長とともにISMSの必要性を認識
ISMSは内部統制環境を整えるためのガイドライン的なものだと教えていただきました
(代表・神馬 光滋氏)
— ISMS認証取得の理由をお話し下さい。
弊社がISMS認証を取得した理由は、対外的な信用を獲得するためです。
『Shopify』は、“Make Commerce Better For Everyone”(「全員のためにコマースを良くしていこう」)というコンセプトで開発・提供されているプラットフォームです。
そのため中小規模のECサイト構築に適したプラットフォームであるというイメージで捉えられがちですが、弊社は当初からエンタープライズECサイトが定常運用するための拡張性やインフラ、ツール、サポート体制が揃った『Shopify Plus』を使ったECサイトの開発支援に注力してきました。
エンタープライズのお客様が増えるに連れ、社内の課題として浮上してきたのが情報セキュリティ体制の整備です。その課題に向き合う中でISMS認証の存在を認知するようになり、弊社においても事業を拡大する過程ではいずれ必要になると考え始めました。
さらに詳しく勉強してみると、ISMSは社内のマネジメントシステムを整備するためにも最適な仕組みであることがわかってきました。従来も情報の管理には意識的に取り組んでいましたが、体系化された社内ルールは定めていなかったこともあり、共通規格や体系化されたマネジメントシステムのもとでしっかり管理していきたいという想いから、ISMS認証取得に向けて動き始めました。
— 御社は公用語に英語を採用していることもあり、従業員の皆さんは外国籍の方が多いと伺いました。
はい。全従業員の約7割が外国籍です。出身地は15カ国に及びます。異なるバックグラウンドを持ったメンバーが集まっていると、想定していなかった前提の違いがあります。ビジネスパーソンとして、またはコンピューターエンジニアとしての共通知識は基盤にありますが、それ以前の文化的背景による前提が異なることで生じるコミュニケーションミスの可能性を踏まえれば、共通のルールやガイドラインのもとで、きちんと統制が取れることが非常に重要です。
— 従業員の皆さんのほとんどがエンジニアですか。
いいえ。エンジニアは全体の約7割です。その他はプロジェクトマネージャー、総務系スタッフです。エンジニア以外のメンバーに対するケアは出来ていませんでしたので、そういう意味でも、体系的、網羅的にカバーしたいという気持ちはありました。
— 先ほどISMSについて勉強されたとおっしゃっていました。
はい。いろいろ調べました。他のISOとの違いやプライバシーマーク(以下、Pマーク)との違い、弊社のビジネスにとって何が一番有効なのかを調べてISMSを選択しました。
— PマークではなくISMSを選んだ理由は、扱う情報が個人情報ではないということですか。
弊社の中では、扱う情報の種類より、ビジネスで向き合う対象の違いによって区別していました。
PマークはB to Cビジネスをしている企業や、Pマーク取得が入札条件に含まれる官公庁との取引をしている企業にとってより有効と感じました。それに対してB to Bのビジネスや、B to B向けのシステムを提供している会社はISMSの方が有効であるという仮説を立てました。そのように区別して考えると、弊社のビジネスはB to Bですので、ISMSが適していると認識しました。
英語、リモートワーク、海外取引など、独自の事業環境を考慮しコンサルティング会社を選定
— コンサルティング会社を選定する上で留意したポイントをお話し下さい。
他の組織と弊社との違いとして認識しているのが、(1)社内公用語に英語を採用している、(2)リモートワークを容認している、(3)海外企業との取引がある、の3点です。これらの条件がISMSの認証取得や運用に及ぼす影響が不明でしたが、LRMはそれぞれに対して明確な答えを返してくれました。それがLRMにコンサルティングを依頼した決め手です。
— 英語を社内公用語としていることに関してどのようなご心配があったのですか。
心配していたのは従業員教育です。ISMS認証を取得するには従業員教育の実施は必須です。ISMSとは何か、情報セキュリティとは何かを、日本語を母国語としない外国籍の人材が多い組織でいかに周知していくかが心配でした。
— LRMの回答はどのようなものでしたか。
セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使った従業員教育をご提案いただきました。新規取得の際に学ぶべきISMSの基礎に関しては、英語対応の教育コンテンツが用意されていました。
— リモートワークは以前から容認されていたのですか。
リモートワークはコロナ禍の影響で、現在も完全リモートワークとしていますが、弊社ではそうなる前から寛容に容認していました。そのような状況でISMS認証を取得することが可能なのかどうか不明でしたが、LRMはフルリモートワークを導入している企業へのサポート事例を何件も持っていたため安心しました。
— 海外企業との取引に関してはいかがでしたか。
『Shopify』を開発・提供しているのはカナダの上場企業です。その開発元であるShopify HQをはじめ、委託先や仕入れ先など、弊社は海外に多くの取引先があり、それがISMS認証取得にどう影響するのか分かりませんでした。LRMからは、委託先管理台帳の中で管理するといった旨の回答をいただきました。
— LRM以外には何社比較されたのですか。
LRM以外には2社の話を聞きました。その中には有名企業の子会社もありましたが、いずれもLRMほど明解な回答はいただけなかったため、LRMに依頼しました。
ドキュメント類が集約され整理されたことで業務効率化に繋がった
緊急事態宣言中は、リモートで画面共有をしながら内部監査や審査の予行演習、文書類のチェックなどを実施。
— ISMSのルール作りによる業務への影響はご心配ではありませんでしたか。
ISMS取得以前は実際にISMSの運用が始まると、何をするにしても組織が重くなるのかなという心配はありました。
— 結果はいかがでしたか。
LRMのお二人にサポートしていただきながら、社内管理の基盤となるマニュアルの整備や、プロセスのデザインができました。現実として、あまり業務一個一個が遅くなるような実感はありません。業務で扱う各ドキュメントが集約され、整理されたことで、常に最新の情報にアクセス出来るようになり、業務の効率化に繋がった側面もあります。新しい施策はいくつかありますが、過剰だと思う手続きはほとんどありません。今まで出来ていなかった体系的な管理ができるようになって、むしろ今が適切な状態だと感じます。
— それが今回ISMS認証取得に取り組まれた成果でしょうか。
はい。それに加えて、ISMS取得のプロセスを通じて、属人的なナレッジを体系的に文書化出来たことも大きな成果です。これまで私や総務の人間だけが把握していたような情報が集約され可視化されましたので、極論を言えば、社長が突然倒れても業務は回せます。それもISMSを構築したメリットの1つです。
さらに、各部署のリスク分析をしたことで様々な潜在リスクを発見することができました。そしてリスクごとに想定対応シナリオが作れたことで、漠然とした不安が減りました。
— 新しく取り入れた施策の例として挙げられることはございますか。
携帯端末の管理ルールとして、業務で使用するAndroid端末にセキュリティソフトをインストールするルールを設けました。iOSは端末自体で守っているから処理は不要という判断をしました。
また、会社が所有するPCを個人に貸与する際のフローも決めました。これまでは口頭ベースでやりとりしていましたが、ドキュメントで管理するワークフローを取り入れました。現在もフルリモートワークを継続中ですが、このようなワークフローを確立したことで、しっかり管理できるようになりました。また、ワークフローが回っている状態が見えることで、決めたルールが浸透してきていることも実感として持つことが出来ています。
— 安心してリモートワークを行うための体制作りとして取り入れたことは御座いますか。
ビデオ会議のハードルを下げました。社内でビデオ会議をする際のツールは『Google Meets』で統一していますが、誰でもいつでもすぐにビデオ会議の部屋を作ることが出来るようにしました。会社全体の共通のセキュリティポリシーを設定し、会議の度に意識しなくてもセキュリティが守れるようにしたことで、簡単な5分の打ち合わせでもすぐに準備できる環境となっていいます。
LRMのガイダンスにより業務負担を軽減するマネジメントルールが実現
— ご苦労されたことは御座いますか。
苦労したのは、ドキュメントを作成する際の社内の情報を集約する工程です。コロナ禍で全員がリモートワークの時期だったことも影響しました。特に機器管理台帳を作成する際に、会社が保有している機器の情報を集めるプロセスでは、端末のシリアル全ての項目を埋めるのに時間がかかりました。端末のシリアル番号を調べる時に、シリアル番号の調べ方がわからない、資料のどこに書いてあるのかわからないなど、やりとりするのに時間がかかりました。ISMSは総務部が担当していますが、部門を上げて人海戦術で乗り切りました。
— ルール作りに関してはいかがでしたか。
ルール作りに関してあまり苦労はなかったです。リスクの特定やルール決めは弊社が考えるべきことですが、リスクを洗い出すためのフレームワークやマニュアルのひな形をご提供いただけたので、苦労はありませんでした。
— 業務負担が却って軽くなった面もあるとのことでしたが、そういったセキュリティルールが構築出来た要因は何でしょうか。
LRMのひな形と、コンサルタントによるガイダンスです。
初回打ち合わせで、LRMからISMSとは何かという説明を受けた際に、与えられたルールや決められた書式を絶対に守らなければいけないものではなく、内部統制環境を整えるためのガイドライン的な性格が強いということを学びました。実際のルール作りもそういうコンセプトで進みましたが、LRMのひな形とガイダンスがあったおかげで、ISMSの要求事項を満たしながら社内の実情から逸脱しない範囲でルールを体系化することが出来ました。また、これらのサポートがあったおかげで、効率的かつ迅速にルール作りが出来ました。
— 従業員教育についてうかがいます。『セキュリオ』をご利用になられたご感想をお話し下さい。
ISMSの取得・運用で求められる従業員教育で必要な機能が一式揃っていて便利なツールだと思いました。ISMS認証制度では、従業員教育を単に実施したという記録だけではなく、従業員の理解度をチェックすることが求められます。
そのための教材やテストを自前で作成して実施するのは大変です。特にリモートワーク中の社員への周知や実施状況ならびにテスト結果の管理、さらに実施出来ていない社員への催促など、滞りなく行うことが出来ました。
— 今回作成した教材やテストの社内共有はどうされたのですか。
『セキュリオ』を使って全従業員に配信しました。これらは LRM のサポートを受けながら作成して日本語版を確定させた上で、弊社内で英訳したものを登録して共有しました。
— 内部監査員のサポートはいかがでしたか。
第1段階審査と第2段階審査の、それぞれ2週間前ぐらいにLRMの松岡さんと二宮さんに内部監査員を代行してもらって内部監査を実施しました。内部監査もリモートで実施しました。
— 内部監査員を代行してもらうメリットは感じられましたか。
身内だけで実施してしまうと真面目さに欠け、実効性が弱まってしまうように感じます。第三者に入っていただくことで緊張感が生まれますので、それだけでも価値はあると思います。また、我々が持ち得ない視点で質問していただけましたので、新たな気づきを得て改善に繋げる機会にもなりました。
— 審査前の準備でご苦労されたことはございませんでしたか。
審査がどんなものかイメージが湧きませんでしたので、どこまで突っ込まれるのかなど不安はありました。ただ内部監査とは別に、審査直前のLRMとの打ち合わせで審査の予行演習を実施していていただきましたので、ある程度の心構えをした上で本番に臨むことが出来ました。
「ISO27701をはじめ、情報セキュリティやISOに関する
情報を継続的にインプットしていただきたいです」
(中;神馬氏)
情報セキュリティのプロフェッショナルとしての情報提供を期待
— ISMS認証取得後、お客様からの反応などに変化はございますか。
大手のお客様と新しく取引をする際、情報セキュリティチェックシートへの回答を要求されることがありますが、ISMS取得後は免除されることも増えました。その分営業コストが下がりましたし、ISMS認証取得前より対外的な信用力は高まりました。
— 情報セキュリティの取り組みに関して、今後の展望や課題などが御座いましたらお話下さい。
ISMSを確実に運用していくためには、社内の情報セキュリティに対する意識の底上げが課題になります。現状ではまだ上級職と一般職で、意識のレベルに差がありますので、教育を充実させていきたいと考えています。
— 『セキュリオ』は継続してお使いになられるのですか。
はい。ISMS認証取得後も活用するために、改めて契約をしました。ただ『セキュリオ』で配信されている教材の英文コンテンツは、新規取得に必要なものだけなので、今後は『セキュリオ』で配信された教材を使用する場合は、社内で英訳して使用することになります。希望としては、LRMに英訳版まで作成していただければなお有り難いです。
— ISMSの運用支援サポート『情報セキュリティ倶楽部』はご契約されているのですか。
はい。情報提供を期待して契約しました。『セキュリオ』でも関連法令のアップデート情報を配信していますが、その他、ISO27701(プライバシー情報マネジメントシステム。2019年8月に発行された個人情報保護を対象とする新しい規格)など、情報セキュリティやISOに関する情報を継続的にインプットしていただきたいと考えています。
我々にとって情報セキュリティやISOは重要ですが、特別にアンテナを立てて、感度高くチェックできるわけではありません。重要なアップデートがあった時に、情報セキュリティのプロフェッショナルとして教えていただけると助かります。
フラッグシップ合同会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ フラッグシップ合同会社様のWEBサイト
※ 取材日時 2020年8月
- クラウドサービス(SaaS)開発・提供
- 従業員のセキュリティ意識向上(外国籍含む)
- 海外への事業展開
- 50名未満
- 東京
- 1拠点