グラフテクノロジー株式会社様 – 顧客事例 –

2019年10月にリリースした『Withdesk Browse』の導入が順調に進む中、グラフテクノロジー株式会社はLRMのサポートを受け、ISMS/ISO27001認証を取得しました。取締役CTO・君島隆朗氏が、認証取得に向けて抱いていた懸念点やLRMにコンサルティングを依頼した経緯、そして取り組みの成果などについてお話し下さいました。

お客様が抱える課題とISMS構築アプローチ

• 現状の自社のセキュリティレベルが分からない
• 取得に際して、工数や負担感が分からず不安
• 社内にISMS取得・運用の経験者がいない

• 属人的に管理していた情報資産等を台帳に整理し、一元管理ができるように
• ロードマップに沿って段階的に進めることでタスクが溢れかえることなく対応できた
• オフィスの規模など、現状にそぐわないルールは採用せず、業務が煩雑化しないようなルールを構築

LRMコンサルティングサービスへの感想

• 文書のひな形の質が高く、企業実態に合わせて部分的に最適化する程度の修正のみで済んだ
• 必要があれば予定外の打合せにも快く対応するなど親身になってもらえた
• 不明点は、納得ができるまでしっかり時間を割いて対応してくれた

（グラフテクノロジー株式会社について）

コールセンターやサポートデスクといったカスタマーサービス部門向けに最適化されたクラウド型のカスタマーサービスプラットフォーム『Withdesk（ウィズデスク）』を開発している。2019年10月、正式にリリースしたコブラウズソリューション『Withdesk Browse(ウィズデスク ブラウズ)』は、すでに流通業、金融機関、保険会社など、幅広い業界のカスタマーサービス部門で導入が進んでいる。
コブラウズとは、オペレーターが、エンドユーザーの閲覧するウェブページをリアルタイムに確認しながらウェブページへの遠隔操作を含めたサポートを行うための技術。従来のスクリーンシェアと違い、顧客側端末のウェブブラウザに表示されたページのみを共有するため、他のアプリケーションを開いたりデータを触ったりする心配がない、プライバシーやセキュリティに配慮したサービスである。ソフトウェアのインストールが不要であることや、対応開始までの手順が簡単などの手軽さがあり、スモールビジネスにおける顧客対応など活用の幅は広い。非対面によるカスタマーサービスのニーズが増える中、順調に導入件数を増やしている。
本社：東京都品川区。設立：2018年4月。

— LRMへのご依頼内容をお話し下さい。

グラフテクノロジー株式会社は、2020年4月末、LRMにISMS/ISO27001認証取得コンサルティングを依頼しました。担当コンサルタントの親身なサポートを受けながら、マネジメントシステムの構築、ドキュメント類の作成に取り組み、9月中旬に第2段階審査を受け、10月にISMS認証を取得しました。

— ISMS認証取得の理由をお話し下さい。

ISMS認証を取得した理由は、企業としての責務を果たすためです。Withdesk Browseを導入する多くのお客様は、
個人情報を扱う事業を行っています。その分セキュリティ意識が高く、弊社にも同等のセキュリティレベルが求められます。弊社においても、サービスの導入数増加に伴い、セキュリティチェックシートへの回答を求められる機会が増えていました。そのような背景から、情報セキュリティマネジメントシステムを確立し運用していくことはサービスを提供する企業のミッションであり、お客様にとっては安心材料の1つにもなると考え、ISMS認証を取得しました。

— ISMS認証取得にあたってご心配されたこととか懸念されたことはございますか。

懸念していたことは大きく分けると2点ありました。

（1）ISMSを確立するために求められる改善の度合い
弊社の情報セキュリティレベルをISMSの規格（ISO27001）と照らし合わせた際、どの程度満たせているのかどうかがイメージ出来ませんでしたので、情報セキュリティマネジメントシステムを確立するために、どれくらいの改善が求められるのか、もっと言えば、現実問題としてISMSが取得できる状態にあるのか、漠然とした不安はありました。

（2）ISMS認証取得に向けた準備にかかる負荷
ISMS取得に向けて作成する資料の分量やルール構築にあたっての工数、または、それによってどの程度、業務に影響が出るのかが未知数であり、懸念点の1つでした。

弊社のメンバーは前職までに、それぞれが所属した会社で情報セキュリティに関する教育は受けています。
しかし、ISMS認証取得についての知見はありません。私自身、前職時代はシステム会社におりましたので、システムのリスク管理に関する知識は前提として把握していましたが、ISMSの取得や運用の経験はありませんでしたので、LRMのサポートを受けて取得することになりました。

— どれぐらい負担がかかるのかといったご懸念に関しては、ある程度はクリアできた状態で取り組みをスタートされたのですか。

LRMのサポートもあり、認証を取るまでの道筋はある程度把握した状態で進めることが出来ました。
年間の実施項目管理表を作成し、それに沿って進めていただきましたので、いつまでに何をやらなければいけないかは明確にイメージした上で進めていくことが出来ました。また、ルールの構築やドキュメント作成に取り組む際は、叩き台となるひな形をご用意いただき、弊社の実態に合わせていくという方法で進めて行きましたが、ロードマップに沿って段階的に進めていくため、タスクがあふれかえるという事態にはなりませんでした。

LRMのひな形は非常に良く出来ていました。弊社の実態に合わせるために、様々な要望は出しましたが、しっかり体系立てて作られていたので、バッサリ変えるようなところはなく、我々の実態に合わせて部分的に最適化していく程度の修正で済みました。ひな形の質は高いと感じました。

— ISMSの要求に対して、自社の運用をどの程度改善しなければいけないのかというご懸念を抱いていたとのことでしたが、実際に改善したところは多かったのですか。

基本的には、良くないところがあれば、これを機に全て改善してより良くしていこうというスタンスで取り組みましたので、細かい改善点はいろいろとありました。

ただ、LRMにいただいたマニュアルの叩き台には書いてあっても、オフィスの大きさなど弊社の現状にそぐわないルールは削除しましたし、弊社にとって過剰と思われる対策は、業務の煩雑化、工数の係り過ぎ、情報の埋没といったリスクが伴うため、弊社にとって最適化と思われるルールを構築しました。

— 先ほど『セキュリオ』について言及されていました。eラーニング機能の使い勝手はいかがでしたか。

『セキュリオ』のeラーニング機能は、軸がしっかりしていると感じました。受講者全員の点数を一覧で把握出来ることや、合格と不合格のボーダーラインがわかることなど、プラットフォームとして不満はありませんでした。
あえて要望を挙げるとすれば、教材のボリュームはもう少しあっても良いかなと思いました。考え方としては、ISMS認証を取得するために従業員教育が過剰に負担にならないよう、ミニマムな教材を用意されているのだと思います。
その分、合格のハードルが下がっているように感じました。もう少しボリュームが増えれば、より教育効果の高い教材になるのではないかと感じます。

— 法令管理機能も使われたのですか。

はい。法令管理については、我々の業務や業界に関連した法令がある程度ピックアップされており、一覧の中から選んでチェック出来るので、自分たちでわざわざ選定する必要がないところが便利だと思います。

— 内部監査のサポートは受けられましたか。

内部監査員を代行していただきました。本来、内部監査員は弊社の社員が務めるべきだとは思いますが、どのような方法で、どのような観点で監査すれば良いかノウハウがありません。今回はLRMに内部監査員を代行していただくことで、そのノウハウをご教示いただきました。
またLRMに内部監査員を代行していただいたことで、審査前の不安解消にもなりました。

— 実際の審査での評価はいかがでしたか。

おかげさまで、いわゆる不適合はなく、根本的な改善は求められませんでした。細かい改善の機会は数件ありましたので、現在、情報セキュリティ委員会の活動に組み入れて取り組んでいるところです。

— 今回の取り組みでご苦労されたことはございますか。

情報資産台帳や委託先管理台帳の作成は、これまで属人的に管理していたものを整理していく工程があり、時間がかかりました。ただ今回、ある程度整理が出来て一元管理出来るようになりましたので、良い機会になったと感じています。

弊社はIT分野のスタートアップということもあり、スピードが求められる状況ですが、セキュリティに関しては、一旦立ち止まり、俯瞰して見直して改善することが出来たことは、今後の成長に向けた1つのターニングポイントになったと考えます。

— ISMS認証を取得したことにより、社内には変化がございましたか。

ISMS認証を取得したことで、襟を正して情報セキュリティという課題に向き合うきっかけにはなりました。全社的な共通認識が出来た効果は大きいと感じます。

また、システム担当者として感じたことですが、今回の取り組みは情報セキュリティのみならず、システム運用の部分でも、普段の業務の中で気がつかなかったリスクや、業務改善の余地に気付くきっかけになりました。審査を受けた際に、サービスのシステム基盤に採用しているAWSの管理方法をチェックされる機会があり、無意識にやっていたことを有意識化できたことは有意義に感じました。

— 現状、ISMSの活動としてはどのような取り組みをされているのですか。

情報セキュリティ委員会を設置し、定期的に集まって、ISMSの年間実施項目の取り組み状況を確認しています。

— 今後の展望や課題をお話し下さい。

情報セキュリティ対策に100%はありません。システム周りのセキュリティ強化など、まだ出来ること、やるべきことは残っていますので、1つずつクリアしていくような取り組みを継続していきたいと考えています。
また、今後会社が拡大していった際に全従業員の情報セキュリティに対する意識を落とさず一定に保ち続けられるような取り組みも続けて行かなければいけないと考えています。

さらに、まだ具体的な検討はしていませんが、ISO27017/ISMSクラウドセキュリティ認証をはじめ、自社の体制整備に繋がる認証は積極的に取得していきたいと考えています。

— LRMのサポートを受けたご感想をお話し下さい。

まずISMS認証取得に向けて審査までのロードマップを引いていただけたことで、我々は迷わずに取り組むことが出来ました。

また、LRMのコンサルティングで最も良かったことは、親身な対応です。1つの文書を作成するにしても何度も打ち合わせを重ね、必要があれば予定外の打ち合わせにも快く対応していただきました。それによって不明点は都度解消することが出来ました。ISMSは我々にとってはわからないことが多かったため、沢山の質問をしましたが、我々が納得出来るまでしっかり時間を割いて対応して下さいました。

今回の取り組みでは、変えるべきところは変えようという基本スタンスでしたが、自社の業務に最適化されたルールを作りたいと考えていました。またやるからにはルールの意図を正確に汲み取る必要があります。それを曖昧にして表面的なルールを作っても実効性のある運用は実現出来ません。繰り返して質問した背景にはそういった意図がありました。

— 今後、LRMへの御期待がございましたらお話し下さい。

今後、弊社がどのように変化していくかは未知数です。どう変化してもマネジメントシステムを維持していくためにはLRMの親身なサポートは有効に働くであろうとは考えています。また私は、システム管理者と情報セキュリティ管理者を兼任している状況です。このままの状況が続くと開発の仕事が滞ってしまう可能性がありますので、ISMSの運用負担を軽減していただけるようなサポートをしていただけると助かります。より最適な進め方があれば、ご提案いただきたいとも考えています。

グラフテクノロジー株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ グラフテクノロジー株式会社様のコーポレートサイト
※ Withdesk（ウィズデスク）のサービスサイト
※ 取材日時 2020年11月