株式会社Newbees様 – 顧客事例 –

“絶対に漏らさない”覚悟でISMSを構築しました。WEBサービスの開発業務を理解しているLRMは心強かったです

マッチングサービスの領域に特化したアプリ開発で安定した成長を続ける株式会社Newbees。事業の成長とともに社内のセキュリティ強化が課題となり、ISMS/ISO27001認証取得に取り組みました。同社が目指したマネジメントシステムとは何か。LRMに依頼した経緯や、取り組みによって得られた成果などを、代表取締役・鈴木氏、GAリーダー・山本氏、人事総務部GAスタッフ・吉田氏の3名に伺いました。

お客様が抱える課題とISMS構築アプローチ
  • マッチングサービスの受託開発事業のため、漏えいを絶対に避けたい
  • 人為的な要因で生まれる脆弱性を減らしたい
  • 社長も取得に参加し、社内周知を徹底することで、一人ひとりの意識改革を図った
  • 権限管理のルールなどを定め、誰にどのような権限が付与されているのかを可視化
  • 漏らさないためのPDCAを回せる体制を構築
LRMコンサルティングサービスへの感想
  • 不明点に対して、即答してもらえたので、作業を円滑に進められた
  • LRMのひな形は、構成自体を大きく変えず部分的なカスタマイズで済んだ
  • 『セキュリオ』のeラーニング機能は、教育実施記録をオンラインで一元管理できるので便利
(株式会社Newbeesについて)

スマートフォン向けのWebアプリ、ネイティブアプリの開発を行うシステム開発会社である。ガラケー時代からモバイルデバイス向けのアプリケーション開発に従事し、度重なる技術革新に適応しながら技術を蓄積してきた。スマートフォン向けのアプリ開発に乗り出したのは2009年。ゲーム系、ツール系を中心に自社アプリ300本以上のリリース、累計3,000万ダウンロードの実績を持つ。2016年には、デーティング・婚活などのマッチング系サービスに必要な機能を全て揃えたオンラインマッチングシステムパッケージをリリースしヒット。大手サービスプロバイダへの導入もあり、現在は、マッチングサービス領域での受託開発を中心に、安定した経営基盤を築いている。デザインから開発、インフラまでワンストップで対応出来る開発体制が最大の強みだ。
従業員数;56名(2024年1月現在)。設立;2000年2月。本社;新宿区。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

鈴木氏 株式会社Newbeesは、2020年1月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。9月末に第2段階審査を迎えるまで、担当者・松岡さんにサポートしていただきました。コロナ禍の影響で、当初の計画より2ヶ月ほどスケジュールが遅れましたが、それを除けばスムーズに進行することが出来ました。

社内のセキュリティ強化対策の一環としてISMS/ISO27001認証を取得

ISMS取得は今後仲間を集める上でも弊社の強みになるでしょう

ISMS取得は今後仲間を集める上でも弊社の強みになるでしょう
(代表取締役・鈴木氏)

— お集まりいただいている方々について教えて下さい。

鈴木氏 今、ここに集まっているメンバーは全員ISMS事務局のメンバーです。代表・鈴木、人事総務部GAリーダー・山本、GAスタッフ・吉田の合計3名でISMS認証に取り組みました。

— ISMSを取得した理由をお話し下さい。

鈴木氏 弊社は、社内のセキュリティ強化対策の一環としてISMS認証取得に取り組みました。他には、システムの脆弱性診断(セキュリティ診断)、DDoS対策も行っています。

現在、弊社のメイン事業はマッチングサービスの受託開発です。おかげさまで事業を開始してから毎年170%前後の成長を遂げています。マッチングサービスでは一般ユーザーの個人情報を大量に扱います。弊社はサーバーの管理まで受託していますので、しっかり管理しなければいけないと考え、取り組みを始めました。

— お客様からのご要請もあったのでしょうか。

鈴木氏 いいえ。弊社が自主的に取得しました。婚活サイトやマッチングアプリといったサービスは、出会い系サイト規制法(インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律)という法律の規制対象です。その法律によって、お客様の登録時に身分証明書を取得することが義務づけられていますので、サーバーには身分証のデータが何万人分も蓄積されます。それが漏洩してしまうと事業を続けることは出来ません。特にマッチングアプリのユーザー情報は非常にセンシティブなので、漏洩だけは絶対に避けなければいけないと考えました。

— 「情報セキュリティに絶対はない」と言われますが、御社の場合は絶対に漏らさないためのマネジメントシステムを目指されたということでしょうか。

鈴木氏 その通りです。絶対に漏らさないという覚悟を決めて取り組みました。DDoS対策も、今の規模なら入れなくても良いのではないかという話が出ましたが、何よりお客様のデータを守るためですので、コストがかかってでもやるべきだと判断して実施しました。

— 具体的にはどのようなマネジメントシステムをイメージされていましたか。

鈴木氏 私は、ISMSを「人の脆弱性」を減らすための手段であると考えていました。もちろんシステムの脆弱性にも関わって来る部分はありますが、システムを扱っているのも結局は人間です。人為的な要因で生まれる脆弱性を減らしたいと考えていました。

山本氏 従来も情報セキュリティには気を遣っていましたが、エンジニアの作業効率を優先することで、知らず知らずのうちにセキュリティが緩んでしまうところはあったと思います。それを防ぐには、作業効率とセキュリティのバランスを取るための明確な基準を設ける必要がありました。ISMS認証を取得したことで、個人情報を取り扱う企業として最低ラインに立つことが出来たと感じています。

— 社内で抵抗はございませんでしたか。

鈴木氏 ISMS取得に取り組む前に社内で話をした際には、「ルールがきつくなるのでは?」といった声もありました。ただ、全員、自分達が扱っている情報が、センシティブなデータであることは理解していますので、納得してもらうのに苦労はしませんでした。

— ISMSの構築や運用において、社長ご自身が参加される意義はどのように感じておられますか。

鈴木氏 取り組みのスピードが早くなります。特に社内への周知については、経営者自身の言葉で説明した方が伝わりやすいのは確かです。特に取得目的は重要です。それを曖昧にしてしまうと意識改革が出来ませんので、徹底して伝えるようにしました。人の脆弱性を減らすためには、一人ひとりの意識改革が必要です。

同業者が高く評価。IT企業へのサポート実績が依頼の決め手

— コンサルティング会社選定の経緯をお話し下さい。

鈴木氏 インターネット検索などで何社かピックアップして、最終的にLRMに依頼しました。LRMに依頼した理由は実績です。
コンサルティング先のリストを拝見するとWEBサービスを提供しているITベンチャーが多く、中には弊社とお付き合いをさせていただいている企業も何社かありました。弊社とお付き合いのある同業者の中にLRMのサポートを受けてISMS取得に取り組んでいた企業があり、高く評価されていたことも決め手になりました。WEBサービス開発の業務を理解しているということは非常に心強い要素でした。

「漏らさないためのPDCAを回せる体制」を整備

遅い時間の問い合わせにも即答していただき、作業を円滑に進めることが出来ました

遅い時間の問い合わせにも即答していただき、作業を円滑に進めることが出来ました
(人事総務部GAリーダー・山本氏)

— 「絶対に漏らさないという覚悟」とおっしゃいましたが、それだけ厳しいルールを作られたのですか。

鈴木氏 そうですね。私を含めたISMS事務局4名で、しっかりルール作りを行いました。

— 例えばどのようなルールを作りましたか。

鈴木氏 例えば、端末の管理ルールを決めました。以前は、各チームで管理していましたが、現在は管理者を決めて一元管理しています。

山本氏 また、権限管理のルールも定めました。これまでは必要が発生した際に、その都度付与していましたが、申請から許可、付与まで権限付与の手順を明確にし、誰にどういった権限が付与されているのかが把握出来るようにしました。このように見える化したことで権限管理を整理しなおす機会にもなりました。

鈴木氏 必要のない領域にアクセスできないようにすることで、ヒューマンエラーが発生する確率を最小限に抑えることが出来ます。ヒューマンエラーをなくすという意味では、他にパスワード管理ツールも導入しました。

— 結果的に「絶対漏れない体制」は作れましたか。

鈴木氏 「漏れない体制」というより、「漏らさないためのPDCAを回せる体制」を整備したという認識です。事業を継続する以上、情報セキュリティ上の問題は、次から次へと生まれてきますので、PDCAサイクルを回しながら、その都度対策を取る必要があります。弊社では、ISMS認証を取得した後も改善を続けています。現場で情報セキュリティ上議題にすべきことがあれば、すぐにISMS事務局に報告が上がってきて共有されます。そして毎月、ISMS会議を開催し、報告された問題を議題に挙げて対策を検討しています。

ISMS事務局が中心となり会社全体で意識的に取り組むことが出来ていますので、ISMS認証取得の目的は達成できたと考えています。

夜遅い時間の問い合わせにも即答。作業が円滑に進む要因に

ISMS取得を通じて備品の管理などバックオフィス業務もしやすくなりました

ISMS取得を通じて備品の管理などバックオフィス業務もしやすくなりました
(人事総務部GAスタッフ・吉田氏)

— 取り組みの中で、LRMからはどのようなサポートがございましたか。

鈴木氏 ルール作りを進める上で、LRMのサポートは主に3点ありました。

(1)ひな型の提供
まず初めにマニュアルや情報資産管理台帳やリスク管理台帳など台帳類のひな型をいただきました。

(2)ルールの説明と問い合わせ対応
いただいたひな型を自社に合わせてカスタマイズをする過程では、記載されたルールの説明をしていただいた上で、実際に作業を進める中で出てきた不明点に対するアドバイスを頂きました。

(3)作成したドキュメント類のチェック
作成したドキュメントの記載内容を細かくチェックして頂きました。

山本氏 作業を進める中での問い合わせには、打ち合わせの場だけではなく、チャットやメールなどでもご対応頂きました。ドキュメントの作成に集中していると気付いたら夜の8時、9時になっていて、それから不明点を連絡するということが何度かありましたが、その度に即答していただきました。即答を期待していたわけではありませんが、作業を円滑に進められる要因にはなりました。

— ISMSで義務づけられている従業員教育やルールの周知はどうされたのですか。

山本氏 まず従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使用しました。『セキュリオ』で配信した教材は、情報セキュリティの啓発を目的としたコンテンツです。ISMSの基礎を学び、情報セキュリティの重要性を再確認する機会になりました。

一方、構築したルールは、一般従業員向けにガイドブックを作成し、読み合わせを実施して周知しました。

— 『セキュリオ』を利用されたご感想をお話し下さい。

山本氏 『セキュリオ』のeラーニング機能は、実施の記録や成績をオンラインで一元管理し確認出来るため便利だと感じました。現在も、新しいスタッフが入社した際には、初日に必ずガイドブックの読み合わせと併せて、『セキュリオ』による研修とテストを実施しています。

— eラーニング以外の機能は利用されていますか。

山本氏 法令管理機能を使っています。

鈴木氏 弊社の事業には、出会い系サイト規制法を初め、様々な法律が関わってきます。それらの法律が改正されると、サービスの改修が必要になる場合があります。最近では、2020年10月に施行された改正健康保険法に合わせて、本人確認のために取得する健康保険証のマスキング処理機能を追加しました。関連法令の改正は事業にも影響を及ぼしますので、常に最新版を管理出来る法令管理機能は重宝します。

— 内部監査員代行もご利用になられましたか。

山本氏 はい。お願いしました。内部監査とは何か、何をすれば良いのかがわかりませんでしたので、代行していただいて助かりました。実施している様子を拝見して理解出来た部分もありますが、自分たちだけで実施するように言われても、難しいように思います。第三者の視点でチェックしていただいたことで、我々自身が気付かないリスクをご指摘いただき、改善する機会にもなりました。

— 審査自体はいかがでしたか。

山本氏 審査では改善の機会をいくつかいただきましたが、全て自分達で対応出来るものだけでした。いただいた指摘事項のほとんどは、すでに対応を完了しています。今すぐ対応出来ないものに関しても、ISMS会議で検討し、年間実施計画に盛り込み済みです。全て年内に対応を完了する計画です。

セキュリティの高いチームで新たなビジネスを生み出したい

— ISMS認証取得の前後で、社員の方々の意識や行動の変化などはございますか。

鈴木氏 私自身、意識が変わった部分があります。例えば、日頃、何かを意思決定すべき時にISMSの視点で物事を考えるようになりました。社員から何か要望が上がってきた時は、一旦、「ISMS的にはどうなのか」を検討し判断した上で決済するようにしています。

また、従業員の意識や行動も変わりました。特にリーダー層は、何が良くて何が駄目かという判断を自分で下せるようになりましたし、その場で判断できないことがあれば、ISMS事務局に問い合わせて解決を図ろうとする行動が定着しました。

— ISMS認証を取得したことで、業務効率化に繋がることはございますか。

山本氏 悩まなくて良くなった分、効率化には繋がっているはずです。特に新しいことを始めるための準備をする際に考える時間が削減出来ています。

— バックオフィスの業務に関連してはいかがでしょうか。ISMSに取り組まれて良かったなと思うことはございますか。

吉田氏 バックオフィス業務に関しても、ISMSを構築したことで業務がしやすくなりました。例えば、社員が使用するアカウントやライセンスの管理、物理的なアダプターやケーブルといった備品の管理において、それぞれ管理台帳を作ることで状態が可視化され、管理がしやすくなりました。また、やらなければいけないのに出来ていなかったことや、余計なライセンスの付与のようなやらなくても良いのにやっていたことに気が付く機会にもなりました。

— 今後、ビジネスの中で、ISMSをどのように活かしていきたいと考えておられますか。

鈴木氏 システムは人が作り、人がアップデートしていくものですので、私は、システムの構築や運用には、セキュリティ意識が高いメンバーが関わるべきだと考えています。今回、ISMS認証を取得したことで、セキュリティ意識をしっかり持った方にご応募いただける基盤を作ることが出来ました。今後、仲間を集める上でも弊社の強みになっていくはずです。よりセキュリティ意識の高いチームで、新たなビジネスを生み出していきたいと考えています。

『SLACK』にLRMとのホットラインを引いて運用の相談

— LRMの選定理由が、御社と共通する業界の実績があるということでした。それを実感したところはございましたか。

鈴木氏 初めにマニュアルのドラフトをいただいて目を通した際に感じました。IT業界向けの内容でしたので、私達自身でカスタマイズしていく時も、構成自体を大きく変える必要がなく、部分的なカスタマイズで済みました。

— 従業員教育では『セキュリオ』を継続してご利用になられているとおっしゃっていましたが、運用面でのサポートは何か考えておられますか。

鈴木氏 ISMSの運用更新サポート『情報セキュリティ倶楽部』を契約しました。弊社は少人数の組織ですので、継続的にサポートしていただいた方が、運用がしやすいと考えて契約しました。

山本氏 現在は『Slack』にLRMとのホットラインを引いて、運用上の不明点があった場合に、質問させていただいています。次の維持審査に向けては内部監査もサポートしていただく予定です。

株式会社Newbeesの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社Newbees様のWEBサイト
※ 取材日時 2020年11月

  • システム開発・運用
  • クラウドサービス(SaaS)開発・提供
  • 受託開発
  • 50名未満
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら