アルファス株式会社様 – 顧客事例 –

アルファス株式会社は、LRMのサポートのもと、2024年7月にISMS/ISO27001認証を取得しました。認証取得の背景や課題、LRMに依頼した理由、取得後の効果などについて、同社で取締役 COO/CFOを務める新井様にお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• 情報セキュリティ体制を構築し、顧客からの信頼につなげたい
• セキュアな環境下で、自社のFinOpsサービスを提供したい
• なるべく最小限の工数で認証を取得したい

• 年間実施項目管理表を提示し、認証取得までにやるべきことを明確にした
• 会社のフェーズやリソースに合わせてルール策定を行った

LRMコンサルティングサービスへの感想

• 取り組みの全体像を共有しながら進めてくれた
• 担当者が忙しいときでも柔軟にスケジュール調整をしてくれた

（アルファス株式会社について）

「Cloud simplified.（クラウドを、もっとシンプルに）」をミッションに掲げ、Amazon Web Services（以下、AWS）やMicrosoft Azure、Google Cloudなどのパブリッククラウドの費用を管理するソリューションを提供しています。2019年からはマレーシアにも拠点を展開し、アジア市場への事業拡大を目指している。
設立：2015年1月。本社：東京都港区。従業員数10名。（2024年9月現在）

— まずは貴社の事業についてお聞かせください。

当社は、AWSなどパブリッククラウドの費用を管理するソリューションを提供しています。クライアントはパブリッククラウド事業者の上位パートナー（クラウドリセール事業者）で、当社がエンドクライアントへの請求書発行や費用報告、顧客管理などの業務を代行しています。

海外ではサーバーも含めてクラウドサービスが一般的になり、費用対効果を最大化する手法「FinOps」が注目されています。
日本ではExcelによる予算管理が大半ですが、クラウドサービスの利用増とともに、当社のFinOpsサービスへのニーズも高まるでしょう。

私はアルファス株式会社の取締役 COO/CFOとして、事業戦略の立案や目標設定・管理などの役割を担っています。
プロダクト開発を除く全てが私の管掌範囲になります。

— LRMへのご依頼内容をお話しください。

ISMS/ISO27001（以下、ISMS）の新規取得を目的として、LRMにコンサルティング業務を依頼しました。

— ISMS認証取得の背景についてお聞かせください。

ここ数年、クライアントのセキュリティ意識の高まりが見受けられます。セキュリティチェックシートの提出が求められるなど、私たちも社内におけるセキュリティ体制を見直す機会が増えていました。

クライアントの要望に都度回答するという形をとることもできたのですが、今後の事業拡大を見据えるならば、国内外で信頼のおける認証機関のセキュリティ対策を講じることが重要だと考えました。

— その他、貴社で課題に感じていたことはありましたか？

実は2年ほど前から、セキュリティ対策の検討は進めていたんです。ただリソースの問題もあり、なかなか前に進めることができませんでした。LRMへのコンサルティングを依頼したときでさえ、「本当に最後までやり切れるのか」という不安がありました。

— LRMを選んだ理由について聞かせてください。

私たちと同じベンチャーキャピタルの出資先企業から、LRMを紹介してもらいました。「コンサルティングのおかげでISMSの認証を受けることができた」と聞いていて、期待感を抱いていたんです。

— 認証取得はどのような体制で取り組んだのでしょうか？

基本的には私が責任者を務め、LRMのコンサルタントである高柳さんと連携しながらISMS認証取得に向けて進めていきました。

ありがたかったのは、最初に「年間実施項目管理表（認証取得・運用のためのToDoを管理するガントチャート）」を提示してもらったことです。「何を」「いつまでに」やらなければいけないのか明確になり、とても分かりやすかったです。やることをちゃんとやれば取得できると前向きな気持ちになれました。

— 本プロジェクトの進め方は想定通りでしたか？

最初にロードマップを示していただいたので、問題なくプロジェクトを進めることができたと思います。規定やマニュアルをしっかりと読み込むなど、地道な作業の連続でしたが、私自身の学びにもなりましたね。

意外だったのは、当社のフェーズやリソースに合わせた形で運用ルールを整備できたことです。国際規格なので、もっと“がんじがらめ”な形でルールを設ける必要があると考えてました。ISMS規格に記載されている管理策を参考にしながら、LRMのコンサルタントと1つずつ社内ルールを明文化していきました。

— 社内ルール制定にあたり、意識したポイントを教えてください。

暗黙知をいかに形式知に変えるかを意識しました。例えばパスワード生成のルール。「どのように生成して、どんな頻度で更新するのか」など、これまでは社員の情報リテラシーに依存して運用していたんです。社内ルールを制定したことによって、誰もがセキュアな形で運用できるようになりました。

なお当社はシェアオフィスを使用しているので、サーバーも含めて物理的に管理する物品などはほとんどありません。
全社員が原則リモートワークなので、重点的に管理すべきは情報端末くらいでしたね。シンプルな体制ゆえに、審査までの準備期間も短く済んだと思います。

組織規模が大きくなると、セキュリティ対策の基盤整備は大変になります。もちろん考え方次第で、企業が成長してからISMS認証取得を目指すのも良いと思います。ただ当社のように10名程度の組織規模であれば、洗い出すリスクも少なく、対応策もコンパクトにまとめられるでしょう。それゆえ私は、ISMS認証取得はなるべく早く着手すべきだと考えています。

— LRMのコンサルタントとのやりとりはスムーズでしたか？

とてもやりやすかったですね。
通常業務との兼ね合いから、私が本プロジェクトに時間を割けない時期もありました。コンサルタントの方に臨機応変に対応いただき、予定変更も柔軟に行ってもらいました。マラソンでいうペースメーカーのような存在で、常に伴走いただき心強かったです。コンサルタントのおかげで、審査を受ける状態まで進められたといっても過言ではありません。

— ISMS認証取得後の効果はいかがでしたか？

取得したばかりなので、効果はこれから実感するだろうという前提ですが……。社内では、できるだけセキュアなオペレーションを実現したいという意識が高まっているように感じます。オンラインバンキングに接続するパソコンと、普段使用しているパソコンを一緒にしたくないとか。そんな細かなところも含めて、ISMSの運用に沿っているかを意識するようになりましたね。

— 今後のセキュリティ対策として、強化していきたいポイントを教えてください。

ひとつは、海外拠点のセキュリティ対策を推進していくことです。私たちはマレーシアにもグループ会社があり、さらにベトナムやフィリピンにもエンジニアチームを抱えています。今回は日本国内のみの認証でしたが、いずれはグループ全体での取り組みとして広げたいと考えています。

もうひとつは、クラウドサービスに関する情報セキュリティ対策の規格「ISO27017」の認証取得です。遅かれ早かれ、「あればいい」というレベルに留まらず、大きなベネフィットを得られるチャンスになるでしょう。まだ情報収集の段階ですが、前向きに検討していきたいですね。

— セキュリティ対策に力を入れている企業に向けて、メッセージをお願いします。

今でこそISMS認証取得が実現した当社ですが、少し前までは認証取得に向けたロードマップさえ描けませんでした。リソースの課題もあって取得そのものに二の足を踏んでいたこともあります。「やった方が良い」と頭では分かっていたものの、行動に移すのに時間がかかっていました。だからこそ、ノウハウを有しているLRMのコンサルティングはとても頼りになりました。

セキュリティ対策として、ISMSは国際的なスタンダードです。短期的な売上増を見据えるのでなく、「高い水準でのセキュリティ対策を維持している」という状態こそが、企業の信頼につながるはずです。まだ始まりに過ぎませんので、クライアントに対して安心・安全なFinOpsサービスを提供できるよう、今後もセキュリティ対策の強化に努めていきたいと思います。

アルファス株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ アルファス株式会社様のWEBサイト
※ 取材日時 2024年9月