アスタリスト株式会社様 – 顧客事例 –
“生産性の向上”をテーマに事業展開するアスタリスト株式会社は、LRMのサポートのもと、国内最速を目標に掲げISMS/ISO27001認証取得に挑みました。ISMS/ISO27001認証取得の目的とその成果について、代表取締役CEO・池上大介氏にお話し頂きました。
記事index
(アスタリスト株式会社について)
“Create time through innovation”、イノベーションによって時間を創ることをミッションに掲げ、SaaS、iPaaSなどの提供によって企業の生産性向上を支援する。
現在の主軸サービスは、全世界で44,000社以上、5,610万人以上が利用する出張・経費管理クラウドシステム『SAP Concur』の導入支援である。2014年、日本初の認定導入パートナーとなり、国内トップクラスの導入実績を築いている。2019年12月には、経理財務自動化サービス『BlackLine』、 デジタルアダプションプラットフォーム『WalkMe』の導入支援を開始。いずれも国内初の導入パートナーとして、優位性を保った事業展開をスタートさせている。2019年8月には自社プロダクトとして、クラウドサービスやSaaS間のデータ連携を実現するiPaaS『ActRecipe(アクトレシピ)』をリリース。プログラミングレスで、クラウドサービス間のデータ連携を簡単に実現するサービスである。リリースと同時に日本を代表するクラウドサービスプロバイダへの導入を済ませており、
今後の主軸サービスとして注力していく計画である。
本社;東京都港区。設立;2013年11月。従業員数;6名(2020年3月現在)。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は2019年10月、ISMS/ISO27001(以下、ISMS)認証新規取得のコンサルティングをLRMに依頼しました。
2019年10月中旬がキックオフの打ち合わせで、第2段階審査は2020年1月中旬でした。実質的な取り組み期間約3ヶ月でISMS認証が取得出来ました。LRMの担当者は松原さんです。
ISMS/ISO27001認証取得の目的;対外的信用の担保と社内の体制整備
— ISMS認証を取得した理由をお話し下さい。
弊社がISMS認証を取得した目的は2つあります。(1)対外的信用の担保、(2)社内の体制整備です。
(1)対外的信用の担保
自社サービス『ActRecipe』のターゲットはエンタープライズです。商談を進める上で情報セキュリティ対策がきちんと出来ていることを示すものが必要でした。 自社サービスを大手企業に導入しようとすると、弊社の情報セキュリティマネジメントに関して調べられます。その調査項目にはISMSを持っていれば充足できる項目が沢山あります。
弊社がISMSを取得していないと、弊社だけではなくお客様の方も面倒な手続が必要となります。今後、『ActRecipe』を軸に成長していく上で、ISMS認証を取得することは最低限度の条件であると考えました。
(2)社内の体制整備
弊社は現在、事業の拡大期を迎えています。従業員数も今年度10名、来年度20名、再来年度40名と、毎年倍々で増やしていく計画です。今後、積極的に従業員を増やしていくための社内体制整備の一環として体系化された情報セキュリティルールの策定が必要でした。
— ISMS認証を取得することで生産性を低下させる危惧はございませんでしたか。
管理するということは自由がきかなくなるということなので、スピードが削がれることは覚悟していました。ISMS認証取得が最低限必要なものである以上、やむを得ません。ただ、ルールがあるから生産性が落ちるということにはならないよう、決められた土壌の上で出来ることはやるというスタンスで臨みました。
— 従来の情報セキュリティ対策をお話し下さい。
これまでは規模的に私の目が届く範囲でした。また、全員一通りの社会人経験を積んで来た人材で、なおかつITコンサルティングに従事するプロフェッショナルとして相応のリテラシーも持ち合わせています。そのため特別な対策は取ってきませんでしたが、サービスの拡大に合わせて2018年頃にプライバシーポリシーを策定し、2019年8月、『ActRecipe』のローンチに合わせて情報セキュリティルールを策定しました。情報セキュリティルールは、お客様から頂く情報セキュリティのチェック項目をベースに、普段、弊社がやっていることを文書にまとめました。
— ISMS認証取得までの期限は定めていましたか。
厳密には決めていませんでしたが、出来るだけ早期に足場を固めたい気持ちはありました。弊社の事業コンセプトが“生産性の向上”でもありますし、無駄なく、効率的に、スピード感を持って取り組みたいと考えていました。
また、弊社は事業方針として、何事においても日本一または日本初を目指しています。『SAP Concur』『BlackLine』『WalkMe』といったサービスを扱い始めたのは、その方針に合致しているという側面もありました。ISMSに関してもどうせ取り組むなら最短期間での取得を目指そうとは思っていました。もちろん、審査会社の都合もありますので、弊社やコンサルティング会社がコントロールできないことは理解しています。あくまで努力目標として日本最速を掲げて取り組みました。
同業の取引先からの紹介で、迷わずLRMに依頼
— LRMにコンサルティングを依頼した経緯をお話し下さい。
LRMに依頼したきっかけは『ActRecipe』の開発を委託している開発会社からのご紹介です。その開発会社は、受託開発だけではなく、弊社同様SaaSの導入コンサルティング事業も行っていますので、大きく外れることはないだろうという期待は持てました。実際に話を聞いて、近しい業界へのサポート実績が豊富であること、コンサルティング料金が思っていたより安価だったこと、出来るだけ早期に取りたいという希望を汲んでいただけることが確認出来ましたので迷わず依頼しました。また、審査会社もご紹介いただいて、審査日程を押さえた上でISMS認証取得に向けた準備をスタートしました。
業務スピードを落とさないマネジメントシステムを構築
「管理が厳しくなったことを生産性低下の言い訳にはしたくありませんでした」
(代表取締役CEO・池上大介氏)
— 2020年2月にISMS認証を取得されました。結果についてはどのように感じておられますか。
結果には満足しています。国内最速かどうかは別としても、あっという間に終わった印象でした。 与えられた条件の中では最短期間で取れたと思っています。
— 社内の体制整備に関してはいかがですか。
体系化された情報セキュリティマネジメントシステムを作ることが出来て、我々の知識レベルも上がりました。目的は満たすことが出来たと考えています。ルールにはそれぞれ必要とされる理由があります。その理由を理解しながらルール体系を作ることが出来た点がこれまでとは大きく違う点です。ひな形に書いてあるからといって盲目的にやるのではなく、やるべきこととやらなくて良いことをきちんと考えながら構築することが出来ました。
— これまではやっていなかった対策として取り入れたルールはありますか。
細かい対策はありました。例えば、PCモニターののぞき込み防止用のフィルターを導入しました。また、離席時にスクリーンセーバーが起動する時間を5分に設定しました。そのような細かい対策はいくつかありました。それらは「確かに言われてみればあった方が良い」という対策ばかりです。やっておいた方が好ましいし、特にスピードを削ぐものではないので違和感なく取り入れることが出来ました。
— 反対に検討はしたものの取り入れるには至らなかった対策はありましたか。
弊社の実態に合わせてカスタマイズしたものはいくつかあります。
(1)メール添付ファイルの暗号化
添付ファイルの暗号化は技術的に無駄だと思っていますし、手間が増えるだけなので、出来ればやりたくない施策の1つです。添付ファイルを暗号化すると開く方が大変です。スマートフォンで受信した場合、パスワードをかけると開くことが出来ません。外出先で確認出来ないと送った先の生産性を落とすことになりますので、出来るだけ避けたいと考えています。ただ、お客様から求められるケースもありますので、全くやらないわけにはいきません。そこで情報をレベル分けして、機密性の高いものだけはパスワードを付けるルールにしました。
(2)物理的なネットワーク環境を前提としたルール
また、LRMからいただいたひな形には、社内にサーバーやネットワーク機器がある前提のルールが多かったのですが、弊社は全てクラウドで仕事をしていますので、その運用に合わせて不要なルールは削りました。
(3)ヒヤリハット報告書
対外的に示すべきセキュリティ事故は別として、そこまで至らない“ヒヤリハット”と呼ばれるぐらいのインシデントに関しては、社内のコミュニケーションで解決出来ます。全て一律に報告書を書く必要性はないと判断して、『Slack』上で共有するまでに止めました。
— 業務のスピードを削ぐのはやむを得ないとおっしゃっていましたが、結果としてはいかがでしたか。
今のところ業務スピードが削がれるという感覚はありません。スピード感を持った仕事をしていこうという従来の方針を貫けるルールが構築出来ました。
情報セキュリティマネジメントシステムは、セキュリティを意識せずに仕事が出来る状態が理想です。守ろうと意識しなければ守れない複雑なルールでは、本業に集中することができませんので、これからも維持していきたいと考えています。
— 社内への浸透度はいかがですか。
今回、構築したルールは、すぐに現場に周知しました。まだ人数が少ないこともありますし、全員理解力が高いので、しっかり対応出来ています。LRMに内部監査員を代行していただきましたが、大きな問題はありませんでした。
LRMのひな形とガイドで実現した短期取得
— ISMS認証取得の準備はお一人で対応されたのですか。
基本的には1人で取り組みました。社員には教育を受けてもらったぐらいです。
— ご苦労されたことはございますか。
ドキュメント作成は苦労しました。認証を取得するだけではなく、今後の運用を見据えて、自分達が理解出来る実態に合ったマニュアルを作らなければいけません。やってもいないことを文書には残せませんので、1文1文吟味する作業は骨が折れました。
結果的に今読み返してみても理解出来るマニュアルにはなっています。読んで理解出来るということは、自分達の業務を体現出来ているということです。今在籍している社員たちにとっても、納得出来るものにはなっていると思います。ただ、今後従業員が増えてくると全員同じレベルで浸透させることは難しくなりますので、教育には力を入れたいと考えています。
— LRMからはどのようなサポートがありましたか。
ドキュメント類のひな形をご用意いただき、ヒアリングしながら弊社の実態に合わせてカスタマイズしていただきました。LRMのひな形とガイドがなければ、取り組み期間3ヶ月というスケジュールでISMS認証を取得することは不可能でした。
— 情報資産やリスクの洗い出しはご自身で行われたのですよね。
はい。しかし、それらに対するサポートもありました。一旦こちらで書き出したものを、ご確認いただき、アドバイスに沿って修正していきました。
— 従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能をご利用になられたのですか。
従業員教育は『セキュリオ』がないと困ります。社員全員に実施してもらうだけではなく、実施記録を管理する上でも非常に便利です。特に今後、従業員が増えれば、管理が難しくなってきます。一斉に実施する分には管理しやすいですが、ランダムに発生する新入社員研修まで全て管理するのは大変です。『セキュリオ』があれば逐一確認する必要がありません。
— 内部監査員代行サービスはいかがでしたか。
内部監査員代行サービスも助かりました。内部監査が審査を受けるための事前対策にもなりました。専門家の客観的な視点を持って実施出来たことで、安心して審査に臨むことが出来ました。
「ISMSを取得したいという会社があればLRMをご紹介しようと思っています」
(左;池上氏)※右は弊社 松原
ISMS/ISO27001などの国際認証は取引上の障壁をなくす道具
— 審査はいかがでしたか。
不適合はなく、指摘事項がいくつかあったぐらいです。いただいた指摘事項も特段課題とも言えない些細なものばかりでした。
— 今後の課題をお話し下さい。
今後はISMS認証を維持した上で、ISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証を取得したいと考えています。また、財務会計領域のデータ連携をしているためSOC2 Type2やPCIDSSなども求められるケースが出てくると思われますので、指摘される前に動きたいと考えています。
弊社の取引先の多くは一部上場企業です。社内に疑義を唱える方が一人でも存在すると取引に支障が生じかねません。これまで1例ではありますが、小規模であることがネックとなり商談が途絶えたケースがありました。今後、そのようなケースに遭遇することだけは避けなければいけません。仮に企業規模について指摘を受けたとしても、反証できる体制は整える必要があります。そのための道具としてISMSなどの国際認証は有効であると考えています。
属人的な文書管理はなくしていくべき。『セキュリオ』の強化に期待
— LRMにサポートを受けたご感想をお話し下さい。
LRMに依頼して良かったと思っています。他社を知りませんので比較は出来ませんが、松原さんとのコミュニケーションで違和感を抱くことはありませんでした。物事を進める際にコミュニケーション上の違和感があると進めづらくなります。取引をしていてそりの合わない会社はありますが、LRMにはそのような要素は一切ありませんでしたし、周りにISMS認証を取得したい会社があればご紹介したいコンサルティング会社だと思っています。既に「3ヶ月ぐらいで取得できるならうちもやりたい」という会社がありますので、いずれご紹介させていただきたいと考えています。
— 今後のISMS運用においては、LRMのサポートは受けられるのですか。
その予定です。ISMSクラウドセキュリティ認証取得もご支援いただきたいと考えていますので、ISMSの運用支援サポート『情報セキュリティ倶楽部』を契約する予定です。同時に『セキュリオ』も契約します。これからの時代、属人的な文書管理はなくしていくべきです。プラットフォーム上で情報を管理出来れば、管理の負担は低減出来ますので、さらに力を入れて強化していただけると有り難いです。
アスタリスト株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ アスタリスト株式会社様のWEBサイト
※ 取材日時 2020年3月
- クラウドサービス(SaaS)開発・提供
- コンサルティング・士業
- 短期取得
- 50名未満
- 東京
- 1拠点