Baseconnect株式会社様 – 顧客事例 –

京都発のITベンチャー・Baseconnect株式会社は、2020年10月、大手企業との取引が拡大する中、LRMのサポートを受け、ISMS/ISO27001認証を取得しました。ISMS/ISO27001認証取得の理由、取り組み前に危惧していたことや取り組み中の不安、さらに取り組みの結果などについて、ISMS事務局を務めた代表取締役CEO・國重侑輝氏とコーポレートチーム 労務・会計担当・小引友理氏にお話しいただきました。

お客様が抱える課題とISMS構築アプローチ

• 事業拡大に伴い、大手企業からの引き合いも増え、セキュリティ体制を対外的に示すために認証を取得したい
• エンジニアと学生アルバイトなどで意識レベルに格差がある
• 入社して3か月で、ISMSの予備知識もないまま担当者に

• 権限回りの整理やWi-Fi環境の見直しなど、見過ごしがちなリスクも洗い出し対応
• 学生アルバイトを含めた全従業員を対象に集合研修とeラーニングを実施
• 全社を巻き込んで取り組み、担当者が気づかない視点はサポートしてもらう

LRMコンサルティングサービスへの感想

• SlackやGoogleドライブなど、使い慣れたツールを活用して取り組めた
• 細かい質問にも丁寧に対応してもらえた
• 『セキュリオ』のeラーニングをきっかけに従業員のセキュリティへの関心を高められた

（Baseconnect株式会社について）

Baseconnectは「世界中のデータを繋げることで、ダイレクトに必要な情報にアクセスできる世界を作る」をミッションに掲げる、2017年1月設立のスタートアップ企業です。
クエリに対してページリンクを返す従来型の検索エンジンではなく、ダイレクトにユーザーが求める情報を提供する次世代型検索エンジン（ナレッジエンジン）を開発しています。
現在はビジネス領域での検索エンジンの展開を進め、法人営業の業務効率化に特化した「Musubu」を提供しています。2021年6月時点で導入社数は73,000社を突破し、上場企業から中小企業まで幅広くご利用頂いています。

— LRMへのご依頼内容をお話し下さい。

小引氏（以下、敬称略）　Baseconnect株式会社は2020年4月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。コンサルティングを担当して下さったのは松岡さんです。第2段階審査までの7ヶ月間、一緒に準備を進め、10月にISMS認証を取得しました。

— 情報セキュリティの重要性について、御社のお考えをお話し下さい。

國重氏（以下、敬称略） 弊社のようにBtoBのWebサービスを展開している会社にとって情報セキュリティは基本中の基本です。建築家が耐震などの安全性を考えて作るのと同じように、情報システムを作る自分たちが情報セキュリティ上の問題がないものを作ることはごく当たり前のことだと思っています。

ただ、情報セキュリティにも色々な面があり、ISMSの文脈では、プロダクトのセキュリティというより、組織の業務環境全般が対象となります。これまでは主にプロダクトへ目を向けていましたが、本来守るべき領域はプロダクト以外にもあります。弊社の場合、業務システムとして何種類ものWebサービスを利用しており、その中には顧客情報を初めとする様々な情報資産を保有しています。また、エンジニアだけではなく、セールス部門もあれば、学生アルバイトも在籍しており、セキュリティに対する意識レベルには大きな格差があります。ISMS認証取得は、プロダクト以外の領域におけるセキュリティに目を向けるとともに、全従業員の意識レベルの底上げを図る機会となりました。

— ISMS認証を取得した理由をお話し下さい。

國重　ISMS認証取得の目的は、お客様からの信頼獲得です。ISMS認証取得に取り組んだ昨年は、会社設立4年目で成長期に差し掛かった時期でした。設立当初のお客様は中小企業が中心でしたが、徐々に中堅企業、大手企業が増えてきて、セキュリティチェックシートのようなものを頻繁に求められるようになってきました。その中で、社内のセキュリティ体制を客観的な基準に照らし合わせて整備しなおし、対外的に示す必要を感じてISMS認証を取得しました。

— ISMS認証取得にはどのような体制で臨まれましたか。

小引　ISMS事務局と情報セキュリティ委員会を組成して取り組みました。ISMS事務局は、國重と私、開発部門のリーダーの3名です。私が主担当として作業を行いました。情報セキュリティ委員会の委員は、職種で分かれているチームごとに1人ずつ選任しました。チーム特有の情報資産やリスクの洗い出しは各担当者が行いました。

— 主担当の小引さんは、ISMSの認証取得や運用に携わったご経験はございますか。

小引　ISMSに対する予備知識は全くありませんでした。しかも2020年1月に入社したばかりでしたので社内のこともほとんど把握できていませんでした。

— ご担当するにあたってご心配や不安などはございませんでしたか。

小引　ISMSの予備知識はありませんでしたが、前職で、銀行、会計事務所とルールの厳しい会社にいましたので、外部規格によるルールが導入されれば、会社は動きづらくなるだろうと思っていました。その分、現場への影響については気を遣いました。

前職は、何をするにしても上司の許可や承認が必要でしたので、入社当時はギャップが大きく、驚くこともたくさんありました。しかし、そういう自由な風土があるからこそ出来るものがあるのだろうと思っていましたので、ISMS認証を取得することで、弊社も普通の会社になってしまうのではと不安に思っていました。

— 従業員の皆さんの反応はいかがでしたか。

小引　現場の社員はセキュリティの重要性は認識していましたのでネガティブな反応は一切ありませんでした。

— ISMSを構築されて、実際に皆さんの仕事はやりづらくなりましたか。

小引　いいえ。ほとんど変わっていません。
私含め、ISMS事務局のメンバーは全員、もっと厳格なルールで固めなければいけないと思っていました。
例えば、メールで添付ファイルを送るにしても、ZIP化してパスワードをつける、もしくは管理システムを入れるなどの対策は必須であると考えていました。そのため、松岡さんから「全くそういう必要はない」と聞いたときに、かなり意外に感じました。同時に、こんなに緩くて本当に認証が取れるのかという不安はありましたので、何度も松岡さんに確認しながら準備を進めました。

— その「本当にこれで大丈夫なのか」というご不安は解消されましたか。

小引　審査を迎えるまでその心配は残りました。松岡さんのおっしゃることを信用しないわけではありませんが、それだけイメージのギャップがありました。審査でも従来の弊社の自由さを犠牲にするような改善を求められる指摘はありませんでしたが、“自分達でルールを決めて良い”点や、“リスクの受容”してもいいというISMSの概念は未だに慣れません。認証取得後も現場から「こういう場合はどうしたら良いのか」と判断を求められる度に、「これで本当にセキュリティレベルを保つことが出来るのか」、逆に「業務に支障は出ないか」と迷いながら回答しています。

— 社内の体制整備は進んだというご実感はございますか。

小引　体制整備という目的は達成出来たと思います。例えば、権限周りの整理やWi-Fi環境の見直しなど、見過ごしがちなリスクを一通り洗い出して対応することが出来ましたので、社内のセキュリティレベルは確実に高まりました。
また、従業員の情報セキュリティに対する意識や感度が向上したことも実感出来ます。何かある度に事務局に問い合わせが来るのはそのあらわれです。

今回、ISMSを構築して、土台となるマニュアルが出来ましたが、運用してみると細かい部分で見落としていた点も見えてきました。現場から上がってくる声を活かしながら、改善を繰り返していきたいと考えています。

— 作業面でご苦労はありませんでしたか。

小引　主担当の立場では、全社を巻き込むところが気を遣いました。各チームにタスクを振るにしても、私自身入社から日が浅く、会社のことをよくわかっていませんので、どこまで踏み込んで話をして良いか悩むことはありました。
特に取り組みをスタートした時はフルリモートでしたので、お互いに人柄もわからない状況でやりにくさはありました。

また、ISMSのような取り組みは、面倒臭がられると思っていましたので、情報資産の洗い出しやリスクアセスメントのヒアリングへの対応を依頼する時も、申し訳ない気持ちがありました。

ただ、実際にやってみると、予想に反して、各チームの担当者が主体的に動いてくれました。私が気づかない視点からの発信も沢山ありましたので、非常に有り難かったです。

— リモート環境で社内でのコミュニケーションは、Web会議システムを利用されているのですか。

小引　オンライン会議とチャットを利用しています。弊社は『Google Workspace』をメインで使っていますので、オンライン会議は『Google Meet』で実施しています。チャットは『Slack』を使っています。

— 他にはご苦労された点はございませんでしたか。

小引　全体の巻き込み同様、ルールの浸透にも気を遣いました。
マニュアルを渡しただけでは社内ルールの浸透は出来ませんので、学生アルバイトを含めた全従業員を対象に研修を実施しました。仕事の手をとめて参加していただくので、失敗は出来ないというプレッシャーもありました。

— 研修会は集合研修を実施されたのですか。

小引　はい。社屋の1階が研修ホールになっていますので、7-8月の新型コロナウィルス感染が一旦落ち着いたタイミングで、6回に分けて集合研修を実施しました。

— アルバイトの方はどのようなお仕事をされているのですか。

小引　アルバイトはデータベースに載せる情報の収集や加工を行っています。弊社が提供するデータを製造する業務で、Data Manufacturing（以下、DMF）と呼んでいます。現在は約120名が、リモートで業務に従事しています。

— そのアルバイトの方々の情報管理で御苦労されたことはなかったですか。

小引　もともと、DMFの業務は自社開発の専用システムを使って行っていますので、基本的に端末に情報が残ることはありません。

— LRMのサポートは、どういったものでしたか。

小引　松岡さんと打ち合わせをしながら、マニュアルや情報資産管理台帳などドキュメント類の雛形を、自社に合わせてカスタマイズしていました。また、作成したドキュメントの最終的な確認や内部監査員代行など、審査準備のサポートもして頂きました。一連の作業を行う中で、わからないことや不安なことがあった際には質問させていただき、細かい質問にも丁寧に対応いただきました。

— 全社を巻き込むところでは何かサポートはありましたか。

小引　リスクアセスメントのヒアリングでは松岡さんに入っていただきました。各チームのマネージャーの中にも、当時はまだ接点のない人がいましたので、外部の方に入って頂くことで円滑にコミュニケーションを取ることが出来ました。おそらく1人ではできなかったと思うので、有り難かったです。

— 従業員教育は、先ほどおっしゃっていた研修会のみですか。

小引　いいえ。LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用し、やはりアルバイトを含めた全従業員を対象として従業員教育を実施しました。
研修会を実施した目的は、自社のルールを浸透させることです。『セキュリオ』で情報セキュリティの重要性や、ISMSとは何かといった基本を知ってもらった上で研修会を実施しました。

— 『セキュリオ』を利用されたご感想をお話し下さい。

小引　学生アルバイトを初め、こういったセキュリティ教育を受けたことのない若い人達にとっては良いツールかなと思いました。意外だったのは、テストを実施した後に皆が「何点取れた」「ここが出来なかった」と盛り上がっていたことです。eラーニングをきっかけに、情報セキュリティへの関心はより高まったように感じました。

— ツールとしての使いやすさはいかがでしたか。

小引　使いやすいです。堅苦しくないですし、ユーザー・管理者のどちらにとっても、手間がかからず簡単に使えて良いと思いました。受講記録が残るため、ISMSの運用において非常に役に立ちます。『セキュリオ』は、ISMS認証を取得した後も契約し、定期的にeラーニングコンテンツを配信しています。

— 内部監査もリモートで実施されたのですか。

小引　第2段階審査の前の内部監査は、松岡さんにご来社頂いて実施しました。

— 内部監査員代行というサービスはいかがでしたか。

小引　内部監査員が務まる人材を育成している余裕はありませんでしたので、代行していただけて良かったと思います。社内の人間だけで実施した場合、緊張感が保てません。今回も外部の方に入っていただいたことで、現場の社員も頑張ろうという意識を持ってくれた部分があったと思います。また、専門家に入っていただくことで、安心感も生まれます。社内の慣れていない人間が恐る恐るやっていたら、その不安感は伝染してしまうでしょう。まだ社内に内部監査員を置く余裕はありませんので、今後もお願いしたいと考えています。

— 審査はいかがでしたか。

小引　「これで大丈夫かな」という不安もありましたので、審査は緊張しました。しかし、審査員も話しやすい方で、対応しやすかったです。今後の運用に向けたアドバイスもしていただき、参考になりました。指摘事項も軽微なものばかりでしたので、終わった時は安心しました。