株式会社EARTHBRAIN様 – 顧客事例 –
株式会社EARTHBRAINは、会社設立から半年後、LRM株式会社のサポートを受け、ISMS/ISO27001認証取得の取り組みをスタートしました。取り組みの目的、LRMに依頼した経緯、取り組みの成果を、ISMS事務局のメンバーである、事業戦略部チームバイスプレジデント・河原田龍一氏と、開発マネジメントG ディレクター・楳田健治氏のお二人に伺いました。
- お客様が抱える課題とISMS構築
-
- ゼロから業務スタイルに合った独自のルールを作りたい
- 事業スピードを落としたくない
- 管理のための管理などの無駄がないようにしたい
- 詳細管理策114項目を検討するベースライン分析を実施
- 事務局メンバーだけではなく、現場も巻き込んで取り組みを進める
- PC管理ツールなどを導入し、担当者の工数をできる限り軽減
- LRMコンサルティングサービスへの感想
-
- ISMSの運用経験者がおらず、分かりづらい規格への理解をサポートしてもらえたことで独自のルールが作れた
- 打合せや質問もたくさんしたが真摯に対応してもらえた
- 『セキュリオ』で従業員教育や委託先管理を省力化できた
(株式会社EARTHBRAINについて)
株式会社小松製作所、エヌ・ティ・ティ・コミュニケーションズ株式会社、ソニーセミコンダクタソリューションズ株式会社、株式会社野村総合研究所の4社が、建設業界のDX推進を目的に共同出資で設立した会社。小松製作所が2013年に開発した自動制御のICT建機を軸にソリューションサービスとして提供してきた『スマートコンストラクション』を、4社が保有する知見やノウハウ、技術によって“次世代スマートコンストラクション”へと進化させる。建設現場を遠隔からリアルタイムでモニターし、分析・改善につなげる現場可視化デバイスやアプリケーションを開発・提供。デジタルツインを活用し、建設現場の全生産工程をオープンプラットフォームでデジタルにつなぎ、最適にコントロールしながら、建設現場で稼働する全ての建機、車輌に対するサービス提供を行い、安全性と生産性の向上を実現する。国内のみならず、欧米諸国を始め、全世界にサービスを展開している。
設立:2021年7月。本社:東京都港区。従業員数:約130名(2022年9月現在)。
記事index
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話しください。
株式会社EARTHBRAINは、2022年2月、LRM株式会社にISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。川島さんがサポートを担当してくださり、7月にISMS認証を取得しました。
独自のルールづくりを目指してISMS/ISO27001認証を取得
問い合わせの数もかなり多かったと思いますが、誠実に対応していただきました
(開発マネジメントG
ディレクター・楳田健治氏)
— EARTHBRAIN社において守るべき情報資産とは主にどのようなものがございますか。
メーカーとは異なり、EARTHBRAINはサービス作りに力点を置いた会社です。
小松製作所なら、建機の設計データが重要になってくるかと思いますが、弊社の場合は他のソフトウェア開発会社と同様、プロダクトのソースなどが主な情報資産です。
建設現場ごとにオーダーメイドで対応を行うこともありますので、3Dデータを作成するためにお預かりする設計データなども含まれます。
そういった情報は、紙の文書もありますし電子データもあります。
また、開発に使用する設備なども全て情報資産になるという認識がありましたので、今回の取り組みでは、そういったものを守るためのルールづくりを行いました。
— 御社のコアメンバーの方々は、関係各社から集まってこられた方々ですか。
コアメンバーという考え方はありません。弊社は、ITを活用して建設現場の生産性、安全性向上を解決するという事業目的の他に、エンジニアが活躍できる会社作りというビジョンを掲げており、それらの事業目的やビジョンに共感していただける方々が一緒に事業を作り上げています。その中には4社から来て活躍している者もいれば、プロパーで採用されて執行役員を務めている者もいます。
— 多様なバックグラウンドを持たれた方々が、同じビジョンを共有しながら働いているという中で、認証取得前は、出資会社のルールに準拠されていたのですか。
いいえ。出資会社のいずれかのルールをそのまま適用することは出来ませんので、設立時から、独自のルールを確立していこうという考え方がありました。7月に会社を立ち上げてしばらくは、最低限の環境を整える手配で忙しく、ようやく落ち着いたのが12月頃です。それからルールをどうしようかという話になり、ISMS認証取得のための準備をはじめました。
— 独自のルールを構築するためにISMS認証を取得されたのですね。
はい。開発会社として最低限の体制を整えるだけではなく、グローバルに拠点展開をしていくための体制整備を目的として、ISMS認証を取得しました。
既存のルールに縛られず、独自のルールを自分たちで考えたいという想いがある一方で、守るべき部分は守って、社会にご迷惑をおかけしないよう、会社の中のリスクに対応する必要はあります。しかも弊社はグローバルに展開していますので、日本だけではなく、世界各国、各地域が定めるルールに合わせた対応が求められます。
例えば、欧州でビジネスを展開するには、EU域内の個人データ保護を規定する法であるGDPRに準拠していることが最低条件です。そういったレギュレーションに対し、ISMS認証取得が対応策の1つとして認められるということもあり、ISMS認証を取得しました。
— その時点では、グローバル展開はされていなかったのですか。
もともとは小松製作所の現地法人を経由して事業展開をしていました。しかし、EARTHBRAINとして独立した企業体になったため、弊社がどういう取り組みを行っているかを内外に示す必要がありました。
事業スピードが落ちることへの懸念
— ISMS認証取得にはどのような体制で取り組まれましたか。
河原田、楳田を含めた5名体制でISMS事務局を立ち上げて取り組みました。河原田がコーポレート部門の立場からプロジェクトオーナーという形で、事務局の人選と、コンサルティング会社の選定を行いました。事務局メンバーの選定は、以下の考え方で行いました。
まず、法務担当から民間企業のIT部門で働いた経験のある弁護士を1名選定しました。次に、情報システム部門でシステムの管理やセキュリティを担当している楳田を選定しました。また、楳田のチームから、機動力があってセキュリティに対する意識が高いメンバー、開発プロセスや業務インフラなどにも精通しているメンバーを、それぞれ1名選定しました。
— ISMS認証取得にあたりご心配されたことはございましたか。
ISMSのような第三者機関が定める規格を導入することにより、事業スピードが遅くなったり、管理のための管理といったものが異常に発生したりしないかという懸念点はありました。
弊社は立ち上がったばかりの会社です。認証取得に向けた準備だけではなく、認証取得後の運用フェーズでも、情報セキュリティの取り組みに割ける人的リソースは限られています。可能な限り、効率的にやっていきたいという思いがありました。
独自ルールを策定するためのパートナーとしての役割を期待
ゼロからルールを策定するための相談に乗っていただける感触を持てたのはLRMでした
(事業戦略部チームバイスプレジデント・河原田龍一氏)
— コンサルティング選定の経緯をお話しください。
まず、社内の人脈をたどり、コンサルティング会社を含めて3社選定して、それぞれと話をしてLRMに依頼しました。
その中で、ゼロから独自のルール策定をするための相談に乗っていただける感触を持てたのがLRMです。営業担当者のプレゼンを聞いて、インタラクティブに会話しながら、パートナーとして一緒に作り上げていけるという期待が持てました。
— ご依頼するにあたり、特にリクエストされたことはございますか。
独自のルールを構築していくための土台を持っていませんでしたので、その土台となるものをご提示いただいた上で、フレキシブルに変えていきたいということはお伝えしました。コンサルティングのコースもいくつかあったと思いますが、決まったフォーマットですと、弊社の業務スタイルに合わないと思いましたので、ISO27001の詳細管理策114項目を検討しながらルールを構築していくスタンダードコースを選びました。
— 2月にスタートして、7月にISMS認証を取得されたとのことですが、7月取得というゴールは予め設定されていたのですか。
いいえ。契約時点では、できるだけ早く取得したいという考えはありましたが、具体的な期限は設けていませんでした。ただ、会計年度の切りが良いタイミングであるということと、米国、欧州における法人展開のスケジュールに合わせて7月中に取りたいという希望が出てきたこともあり、初期段階で8月までに取得したいという意向を伝え、スケジュールを変更していただきました。
— それによってお忙しくなったのではないですか。
まず、打ち合わせの間隔を短縮しました。当初、月に2回ぐらいの頻度で打ち合わせを実施するスケジュールを組んでいましたが、週1回ぐらいに変更しました。多い時は、週2回の時もありました。特に、審査前は従業員への説明や、審査対応の確認などもありましたので、打ち合わせの回数を増やしました。
— その分、御社内の作業も大変だったのではないですか。
作業の密度は濃くなりました。社内で作業を行う上で、事務局からLRMへの問い合わせや確認などの連絡する頻度も増えました。
取り組みを通して現場を巻き込む重要性を認識
— ISMS認証取得に取り組む以前は、このような規格に則ったルールを作ることに、ご懸念もお有りだったとのことでしたが、実際に取り組まれていかがでしたか。
取り組みを進める中で、社内の負荷が軽くなるようにと神経質になり過ぎていたと感じたところはありました。
プロジェクトがスタートして、情報資産の棚卸しやリスクアセスメントなどを通して各部門の実態が見えてくると、きちんと制度設計しなければ、リスクが放置されてしまうという理解が深まりました。そして、本質的にセキュリティを担保するためには、全社に周知した上で、定期的な教育を行う仕組みや、各部門の担当者が関わるような仕組みを作る必要がありますし、そうしなければ形骸化してしまうという意識も生まれました。
決めたルールを実効性のあるものにするには、一般従業員に理解してもらう必要があります。また、従業員が170名にもなりますと、事務局メンバーだけではなく、現場の方にも参加していただかなければ、管理しきれません。
今回の取り組みでも、部門単位で担当者を任命してもらい、台帳類の作成だけではなく、運用面にも携わっていただいています。
— 各部署に担当者を置くこと以外に整備されたことはございますか。
eラーニングは定期的な教育を行うために、LRMが提供するセキュリティ教育クラウド『セキュリオ』を導入した他、PC管理ツール『ISM Cloud One』などを導入しました。
これまで従業員に配っていた社用PCの管理は、『MS Excel』で行っていました。しかし従来のやり方では、従業員の入退社やPCの破損など、いろいろなことが起きますのでメンテナンスが大変です。端末自体のメンテナンスだけではなく、OSやアプリケーションの脆弱性管理に関しても、100人を超えると運用が非常に大変です。しかし、セキュリティの観点から社用PCの管理は必要不可欠です。できる限り、管理担当者の負荷を上げないために、ツールでできることはやっていこうということで導入しました。
このような観点で、ルールを確実に現場に落とし込むための細かい工夫は他にもあります。114項目の管理策を検討する中で気づいたことも多々ありました。
— 114項目の管理策を検討する中で気づいたこととは、例えば、どのようなことですか。
例えばユーザーアカウントの棚卸しです。「管理がちゃんと出来ているか」と問われれば、各現場の担当者は「出来ている」と答えます。しかし、実際の運用状況を見ていると一部できていないところはありました。ISMSの審査では「エビデンスを残していますか」と問われますので、運用状況を定期的に見直すルールを確立しました。
ユーザーアカウントの管理以外にも、担当者ごとにやり方を任せていたことはありましたので、リスクを検討して、必要があれば標準化して台帳化する作業を、認証取得後も続けています。
ベースライン分析で、わかりにくい詳細管理策の検討もスムーズに
— 細かいルールを決めて、現場に浸透させるための整備をしていくのは大変な作業ではありませんでしたか。
社内のリソースを使った結果、効率性を高めることもありますが、どこまでやるかという問題は非常に悩ましいところです。LRMの川島さんにも議論に入っていただいて、ひな形を用意していただいたり、アドバイスをいただいたりしながら一つずつルールを決めて行きました。一般的にはどこまでやっているのか、弊社はどこまでやれば充分かという相談はたくさんしました。
— 情報資産やリスクの洗い出しなどは、御社の中でされたのですね。
はい。各部署で担当者を決めた後に、川島さんから洗い出す手順や考え方をご説明いただいた上で実施しました。
また、各自、作業をする中で、どれぐらいの粒度で洗い出せば良いのかといった疑問点も出てきますので、そういった打ち合わせにも川島さんに参加していただき、質問にお答えいただきました。
— 詳細管理策114項目の検討はどのように進められましたか。
114項目をそのまま読もうとしても、一般人にはわかりづらいので、ベースライン分析という方法で進めました。
LRMが作成したリスク管理用のガイドラインがありまして、詳細管理策114項目をこのような形で整理していけばルールが作れるというひな形をいただき、それをもとに、川島さんのアドバイスも受けながら検討していきました。
IS027001の規格自体は非常にわかりづらい文章で書かれています。審査員の方々もISMSの基礎知識のような参考書を見ながら審査していたぐらいです。初見ですんなり理解できる人はおそらく少ないと思います。
— EARTHBRAIN様の実態に沿ったルールは作れたという実感はございますか。
はい。「現状ではここまでしかできない」あるいは「ここはしっかりやっていこう」と、リスクの重要度に応じて、弊社の特性に合わせてアレンジしましたので、自分たちのルールを自分たちで作ることができたという認識は持っています。
eラーニングの他、法令管理や委託先管理も省力化する『セキュリオ』
— 従業員教育の重要性についても触れておられました。どのような形で実施されたのですか。
ある程度ルールが決まった段階で、全体説明会を設けて実施しました。リモートワークなどで出席できない人にはビデオを見ていただきました。その後、『セキュリオ』を使って、確認のテストを実施して理解度を図りました。
— 『セキュリオ』のテストは、今回構築した独自ルールの理解度を図るためのものですか。
はい。テストは、ISMS事務局のメンバーが作成しました。その他に、『セキュリオ』内に予めアップロードされた教材を活用してISMSの基礎研修も実施しました。
— 『セキュリオ』のeラーニング機能をご利用になったご感想をお話しください。
管理者としては集合研修をしたり、ビデオを見てもらったりしても、しっかり聞いてもらえたのか、資料を読んでもらえたのか、理解されたのかを測る手段がありません。紙やデータでテストを送付して回収するという方法はありますが、大人数になると全員分回収して管理するのも困難です。
『セキュリオ』の場合、テストの実施状況や理解度が自動的に可視化されますし、未完了の方への催促も手間がかかりません。審査の場でも実施記録として提供できます。非常に便利だと思います。
— 『セキュリオ』はeラーニング以外の機能を活用されましたか。
法令管理機能と委託先管理機能を使っています。法令管理は、自社に必要な法令を登録しておくと、その法令の更新情報を確認することができます。また、弊社は開発系の業務を委託している先が複数あります。セキュリティアンケートを実施する場合、一斉に配信できますし、管理画面上で回答状況が一元管理できます。『セキュリオ』はアナログな管理方法では時間がかかることを、省力化、自動化できますので非常に便利だと思いました。直感的に操作できる使いやすさもありますので、今後も継続して活用していく予定です。
取り組みを進める中で現場を巻き込む重要性に気がつきました
(左;楳田氏、右;河原田氏、下;弊社・川島)
審査対策にもなる内部監査員代行サービス
— 内部監査はLRMが代行しましたが、いかがでしたか。
内部監査は、第1段階審査、第2段階審査、それぞれ2週間前ぐらいに実施しました。ISMSの運用を経験した者がいませんでしたし、規格も分かりづらいので、社内で内部監査員を準備して育成すると時間がかかってしまうので代行いただいて良かったと思います。その際に、ご指摘いただいて改善した箇所もございますので、審査対策にもなりました。
— 実際の審査はいかがでしたか。
審査当日は、一部、川島さんにも同席していただきました。解釈の違いが、審査結果にも影響すると聞いていましたので、それは我々ではどうすることもできないと思い同席していただきました。特に、ドキュメントの構成やフォーマットなど、LRMの考え方に基づく部分で、我々には回答できない箇所をご説明いただき、審査員の方にご理解いただいた箇所はいくつかありました。
— 指摘事項などはございましたか。
今すぐに改善しなければならないような指摘はありませんでした。「観察事項」と「改善の機会」はいただきましたので、今後、対応を検討します。
— 審査が終わった後のサポートは何かございましたか。
クロージングミーティングで、来年度の取り組みについてアドバイスをいただきました。また、次年度以降の維持審査や更新審査を考慮して、メールなどで問い合わせができるサポートを契約する予定です。
マネジメントシステムの確立で、新人研修が効率化
— ISMS認証取得に取り組まれたご感想をお話しください。
今回の取り組み全体を通して、従業員の情報セキュリティに対する意識が、我々が考えていた以上に高いということがわかりました。その上に、ISMSの規格に基づいた管理体制を構築して共有するようになったことで、業務全体のオペレーションがしやすくなりました。
また、弊社は現在、毎月のようにプロパー社員を含めた新人が入ってきます。その際に行う新人研修も、ガイドブックや『セキュリオ』を活用することで、簡単に実施できるようになりました。
— 情報セキュリティの取り組みに関して、今後の展望をお話しください。
まずISMSに関しては次の維持審査に向けて、指摘事項への対応が課題です。また、内部統制報告制度であるJ−SOXの対応で、内部統制上やらなければいけないことや、親会社との関係性で求められることも出始めています。そういった外部環境との関連性も含め、今回構築したISMSのルールをベースに、より強固なセキュリティ体制を構築していきたいと考えています。
LRMの真摯なサポートに満足。『情報セキュリティ倶楽部』も契約
— LRMのコンサルティングはご期待通りでしたか。
ISMSの経験者が在籍しない中、手探りで取り組み始めた我々をうまくリードしていただきました。我々としてはやりやすかったです。おそらく打ち合わせの回数や質問の数なども多かったのではないかと思いますが、川島さんには真摯に対応いただいたと思っています。川島さんは柔らかい雰囲気の方で、質問もしやすかったです。
— 先程、継続してサポートを受けるご予定もおありだとおっしゃっていましたね。
はい。ISMS運用改善サポート『情報セキュリティ倶楽部』の契約を社内で検討中です。今後、弊社自体、事業も拡大しますし、外部環境も変化します。審査対応だけではなく、ISMSの運用面で相談したいことも出てくるでしょう。
また『セキュリオ』も引き続き利用していきたいと思っていますので、何らかの形でお付き合いは続いていくと思います。
株式会社EARTHBRAIN様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 株式会社EARTHBRAIN様のWEBサイト
※ 取材日時 2022年9月
- システム開発・運用
- 建設・不動産
- 担当者の負担軽減
- 海外への事業展開
- 50~199名
- 東京
- 1拠点