K.S.ロジャース株式会社様 – 顧客事例 –
K.S.ロジャース株式会社は、2020年10月、LRMのサポートを受けISMS/ISO27001認証を取得しました。“エンジニアの働きやすさ”を追求する同社にとっての情報セキュリティの重要性とISMS認証を取得した理由、取り組みの成果について、代表取締役・民輪一博氏、人事マネージャー・花房啓佑氏のお二人に伺いました。
- お客様が抱える課題とISMS構築アプローチ
-
- 担当者が人事・事業開発・営業など、様々な業務を兼務している
- 社員の多くが、複数の企業に所属しており、フルリモートで働いている
- 社内のセキュリティルールを明文化したい
- 取得以前からGoogleドライブの権限設定を徹底していたことが取り組みに活きた
- 情報資産の洗い出しや台帳作成、インシデント発生時のフローを新たに整備
- LRMコンサルティングサービスへの感想
-
- コンサルの全面的サポートにより、難解なマニュアル作成も迷うことなく進められた
- 『セキュリオ』eラーニング機能や法令管理機能で、ISMS運用の工数削減が可能
パラレルワーカーのエンジニアで構成されるコミュニティ型企業。正社員、業務委託など、雇用形態にとらわれず、“エンジニアの働きやすさの追求”を通じて、エンジニアが最高のパフォーマンスを発揮できる環境の創造を目指している。現在はクライアント企業における新規事業の立ち上げを開発の立場から支援。CTOの立場でクライアント企業に入り込み、技術の選定からプロダクト設計、プロジェクトチーム作り、採用などの支援から開発実務までを担う。クライアントは、大手企業やベンチャー企業、公共機関など。参画するエンジニアは90名を超える(2021年2月現在)。オフィスを持たず、フルリモートワークを実践していることも大きな特徴である。設立;2017年12月。
記事index
トータルコストと実績を判断し、LRMにISMS/ISO27001認証新規取得コンサルティングを依頼
「自由で自立したワークスタイル」の実践を理念に掲げるK.S.ロジャース社のWebサイト
— LRMへのご依頼内容をお話し下さい。
K.S.ロジャース株式会社は、2020年3月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
LRMの担当者は松岡さんです。弊社側は、花房とPMを務めるドイツ在住のエンジニアの2名体制で準備に臨みました。約半年間、松岡さんのサポートを受けて準備を進め、同年10月、ISMS認証を取得しました。
— コンサルティング会社選定の経緯をお話し下さい。
LRMを含めて3社から話を聞き、比較した上でLRMに依頼しました。運用まで含めたトータルコストが安かったこと、リモートワークを実践している会社に対するサポート実績などが決め手です。
— 花房さんは普段どのようなお仕事をされている方ですか。
私は、肩書き上は人事マネージャーとなっていますが、諸々な業務を兼務しています。事業開発、営業の他、採用を含めたバックオフィスの領域全般に関わっています。K.S.ロジャースには、去年1月頃に業務委託として参画しました。エンジニア以外の職種では1人目です。
— エンジニアだけではなく、バックオフィスやビジネス系のスタッフにも業務委託の方がいらっしゃるのですね。
ビジネスやバックオフィスは全員業務委託です。中期経営計画も業務委託のメンバーが作成していますが、社員と業務委託の間に分け隔てはありません。社員も業務委託もフルリモートで、なおかつ複業という形で働いています。
— ISMSの認証範囲には業務委託の方も含まれているのでしょうか。
ISMS認証の適用範囲は社員のみです。7名のエンジニアが社員として契約しています。その他は全て業務委託です。
ただし今回構築したルールに基づいた教育は、雇用形態に関係なく全員に適用していきます
株式会社として最低限の責務を果たすためISMS/ISO27001認証を取得
株式会社を名乗る以上、責任があります。そのためにISMSを取得しました
(代表取締役・民輪一博氏)
— K.S.ロジャース様の情報セキュリティに対するお考えをお話し下さい。
まず、弊社の特徴として、紙による情報管理は一切なく、全ての情報をクラウド上で管理しています。また社員か業務委託かに関わらず、弊社の業務に携わるメンバーは、複数の会社に所属していることが珍しくはありません。そのため会社としては、情報漏洩のリスクには注意を向ける必要があります。そこで、設立当初から、クラウド上のドライブを細かく分けて権限設定することで、漏洩するリスクの低減を図ってきました。
一方で、事業規模が拡大するとともに、大規模な企業との取引が増えて来ました。大手企業は監査が厳しいこともあり、委託先の情報管理体制を気にされます。弊社は“コミュニティ型企業”を謳い、実践してはいますが、株式会社を名乗りサービスを提供している以上、最低限の責務を果たす必要があります。ISMS認証はそのための体制整備を目的として取得しました。
— お客様からISMS認証、もしくはプライバシーマーク(以下、Pマーク)の取得を求められることもおありでしょうか。
これまで特定の企業から具体的に要求されたケースはありません。ISMS認証取得の意思決定に繋がる問題意識として最も大きかったものは、自分たちでルールを言語化出来ていなかったことです。客観的な基準に沿って、ルールを明文化したいという想いがありました。
正直なところ、弊社の信頼度はまだまだ高くありません。コロナ禍でリモートワークが定着したとはいえ、警戒されるポイントであることに変わりはありません。大手企業との取引が増えれば、ISMS認証やPマークが要求されることも増えていくことは予測されます。
— Pマークは選択肢にありませんでしたか。
コンサルティング会社に問い合わせをした段階ではPマークを取得するつもりでした。しかしLRMから、BtoCビジネスで膨大な個人情報を扱っているというわけではないためISMSの方が適しているのではないかというご指摘を受け、ISMSの取得に目標を変えました。
— 様々な立場の方が御社の業務に携わっています。就業規則のような統一したルールはございましたか。
社員向けにはありましたが、業務委託者に対して明文化したルールは存在しませんでした。その分、ドライブを整理して細かく権限を分けて管理して来ました。大事故に繋がる情報にアクセス出来る人を最低限に設定すれば、リスクを抑えることは可能です。メンバーの責任に応じて、それぞれが必要な情報にしかアクセスできない環境を作ることでリスクを抑えて来ました。
— 皆さんが仕事をする場所は基本的にご自宅ですか。
基本的には自宅ですが、カフェやコワーキングも可としています。カフェやコワーキングスペースで仕事をしている際は、他の人から見えないようプライバシーフィルターを使用する、席を外すときはパスワードロックをかけるといった注意喚起はしていました。また、ツールによっては2段階認証の設定をしてもらっていました。これらの対策は、今回のISMSのマニュアルにも記載してあります。
日頃からドライブを整理していたことがISMS/ISO27001認証取得にも活きた
— 今回ISMSを構築した中で、自由さを犠牲にしなければいけないようなルールを作ることはありませんでしたか。
ありません。今回の取り組みを通して、しっかり運用出来ていたことが確認出来ましたので、全体的にスムーズに進みました。改めてルールを検討しなければいけなかったリスクも少なく、コンサルタントの松岡さんや、審査員の方からも、厳しく指摘されることもありませんでした。
— しっかり運用出来ていたというのは具体的にはどういうことですか。
ドライブがきちんと整理されていたことが大きいと思います。オフィスがありませんので、守るべきものはクラウド上のドライブぐらいです。会社を立ち上げた頃から意識的に整理し、状態を維持してきたことで、時間を経て人が増えてもカオスな状況にならずに済みました。代表の民輪は、起業以前から相談を受け、他社のファイルサーバーの中身を見る機会がたくさんありました。その中でドキュメントの整理が出来ずに苦労していたケースを数多く見てきた経験が活きました。
— ISMS認証取得に向け、御社が取り組まれたことはどのようなことですか。
各部署における情報資産とリスク、セキュリティインシデントの洗い出し、追加対策の検討、各種契約状況の見直しなどを行った上で各種台帳やマニュアルなどの文書を作成し、LRMに内部監査をして頂くという流れで準備を進めました。
— 追加対策もあったのですか。
もちろん、出来ていないことはたくさんありました。部署ごとに情報資産やセキュリティインシデントを洗い出したり、ドキュメントを作成したりしたこと自体が初めての取り組みです。インシデントへの対策としては、ドライブ権限の付け間違えが発生した際に、報告書を作成し、ISMS担当者や代表が再発防止策を考えて承認するまでのフローを作りました。
LRMの全面的なサポートでスケジュール通りに進行
ISMS認証取得後も、新規事業を作った時の対応などについて相談しています
(人事マネージャー・花房啓佑氏)
— ISMS認証取得までのフローでご苦労はございませんでしたか。
マニュアルの作成は、ISO27001の規格に沿って表記する必要がありましたので難解な作業ではありました。
しかし、松岡さんが全面的にサポートしてくれたため、そこまでの苦労はありませんでした。そもそもISMSとは何かという話から始まり、どのようなプロセスで取得をしていくかを明示していただきましたので、迷うことなく作業を進め、スケジュール通りにISMS認証を取得することが出来ました。
— 文書作成に関して、LRMはどのようなサポートをしてくれましたか。
まず雛形を頂いて、読み合わせをしながら弊社の実態に合わせていくという作業を行いました。その際、規格に沿った表現の仕方について、他社の事例を提示していただくなど、様々な角度からヒントを頂きました。作業はほぼ打ち合わせをしながら進めましたが、その場で決められないこともありましたので、一旦弊社側で持ち帰って作業を進めました。わからないところがあれば松岡さんにメールで質問し、いただいた回答を元に作業を進めました。
— 従業員教育はどのように実施しましたか。
従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能をご提供いただいて実施しました。今回はISMSの適用範囲に該当する社員のみを対象に実施し、ISMS担当者の花房は、管理者としてのメニューを受講しました。今後は業務委託者にも、社員と同じメニューで教育を実施していきます。
— 『セキュリオ』を利用したご感想をお話し下さい。
事前に教材が作成され、コンサルティングサービスの中に組み込まれてありましたので、テキストやテストを作成する工数を省くことが出来ました。そういう意味では『セキュリオ』にはISMSを運用していくために必要なコンテンツが揃っているため、従業員教育以外にも管理工数を削減することが可能です。特に弊社が便利だと思ったのが法令管理です。情報セキュリティに関連する法令の最新版を常にフォローしておく作業も自社でやるのは大変です。
— 委託先管理の機能は使っておられないのですか。
委託先管理の機能は使っていませんが、次年度以降は利用する予定です。現状では業務委託契約とNDA(秘密保持契約)を交わしていますので、管理台帳を作って管理しています。
— 内部監査はいかがですか。
内部監査は松岡さんに内部監査員代行をお願いしました。
内部監査員代行というサービスは、初回は特にお願いした方が良いと思います。ISMSの担当者は2人とも過去に取得経験があるわけではありませんし、仮にあったとしても1回やったぐらいではスキルとして蓄積されないと思います。
そういった状態で内部監査を実施しても効果的な取り組みにはならないと感じます。
— 実際、内部監査によって指摘された問題点などはありましたか。
情報資産の洗い出し、リスク管理表の漏れをご指摘いただき、追加しました。
審査で明確になった課題。業務委託者にも『セキュリオ』のeラーニングを実施
— 審査はいかがでしたか。
審査ではいくつかご指摘をいただきました。今後の弊社の課題として捉えることが出来て良かったと思っています。
ご指摘頂いた点は主に、業務委託者の管理に関することです。NDAを結ぶだけでは足りないというお話をいただきました。このご指摘から、次年度より業務委託者全員に、『セキュリオ』のeラーニングを実施するという計画を立てています。また、業務委託者向けの資料作成も検討しています。
— 資料というのは、従業員向けのハンドブックのようなものですか。
もう少し簡単なものを想定しています。弊社の仕事をするときの注意事項をペラ1枚ぐらいのボリュームにまとめる予定です。
— ISMS認証取得に取り組まれたご感想をお話し下さい。
弊社はオフィスがない、就業時間も決まっていない、雇用形態による制限がない、など、あらゆる面で自由な会社です。リモートワークの会社がISMS認証を取得する例は他にもあるようですが、ここまで自由な会社の取得は前例がないということで、審査員が面白がっていたことが印象的でした。ただ、自由と責任は裏表の関係です。ISMSの取り組みも含め、“エンジニアの働き方を追求する会社”として最初の成功事例になれたら嬉しいです。
今後のサポート内容;内部監査員代行と課題に応じたスポット相談
— LRMへの御期待をお話し下さい。
ISMS認証取得後は、課題に応じスポット対応で相談に乗っていただいています。直近では新規事業を作ったときの対応について相談をさせていただきました。今後は、『セキュリオ』の年間契約と、内部監査を依頼していく予定です。
弊社の理念に沿った自由さを確保しつつ、しっかり情報を守っていく方法を、LRMと一緒に確立していきたいと考えています。
K.S.ロジャース株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※K.S.ロジャース株式会社様のWEBサイト
※ 取材日時 2021年2月
- SES(客先での開発業務)
- 受託開発
- 50名未満
- 非公開
- 複数拠点