株式会社エルライン様 – 顧客事例 –

株式会社エルラインは、LRMのサポートを受け、2023年8月にISMS/ISO27001認証を取得されました。
取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、飯田様にお話をお伺いしました。

お客様が抱える課題とISMS構築アプローチ

• 上場を見据えて、社内の情報セキュリティ体制を整備したい
• 社員の従業員意識を向上させたい
• 1人でも運用できる仕組みを整えたい

• いきなり完璧を目指すのではなく、仕組みを導入して徐々に改善していけるISMS認証を選択
• セキュリオを使って効率的に社内教育を実施
• 情報管理を出来る限り自動化することを踏まえてルールを構築

LRMコンサルティングサービスへの感想

• コンサルティングとクラウドサービスの両軸で支援してくれる
• セキュリオのeラーニング機能はセキュリティに限らずさまざまな社内教育に活用できる
• 何回も同じ質問しても嫌な顔せずに対応してもらえて安心感がある

（株式会社エルラインについて）
株式会社エルラインは、とび・土工事業を中心に事業を展開する企業。足場の組み立て・解体はもちろん、足場材の販売レンタル事業もおこなう。また、グループ会社と提携しながら、リニューアル工事や躯体一式工事も請け負う。こうした担当現場の拡大を背景に直面した、建設業における人材不足の解消のために、建設業に特化した人材派遣・紹介サービスである「レバキャリ」も提供。さらに、これまでのノウハウを活かして専門工事会社専用プラットフォームを作成するなど、IT・DX事業にも取り組む。「『現場主義×新機軸』で現場革命を牽引する。」をコーポレート・アイデンティティとして掲げ、未来を分かち合う人々と共に、関わる人々の幸福と建設業界の発展に寄与することで、未来の社会を創造していくことを目指す。
設立：2008年12月。本社：東京都品川区。従業員数：220名。（2024年6月末時点）。

— LRMへのご依頼内容をお話しください。

株式会社エルラインは、2021年12月にISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。
担当コンサルタントは、石濱さんです。2023年8月に現地審査を終え、同月に認証を取得しました。

— まずは御社の事業についてお聞かせください。

当社は、とび・土工事業における足場の組み立て、解体を請け負う専門工事会社です。
そこから、足場材の販売レンタル事業を開始し、グループ会社の増加に伴いリニューアル事業や躯体一式工事事業にも進出しています。
建設業は人と人や、会社と会社のつながりが深い業界です。そのため、業界全体として売上が横ばいになりやすいのですが、当社は成長しています。それは、解体という大変な作業を積極的に請け負い、建設現場をどう良くしていくかを常に考える風土があったからこそだと考えています。

こうした成長を遂げてきた経験を横展開していきたいという想いのもと、IT・DX事業にも取り組んでいます。建設業界のDXは、ゼネコンでは資金力を活かしてITベンダーが提供するシステムを導入しDXを推進している企業も少なくありません。
一方で、専門工事会社はリソース不足が原因で、DXまで手が回らないのが現状です。そこで、これまでの工事におけるノウハウをシステム化したプラットフォームを開発しています。建設業界の中でも取り残されてしまいやすい専門工事会社全体をDXしていきたいという理念を持って、IT・DX事業に取り組んでいます。

具体的には、専門工事会社向けの工事情報を管理するプラットフォーム「LAPRI（ラプリ）」や、足場材のフリーマーケットのようなプラットフォーム「LLINK（リンク）」など、複数施策を検討しています。こうしたサービスは、まもなくのリリースを想定しています。
前述したとおり、建設業界は会社同士のつながりが深いため、自社とつながりがある会社にITプラットフォームを一気に導入し、その事例をさらに横展開していくことを目指しています。

— ISMS認証取得の背景をお聞かせください。

IT・DX事業においてITプラットフォームを作ろうとしている点と、上場を見据えている点から、その二つを達成するためには情報セキュリティ対策が必要不可欠であると考えました。

ITプラットフォームの導入拡大を推進していくために、自社の情報セキュリティ状況をお客様に説明する責任があると感じていました。お客様からの信頼を得るには、仕組みの整備や意識の底上げをしていかなければ自信を持ってご説明ができません。
事業拡大と上場の実現を考えたときに、ISMS認証取得のプロセスは必須だと思いました。

— 自社の情報セキュリティ状況を示すうえで、ISMS認証を選ばれた理由はありますか。

ISMSは、情報セキュリティの「仕組み」を指します。例えば、社内にシステムを導入するうえで、そのシステムの良し悪しを判断するには基準が必要です。業務や事業推進の観点はもちろん、情報セキュリティの観点も合わせて考える必要があります。
先んじて「仕組み」を業務フローに取り入れて、情報セキュリティの自社要件を設定しておくことで、どんなシステムが必要かを付随的に判断することができます。まずはそういった仕組みの整備が重要だと考えたため、ISMS認証を選びました。

— 飯田様の業務とこれまでのISMS運用のご経験についてお聞かせください。

私は、CTOおよびIT・DX事業部の統括責任者を担っています。事業に必要なプロダクトも作成しますし、会社全体の情報システムも管理しています。
ISMSを推進する立場は経験したことはありませんでした。ただ、前職で所属部門のISMS担当者ではありましたので、対応事項のイメージは出来ました。

— ISMS認証取得前には、どのようなセキュリティ課題がありましたか。

社員のセキュリティ意識向上は課題のひとつでした。また、規程やルールの整備も必要でした。

建設業界といってもさまざまな企業があります。小規模な足場会社であれば、頭の中で業務情報を管理している会社もあります。ただ、それで管理できるのであれば、それは悪いことではありません。情報を管理する目的は、情報量が多いことで忘れてしまったり、分からなくなることを回避するためです。頭の中だけでは管理できないから、ホワイトボードに記載したり、Excelで管理するようになっていきます。そうした管理の成り立ちを理解したうえで情報セキュリティの整備をしないと、社内にもなかなか浸透しないとは感じていました。

— コンサル会社を探された経緯をお聞かせください。

私は、ITプラットフォームを開発する業務と、情報システムを整える業務を担当しています。複数のプラットフォーム作成を構想していたため、開発に新しい人材を増やすことを優先していました。その結果、情報システムを整える業務は私一人でおこなう必要がありました。

コンサルティングによる支援とその後の運用もサポートしてくれる企業を探していたところ、セキュリティ教育クラウド「セキュリオ」を見つけました。また、セキュリオを提供するLRMさんは、ISMS認証取得コンサルティングもされていました。コンサルティングのみを提供する企業はたくさんありますが、体制構築した後の仕組みがクラウド化されない場合が多かったです。
価格もリーズナブルでしたし、セキュリオとコンサルの両軸で支援いただけることで一人でも運用できるイメージを持てたのが、LRMさんを選んだ決め手です。

— お取り組み全体を振り返ってみていかがでしょうか。

仕組み整備は、達成できました。現状の見える化ができたため、前と比べてどのくらいセキュリティ意識が上がったのかを追っていける仕組みが出来ました。改善していくルーティンが出来たと思います。

認証を取得したことで、モチベーションも出てくると思います。「ここが出来ていないと認証継続できないですよ」と言えますし、「一度取って取り消しになるようでは、上場を達成できないですよね」と経営層にも提案しやすくなりました。

社員にも1年間しつこいくらいセキュリティについて言い続けたので、意識は上がっていると思います。現在は、社員が嫌にならないように伝えられる効果的な方法を模索していて、落としどころを見つけたいです。

— どのようにお取り組みを進められたのでしょうか。

LRMさんにTodoを提示してもらって、自社でやるべきことを整理して取り組んでいきました。細かい対応については都度相談していましたが、専門家の後ろ盾を得ながら対応できたので、社内にも説明しやすかったです。

おおまかな対応事項は決まっていますが、それをどう達成するかは工夫を凝らしました。例えば、情報資産を台帳にまとめる作業については、前職では各部門に対応を依頼していました。しかし当社の場合、当時は情報という概念自体が確立していなかったので、前職のやり方ではダメだと考えました。そこで、まずはどう作成していくべきかの考え方をLRMさんに聞きました。そして、それを私から社員に説明したうえで、その場でヒアリングしながら一緒に作成するようにしました。
しかし、事務局は私一人なので、全部署対応していると負担が大きいです。当社は品質を高める動きの中で、同じ業務フローに則って働いている部署もあります。情報資産の台帳も業務フローごとに作成することで、負担を軽減しました。

— サポートが必要な箇所は丁寧にサポートし、省略できるところは省略して対応されていたのですね。

そうですね。監査を受けると情報資産管理台帳において、実態と異なっている箇所も指摘されました。実はそれは狙い通りです。現状にあわせた情報資産管理台帳を作るのではなくて、現状との違いを指摘されることで業務フローの見直し・改善に繋がらないと意味がないと考えていました。業務フローを改善してから、新しい情報資産管理台帳を作成するまでの道筋が大切です。

ISMSは仕組みの認証なので、「ルールで定めているのにその通りになっていないですよね、改善していきましょう」とブラッシュアップしていけるのが良いです。実は、プライバシーマーク（以下、Pマーク）も取得しようと思ったのですが、Pマークは「今できていないとダメ」なんですよね。ルールとしては整備したかったので、Pマークにも対応した規程を今回作成しました。しかし、実際にPマークを取得するにはその通りに運用できている必要があります。ルールと実態の乖離が無くなったら、Pマーク取得も視野に入れていきたいです。

— ルール策定において意識されたことはありますか。

上場も見据えているので、情報管理規程との兼ね合いも考慮しました。承認ルートの整備やアクセス権限のコントロールなどを、情報システム全体を構築していくうえで考慮しました。

会社の情報管理をコーポレート、コミュニケーション、業務管理（Todo）の3つに分けて、それぞれどんなツールを使って構築していくかの全体図が頭の中にありました。そのため、情報管理規程にも例えばRedmineを利用する、セキュリオを利用するなど、利用システムありきで記載されている部分があります。出来る限り自動化したかったですし、ITはそのためのものです。自動化した後をイメージしながらルールに落とし込んでいきました。

— 従業員教育や社内周知はどのように対応されましたか。

従業員教育は、セキュリオのeラーニング機能を使いました。
ルールの社内周知は、社内掲示板やMicrosoft Teamsで告知しました。当社には、Microsoft Teamsでコミュニケーションを取る文化がもともとありました。せっかく使い慣れているので、Microsoft Teamsを中心にMicrosoft 365でコミュニケーションプラットフォームを構築しています。

ゼロイチで導入するシステムは少なくしたいです。今あるシステムをいかに効率的に使うかを考えています。情報セキュリティルールも、みんなが慣れているものを使った方が浸透は早いです。既存システムを上手く使って、無いところだけ補う。補う際も、既存システムと連動させれば違和感なく使うことができます。例えば、Microsoft 365にはシングルサインオンの機能があります。どんなシステムが導入されても、「Microsoft Teamsにサインインしていれば使える」という状況にすることができます。

— セキュリオの導入は無いところを補った流れかと思いますが、導入してみていかがですか。

セキュリオもシングルサインオンが利用できるので、ログインまでは簡単です。ログインしてもらったら、この画面でこれをやってねと伝えるだけです。ただ、誰がそれを伝えるかは重要だと考えました。全然知らない人が「これやって」と伝えてもなかなかやる気にならないじゃないですか。笑
当社は、日本全国に拠点が多数あります。私が各地に行って対面で接することで、「情報セキュリティで分からないことがあったら私に聞く」という関係性を構築するよう心掛けました。

また、最初からガッツリ説明はしませんでした。説明それ自体が悪い訳ではないですが、タイミングによっては良く分からない事がさらに分からなくなる場合もあります。少し理解した時点で説明した方が理解度が深まりやすかったりしますし、そういった流れを作りたかったんです。そういった意味では、初年度で100％完璧を目指すのではなくて、まずは教育の仕組みを作ってそこにのせることを目標にしました。

— セキュリオのeラーニング機能はいかがでしたか。

セキュリオのeラーニング機能は、情報セキュリティ教育はもちろんですが、自社でテキストを作成すればさまざまな教育に活用できる点も良いです。ユーザー課金制なので、教材登録制限もなく、使いこんだ方がお得になっています。

社内教育は、セキュリオのeラーニング機能を活用するようにすれば、eラーニングで教育をする文化が醸成されて、受講率も上がっていくと思います。受講率が上がれば、おのずと情報セキュリティ教育の受講率も上がるので、相乗効果が生まれることを期待しています。

— 内部監査はLRMコンサルタントが担当しましたが、いかがでしたか。

外部審査の際も同様ですが、指摘されるポイントは把握していました。指摘されることで改善していくプロセスを回したい狙いがあったので、予想通り指摘されて現在プロセスを動かしているところです。

実は、外部審査を受けようとしているタイミングで、本社移転の話が出てきました。セキュリティ課題を一気に解決する機会だと捉えて、外部審査の受審期間を1年延長しました。移転の際に、例えば人事総務のPC配置をお客様から見えない位置にするなどさまざまな対策をおこないました。結果として、想定する指摘ポイントを減らしたうえで外部審査に臨めたのは良かったと思います。

— 外部審査を受けてみられたご感想をお聞かせください。

ISMS審査自体は、前職で部門担当者として経験がありました。部門担当者の場合は、所属部門という限られたなかではありますが、自身で審査員に説明ができます。その一方で、今回は事務局として審査に臨んでいます。ISMS審査は全ての拠点に対して一度におこなわれるため、すべての部署の審査に同席することはできません。そこにもどかしさを感じましたし、事務局と現場で認識が乖離しているのではないかという不安はありました。

ISMS審査では、「自社の情報が見えているか」「情報を管理しているか」「管理の仕組みは何か」「仕組みを回せているか」が問われます。そこはきちんと押さえていたので、現場の社員には「ありのままに言ってくれていい」と伝えていました。その結果、審査員から情報セキュリティについて一定の評価をいただけたので、これまでのルール周知、教育が浸透している実感を得られました。

— ISMS審査を受けるうえで準備しておいてよかったことはありますか。

ゴールイメージをきちんと持っておくことが重要だと思います。
ISMS認証の誤解されやすい点として、「ISMS認証を取得したから、セキュリティが安全」という点があります。ISMS認証は、あくまで仕組みづくりへの認証です。仕組みができたうえで、どのように活用していくかのイメージを持つことが重要です。そのイメージがあれば、例え現在は対応しきれていない箇所があったとしても、審査員の方に「こういう風に対応している最中です」と説明できると思います。

— LRMのサポートはいかがでしたか。

LRM石濱さんにサポートしていただいたおかげで、最小限の作業でISMS認証を取得することができたので、とても助かりました。私の考え方が規格と適合しているかを都度確認していましたが、専門家に合っていると言ってもらえたことで安心しながら進めることができました。

また、本社移転もあり、取り組み期間が想定より長くなっていました。どうしても普段の業務もあるので、取り組み状況を忘れてしまったりもします。本当に何回も同じことを質問してしまったのですが、嫌な顔をせずに回答いただけたのは心強かったです。

— 今後の展望や課題についてお話しください。

どんな情報であっても、伝える人によっては価値のあるものだと考えています。社員には、そうした特性のある「情報」の取扱いについて、「この人にとってこの情報はどういうものなのか」を自然に考えられるようになってほしいです。これは、セキュリティだけの話ではありません。DXを推進するうえでも、情報の価値が相手次第でどう変わるかを意識することが重要です。この人にこれを言ったらすごく効果があるはずだ、こういう情報をうまく活用できればビジネスになる、これを相手に漏らしたらどんな酷いことが起こる、といったことを考えて欲しいです。ISMSの運用をきっかけに、情報の重要性を意識して欲しいですね。

当社は、今後もしばらくは私一人で事務局としてISMSを運用していくことになると思います。そのためには、外部の適切なサポートが必要です。LRMさんには引き続きご支援いただければと思っています。
「ISMSは人数がいないと回せないもの」ではいけないと思います。例え、ひとり情シスであってもISMS認証を取得できるし、運用できる仕組みにすることが重要です。当社は、その良い事例になっていきたいです。

株式会社エルライン様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社エルライン様のWEBサイト
※ 取材日時 2023年12月