株式会社ヌーラボ様 – 顧客事例 –
クラウドベンダー・株式会社ヌーラボは2016年12月、ISMS/ISO27001認証の新規取得に成功しました。自社サービス『Backlog』をふんだんに活用しながらの認証取得は、どのように進んだのでしょうか。担当者のサポートエンジニア・漢円教氏に詳しく話を聞きました。
記事index
プロジェクト管理ツール『Backlog』、図表作成共有ツール『Cacoo』、チャットツール『Typetalk』の開発・運営を行う。全てのサービスに共通するコンセプトは「チームで働くすべての人に」。上下関係のないホラクラシー型の組織運営を前提に、仕事を楽しく、コラボレーションを促進するサービスとして開発する。象徴的な例が『Backlog』のガントチャート機能。プロジェクト管理者など特定のメンバーがガントチャートを作成しタスクを割り振るのではなく、チームに属する各メンバーの課題の積み重ねでガントチャートが自動生成される。非エンジニアリング部門を含めた組織全体で使える機能を充実させていることも大きな特徴である。『Backlog』導入社数4,800社、『Cacoo』200万ユーザーに上り、ユーザーは海外にも広がっている。
設立;2004年。本社;福岡県福岡市。従業員数;約60名(2016年12月現在)。
ISMS/ISO27001認証新規取得コンサルティングを依頼
— LRMへのご依頼内容をお話ください。
弊社は2016年1月、LRMにISMS/ISO27001(以下ISMS)認証の新規取得コンサルティングを依頼しました。LRMは東京のクラウドベンダーから紹介していただきました。
『Skype』や弊社の『Backlog』などを使った遠隔コンサルティングを通じ、12月に認証取得が完了しました。
ISMS/ISO27001認証取得の理由
大手企業でも導入が進む、ヌーラボ社が開発・運営するプロジェクト管理ツール『Backlog』のWEBサイト。
— ISMS認証を取得した理由をお話ください。
弊社がISMS認証を取得した理由は、お客様に弊社サービスを安心して使っていただくためです。『Backlog』をはじめ、サービスのユーザー数増加に伴い、お客様からセキュリティに関する問い合わせも増えてきました。大手企業との取引では、各企業が定める要件を満たしているかどうかチェックシートに回答する機会も少なくありません。
情報セキュリティマネジメントは、クラウドサービスを提供する企業なら自主的にセキュリティレベルを維持・向上するための取り組みを行うのが前提だと思います。
弊社の社員は各自高いセキュリティ意識を持っており、情報漏えいなどの心配はないと考えています。しかしそれを社外の方にご理解いただくには、弊社の現場を視察していただくしかありません。ただ、1件1件には対応できませんし、外部の方を開発現場に入れること自体がリスクではないかという問題があります。
弊社の情報セキュリティへの取り組みを社外の方にご理解いただくには、ISMS認証は非常にわかりやすいと考え、取得することを決めました。
ヌーラボ社における情報セキュリティ対策
— 普段から取り組まれてきた情報セキュリティ対策をお話ください。
まず弊社は基本的に物理的なドキュメント管理を行っていません。お客様が必要とされる時だけ紙の契約書を作成しますが、所定の場所で厳重に保管しています。紙の情報は紛失や散逸のリスクがあり、管理が煩雑です。
弊社は顧客情報を含め全ての情報を『Backlog』などのクラウド上に集約することでリスクを最小限に抑えています。
サービス開発における情報セキュリティ対策としては、以下の通り、外部対策と内部対策の両面で行っています。
(1)外部対策
弊社のサービスはAWSで運用しています。外部から第三者の侵入を防ぐために、データベースを分け、VPCの仮想ファイヤウォールを導入しています。
(2)社内対策
拠点以外からはアクセスできないよう、アクセス権の管理を徹底することで情報漏えいリスクを抑えています。
業務スタイルを壊さないマネジメントシステムの構築を意識
いつものワークフローに乗せることが出来たので運用負担を軽減出来ました
(サポートエンジニア・漢円教氏)
— 漢様がISMS担当者にアサインされた経緯をお話しください。
私は通常、『Backlog』のサポートエンジニアを務めています。最近、お客様からセキュリティ関係の問い合わせが増えていることがあり、業務との関連性の高さからISMS担当者にアサインされました。
— ISMS担当者にアサインされた際、ご心配やご不安などはありませんでしたか。
通常業務との兼務で、認証取得準備の作業時間が確保できるか心配はしていました。
サポート業務は、仕事量の予測が立てづらい業務です。私自身、これまでに大きなプロジェクトを取り仕切った経験がなかったこともあり、サポートレベルを維持しつつ、ISMS担当者を務めることができるか漠然とした不安がありました。ただ、何とかなるだろうと割り切ってスタートしました。
— ISMSのルールを構築する上で意識されていたことはありますか。
認証を取得したとしても、業務の進め方が制限されることのないよう、弊社の身の丈にあった仕組みづくりを意識しました。弊社はクラウドをフル活用し、複数の拠点で働くメンバー同士がコラボレーションをしながらプロジェクトを進めています。そのような弊社の業務スタイルをそのまま壊さず維持することを意識してルール構築に取り組みました。
打ち合わせから文書管理までクラウドツールをフル活用
— 『Skype』や『Backlog』を使った遠隔コンサルティングとは具体的にはどのような進め方ですか。
定期的な打ち合わせを『Skype』で行い、細かいルールを決める際に不明な点が出てきたら、その都度『Backlog』の課題機能を使って幸松さんに質問しました。
最初の打ち合わせと、幸松さんが現場の社員に直接ヒアリングする必要がある時だけ、福岡本社に来ていただきました。また、内部監査も幸松さんに監査員を務めていただいたので、国内各拠点を回っていただきました。
— 遠隔コンサルティングという方法を選択した理由をお話ください。
私が勤務しているのは福岡本社で、幸松さんは普段は東京、大阪にいます。しかしこの打ち合わせのためにどちらかが移動するのは、時間やコストが勿体ないと考えました。弊社は拠点間のコミュニケーションでクラウドツールを活用し、普段から使い慣れています。そこで今回も遠隔コンサルティングというスタイルを選択しました。
今回は、LRMとのコミュニケーションだけではなく、認証取得準備全般に渡って『Backlog』を活用しました。例えば教育や内部監査の実施記録にも課題機能を活用しています。文書類の作成・管理はWikiを使いました。社員に周知すべきルールは、全員が閲覧できるプロジェクトとしてまとめなおしました。
『Backlog』は自由な使い方ができるよう設計して開発しているので、どのようなプロジェクトでも活用できます。
弊社では、例えば京都支社オフィスのイノベーションを自分たちの手で行いましたが、その管理にも活用しました。
普段の社内の飲み会などにも活用しています。
今回のISMS認証取得は、使い慣れたツールを普段通りに使って行うことが出来ました。『Word』や『Excel』を扱うことが苦手な開発者は少なくありません。いつものワークフローに乗せることができたため、運用の負担は軽減されました。
— プロジェクトはスムーズに進みましたか。
審査まではLRMが最初に組んだスケジュール通りに進行しました。ただ、1回目の審査で、審査員からある指摘を受けたことがきっかけで少し慌ただしくなりました。
— 審査員からの指摘とはどのようなものですか。
一部の文書を『Backlog』で管理してはどうかという指摘です。一部の文書というのは、PDCAの進捗管理です。
その方が弊社の業務フローに合っているという趣旨でした。
その旨をLRMに話すと、それなら全ての文書を『Backlog』上で管理してはどうかというご提案をいただきました。『Backlog』の機能の1つにwikiがあります。そのwikiに、『Word』や『Excel』で一通り作成し終わっていた文書類を移行しようということになりました。それによって作業は一気に増えましたが、普段のプロジェクトと同様の運用ができるようになったため、ISMSの運用負担は飛躍的に軽減されました。
— 『Word』や『Excel』で作った文書をwikiに移行する作業で苦労した点はありますか。
再現性の問題で悩みました。特に『Excel』で作成した一覧表の再現です。セルの中で改行ができない仕様なので、それをどう表現するか、幸松さんに相談しながらクリアしました。改行ではなく1行ずつセルに落とし込んだものもありますし、それでわかりにくいものは別表にしてリンクを張るなどの工夫をしました。
文書管理に『Backlog』を活用したことは、2次審査でグッドポイントをいただきました。弊社の業務スタイルをそのまま踏襲したことで管理の効率性が向上しているという評価です。
通常業務との兼務も最後まで落ち着いて準備が出来た
— ルール構築で苦労されたことはありますか。
ルール構築で苦労したことはほとんどありません。基本的には、普段やっていることをISMSの規格に沿うよう整理しただけなので、新しいルールも特に設けていません。
— ご心配されていた通常業務との兼務はいかがでしたか。
心配していたような厳しい局面はありませんでした。最初にLRMにロードマップを示していただけたため、それをもとに業務の隙間時間を見つけながら最後まで落ち着いて準備が出来ました。また通常業務と同様、『Backlog』を使ってプロジェクトを回せたため、他の社員を巻き込んで作業を分担し自分自身の負担を減らすことができました。
— 今後の課題などがあればお話下さい。
弊社は2010年にプライバシーマーク(以下、Pマーク)を取得し、運用し続けて来ました。2018年に次の更新時期を迎えますが、それを機にISMSとPマークを統合するか、もしくはPマークに代わる認証を取得するか、これから検討したいと考えています。
代わりの認証というのは具体的には、ISMSのオプション認証であるISO27018認証です。ISO27018はパブリッククラウドにおける個人情報保護に焦点を当てた規格です。弊社は、クラウドサービスを提供している性格上、お客様からの問い合わせもいただいています。同じISMSのオプション認証であるISO27017(クラウドセキュリティ認証)と合わせて、LRMの意見もうかがいながら検討を進めて行く考えです。
ヌーラボの業務スタイルそのままのマネジメントシステムが構築できました
(左;漢氏 ※右は弊社幸松)
LRMのコンサルティングの感想と今後の期待
— LRMのコンサルティングを受けられたご感想をお話ください。
幸松さんの対応には柔軟性があり非常に話しやすい印象がありました。フランクなコミュニケーションで弊社の現状を引き出してくれたことが、自社の身の丈に合ったマネジメントシステムを構築出来た最大の要因だったと考えています。
— 今後、LRMにご期待することがあればお話しください。
LRMに期待することは、情報セキュリティやインターネットサービスについて、我々クラウドベンダーと同等以上の知識と情報を持ち続けていただくことです。
インターネットは変化の激しい分野ですが、審査員やコンサルタントなど情報セキュリティの専門家が、その変化に追いついていません。年配の方が多いことも1つの要因だと思いますが、審査される我々の方が知識を持っていると感じます。審査員やコンサルタントの理解度が低ければ、我々はそのレベルに合わせた古いやり方で業務を進めなければいけません。そういう事態が発生して業務に支障が出ることを危惧します。
LRMのコンサルティングでは、そのような心配は全くありませんでした。これからもそのレベルを維持していただけるよう、勉強し続けていただくことを願います。
株式会社ヌーラボ様、お忙しい中有り難うございました。
※ 株式会社ヌーラボ様の Webサイト
※ 取材日時 2016年12月
- システム開発・運用
- クラウドサービス(SaaS)開発・提供
- 担当者の負担軽減
- 社内の運用を変えない
- 50~199名
- 福岡
- 複数拠点