株式会社ツクルバ様 – 顧客事例 –
建築・不動産・テクノロジーを掛け合わせた革新的なサービスで急成長を遂げる株式会社ツクルバは、事業の拡大に合わせた環境整備を進めるためにISMS/ISO27001認証取得に取り組みました。ISMS/ISO27001認証取得の取り組み経緯について、コンサルティングをLRMに依頼した理由・成果を含め、コーポレートマネージャー・飯塚武尊氏にお話を伺いました。
記事index
建築・不動産・テクノロジーを掛け合わせ、実空間と情報空間を横断した場づくりを実践する「場の発明カンパニー」。社名には「人と人、人と情報が交錯する『場』をつくりたい」という想いが込められている。創業事業であり全国にネットワークを広げ続けるシェアードワークプレイス『co-ba(コーバ)』、同社初のオンライン事業としてスタートし現在は収益の核を担うリノベーション住宅に特化した流通プラットフォーム事業『cowcamo(カウカモ)』、実空間・情報空間のデザインを横断する実験と共創のコミュニティ『tsukuruba studios』など、革新的な事業を創出している。
これらの事業を実現しているのは、エンジニアリング・デザイン・建築設計を中心に、事業プロデュース・広告クリエイティブ・不動産流通・メディア運営・編集・コミュニティマネジメント・イベントプランニングなど多種多様なスキルを持ったメンバーたちである。それぞれが自分の「色」を持ちながら、所属を超えて混ざり合い、「新たな色」を生み出す共創型ワークスタイルを実践し、新しいスタンダードとなる場の発明に挑み続ける。
設立;2011年8月。本社;東京都目黒区。従業員数;129名(2018年7月現在)
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は2017年7月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
LRMの担当者・井崎さんと最初の打ち合わせを行ったのが8月1日で、2018年5月にISMS認証を取得しました。
また、認証取得後は、ISMSの運用サポートサービス『情報セキュリティ倶楽部』の契約もしました。
これから本格的な運用フェーズに入りますので、引き続き外部の専門家の立場で中立的なアドバイスをお願いしたいと思っています。
組織規模とサービスの成長に伴う体制整備の一貫としてISMS/ISO27001認証を取得
— ISMS認証取得に取り組んだ理由をお教え下さい。
弊社がISMS認証を取得した理由は、社内の体制整備を進めるためです。
弊社では近年、事業拡大に比例して取り扱う情報量が増え、セキュアに管理する重要性が高まってきました。特に『cowcamo』は、不動産売買に付随してユーザー個人の信用情報を扱うため、大きな社会的責任を負っています。
情報漏えいなどの事故が起きればユーザーの方々に甚大なご迷惑をかけることになりますので、安心してサービスを利用していただくためにも、しっかりした体制を作る必要がありました。
また弊社は現在、様々なルールや仕組みを整備しながら成長していくフェーズを迎えています。全社的に持続可能な仕組み作りが求められる中、情報セキュリティに関しても継続的にPDCAサイクルを回しながら取り組める仕組みを作りたいと考えていました。
さらに社員数が50名規模を超えると、客観的な基準を軸にルールを決めた方が効率的な組織運営が出来るようになるだろうという判断もありました。情報セキュリティの第三者機関による認証制度としてはプライバシーマーク(以下、Pマーク)もありますが、自社の実情に合わせたセキュリティポリシーが構築出来るISMS認証を取得することに決めました。
— ISMS認証を取得することで、成長を阻害する要因が生まれる恐れはなかったですか。
その心配は全くしていませんでした。自社の業務を考慮したセキュリティポリシーを構築できることがISMSのメリットなので、そのメリットをしっかり活かすことだけを考えていました。
— 飯塚さんが担当されている業務内容をお話し下さい。
私は入社後コーポレート部門に配属され、部門全体の仕事を担ってきましたが、現在は経理や経営企画などの仕事が分離し、残った人事・総務・法務・情報システムの業務を兼務しています。ISMS認証取得プロジェクトではプロジェクトオーナーを務めました。
— ISMS認証取得に向けた社内体制をお話し下さい。
私の他に当時の経営企画・財務経理部長、人事総務部長の3名でISMS委員会を組織してスタートしました。
途中から情報システム部門を手伝っていただける方が必要になってきたため、外部の方と委任契約を結びISMS委員会にも入っていただき合計4名体制で取り組みました。
コンサルタントに求めたことは、ベンチャー企業のスピード感やテクノロジーへの理解
— コンサルティング会社選定の基準をお話し下さい。
コンサルティング会社を選定する上で重視した要素は、ベンチャー企業の特性とテクノロジーに対する理解を示していただけることです。
弊社はスタートアップ段階のベンチャー企業です。そのためビジネス展開は非常にスピーディですし、常に変化し続けています。そしてその事業展開を支えているのがテクノロジーです。弊社はテクノロジーとデザインと美しいビジネスモデルを使って社会課題を解決する活動家集団でありたいという、組織(コミュニティ)のビジョンを掲げており、ビジネスのあらゆる局面でテクノロジーを活用しています。テクノロジーは事業活動のあらゆる局面でてこの役割を果たしますので、スピードを速めたり量的な拡大を図ったりすることが可能です。そのため弊社のビジネスにとってテクノロジーは欠かせない要素です。
コンサルティング会社の選定では、このようなベンチャー企業特有の変化とスピード、テクノロジーを理解した上で、適切なアドバイスをいただけるコンサルティング会社を探しました。そしてこの条件を満たしていたのがLRMでした。
LRMは“Security Diet~オフィスは軽く。仕事は速く~”というコーポレートスローガンを掲げています。また弊社を担当してくれた井崎さんを始め、プログラミングの経験やスキルを持ったコンサルタントが在籍しています。
私は情報セキュリティの担当者ですが、もともとは管理系の業務で経験を積んできたため、ITの知見が深いわけではありませんので、ITに強いLRMは依頼先として最適であると考えました。
— 何社か比較はされたのですか。
5社ぐらい比較しました。成長を加速させたい現在の弊社では、どこに資金を投入するかも非常に重要な問題です。
中には価格を落として提案してくる会社もあり金額面では悩みましたが、コンサルタントは高齢の方が多いですし、
紙の資料を持ってきて説明されるので不安になりました。このような要素を含めて、弊社の実情に沿ったセキュリティポリシーを作ることが出来るのはLRMしかないと思いました。
部門増設、新規サービス開始など、社内環境が激変する中でのISMS/ISO27001認証取得
内部監査が模擬審査の役割を果たし、審査もスムーズに終えることが出来ました
(コーポレート マネージャー・
飯塚武尊氏)
— ISMS認証取得プロジェクトはスムーズに進みましたか。
非常にスムーズに進みました。当初は2017年度の期末に当たる2018年7月末までにISMS認証が取得出来れば良いという考えでスケジュールを立てていましたので、非常に早くプロジェクトを完了させることが出来ました。
実は今回、スケジュールに沿ってセキュリティポリシーの大枠を構築したタイミングで、リスクアセスメントを追加しています。プロジェクトがスタートして半年ほどの間に、
従業員数の倍増、部門の増設、新規サービスのスタートなど、社内環境が急激に変化したためです。そこでリスクアセスメントを追加で実施したのですが、それでも余裕を持って進行することが出来ました。
— ISMS認証取得に向け、具体的にはどのような取り組みをされましたか。
LRMとの打ち合わせではまずISMS認証の適用範囲を決めました。適用範囲は、事業所が異なるco-ba shibuyaを含む全社です。
その次に取り組んだのがセキュリティポリシーの構築です。リスクアセスメントを行い、それに基づいてLRMにドキュメント類をまとめてもらってセキュリティポリシーのベースができあがりました。 また、これらの作業と付随して発生するToDoを年間実施計画に落とし込み、いつ・誰が・どんな風に実行するかを計画し、1つずつ実行していきました。
— リスクアセスメントはどのように行うのでしょうか。
リスクアセスメントは情報資産に対するリスク分析からリスク評価までの工程です。まず情報資産管理台帳を弊社内で作成するとともに、LRMに弊社における各事業のフローをヒアリングしてもらい、可用性、完全性、機密性の観点からリスクを洗い出して、そのリスクをどのように管理していくかを決めていきました。
— 今回決めたルールには例えばどのようなものがありますか。
例えば『cowcamo』では不動産情報を扱うため大量の紙文書が存在しています。そこで物理的な情報資産の管理方法を決めました。情報資産管理台帳を作成し、情報の種類ごとにレベル分けをして、そのレベルに応じて保管場所や管理者、運用方法を定めました。
運用に関しては情報資産管理台帳を逐一見るのは大変なので、定められた運用フローを守っていれば基本的に管理出来るようになっています。具体的に言うと情報レベルが色で判別できるようになっていまして、最も情報レベルが高いものを赤で示しています。そしてこの赤の文書類は必ず定められた場所に施錠の上保管しなければいけないということになっています。
こうすることで例えば赤の文書が机の上に放置されていたら、気づいた人がそのメンバーに対して「出しっぱなしだよ」と指摘することが出来ます。 情報セキュリティ意識を高めるには、このようにメンバーがお互いに指摘し合う文化作りが最も効果的であると考え、それを促すような運用方法としました。
紙文書に関しては従来もキャビネットにしまって鍵を掛けるという管理をしていましたが、それらをさらにブラッシュアップしてルール化しました。
— ISMS認証取得を機に環境面で整備されたことなどはございますか。
今回のISMS認証取得に伴い、PC管理ツールやパスワード管理ツールの導入などのIT投資はかなりしました。
最も大きな投資は、社内のPCの状態を一元管理し、セキュリティポリシーに沿って適切に運用するためのPC管理ツールです。Mac用に『Jamf』、Windows用に『ISM CloudOne』を導入しました。
またパスワード管理ツールは『LastPass』を導入しました。定めたパスワードポリシーに則ってパスワードを決めていくと、複雑なパスワードをいくつも覚えなければいけません。しかしパスワード管理ツールを導入することで1つのパスワードで管理できるため、複雑なパスワードを覚える必要がなくなります。また社内で使っているクラウドサービスの中には、1つのアカウントを複数メンバーで共有しているものもありますが、そういった場合でもセキュアに運用出来ます。
— セキュリティポリシーが出来あがったのはいつ頃ですか。
途中で部門が増え、新規サービスの立ち上げも迫っていたため、追加でリスクアセスメントを実施する必要がありましたので3月までかかりました。その間、1月の新年合宿で改めて周知を行い、2月に従業員教育を実施しました。
そしてセキュリティポリシーが一通り構築出来た段階で内部監査、マネジメントレビューを実施し、4月の第1段階審査を受審しました。
— 従業員教育はどのように実施されたのですか。
従業員教育は2月にLRMが提供するセキュリティ教育クラウド『セキュリオ』を導入し、全従業員分のアカウントを発行してもらって実施しました。eラーニングは各自のタイミングで実施できますし、実施記録も残せるので管理が楽でした。実施履歴データはダウンロードできるので、審査で従業員教育の実施状況をチェックしてもらう時も、そのまま活用しました。
— 内部監査はいかがでしたか。
内部監査は井崎さんに内部監査員を代行していただいて実施しました。年明けに従業員数が一気に増えて100名を超えたばかりでしたので、私たち自身タスクがあふれかえった状態でした。そのため内部監査員を代行していただけて助かりました。
また外部の方に内部監査員を代行してもらったことで、模擬審査代わりにもなりました。実際の審査では井崎さんに聞かれたことと同じ質問がありました。
内部監査で事前対策が取れたこともあり、第1段階審査、第2段階審査と、大きな問題もなく終えることが出来ました。
目指すのは「自然林的組織」。社員一人一人が「なぜ必要か」を理解することが大事
— ISMS認証取得に取り組まれたご感想をお話しください。
非常に有意義な取り組みになったと考えています。大まかなフレームワークが出来ましたし、事業チームごとの情報管理方針が定まりました。それによって全従業員の情報セキュリティに対する認識が統一できたという成果は大きいと考えています。
— 今回の取り組みの中で改めて気づいたことはありましたか。
今回の取り組みを通して改めて実感したことは、第三者機関が客観的に構築したフレームワークを活用してルールを決めて文書化することの重要性です。それによっていつでも立ち戻って考えることが出来ます。特に現在のツクルバは、そのような環境整備が必要な段階にあります。組織拡大や新規サービスの立ち上げがあるたびに慌てずに対応出来るようになりました。
またマネジメントレビューの際の代表のコメントを通して再認識したこともありました。今回はいろいろなルールを作りましたが、代表の思いとしてはその1つ1つに対して「なぜ作ったのか?」を全員がわかる状態を常に担保していきたいということがあります。代表のコメントを聞いて私もまさにそうだと思いましたので、ことあるごとに情報セキュリティの取り組みがなぜ必要なのかを繰り返しアナウンスするようにしています。
弊社は「自然林的組織」を目指しています。人工林は限られた種の樹木のみを植え人為的に管理している林野ですが、自然林は多様な種の樹木が勝手に生えたり淘汰されたりしています。その分変化には非常に強いという特性があります。それはツクルバが目指す組織像と重なりますし、その強さがツクルバらしさであると考えています。
そのような組織作りを行う上で、ISMS活動においても全員が理解して判断できることは重要です。「何故?」がわかっていれば、ルール外のことが起きた時も正しい判断が出来るようになります。
ISMS運用に妥協が生じないよう、LRMには引き続き客観的な視点から
チェックして間違った判断があれば指摘して欲しいですね
(左;飯塚氏)
最後までやり切るコンサルティングで“Security Diet”を実現
— LRMのコンサルティングはいかがでしたか。
ISMS認証が無事に取得出来ましたし、プロジェクトもスムーズに進行出来たので非常に満足しています。
特に以下の3点が評価するポイントです。
(1)“Security Diet”のスローガンに沿ったセキュリティポリシーの構築
ポリシーの構築はLRMが用意したドキュメント類のひな形をたたき台として、弊社にとって不要なルールは消していくという方針の下で進めていただきました。
具体的には、ひな形の項目を読み合わせしながら、それをルールとして残すか残さないかを決めるのですが、その判断をする際に、残さない場合のリスクも具体的に提示して下さいました。また弊社がこうしたいということに対しても、他社の事例などをもとに適切なアドバイスを下さいました。具体的なアドバイスを参考に出来たことで、ルールを決めるために延々と悩むということは一切ありませんでしたし、LRMの“Security Diet~オフィスは軽く。仕事は速く~”というコーポレートスローガンに沿ったセキュリティポリシーの構築が出来ました。
さらに、その進め方もドキュメント類のひな形をモニターに表示させて、打ち合わせをしながら決まったことをそのまま反映させていくというやり方を取ったため、進行は非常に速かったです。
(2)最後までやりきるコンサルティングサービス
LRMのコンサルティングは、訪問回数無制限です。セキュリティポリシーの構築が一通り終わったタイミングで社内の状況が変わり、追加でリスクアセスメントを実施する必要が発生した際も、無条件で対応していただきました。
(3)コンサルタントのレスポンスの早さと柔軟な対応
プロジェクトを進めるに当たり井崎さんには弊社が使っているコミュニケーションツール『Slack』に入っていただきました。『Slack』は、日程調整や運用・審査準備に関する問い合わせなどに使用しましたが、大抵の場合、当日中に回答がありました。
またISMSと直接関連しない相談もさせていただきました。例えば若いメンバーが一気に増えた際に、あえてコンプライアンスに関する注意喚起をする必要が生まれたので、そのために使える資料がないかといった相談をしました。『Slack』に入っていただいているためすぐにメンションが飛ばせることも要因の1つですが、どんな相談にも柔軟に対応していただけるので聞きやすかったです。
妥協のないISMS運用を実現するために『情報セキュリティ倶楽部』を契約
— ISMSの運用における今後の課題をお話し下さい。
今回、ISMS認証を取得する課程の取り組みでは、ベースとなるフレームワークを構築することが出来ました。
しかし運用の細部が決まっていないところがありますので、次のISMS認証維持更新に向けて全員で整備していかなければいけません。例えば四半期ごとに社内のシステム上にあるデータを見直して、ローカルのデータは完全に消すというサイクルを回すというルールを決めているのですが、それを漏れなく実行するためにはどうしたら良いか、または漏れなく実行出来ているかをチェックするためにはどうしたら良いかを検討しています。さらにデータを全てクリアするということ自体、全員でやる必要があるのか、一部の部署でやれば良いのか、アシスタントはしなくても良いのかなど、手探りな部分がありますので、やってみて結果を見て判断しブラッシュアップしていく計画です。
— ISMSの運用サポート『情報セキュリティ倶楽部』を契約された理由をお話し下さい。
ISMS認証取得プロジェクトが始まった当時、社内に情報システム部門の専任者が不在で、ISMS運用に社内のリソースをあまり割けない事情がありましたので、ISMS認証新規取得コンサルティングと同時に『情報セキュリティ倶楽部』を依頼しました。
ISMSの運用について私たちが危惧していることは、運用している間に妥協が生じてしまうことです。第三者の視点から要所要所をチェックしていだいて、やるべきことが出来ていない時には釘を刺していただく。それだけでも非常に助かります。
ただISMS認証取得の取り組みを通して課題やリスクを潰して具体的に運用していこうとすると、やはり情報システムやセキュリティの担当者が必要になります。特に今後は新規事業もどんどん生まれてきますし、既存事業も変化していきます。そのたびにそのサービスにはどのようなリスクが生まれるのか、どういう情報システムを構築すべきかを考える必要があります。そこで情報システム部門の専任者を採用することになり、既に内定を出しました。
今後は情報システム担当者を含めた体制でISMS委員会を推進していきますが、先ほど申した通りISMS活動には外部の客観的な視点が必要です。今期の運用に関してもLRMにはいろいろと相談することが多いと思いますので、その中で緩んでいる部分があれば指摘して引き締めていただきたいと思います。引き続きよろしくお願いいたします。
株式会社ツクルバ様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社ツクルバ様のWEBサイト
※ 取材日時 2018年7月
- サービス開発・提供
- 建設・不動産
- 50~199名
- 東京
- 複数拠点