弥生株式会社様 – 顧客事例 –
弥生株式会社は、LRMのサポートを受け、2023年1月にISMS/ISO27001認証を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、甲賀様と石井様のおふたりにお話をお伺いしました。
- お客様が抱える課題とISMS構築
-
- プライバシーマークに加えて情報資産全般を対象とするセキュリティ対策がしたい
- スモールビジネスを行うお客様や金融機関に対して安心安全をお届けしたい
- すでにあるルールや仕組みをISMSに適合させる必要がある
- ISMSの要求事項を満たせているルールはそのまま利用
- 残すべき記録を残すようにするなど、必要な箇所については既存の仕組みや業務の流れを変更
- 情報資産管理台帳の作成の際は効率性を考慮し、記載対象についてグループ化を行った上である程度まとめた項目を記載
- LRMコンサルティングサービスへの感想
-
- 最後まで伴走してくれる期待を持つことが出来て、費用感も納得できた
- 審査員でもあるコンサルタントから有用な話を聞くことができた
- チーム全体でバックアップしてもらえた
(弥生株式会社について)
弥生株式会社は、スモールビジネスの事業の立ち上げから発展の過程に直面するさまざまな課題の解決を支援する企業。会計や給与計算、販売管理といったバックオフィス業務を支えるソフトウェア「弥生シリーズ」や、起業や事業承継などを支援する「事業支援サービス」を提供している。代表的な「弥生シリーズ」は、クラウドアプリとデスクトップアプリの両方を提供しており、クラウド会計ソフトとして8年連続利用シェアNo.1、デスクトップアプリとしては23年連続売上実績No.1を誇り、現在登録ユーザーは280万を超える。
スモールビジネスの業務効率化を徹底追及するとともに、事業者の起業から事業の発展の過程で生まれるあらゆるニーズに寄り添い、事業を支える「事業コンシェルジュ」を目指す。
創業:1978年。本社:東京都千代田区。従業員数:850名(2022年9月現在)。
記事index
LRMへのご依頼内容:ISMS新規取得コンサルティング
— LRMへのご依頼内容をお話しください。
弥生株式会社は、2022年3月にISMS/ISO27001(以下、ISMS)の新規取得コンサルティングを依頼しました。
担当コンサルタントは、三崎さんです。2022年12月に第二段階審査を終え、2023年1月に認証を取得しました。
スモールビジネスを行うお客様に安心安全を届けたい
— まずはISMS取得のお取り組みを主導されたおふたりのお立場や業務についてお聞かせください。
私たちの普段の業務は以下の通りです。
- 甲賀様:管理本部 人事総務部
シニアマネジャーとして、契約書の確認や株主総会の運営、情報セキュリティ運用などリーガル部分を担当。 - 石井様:開発本部 情報システム部
エンジニアであり、情報セキュリティチームにも所属。
ISMSに限らず情報セキュリティ全般の社内制度や仕組みづくり、脆弱性への対応、ウイルス発生時の駆除対応、社内におけるシステムや情報取り扱いに関する質問対応などを担当。
今回のISMS取得の取り組みは、管理本部が中心となりつつも、開発本部・マーケティング本部・顧客サービス本部それぞれから担当者を選出して、内部監査室にも協力してもらいながら進めました。石井にはISMS更新対応の経験が少しありましたが、社内にISMS取得の経験がある者はいなかったので、LRMさんのお力を借りながら全社で力を合わせて取得に向けて動いていきました。
— お取り組みに関わる人数が増えることで共通認識を持って進めることが難しくなる側面もあるかと思いますが、いかがでしたか。
取り組みにくさはあまり感じませんでした。
みんな前向きに取り組んでくれましたし、石井をはじめとした各本部から選出した担当者が、それぞれの部署内における調整をしっかり行ってくれていたので、大きな摩擦はありませんでした。
— 御社での働き方はリモートワークも多いのでしょうか。
出社したい人は出社できますし、リモートワークが良い人はリモートワークを選択できます。働き方については、業務にもよりますが、基本的には本人次第になっています。
ISMS取得の取り組みに参加したメンバーには、本社以外の拠点に在籍するメンバーも含まれていたので、リモート会議で検討を進めていきました。
— ISMSを取得した経緯についてお聞かせください。
当社は、情報セキュリティの第三者認証のひとつであるプライバシーマーク(以下、Pマーク)はすでに取得していましたが、こちらは個人情報のみが対象になっています。当社の提供する製品は会計情報や従業員情報などの機密情報も扱うため、より安心してご利用いただけるように、情報資産全般を対象とするISMSを取得することにしました。
ISMS取得については、一部の部署のみでの取得という選択肢もありましたが、全社・全業務・全社員での取得を選びました。そうすることで、すべての拠点でお客様に自信を持って情報セキュリティに取り組んでいると言える証になると考えました。
また、金融機関ともお取引があるため、金融機関に対しても安全性を示したいという社内的ニーズもありました。
実際に、ISMS取得を発表した際に、金融機関からポジティブな問い合わせが増えました。
クラウドサービス企業として、さらなるセキュリティ強化を図る
チーム全体でバックアップしていただき感謝しています。
(管理本部 人事総務部 シニアマネジャー・甲賀様)
— ISMSを取得する前に抱えていたセキュリティ課題はございましたか。
情報セキュリティに関するルールに未整備の部分があり、理解がなかなか進まないという課題がありました。また、クラウドサービス企業として当社を評価した場合、他社の方が情報セキュリティに関して先行しているような状況も一部見受けられます。Pマークを運用してはいましたが、まだまだやるべきことはたくさんありました。
ISMSは、PDCAサイクルに力点が置かれています。そういったISMSの特徴を当社に取り入れることで、当社の情報セキュリティ体制をさらに強化したいという想いがありました。
— ISMS取得前からPマークを運用されていたということで、セキュリティ規程などはすでにございましたか。
セキュリティ規程はもちろんありました。ですが規程だけを読んでも、「どう設定すればいいのか」「何を導入すべきなのか」など、結局どういう対応をしたらいいのか分かりづらい部分があり、課題となっています。
現在は、従業員に対してどういう対応をすべきかの基準を示すことができるように、その基準を検討しています。
— ISMS取得にあたって、ご不安はございましたか。
当社は、設立からもうすぐ50年を迎えようとしている歴史ある会社です。ISMS取得前に運用していたセキュリティルールと、ISMSを取得するために対応すべきルールとの間にどれくらいギャップがあるのかが分からなかったので、どのくらい指摘や不適合が出てしまうのか分からず不安でした。
また、全社を対象範囲にしたことで、特定の一部門のみセキュリティを徹底すれば良いという状況よりも難しい対応が迫られる場面もあると考えていました。新しくISMSを取得することで今まで対応してきたことにプラスして対応が必要になるので、取り組む前は、全社的についてきてくれるのかが不安でした。結果としては、皆さんしっかり対応してくれたおかげで、ISMS取得に至ることができました。
後は、社内にISMS取得の経験者が誰もいなかったことも不安でした。今回のISMS取得に取り組んだ主なメンバーには、前職でISMS更新対応に携わっていたり、Pマーク取得の際に部門担当者として情報資産の洗い出しや審査対応を行っていた者はいましたが、ISMS取得をゼロから経験した者はいませんでした。
— 御社は従業員数も多いですし、全社にISMSを導入することは、一部分で導入するよりは負担が大きいですよね。
不必要な範囲まで過剰にセキュリティ対策をやる必要はないと思っています。適切なセキュリティ対策をしていくために、業務効率とセキュリティのバランスをどう取るのかを考えて、また、それをどうやって社内に理解してもらうのかを考えていくことが重要です。
不安だったはじめてのISMS取得。最後まで伴走してくれる期待が持てた
— コンサルティング会社選定の経緯についてお聞かせください。
ISMS取得の経験者がいなかったので、最初からどこかに何らかの支援をお願いする想定で動いていました。4~5社ほど見積もりを取り、比較検討しました。
コンサルティング会社を比較する際に確認していたことは、ISMS関連ドキュメントに関する支援の手厚さです。
例えば多くのひな形を提供してもらえる、あるいは既存の社内文書に対してISMSに適合させるための修正に協力していただけるといった点です。ISMSの関連文書は複数あるので、「作っておいてください」というだけでは上手くいかないだろうと予想していました。こういう文書があれば認証を取得できるというフォーマットをきちんと提示してくださった上で、それを社内で運用できる形に調整してもらえるかどうかを確認していました。
— LRMをお選びいただけた決め手は何でしょうか。
サービス内容と費用のバランスの良さです。
コンサルティング会社の中には、何でもやってくれるけれど費用が高い会社や、費用が抑えられるけれど質問に答えるのみなど限定的なサービスとなっている会社など、さまざまありました。はじめてISMS取得に取り組むという大きな不安がある中で、LRMさんは、最後まで伴走してくださる期待を持つことが出来て、費用感も納得できたので選びました。
最も注力したのは今までの仕組みやルールとISMSの調和
最後まで伴走してくださる期待を持てましたし費用感も納得できました。
(開発本部 情報システム部 エンジニア・石井様)
— お取り組みはどのように進められたのでしょうか。
社内で利用しているツールで進めました。ファイル共有にはMicrosoft SharePointを利用し、連絡は主にはSlackと補助的にメールを利用しました。在宅勤務が浸透する中でSlackの位置付けは非常に重要でした。
やり取りの流れとしては、LRM三崎さんから例えば「この記録をこの期日までにMicrosoft SharePointにアップロードしておいてください」という依頼があって、完成したらアップロードしてご連絡するというような流れで進めていきました。
また、取り組みを進めるにあたってSlackと Microsoft SharePointについては、アクセス権限を用途に応じて設定し利用していました。事務局のみがアクセスできるものと、台帳の更新などを担当する人がアクセスできるものなどを分けていました。
例えばSlackは、事務局とLRM三崎さんのチャンネルに加えて、情報資産やリスクを管理する台帳作成などについて各担当者から質問を受け付けるチャンネルなども設けていました。質問受付チャンネルでは、各担当者からの質問に対してLRM三崎さんが直接回答してくださったので、非常に助かりました。
— ISMS取得のお取り組みは、別業務と並行して進められたかと思いますがいかがでしたか。
各本部のISMS取得担当者は、審査前には他の業務を軽減して、ISMSの取り組みに7~8割ほどを当てるという時期が続きました。会社がそういう環境を作ってくれたことが、上手くいった要因の一つだと思います。
また、情報資産管理台帳やリスク管理表の作成には時間をかけました。各課レベルで担当者を立てて対応してもらいましたが、1か月ほど台帳類の作成に専念してもらった人もいます。当社は情報資産もたくさんあるので専念してもらわないと、台帳がまとまらないという状況もあったので、スムーズに社内の協力が得られたのは非常に助かりました。
— ISMS取得のお取り組みの中で最も注力したポイントはございましたか。
社内の仕組みをISMSにどうやって適合させていくかという点について、しっかり検討しました。
例えば、ルールや文書を社内の既存規程と照らし合わせて、必要に応じて置き換えるなど、今までの仕組みや制度とISMSをどのように調和させていくのかについて、社内で調整をしたところが注力したポイントです。
ISMSの規格を学ぶことで、ISMSの要求事項を満たせていない部分が見えてきました。「現状の仕組みや業務の流れでは、審査で指摘されてしまうよね」という箇所については、仕組みを変えてから審査に臨むという選択をとりましたので、社内を奔走した時期もあります。
— ルールの策定はどのように検討されていきましたか。
今回ISMSを導入するにあたって、セキュリティルールを1.5倍ほど増やすことになりました。大幅な改定が必要なところもあり、そういったところを一つ一つフォローしていくのは大変でした。
また、他の規程との整合性を見ていく必要もあります。すでに運用している仕組みとぶつかってしまわないかどうかなどについても考慮しながら検討していきました。
情報資産台帳の作成作業については効率性についても考慮し、記載項目についてある程度まとめた形式で作成
— 御社の情報資産は例えばどのようなものがありますか。
まず自社製品を販売しているので、顧客リストがあります。また、当社製品はデスクトップ型とクラウド型の両方がありますが、デスクトップ型もデータをお預かりするサービスがありますので、結果的に大量のお客様の会計情報や従業員情報をお預かりする事になります。さらに、自社でコールセンターを有しているため、その通話ログなども含まれます。マーケティングや営業活動に関する情報など、一般的なクラウドサービス企業が持っている情報は基本的にすべて当てはまると思います。
— 御社がお持ちの情報資産の量は非常に多いと思いますが、台帳への記載もやはり大変でしたか。
なるべく工数がかからないようにある程度まとめた形式で記載するように工夫しました。数十年分のデータを保持しているので、ひとつひとつ記載するとキリがありません。ある程度、情報資産をグループ化して記載しましたが、まとめすぎると更新の時に漏れが出る可能性もあります。LRM三崎さんのアドバイスを頂きながら、バランスを取りつつ記載していきました。
— 御社はすでにセキュリティ規程があったかと思いますが、既存のルールをISMSでも利用されたところはございましたか。
もともと運用していたルールを基に、ISMSの要求事項に対して足りないところを検討してルールを作成したので、今まであったルールをわざわざ消す必要はありませんでした。
ただ、既存のルールとISMSの要求事項を照らし合わせてルールを検討するのは大変でした。例えば、データセンターなどのシステムの置き場所をどう選定するかについて、自社で厳しくルールを設けていたのですが、ISMSの要求事項としてはそこまで求められていなかったので、そういった場合は既存ルールをそのまま利用しました。
一方で、例えば残すべき記録をきちんと残すなどISMSの要求事項としてさらに求められる部分については、新たにルールを設けました。
— 新たに作成されたドキュメントはどのようなものがございますか。
ISMSに関連する文書は一通り作成しました。例えば、マネジメントレビューの記録や内部監査の記録、是正処置管理表などを新規で作成しました。また、従業員向けのセキュリティルールが記載されているハンドブックについても、LRMさんのフォーマットを基に自社の業務実態に合うようにカスタマイズして作成しました。
— ISMSを導入することで新しく決めたルールもあったかと思いますが、そういったルールの周知においてご苦労はございましたか。
あまり苦労はなかったです。ルールについては社内通達という形で周知していましたが、当社の社員は通達されたことに対して、きちんと読んできちんと遵守する人が多く、特段大きな苦労はありませんでした。
また、ISMS取得に向けた動きは、経営会議の場で定期的に適切な情報共有を行い、各本部のISMS担当者が窓口となって社員の意見を聞きました。運用が難しいという意見があれば、担当者が話を聞きに行って、都度調整をしていたので、納得感を持った上でルールを守ってくれていたと思います。
— 従業員教育はどのように実施されましたか。
Pマーク運用における従業員教育にも利用していたeラーニングで実施しました。在宅勤務が浸透していますので、今後もeラーニングを利用したいと考えています。
左は石井様、中央は甲賀様(右は弊社・三崎)
ISMSの基準をどう読み解くべきかを知ることが出来た
— 内部監査はどのように実施されましたか。
オンライン上で、LRM三崎さんと村田さんに実施していただきました。ISMSの規格を読んでいるだけでは理解が難しいような、ISMSにおける基準をどう読み解くべきかについても教えていただきました。
また、実際に外部審査を受けて、情報セキュリティにおける視点がLRMさんと審査員で同じだと感じました。LRMさんに内部監査を実施していただいたことで、外部審査の予行練習にもなりましたし、審査対応におけるアドバイスも頂けたので良かったと思います。
— 外部審査を受けるにあたり、どのような準備をされましたか。
審査に必要なものは何か、どこまで整っている必要があるかなどを確認して用意をしていきました。
また、外部審査は、現地とオンラインのハイブリッドで実施したため、Zoomの調整や会議室の調整など、ISMSとは直接関係ない部分の調整も大変でした。笑
当社は全国に拠点があり、横断的にチームが組まれています。チームメンバーは東京にいるけれども、チームリーダーは大阪にいるという状況も珍しくありません。今回の外部審査においても、東京・大阪・札幌・名古屋での調整が必要でしたので大変でした。
— 実際に審査を受けられてみていかがでしたか。
Pマークの審査に同席したメンバーもいましたので、情報セキュリティに関する審査がどういうものかについてはある程度イメージ出来ていました。審査員の方は、紳士的でありながらも指摘するところはしっかり指摘いただけるメリハリのある方で、Pマークとはまた違った視点から審査いただいた印象です。
審査では大きな指摘はありませんでしたが、頂いた指摘については、不適合ではないがこうした方が望ましいという「改善の機会」も含めて一つ一つ対応していきたいですし、こうした一つ一つの積み重ねがお客様からの信頼に応えるということであると考えています。
— お取り組み全体を振り返ってみたご感想をお話しください。
無事に認証取得ができましたし、やるべきことはやれたと思っています。
また、社員の情報セキュリティ意識も高まっていると感じています。
社員から「ISMSの観点からこれはどうですか?」といった質問や相談を受ける機会が増えました。名刺にISMSを取得した旨を記載したこともありますし、常日頃から情報セキュリティを意識してくれているのかなと感じています。
LRMはチーム全体でバックアップしてくれた
— LRMのサポートはいかがでしたか。
メンバー全員がISMS取得の経験がなく、どういったことに対応すればいいのか分からないという状況の中で、指針を示していただきました。LRMさんが実際に手を動かしていただきながら、一緒に体制を創り上げて、認証取得まで至れて良かったと感じています。
— 無事にISMS認証取得に至った一方で、担当コンサルタントの対応が滞りご迷惑をおかけしたこともあると聞き及んでおります。
途中取り組みが上手く進まなかった場面はありました。その際は、LRM三崎さんに加えて、LRM村田さんのご協力を得て、取り組みを進めることが出来ました。LRM村田さんは、ISMSの審査員も務めておられる方なので、非常に有用なお話をお伺い出来ました。担当コンサルのリソースが足りなくなった時でも、チーム全体でバックアップしていただけたことはありがたかったです。
今日より明日、明日より明後日と体制をより良くしていく
— 情報セキュリティにおける今後の展望をお話しください。
デスクトップからクラウドサービスに市場全体が移行して、当社としてもより一層クラウドサービス事業に力を入れています。クラウドサービス事業者として、変化の速い情報セキュリティリスクへ対応し続けていく必要があると感じています。
今回、ISMSを取得したことで新しく見えてきたことがたくさんあります。
取得して終わりではなくて、維持し続けていきたいと思っていますし、より良いセキュリティ体制を構築していきたいと思っています。ISMSを運用していく中で生まれた課題や気づきに対して一歩一歩対応していく、あるいはISMSクラウドセキュリティ/ISO27017認証など、ISMSに関連する新しい認証取得や規格適合をしていくなど、日々小さな課題を見つけながら、「今日より明日、明日より明後日」とより良くしていくことが、情報セキュリティ活動の最も大切なところであると考えています。
ISMS認証を単に維持していくことを目的とするのではなく、お客様や関係者の方の信頼を得続けるために、情報セキュリティを全社で取り組んでいきたいと思います。
弥生株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 弥生株式会社様のWEBサイト
※ 取材日時 2023年5月
- システム開発・運用
- クラウドサービス(SaaS)開発・提供
- 既存の社内規程/文書類を活かす
- 500~999名
- 東京
- 7拠点