Chatwork株式会社 様 – ISO27017新規取得 –
Chatwork株式会社はISMS/ISO27001認証取得以来、LRMのISMS運用支援サポート『情報セキュリティ倶楽部』の契約を続けてきました。そして2016年にはISO27018認証を、さらに2018年5月にはISO27017/ISMSクラウドセキュリティ認証を取得しています。2度目となる今回のインタビューでは、ISO27017/ISMSクラウドセキュリティ認証取得に取り組んだ理由と経緯を、LRMのサポートを受け続ける理由と合わせ、コーポレート副本部長 兼 情報システム部マネージャー・須藤裕嗣氏に伺いました。
記事index
“世界の働き方を変える”を経営ビジョンに掲げ事業を展開している。同社が提供する『チャットワーク』は、業務の効率化と会社の成長を目的としたメール・電話・会議に代わるビジネスコミュニケーションツールである。2011年3月の正式リリース以降、ビジネスチャットのパイオニアとして、国内のみならず海外にもユーザーを拡大してきた。2018年7月末日時点の導入企業数は185,000社に達している。2016年9月にはビジネスプラットフォーム構想を打ち出し、ビジネスマッチングサービス『Chatwork コンシェルジュ』、『Chatwork 助成金診断』、『Chatwork 電話代行』といったサービスを次々にスタートさせている。今後も“働き方”にフォーカスしたビジネスプラットフォーム事業を精力的に展開する計画である。
創業;2000年7月。事業拠点;東京・大阪。従業員数;87名(2018年7月末日時点)。
ISMS/ISO27001認証取得時点から現在までの取り組みの変化
— 2013年のISMS/ISO27001(以下、ISMS)認証取得からの5年間で、御社の企業規模やサービスは急成長されました。それに伴い、情報セキュリティの課題や取り組み内容はどのように変化してきましたでしょうか。
5年前の弊社の従業員数は約30名で目が届く範囲の組織規模でした。そのためインシデントが起きる前にリスクを察知することが出来ましたし、いざとなれば当事者に直接話しかけて改善してもらうことも可能な環境でした。
しかし組織が拡大するにつれ従来通りのマネジメントでは管理仕切れない状況が生まれてきました。そこでマニュアルを作ってそれをしっかりと周知し実行させる取り組みを行ってきました。
その一方では、最近も大手SNSの個人情報流出問題がニュースになったばかりですが、企業の情報セキュリティに対する社会の目はますます厳しくなりました。弊社としてもこれまで以上にしっかりとした対策を取る必要性が生じています。同時に弊社は現在上場を視野に入れ、環境整備を進めています。その中で正確性の向上が要求されるようになっているため、引き続き取り組みを強化しているところです。
ISO27017/ISMSクラウドセキュリティ認証取得の理由
— ISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証を取得された理由をお話し下さい。
2011年の正式リリース以来、世界中の働き方
を変えてきた。ビジネスチャットの代表的存在。
>>『チャットワーク』のWebサイト
今申し上げた内部環境、外部環境の変化を背景としまして、『チャットワーク』に対する顧客からの要求内容も大きく変化しています。近年は特にエンタープライズのお客様からの要求事項が増えました。そこでこれまで以上に明確なセキュリティ基準を作る必要性が生じたことがISMSクラウドセキュリティ認証取得に取り組むきっかけとなりました。
情報セキュリティは証明が難しい要件です。どこまでやればセキュリティを保てるかは考え方によって判断が分かれます。そのため信用を担保するには、誰もが納得できるエビデンスとして、第三者機関の規格に基づいたルールを構築し運用していることを対外的に示す必要があります。
また、他社がすでにISMSクラウドセキュリティ認証を取得しているということも理由の1つです。競合製品と比較された時に認証を持っていなければ、検討の対象にすらなりません。機会損失を防ぐためにはこのような認証や資格を全方位的に取得することが重要であると考えています。
— 2016年のISO27018認証取得の後、1年間隔を空けてISMSクラウドセキュリティ認証を取得された理由をお話し下さい。
このタイミングになったのは、効率的に認証取得ができるタイミングを計った結果です。国内でISMSクラウドセキュリティ認証制度がスタートした際に、早速検討をしたのですが、LRMに話を聞いていると制度がスタートして間もないこともあり、審査会社の内部でさえも混乱している状況のようでした。一方で弊社内も慌ただしいタイミングで、落ち着いて取り組める雰囲気ではなかったため2017年は一旦見送りました。
今回はLRMに確認して大分整理がついてきたということでしたので、2018年3月から準備をスタートしました。そして4月末のISMS認証の維持審査に合わせて受審し、5月にISMSクラウドセキュリティ認証取得へと至りました。
エンタープライズからの要求に応えるためにISMSクラウドセキュリティ認証を取得
「次の取り組み課題としてFISC対応も検討中です」
(コーポレート副本部長兼 情報システム部マネージャー・須藤裕嗣氏)
— ISMSクラウドセキュリティ認証取得の準備は具体的にはどのようなことをされたのですか。
ISMSクラウドセキュリティ認証は、弊社が提供する『チャットワーク』のクラウドサービスプロバイダ(以下、CSP)として、また『チャットワーク』の開発基盤であるAWSのクラウドサービスカスタマ(CSC)として取得しましたが、準備の中で最も労力を使ったのがCSPとしての作業です。
ISMSクラウドセキュリティ認証の規格では、提供するサービスに関して、ユーザーに開示すべき情報や、ユーザーの合意を得なければいけない項目が指定されています。例えば合意しなければいけない項目としては「役割および責任」などがあります。また提供すべき情報には「利用者登録および登録解除の方法」などがあります。これらはもともとヘルプや利用規約に書いてあったものがほとんどですが、今回の取り組みでは、それらをベースにしつつセキュリティに対する考え方を加味して整理しなおしました。そして約80項目の管理策に沿って、サービスサイトのヘルプや利用規約のどこに書いてあるかということを明らかにしていきました。
ただヘルプや利用規約にはなかった項目もありました。例えばクロックの同期や開発時のセキュリティに関する脆弱性の管理に関する記述です。それらは新たにヘルプや利用規約に追加しました。
— 今回、従業員教育はどうされたのですか。
今回は、LRMが提供するセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使用しました。通常は『チャットワーク』に教材をアップロードし、タスクを作成して実施しています。一般的なeラーニングは意外にコストがかかります。弊社でも一時導入を検討したことがありますが、それだけのコストを払う価値が見いだせていないのが現状です。
今回はISMSクラウドセキュリティ認証取得コンサルティングのサービスに組み込まれていたため使用しましたが、
eラーニングの良さは、網羅的かつ確実に従業員教育を実施できることに加え、管理がしやすい点にあると思いました。『セキュリオ』では合格点を設定できるので、従業員全員に対し一定のレベルで教育を実施することが可能です。また自前で作成した教材をアップする機能も付いているため、LRMが用意した一般的な内容の教材とは別に、弊社の社内ルールのテストを独自に作成して実施しました。
— 内部監査はどうされましたか。
基本的には私が内部監査員を務めて実施しましたが、私が所属するコーポレート部門に関しては幸松さんに代行してもらいました。
— 今回ISMSクラウドセキュリティ認証を取得する上で、LRMはどのような役割を果たしましたか。
過去にISMS認証やISO27018認証を取得した時と同様です。やるべきことを的確にまとめていただいた上でタスクやスケジュールの管理もしていただきました。おかげで4月末の審査にも間に合い、5月のISMSクラウドセキュリティ認証取得に至りました。
— ISMSクラウドセキュリティ認証取得に取り組まれた成果をお話し下さい。
今回はISMSクラウドセキュリティ認証を取得したこと自体の価値が非常に大きいと感じています。対外的なアピールにもなりますし、社内ではこれまで以上に網羅的なリスクアセスメントを進められるようにもなりました。
その上でお客様が安心する情報を公開できたことも良かったと思っています。今回開示した情報の多くは、エンタープライズのお客様からいただくセキュリティアンケートの質問内容や、常々お客様からいただく問い合わせ内容と重複しています。そのようなお客様が気にしている情報をあらかじめ公開することで、お客様に安心して導入していただけますし、弊社としても逐一問い合わせに対応する必要がなくなります。
LRMのガイドでスムーズに進行したISMSクラウドセキュリティの認証取得
— ISMS認証の取得以降、LRMのISMS運用支援サポート『情報セキュリティ倶楽部』を契約し続けていただいています。運用支援サポートを契約し続けている理由をお話し下さい。
LRMとの運用支援契約では、ISMSの維持審査や更新審査のタイミングでサポートしていただいています。
しかし弊社はそれ以外の価値が高いと思っています。ポイントは3つあります。
(1)自社の施策を考える上での貴重な情報源
先ほども言及したとおり、情報セキュリティの施策をどこまで強化すべきかは大変悩ましい問題です。
そのような中で、他社はどうやっているのか、一般的にはどう考える会社が多いのか、といった情報を聞くことが出来るということが、自社の情報セキュリティ施策を考える上で非常に役立っています。
(2)ビジネス上の利便性にも配慮できるバランス感覚
ビジネスを円滑に進めるにはセキュリティレベルと利便性のバランスは非常に重要な要素です。セキュリティレベルを高めるほど堅牢にはなりますが、その分仕事がしにくくなってしまいます。私はそのバランスは会社のフェーズによって柔軟に変えていかなければいけないと考えておりますが、LRMに相談すると常にちょうど良い落としどころを見つけてくれます。そのバランス感覚の良さがLRMのサポートを受け続ける価値だと考えています。
(3)法律改定の問題も相談できる
ISMSを運用していると法律改定に関連した問題に直面することがあります。例えば今相談しているのがGDPR(EU一般データ保護規則)への対応に関する問題です。GDPRはEUの個人データ保護に関わる新しい法規制です。
法律なので本来は弁護士に相談すべき問題なのですが、GDPRは非常に難しい問題をはらんでおり、今のところ誰も正解を持っていません。そのため弊社では様々なところで相談しながら対応を考えているところです。LRMはこのような一企業では追いかけることが難しい法律改定の問題まで相談することが出来ます。それが非常に有り難いと感じています。
この他、コミュニケーションの手段として『チャットワーク』を使ってチャットやビデオ通話しているため非常にやりやすいです。特に審査前は様々な確認事項が増えてくるので質問が多くなります。弊社が普段使用しているツールを使うことで滞りなくタスクに取り組むことが出来ています。
「幸松さんはビジネス的な要素も考えて、セキュリティレベルと
利便性のバランスが取れたアドバイスをしてくれます」
(左;須藤氏)※右は弊社幸松
今後の課題とLRMへの期待
— 情報セキュリティ活動に関する今後の課題とLRMへのご期待をお話し下さい。
今年度の取り組み課題として弊社内で検討しているのがFISC安全対策基準への準拠です。
FISC安全対策基準は、金融庁が金融機関のシステム管理体制を検査する際に使用する基準ですが、金融機関がクラウドサービスを導入する際に選定する指標としても使われています。そのためFISC安全対策基準に準拠できていることを示すことが出来れば『チャットワーク』の競争力はより高まります。セールス部門からの要望もありましたので、現在、LRMに相談しながら進めている最中です。
また、弊社はまだ成長過程にある会社なので、今後もしばらくはステージに応じて情報セキュリティのレベルを変えていく必要があると考えています。例えばこれまではドキュメント類は全てクラウド上にデータで保存していましたが、契約書を紙で作成して押印しなければいけない、議事録に取締役が押印しなければいけないなど、多少は紙のドキュメントを持たざるを得なくなって来ました。しかし弊社は組織規模が拡大したり、企業としてのフェーズが変わる中でも、これまでどおり 「Chatworkの働き方」を追求していきたいと考えています。そのためには単純にセキュリティレベルを上げるだけではなく、バランスの取れたアドバイスをしてくれるLRMのサポートは大変重要であると考えています。
Chatwork株式会社様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。
※ Chatwork株式会社様のWebサイト
※ 取材日時 2018年7月
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。