株式会社ヌーラボ 様 – ISO27017&ISO27018同時取得 –
2016年12月、ISMS/ISO27001認証を取得した株式会社ヌーラボは、初めての維持審査を迎えるに当たり、アドオン認証であるISO27017/ISMSクラウドセキュリティ認証およびISO27018の同時取得を行いました。グローバルなクラウドサービスを展開するヌーラボ社が、国内でも前例が少ないISMS系のトリプル認証取得に踏み切った理由と、その成果について、Back Office・田村雅氏、サポートエンジニア・漢円教氏に伺いました。
記事index
「チームで働くすべての人に」をコンセプトに、チームのコラボレーションを促進し生産性を高めるためのクラウドサービスを開発・運営する。国内最大級のプロジェクト管理ツール『Backlog』、グローバルに展開する作図共有ツール『Cacoo』、『Backlog』との連携機能でシェアを拡大中のビジネスチャットツール『Typetalk』、これらの各サービスを1つのアカウントで使えるようにする『ヌーラボアカウント』を提供。
福岡、東京、京都といった国内拠点の他、シンガポール、ニューヨークに引き続き、2017年9月にはオランダ・アムステルダムに拠点を新設し、グローバル展開を積極的に推進する。サービスのみならずフラットな組織運営にも注目が集まっており、世界約50カ国で展開する意識調査機関・Great Place to Work(R)による2018年日本版「働きがいのある会社」ランキング(小規模部門)では8位に選出されている。
本社;福岡。設立;2004年3月。従業員数;約70名(国内のみ。2017年9月1日現在)。
ISMS/ISO27001に続きISO27017/ISMSクラウドセキュリティ&ISO27018認証取得を決定
— ISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証、ならびにISO27018認証の取得を具体的に意思決定された時期はいつですか。
ISMS/ISO27001(以下、ISMS)認証を取得した段階で、ISMSクラウドセキュリティとISO27018の両認証は取得する方針は会社として固まっていました。ISMS認証取得後、弊社はLRMのISMS運用保守サポート『情報セキュリティ倶楽部』を契約しました。そのサポートを受ける中でコンサルタントの幸松さんと相談しながら具体的な取り組み時期や方向性を決めて行きました。両認証取得に向けた実質的な取り組みをスタートしたのは7月です。
— 御社はプライバシーマーク(以下、Pマーク)も取得されていましたが、Pマークはどうされましたか。
Pマークは2018年2月に有効期限を迎えましたが更新はしていません。ISO27018認証を取得すると決めた際にPマーク返上を決めました。ただ限られた期間だとしても個人情報保護に関する認証がない状態になることを避けるべく、Pマークの有効期限が切れるまでにISO27018認証取得を済ませたいと考えました。それも含め、2017年12月に控えたISMSの維持審査と併せて両認証を受審できるようLRMにスケジュールを組んでもらい、準備をスタートしました。
— ISMSクラウドセキュリティおよびISO27018の両認証の対象サービスを教えてください。
両認証ともに『Backlog』、『Cacoo』、『Typetalk』、『ヌーラボアカウント』を対象としました。クラウドセキュリティ認証に関しては、CSP(Cloud Service Provider=クラウドサービス事業者)、CSC(Cloud Service Customer=クラウドサービス利用者)、両方の立場で取得しました。
ヌーラボ社のWebサイト。同社では『Backlog』、『Cacoo』、『Typetalk』の3サービスの他、
各サービスを1つのアカウントで使える『ヌーラボアカウント』を提供している。
ISMSトリプル認証取得の目的は全世界のユーザーに安心感を訴求すること
— ISMS認証取得に続き、ISMSクラウドセキュリティ認証とISO27018認証を取得した理由をお話しください。
弊社がISMSクラウドセキュリティならびにISO27018の両認証を取得した理由は、何よりもお客様に安心していただくためです。
弊社では基本的に物理的なドキュメント管理を行っていません。顧客情報を含めた全ての情報を『Backlog』などのクラウド上に集約しています。そこで外部対策としてはサービスの基盤であるAWS上で第三者の侵入を防ぐための対策を講じ、社内対策としても各サービスに対して拠点以外からのアクセスを制限するといった対策を徹底し情報漏えいなどの防止に努めています。
しかしそれらの対策を講じていても、ISMS認証の範囲では対外的な評価が上がるわけではありません。ISMSにはクラウドに特化した規程がないからです。個人情報保護に関しても弊社はPマークを取得し運用していましたが、Pマークで守れる範囲と弊社が扱う個人情報の範囲はほとんど重なりません。
これらクラウド上における情報セキュリティマネジメントおよび個人情報保護の観点から、ISMSクラウドセキュリティとISO27018の両認証を取得しました。
また、Pマークに関しては日本国内でのみ通用する認証ですが、弊社のサービスは全世界で展開しています。全世界のお客様に安心してサービスをご利用いただきたいというメッセージを発信するには、世界に通じるISO規格をベースとした認証が適しています。
以上がISMSに続いてISMSクラウドセキュリティとISO27018の両認証を取得した理由です。
ISO27017/ISMSクラウドセキュリティ&ISO27018認証取得に向けた取り組み
「お客様からいただく問い合せには網羅的に対応した情報開示が出来ました」
(サポートエンジニア 漢円教氏)
— 御社の情報セキュリティマネジメントシステムの運用体制を教えてください。
管理部門が事務的な窓口を担い、各サービスの開発やサポートチームなど各現場のプロダクトマネージャーを交えた体制を構築し、全社一体となって取り組んでいます。
情報セキュリティは、一部署がとりまとめて行うという事案ではありません。
会社全体、サービス全体の問題であるため、各部署の重要なポジションの人たちが全員揃った状態で足並みを揃えて取り組んでいます。今回のISMSクラウドセキュリティ認証、ISO27018認証の同時取得においても同様の体制で臨みました。
— ISMSクラウドセキュリティ認証、ISO27018認証を取得するために、具体的にはどのようなことをしましたか。
最も重要な作業は、弊社内における各サービスの運用体制が、ISMSクラウドセキュリティやISO27018の規格に則っているかどうかという再確認です。それが確認できた上で、開示しなければいけない情報をとりまとめる作業を行いました。
— 開示しなければいけない情報とはどのようなものですか。
各サービスの規約や運用上のセキュリティ体制や情報の取り扱い方などです。弊社の場合、個人情報を保管するサーバーはどこの国・地域にあるのか、開発・運用の基盤としてどのようなサービスを使っているのか、どんな時に個人情報を利用するのか、セキュリティ上のインシデントが発生した際の体制や連絡・報告の仕方などを明示しました。また、各サービスの規約は、今回の認証取得とは別に春頃から先立って見直しに着手していましたが、規格に即した内容を追加してまとめ直しました。
— 社内の運用体制の確認と情報開示に向けた情報のとりまとめといった一連の作業の中で、ご苦労されたことはありましたか。
時間がかかったのは社内の情報のとりまとめです。もともと情報の取り扱いやセキュリティについては、弊社の中である程度の共通した認識はありましたが、ルールとしては現場ごとに判断して決めていました。そういったものをそれぞれのプロダクトマネージャーに出してもらい、その上で統一するのか、サービスごとに決めるのかといった協議をしました。各サービスのプロダクトマネージャー1人1人と時間を調整して話し合わなければいけないこともあり、簡単にとりまとめることはできませんでした。
また情報開示についても、どこまで開示すれば規格を満たせるかという判断は難問でした。何もかも開示すれば良いわけではありません。お客様に安心してサービスをお使いいただくための情報開示ですが、情報を開示することでセキュリティが危うくなることもあります。例えば、データセンターの場所まで具体的に公開することは非常に危険です。
これらの難問はLRMの幸松さんに相談し、サポートを受けながら解決していきました。
— 社内のサービス運用体制をISMSクラウドセキュリティおよびISO27018の各規格に照らし合わせて確認した結果として、新たに取り決めたルールなどはありましたか。
サービスを通して取得したデータの削除方針を決めました。ISMSクラウドセキュリティの規格では、データ削除に関するルールについて、削除するかしないか、削除するとすればどのような基準に沿って、どのような手順を踏んで削除するかといったことを開示することが求められます。これまではサービスごとに基準を設けていましたが、今回を機にISOの基準と照らし合わせてかけ離れていないかどうかを社内で協議し方針をまとめました。
— 認証を取得するために必要なこととしては、他に従業員教育、内部監査などがありますね。
従業員教育や内部監査は、ISMS認証の維持審査に向けた準備も含めて実施しました。
従業員教育に関しては2つの方法で行いました。
開発者が意識すべき内容については、各サービスのプロダクトマネージャーから、メンバーに周知しました。
また包括的な内容についてはLRMが提供するセキュリティ教育クラウド『セキュリオ』を利用しました。『セキュリオ』には情報セキュリティをテーマにLRMのコンサルタントが監修して作成された様々な教材が用意されています。ISMSとは何か、クラウドセキュリティとは何かといった認証取得のための必修教材をはじめ、情報セキュリティ事故事例など新しい教材が随時配信されています。ISMS認証取得時はISMSとは何かという必須の教材だけでしたが、今回は配信された全教材を管理部門で精査することはせず、全社に展開して部門ごとに必要に応じて受講してもらいました。認証取得後もそれを継続することで、押さえるべきポイントを全社でムラなく共有できる状態になっていると考えています。
— 内部監査はどうされましたか。
内部監査は、内部監査員をLRMに代行していただいて、福岡本社、東京事務所、京都事務所の3カ所で実施しました。内部監査を通して、実際の運用と我々がとりまとめたことにギャップがないことを確認することができました。
内部監査の後は、その結果をマネジメントレビューで取締役に報告し、審査も無事に終えました。
よくある質問の内容を網羅した情報開示が実現
「明確なルールを定めたことで共通認識を持つことが出来たことが成果です」
(Back Office 田村雅氏)
— ISMSクラウドセキュリティとISO27018の両認証取得を通した成果をお話し下さい。
社内の情報をとりまとめる過程で各プロダクトにおける共通意識を持てたことと、今後の定常的な運用における認識を従業員全体で共有出来たことは大きな成果でした。もちろん従来も従業員1人1人は意識を持っていましたが、国際基準をベースとしたルールを明示したことで共通の認識を持つことが出来ました。
特に個人情報の取り扱いにおいて、その成果は大きいと考えています。
Pマークでは社員の履歴書などが対象となりますが、ISO27018ではサービス上にある個人情報が対象となります。そのため現場の意識が高まることは大変重要です。内部監査や審査で各サービス運用の現場が対応したことで現場の意識はこれまで以上に高まりました。
セキュリティをしっかり担保できない状況でサービスを提供することは、お客様に対して申し訳ありません。
今後従業員が増えていっても意識を共有できることは非常に重要なことです。これまでセキュリティや個人情報が大事であるという意識はあっても、具体的な守り方は曖昧でした。それを具体的に認識できるようになったことで、定常的にセキュアな状態を維持できるようになりました。
— ISMSクラウドセキュリティとISO27018の両認証を取得したことに関して、外部からの反応に変化はありましたか。
現状では対外的な反応はありません。ただ、今回開示した情報は、常々セキュリティシートなどでお客様からいただく質問の内容が網羅されている印象があります。例えば『Backlog』上でソースコードを扱うお客様にとっては、それらのデータをいつまで保存しているのかについては非常に気になる情報です。そういった情報はこれまで、個別の要求に応える形で開示してきました。そのような情報を予め網羅的に一般公開することで、お客様に与える印象は大きく変わるものと考えられます。
ISMS、ISMSクラウドセキュリティ、ISO27018という3つの認証を持っている会社はまだ限られた数しかありません。そのうちの1社ということで、お客様に安心感を持っていただける要因にはなっていると思われます。
ISMSクラウドセキュリティ&ISO27018認証取得はサービス提供者にとっても安心材料の1つ
— クラウドサービスをグローバル展開する上で、ISMSクラウドセキュリティやISO27018などの認証は必須でしょうか。
もちろん必須ではありません。しかし全世界のお客様に対し、客観的な基準を満たしたクオリティが実現できていることを明言できるということは、我々サービス提供者にとっても安心できる要素です。説明コストの削減にもつながっています。
— 提供するサービスや組織作りなど様々な角度から注目を浴び続けている御社が、ISMSのトリプル認証取得に取り組んだことは、Webサービス業界に大きな影響を与えるものと思われます。後に続こうとする企業へのアドバイスがあればお願いします。
一般的にWebサービスを提供する企業はスピード感を重視します。特にスタートアップ企業では、スピードを意識するあまりセキュリティが損なわれるような判断を下すことがあるでしょう。しかし、Web界隈で持続的に事業を発展させていきたいと望む組織にとって、情報セキュリティマネジメントシステムに取り組む価値は小さくはありません。早い段階で認証を取得することは決して無駄にはならないでしょう。その取り組みが組織の文化と合致しなければ意味がありません。弊社では管理部門から各サービスのプロダクトマネージャーを通して周知徹底することで、意識の定着を図っています。そういった体制作りが組織の成長にとって重要となるのではないかと考えています。
「情報セキュリティマネジメントシステムの運用では課題が尽きません。
気軽に会話が出来ることはとても重要です」(左から;漢氏、田村氏)
LRMに対する評価と今後の期待
— LRMのサポートはいかがでしたか。
相談のしやすさは従来通りです。今回もリモートによるサポートですが、今回は『Backlog』に加えて『Typetalk』を活用しました。社内のチャットに入っていただくことで、時間差なくコミュニケーションを取ることができました。それによってより充実したサポートが受けられたと感じています。
ISMSクラウドセキュリティとISO27018の認証取得後も課題はつきません。その中でどれだけ気軽に話せるか、会話を重ねることができるかはとても重要です。弊社の状況を理解していただいた上で課題を共有し、話しやすいという状況は非常にありがたいと感じています。
— 今後、LRMにご期待されることがあればお話し下さい。
ISMSクラウドセキュリティとISO27018に関しては認証取得企業の数がまだまだ少ない状況です。その分ベストプラクティスも少ないので、それぞれの認証を維持するにはLRMの継続的なサポートは欠かせません。現在は直近の課題解決に向けたサポートをお願いしていますが、4月には管理部門のメンバーが増えます。それによってこれまで以上にISMS活動に力を入れることができる体制となります。その体制に合わせ、より掘り下げたサポートをしていただきたいと考えています。
また、ISMSクラウドセキュリティとISO27018の両認証は一般的にはまだ認知されていません。これらを取得するメリットの説明コンテンツを作っていただければ弊社としても外部に向けてアピールしやすくなります。LRMにはそういった面でも期待しています。
さらに、日本ではISMS系の認証よりも、Pマークを取得している企業の方が多いのが実態です。しかし弊社のように、Pマークが自社の状況に合致していない企業は少なくはないでしょう。LRMや審査会社には、そのような実態を世の中に周知し、ISMSクラウドセキュリティ認証やISO27018認証を取得する組織を増やすことにご尽力いただきたいと考えています。
株式会社ヌーラボ様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。
※ 株式会社ヌーラボ様のWebサイト
※ 取材日時 2018年2月
※ 弊社では、株式会社ヌーラボ様のISMS取得もお手伝いさせていただきました。
株式会社ヌーラボ様のISMS事例ページ
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。