株式会社スタディスト様 – ISO27017新規取得 –

LRMは情報セキュリティの本質と取得企業の本音を理解したコンサルティング会社です。

株式会社スタディストは、2014年10月のISMS/27001認証取得から約2年後の2016年10月、クラウドセキュリティに特化した認証、ISO27017認証の新規取得を行いました。ISMSに続いてコンサルティングはLRMに依頼。
認証取得の背景やクラウドベンダーにとっての認証の価値などについて、取締役 庄司啓太郎氏にお話しを伺いました。

(株式会社スタディストについて)

「伝えることを、もっと簡単に。」をミッションに掲げ、マニュアル作成・共有ツール『Teachme Biz』の開発・提供を行うクラウドベンダーである。『Teachme Biz』を使えば、パソコンはもちろんのこと、スマートフォンやタブレットなどを使った簡単な操作で、従来の5分の1の時間で業務マニュアルや手順書を作成することが可能だ。また、マニュアルの閲覧や共有、改変なども簡単にできる。2013年9月に有償サービスの本格展開を開始して以来、企業の規模や業種を問わず導入が進み、2016年11月現在では、北海道から沖縄まで全国約1,200社が有償利用をするに至っている。ダイレクト翻訳、動画マーキング機能など、機能も充実し、今後もサービスのより一層の成長が期待されている。設立;2010年3月。所在地;東京都千代田区。従業員数:約30名。

国内初事例となるISO27017認証新規取得コンサルティングを依頼

– 今回のLRMへのご依頼内容をお話し下さい。

弊社は2016年5月、LRMにISO27017認証の新規取得を依頼しました。コンサルティング担当は、幸松さんと井崎さんです。
6月から認証取得の準備をスタートし、9月に審査を受け、認証が発行されたのは10月12日付です。10月28日には、同じタイミングで取得した他の2社と合わせ、国内初の発行事例として合同認証授与式が行われました。

【LRM注】ISO27017(クラウドセキュリティ)認証について
ISO27017認証とは、クラウドサービスの提供者や利用者に対して適用されるクラウドセキュリティの第三者認証です。ISMS/ISO27001(以下、ISMS)認証を補完する「アドオン認証」に位置付けられます。クラウド上のリスクへの備えを示したガイドラインであり、これからの時代に必要不可欠な「クラウドセキュリティ」を実現する実践的な指針としての期待が高まっています。世界では、GoogleやAmazonなどのIT企業が取得しており、セキュリティ領域におけるトレンドとなることが予測されています。

ISMS/ISO27001認証取得の効果成果

— 御社は2014年10月にISMS/ISO27001認証(以下、ISMS認証)の新規取得をされて2年が経過しました。ISO27017について伺う前に、ISMS認証取得による効果・成果を教えて下さい。

ISMS認証に関しては「早い目に取得しておいて良かった」と感じる機会はよくあります。そう感じるのは特に商談時です。弊社の情報セキュリティ対策を、お客様にご理解いただきやすくなりました。 導入企業1200社の約4割は対面による商談を経て導入した企業です。ISMS認証取得前はお客様の企業規模や業種業態に関わらず、商談時には必ず「セキュリティ大丈夫ですか」という質問は必ずあり、それに対して説明する必要がありました。認証取得後は、ISMS認証を取得していることを前提として商談に入れるため、そのような対応に苦心することがなくなりました。

クラウドサービス契約の判断材料は「信用」に尽きます。お客様は、サービスの質だけではなく、そのサービスを提供する企業の信用性も重視しています。ISMS認証は自動車の運転に例えれば免許証のようなものです。初期段階で情報セキュリティマネジメントの免許証を提示できたことは、クラウドサービスを提供する企業としての信用性を示すことになり、サービスをスケールさせる上で役に立っていると考えています。

— 業務の効率化または改善などへの効果はいかがでしょうか。

ISMS認証は、毎年、維持審査を受ける必要があります。維持審査は定期的に自社のセキュリティを振り返る機会となり、再認識するリマインド効果はあると考えています。
業務効率化という意味では、認証取得の際に構築したマネジメントルールに合わせた手順で仕事をするため、実質的には手間は増えています。ただその手間をかけることがマイナス要因になることはありません。その手間をかけないことによるリスクの方が非常に大きいと考えます。
免許を取るのを面倒くさがって無免許運転で突っ走るのと、教習所を出て免許を取得しルールに則って運転するのとでは、長い目で見れば後者の方が幸せな結果を迎えることは間違いありません。情報セキュリティも同様であると考えます。

さらなるセキュリティの強化・担保を目的としてISO27017認証を取得

— そのような中、クラウドセキュリティに特化した認証であるISO27017認証を取得した理由をお話し下さい。

弊社がISO27017認証を取得した理由は2点あります。

(1)セキュリティの強化
「マニュアル」という極めて機密性の高い情報を扱う企業として、さらなるセキュリティの強化・担保が必要であると考えました。ISMSは網羅的かつ体系的な規格ではありますが、総論的、原則論的でもあるため、もっと各論にフォーカスした規格があれば良いと考えていました。クラウドセキュリティにフォーカスしたISO27017認証を取得することで、お客様に『Teachme Biz』をより安心してご導入いただける環境を整備できると考えました

「認証がないから勝負もできないというのはもったいないですね」(取締役・庄司啓太郎氏)

「認証がないから勝負もできないというのはもったいないですね」(取締役・庄司啓太郎氏)

(2)組織拡大に備えたマネジメントシステムの再整備
組織拡大に向けてマネジメントシステムを再整備する良い機会だと考えました。ISO27017認証はISMS認証のアドオン認証です。そのため取得にあたってはISMSのマネジメントルールを整理する必要があります。
弊社は創業以来、8名のメンバーで事業を行ってきましたが、2016年3月のオフィス移転を機に従業員を一気に増やし現在は正社員が30名在籍しています。私がISO27017認証を知ったのは、採用に向けてアクセルを踏み込もうとしていた5月頃です。ISMSの管理は認証取得以来、私が担ってきましたが、組織拡大を機に管理部門を設け担当を引き継ぎました。その際に今後の運営についてLRMに相談している中でご案内いただき、将来を見据えた再整備も兼ねて取得することを決めました。

— 8名と30名では組織のマネジメントは変わりますか。

従業員が増えるとその分、意識付けやルールの徹底も難しくなります。増えたメンバーはある程度経験を積んできた人ばかりなので、何となく「わかっているだろう」と思いがちですが、そこにリスクが潜んでいます。
私は、セキュリティに関しては性悪説に立つべきだと考えています。特に組織が30名ぐらいになってくると、全体に目を行き届かせることは困難です。「漏れる可能性がある」という前提でガイドラインを作り、それに沿った手順で仕事をする。弊社は今、そのような仕組みが必要なフェーズを迎えていると考えています。

丸1日かけた打ち合わせでクラウドセキュリティのルールを構築

— ISO27017認証取得のコンサルティングはどのように進みましたか。

LRMにとってもISO27017認証取得は初めてでしたが、全体的にスムーズに進行しました。今回はISO27017の構築とISMSの整理を並行して進めました。コンサルティングの進め方は、ISMS認証の新規取得の際と同様です。

対面での打ち合わせは6月、7月に1回ずつ合計2回行いました。そのうち1回は朝から夕方まで丸1日、LRMと一緒に会議室に缶詰め状態で、ISO27017認証のマネジメントルール構築に集中して行いました。その他、随時、オンラインのチャットによる打ち合わせなども行いながらルールの細部を固め、そこで決まった内容をもとにLRMが文書作成を行い、9月に審査を終えました。

— ISO27017認証の取得によって大きく変わったことはありますか。

当初の狙いである、各論のレベルまで目が及んだという安心感はあります。また、今回、認証取得に向けた準備と審査を通じて、いくつか課題が見つかりました。データの管理方法など、実務上は問題ありませんが、規格上は良くないというものがいくつかあったため、現在、改善しているところです。

ただ、ISO27017認証 だけで何かが大きく変わるわけではありません。情報セキュリティマネジメント全体で捉えた取り組みが重要です。少数の固定メンバーで組織を運営していた時は、維持審査ごとに振り返れば安心できましたが、今後は、よりこまめに見直す機会や仕組みを設け、規模に応じた運用をしなければいけないと考えています。

「幸松さんとの雑談の中で紹介されたことがクラウドセキュリティ認証取得のきっかけです」

「幸松さんとの雑談の中で紹介されたことがクラウドセキュリティ認証取得のきっかけです」(左;庄司様)

クラウドベンダーにとってのISMS/ISO27001とISO27017認証の価値

— クラウドベンダー様として、ISMS認証およびISO27017認証の価値をどのようにお考えでしょうか。

クラウドベンダーにとって、これらの情報セキュリティ系の認証は、最低限必要なものだと考えています。
逆に弊社がクラウドサービスを導入する立場に立った時は、ISMS認証の取得をサービス選定の際の1つの指標としています。
弊社が認証を取得していなければ、お客様側の調達担当者が弊社サービスの導入について社内承認を得る際に、説得力ある説明ができません。「サービスを提供している会社は創業したばかりのベンチャーだけど、サービスそのものは面白いです」と言っても説得することは難しく、選定の対象にもならないのです。それは非常にもったいないことです。

情報セキュリティの本質と企業の心理を理解しているコンサルティング会社

– 最後に、今回改めてLRMのコンサルティングを導入されたご感想などがあればお話下さい。

LRMは、情報セキュリティの本質や取り組む企業側の心理もよく理解しているコンサルティング会社だと感じます。情報セキュリティというものは、常に意識したり、積極的に取り組んだりする性質のものではありません。
それを無理に締め付けるようなマネジメントをすれば、会社全体からゆとりが失われてしまいます。LRMはそれを理解し、必要なことは必要なこと、不要なことは不要なこととして、ざっくばらんに話してくれます。情報セキュリティマネジメントに取り組む企業にとっては非常にありがたいポイントです。今後の課題と向き合うために保守運用サポートの導入も検討しています。

株式会社スタディスト様、お忙しい中、有り難うございました。

株式会社スタディスト様、お忙しい中、有り難うございました。
※両端は弊社幸松、井崎。

株式会社スタディスト様のWebサイト
※ 取材日時 2016年9月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
ISO27017認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る