People&Culture本部CultureグループIT担当 諸富様
クラスター株式会社は、LRMのサポートのもと、2024年10月にISO/IEC 27001:2022認証を取得されました。
認証取得の背景や課題、LRMに依頼した理由、取得後の効果などについて、同社のPeople&Culture本部でコーポレートITを担当する諸富様にお話を伺いました。また、クラウドサービスであるNotionを活用したISMS構築のメリットについても詳しくお聞きしています。
「あらゆるヒト、モノ、技術をつなげる共創空間のOSをつくる」をビジョンに掲げ、日本最大級のメタバースプラットフォームを開発・運営するテクノロジーカンパニー。
独自開発の大規模同時接続基盤を核として、リアルとバーチャルを融合した共創空間インフラを提供。最大10万人が同時接続できる空間は、BtoBプラットフォームとして豊富な実績があります。また、社内研究所ではAI活用やユーザーの行動解析の研究開発も推進し、テクノロジーと創造力で、次世代の社会インフラをつくり続けています。
設立:2015年7月。本社:東京都品川区。
当社は、日本最大級のメタバースプラットフォーム「cluster(クラスター)」の開発・運営を手掛けています。ユーザーはスマートフォンやPC、VR機器などのデバイスからアクセスし、バーチャル空間上でイベントに参加したり、友達とコンテンツを楽しんだりすることができます。
法人向け事業も積極的に展開しており、製造や建設、教育、国際会議、エンターテインメントなど多様な業界で当社のインフラが採用されています。サービスの質を高めるために、最先端研究の知見や横断する分野の研究開発にも力を入れています。
私が所属するPeople&Culture本部CultureグループのITでは、情報セキュリティを軸とした社内IT全般を管轄しています。具体的には、社内のITインフラやネットワーク環境の整備、そして全社で利用している各種SaaSプロダクトのアカウント管理などを担当しています。
IT部門は、会社の急成長に伴い2023年に新設されました。現在は、全社的なIT運用を統括・支援するとともに、各部門から寄せられる要望やツールの利用可否について、セキュリティやコストの観点から導入判断や調整を行う役割を担っています。
法人向け事業が順調に推移し、セキュリティ体制の強化が必須となったタイミングで、ISO/IEC 27001:2022(以下、ISMS)認証取得の支援をLRMに依頼しました。
当時のIT部門はメンバーが少なく、限られたリソースのもとでISMS認証取得・運用を進める必要がありました。また、従業員数が急増していた時期でもあり、認証取得の期間中に組織体制が大きく変わる可能性も予測されていました。
の両方が不可欠だと判断し、ISMS認証取得のためにコンサルティング会社に依頼することにしました。
行政や大手企業との商談を進めるうえで、取引の前提として顧客が求めるセキュリティ要件を満たす必要性が高まりました。しっかりとセキュリティ体制を整え、国際規格であるISMSで証明することが、さらなる事業成長に不可欠だと考えました。
LRMの柔軟な対応力と、Notionを活用したISMS認証取得の提案が当社のニーズに合致していたからです。
当時、私はセキュリティに関する知識が十分にあったわけではなく、伴走型のコンサルティングが不可欠でした。他社のクラウドサービスをベースにした認証取得は安価ですが、組織体制の変更といったイレギュラーな事態や、具体的な課題に直面した際にリアルタイムでコンサルタントに相談することが難しく、自力での対応に限界があると感じていました。
さらに、Notionを活用したLRMのサービス内容が決め手となりました。IT部門ではNotionによる情報管理を推進しており、ISMS認証取得もNotion活用を前提として考えていたんです。LRMから提案を受けた際、情報資産台帳やリスク管理表、教育管理といったNotion上のテンプレートが豊富に用意されていることに驚きました。認証取得のゴールイメージが一気に具体化され、構築にかかる工数や時間を大幅に削減できると確信しました。
最大のメリットは、あらゆる情報がNotion上に集約され、記録として蓄積されていくことです。
結果的に業務の透明性が高まり、ISMS認証取得・運用を効率的に進めることができました。
いいえ。日頃からNotionを使っていない部署やチームでは、Google Workspaceのスプレッドシートで情報資産台帳などの管理を行ってもらっています。Notionには独特の“クセ”があり、使いこなすための学習コストが高くつくため、全社での活用は強制していません。
ただNotionは、スプレッドシートとの連携が容易です。事務局側ではNotionを「母艦」として利用し、部門が使い慣れたツールを活かしつつ、実質的な情報の一元管理を実現しています。
プロジェクトは、想像していた以上に効率良く進みました。Notionの柔軟性とLRMのコンサルティングの知見が組み合わさったことで、イレギュラーな体制変更にも対応しやすく、情報管理や運営をスムーズに進行できたと考えています。Notionによる情報の可視化が進んだ結果、無駄に工数をかけることなく、やるべき業務に集中できる状態を維持できました。
内部監査や外部審査では、Notionの画面を直接見せながら対応を行いました。ISMSマニュアルの項目に関する質問や、関連情報の所在について確認があった際も、必要情報がNotionに集約されていたおかげで、すぐに該当リンクを示すことができました。「情報が整理されている」と審査員に示せた結果、スムーズな進行と確かな評価につながったと感じています。
ISMS認証取得を通じて、組織全体のセキュリティ意識が明確に高まったと実感しています。ISMSの運用が組織にしっかりと定着し、私たち事務局が事細かく指示を出さなくても、部門ごとに自律的に進められる状態ができています。
これらを形骸化させることなく、組織や事業フェーズの実情に合わせながらブラッシュアップしていきたいと考えています。
今後も事務局主導でなく、部門ごとにPDCAを回せる体制を強化していきたいです。理想は、部門ごとに最適化されたISMSが運用されること。トップダウンで全てを決めるのではなく、部門ごとの運用を尊重し、事務局は組織全体にマッチするよう整備していきます。そのためにも全従業員がISMSの理解を深められるよう、教育やインフラの整備にも力を入れていく方針です。
そのうえで、AIツールの選定や情報資産の取り扱い、リスクの判断など、事務局と各部門が連携しながら対応できる体制をさらに強化していきたいですね。
Notionはデータベース機能など高度なデータ連携機能を持つため、設計に専門性を要します。どんな会社にも手放しで勧められるものではありませんが、すでにNotionを導入している組織や、構造化の素養がある担当者がいる組織であれば、Notionでの情報管理への親和性は高いでしょう。
さらにNotionの機能を最大限活用し、効率的なISMS運用につなげていくためにも、当社のようにLRMのコンサルティングを受けることをお勧めします。
今後はAIをはじめとする新しい技術がますます高度化し、それに伴うセキュリティリスクも絶えず変化します。こうした時代において、ISMSは単に認証を取得して終わるものではありません。
ISMSによって培われる情報資産の取り扱いやリスクアセスメントの考え方は、まさに変化に対応するための土台となっていくでしょう。まだ認証を取得されていない企業があれば、ぜひ前向きにISMS認証取得を検討してください。ISMSは、組織の成長を継続的に支えるツールとして役に立つはずです。
クラスター株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
ご相談は無料です。
現状の課題やご要望をお聞かせいただければ、
最適なプランと概算のお見積もりをご提案いたします。