株式会社スリーシェイク様 – ISMS/ISO27001認証・取得コンサルティング 事例

株式会社スリーシェイクは、2020年10月、顧客からの要請を機にISMS/ISO27001認証取得に取り組みはじめました。
途中、約半年間の休止期間をはさみながらも、2021年夏の認証取得という目標は達成。そのために活用したのがLRM株式会社のBPOプランでした。ISMS事務局を努めたコーポレート本部 本部長・中原祐也氏に、取り組みの経緯をうかがいました。

（株式会社スリーシェイクとは）

インフラレイヤーの技術力を強みとし、SRE支援サービス『Sreak』をメインとした事業展開を行う。『Sreak』では、AWS/GCP/Kubernetesに強みを持ったプロフェッショナルチームが、SRE（Site Reliability Engineering）からR&D、人材育成までクライアント組織に深く入り込み、戦略策定から設計・構築・運用、さらにSaaS提供まで幅広い領域をサポート。コンサルから構築まで一気通貫で対応できる体制と技術力を強みに、大手SIerや金融機関などの事業発展に貢献している。
一方では、ノーコードでデータの転送や加工処理を簡単に実現するクラウドネイティブのデータ統合プラットフォーム『Reckoner』、広告プラットフォーム事業など、新規事業を積極的に展開している。社会の根幹を支えるようなイノベーティブなプロダクトを生み出すことをミッションに掲げ、世界の進歩を加速させるサービスの創出を目指す。
本社；東京都新宿区。設立；2015年１月。従業員数；90名（2021年10月現在）

— LRMへのご依頼内容をお話しください。

株式会社スリーシェイクは、2020年10月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。LRMのサポートを受けて2021年8月、ISMS認証を取得しました。

— ご依頼から取得までの期間が約10ヶ月かかっていますが、これはスケジュール通りですか。

もともと2021年夏までに、ISMS認証を取得したいと考えていました。ただ、当初は、ISO27017/ISMSクラウドセキュリティ（以下、ISMSクラウドセキュリティ）認証も一緒に取得する予定でした。ところが、LRMと契約をしてキックオフミーティングを実施した後、社内業務が忙しくなり、ISMS認証取得に取り組むためのリソースが確保できなくなったため、一旦プロジェクトを休止することになりました。その後、社内の体勢を立て直して、4月から再スタートを切りましたが、当初のスケジュールを挽回することは困難でしたので、ISMSクラウドセキュリティ認証の取得は見送り、ISMSのみに絞って取り組むことにしました。さらに、LRMとの契約内容もコンサルティングではなく、BPOプランに切り替えていただいて、ISMS事務局のタスクを一部代行していただくことで、2021年夏までのISMS認証取得というミッションをクリアすることができました。

— 取得期限を夏に設定した理由をお話しください。

お客様との取り引きの都合上、夏までに取得するスケジュールを組みました。

— 中原さんは最初からISMS事務局を担っておられたのですか。

いいえ。私は2021年2月の入社です。それまで社長が兼任していたコーポレート本部 本部長を引き継ぎ、4月からISMS事務局の業務も引き継ぎました。

— 中原さんが引き継がれた時点で、ISMSの取り組みはどこまで進んでいたのですか。

ほとんどゼロからのスタートでした。12月が決算月であること、年末年始を挟んだこと、さらに資金調達を進めていたことなど、いくつかの複合的な条件が重なり、社内のタスクはほとんど未着手の状態でした。

— 中原さんは過去にISMSの運用に関わったご経験はおありだったのですか。

前職時代に、ISMSの取得と更新に関わったことはあります。ただ数年間のブランクがありましたので、LRMには大変助けていただきました。

— 再キックオフした後に、期限までの取得を困難と判断し、BPOプランに切り替えたとのことでした。今回、ご苦労されたのはどのような点ですか。

苦労したのは、社内の各部署との連携です。弊社では新規サービスを積極的に立ち上げています。その分、部署も増えている状態のため、各部署への根回しや連絡、ルールの周知などで苦労しました。

— 御社内でISMS認証取得に携わられた方は中原さんお一人ですか。

実務を担当したのはほぼ私一人です。情報資産の洗い出しなどは各部署にも手伝ってもらいましたが、何が重要な資産になるか判断が難しいところがありましたので、私から各担当者にヒアリングしたり調査をしたりして台帳にまとめていきました。

— コーポレート本部は何名の部署ですか。

当時は3名体制でしたが、私以外はISMSに関しては未経験でしたので、専門家の力を借りた方がスムーズに進むと判断してBPOプランに切り替えました。

— ほぼゼロの状態からスタートしたということは、約5ヶ月間で全行程を終わらせたのですね。

はい。4月に改めてキックオフした後、6月までにドキュメント類を一通り揃え、6月に内部監査を実施して、最終的に第2段階審査を受けたのは8月です。

— ISMS認証を取得したことでお客様のご要望は満たすことはできました。社内のセキュリティ体制を見直すという目的は達成できましたか。

はい。もともとエンジニア中心の会社ですので、情報セキュリティに対する意識は高い方ですが、体系的なルールができて、従業員教育を実施したことなどにより、情報セキュリティに対する共通認識を社内に浸透させることができましたし、意思疎通も図りやすくなりました。

— ISMSを構築した中で、御社の業務手順やオフィス環境などに関して、大きく変わることはありましたか。

大きく変わった点はありません。今回の取り組みでは、従来の業務の流れを、マニュアルの雛形に沿って明文化する作業が中心でした。その作業を通して、従来の情報セキュリティ対策が思っていた以上に出来ていたことがわかり、安心して仕事に取り組める体制をつくることができました。

— 従業員教育は、どのようなことをされましたか。

eラーニングを実施しました。LRMが開発するセキュリティ教育クラウド『セキュリオ』を活用して、6月から7月にかけて、全社員にテストを受けてもらいました。

— ルールの周知はどうされたのですか。

『Slack』上で、一般従業員向けのルールをまとめたハンドブックを配布して周知しました。

— BPOプランというのは、ISMS事務局の業務を全て委託するプランですか。

いいえ。ISMSの制度上、事務局を外部に丸投げすることはできません。事務局の中には認証取得会社の社員が最低1名は入っている必要があります。また、外部審査の対応も取得会社の社員が担わなければいけません。

今回は、ISMS事務局の一員としてLRMのコンサルタントに入っていただき、プロジェクト全体をリードしていただくとともに、事務局業務の一部を代行していただきました。

— BPOプランに切り替えたことで、プロジェクトは順調に進み始めましたか。

はい。ISMS事務局のタスクを整理していただいた上で、情報資産やリスクを洗い出す作業では、現場へのヒアリングも行っていただいたことで、停滞していた作業が前に進み始めました。

また、eラーニングの配信や進捗状況の管理をお任せした他、内部監査やマネジメントレビューもサポートしていただき、外部審査にも立ち会っていただきました。

— 『セキュリオ』はeラーニング以外の機能は使われましたか。

法令管理機能は使いました。前職時代にISMSを担当していた時にお世話になったコンサルティング会社もeラーニングのツールは持っていましたが、法令管理をサポートするツールはありませんでした。自分で調べる必要がないので便利だと思いました。

— 内部監査ではLRMのコンサルタントが内部監査員を実施されたのですね。

はい。本番に向けて足りない部分を洗い出して、対策を打つことができました。また、内部監査の中で、外部審査の流れを把握するとともに、審査員のヒアリングに答える予行演習にもなりました。

— マネジメントレビューはいかがでしたか。

マネジメントレビューは、第2段階審査の前にLRMに実施していただきました。内部監査同様、外部審査で実施したトップインタビューに備えることができました。

— 外部審査当日はどのようなサポートをしてくれましたか。

外部審査で、審査員からの質問に答えることができるのは、あくまでも取得会社の社員です。LRMのコンサルタントには、困った時に助言をいただくために、予め審査員の了承を得た上で、審査に立ち会っていただきました。

— 審査結果はいかがでしたか。

結果としては、致命的な指摘事項はなく、評価も悪くなかったと思います。いただいた指摘事項は、今後の運用に役立てていきます。

ただ、審査対応は非常に苦労しました。審査員は複数名来られますが、中には居丈高に振る舞う方もいらっしゃいます。
LRMのコンサルタントに立ち会っていただいて助言をいただけたことで、乗り切ることができました。

— ISMS認証取得に取り組まれたご感想をお話しください。

今回の取り組みでは、我々自身、情報セキュリティに関して知識が不足している点や、日頃気が付かなかったリスクに気付くきっかけとなりました。今後の課題も明確になりましたので、しっかりPDCAを回しながら取り組んでいきたいと考えています。

— 取り組み上の展望をお話しください。

弊社は今後も新規事業の立ち上げが控えていますので、しっかりリスクアセスメントを行い、ISMSに準拠できているかどうかを確認しながら進めていきたいと考えています。また、それに伴って部署も人員も増えてきますので、教育体制もしっかり維持していきたいと考えています。

加えて、今回は見送りましたが、いずれISMSクラウドセキュリティ認証の取得にも取り組みたいと考えています。

— LRMのサポートはいかがでしたか。

本当に助かりました。マネジメントシステムの構築に向けては、ポイントを押さえて説明していただきましたし、審査当日は各メンバーのそばについてくださいましたので、安心感がありました。LRMのサポートがなければISMS認証は取得できなかったでしょう。

— BPOプランのご契約は新規取得までですか。

はい。現在、弊社では、ISMS事務局の業務をコーポレート本部内に新設した情報システム部に引き継いでいるところです。
これは当初から計画していたことです。今回、LRMのサポートにより、自社で運用する基盤は整いました。

ただ、ISMSクラウドセキュリティ認証の取得は自社内だけでは不安です。ISMS事務局の引き継ぎが終わって、体制が整った段階で改めてサポートをお願いしたいと考えています。

株式会社スリーシェイク様、お忙しい中ありがとうございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社スリーシェイク様のWEBサイト
※ 取材日時 2021年10月