株式会社クリプトリエ様 – ISMS/ISO27001認証・取得コンサルティング 事例

株式会社クリプトリエは、LRMのサポートのもと、2025年1月にISO/IEC 27001:2022認証を取得されました。
認証取得の背景や課題、LRMに依頼した理由、取得後の効果などについて、同社で取締役 CFO&CSOを務める早瀬様にお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• 顧客から要請されたセキュリティチェックの対応に時間を要していた
• セキュリティに関するルールの一部が明文化されていなかったため、業務上の非効率が発生していた
• 少人数組織であり、リソースの不足からISMS取得に取り組めるかどうかのため、ISMSを取得できるのか不安があった

• コンサルタントとすり合わせをしながらISMS認証取得を進めた
• 事業フェーズに合わせて、必要なセキュリティルールを柔軟に設計し、実行に移した

LRMコンサルティングサービスへの感想

• アドバイスや提案を積極的に行ってくれたため、ISMS認証取得までスムーズに進行できた
• 入念な内部監査によって、外部審査までに細かい部分の見落としに気付くことができた
• 内部監査の指摘によって、従業員のセキュリティ意識の向上につながった

（株式会社クリプトリエについて）

「ビジネスにWeb3という選択肢を」というミッションのもと、法人向けのWeb3ソリューションを提供している。NFTマーケティング・プラットフォーム「MintMonster」の提供をはじめ、Web3領域のコンサルティングや受託開発サービスなどを展開している。
設立：2023年3月。本社：東京都中央区。

— まずは貴社の事業についてお聞かせください。

当社は、「ビジネスにWeb3という選択肢を」というミッションのもと、法人向けのWeb3ソリューション事業を展開しています。ブロックチェーンなどの技術によって実現される次世代の分散型インターネット概念でもあるWeb3には、耐改ざん性や互換性に優れるといった特徴があり、これらの技術を広く普及させるために2023年3月に創業しました。

現在は、主に大手企業がWeb3のポテンシャルに着目し、新規事業として取り組むケースが増えています。
当社はPoC（概念実証）を支援するパートナーとして、コンサルティングや受託開発などのサービスを提供しています。

— LRMへのご依頼内容をお話しください。

ISO/IEC 27001:2022（以下、ISMS）の新規取得を目的として、LRMにコンサルティング業務を依頼しました。

— ISMS認証取得の背景についてお聞かせください。

顧客から要請されるセキュリティチェックの対応に時間がかかり、事業推進のハードルになり得ると課題に感じていました。

取引先のセキュリティインシデントの不安を取り除くために、セキュリティチェックは重要なプロセスです。
ただ、当社のような少人数体制のスタートアップでは、時間とリソースがかかり過ぎてしまいます。

対策を講じる中で、「ISMSの認証取得によって、セキュリティチェックをスキップできる」というケースが多いことが分かりました。また、国際規格であるISMSを構築することで、「クリプトリエに任せても安心だ」と思っていただけるのではないかという期待もありました。

— 認証取得はどのような体制で取り組んだのでしょうか？

基本的には、バックオフィス全般を担う私が窓口になって進めました。LRMのコンサルタントの小野さんにも協力を仰ぎながら体制構築を進めていきましたね。

— LRMを選んだ理由について聞かせてください。

私は以前の職場で、LRMとISMS認証取得を進めたことがあります。LRMが保有しているドキュメントの雛形や、認証取得に際しての的確なアドバイスに助けられたことも多く、今回もLRMに依頼することにしました。

— すでに早瀬様はISMS認証取得の経験をお持ちです。コンサルティングサービスを使わずにISMS認証取得を目指すという選択肢はなかったのでしょうか？

ありませんでした。以前所属していた企業と比べて、クリプトリエの事業内容や組織規模、オフィスの大きさなど何もかもが異なっています。ひとりで取得を目指すイメージは全く持てませんでしたね。

— 本プロジェクトの進め方は想定通りでしたか？

LRMのコンサルティングサービスに期待していた通り、スムーズに進められました。当社の事業フェーズに合った形で、基本方針の策定やセキュリティルールの構築ができたと思います。

ディスカッションする中で、「御社の場合はこの書き方が適切だと思います」「このように改善したらいかがですか？」といった的確かつ迅速なアドバイスは、本当に助かりましたね。大袈裟でなく、LRMなしでISMS認証取得は難しかったでしょう。

— 社内ルールの変更もあったかと思いますが、社員からのクレームはありませんでしたか？

ほとんどありませんでした。
明文化できていなかった社内ルールもありましたが、基本的には従来の運用も高いセキュリティ水準が保たれていました。
LRMもなるべく追加の工数が生まれないよう努めてもらえたと感じています。

創業メンバーは、それぞれ所属していた組織で経営に携わった経験があったため、セキュリティに関する理解も高かったように思います。ただ、中途入社の社員が増えるにつれ、業務上の運用に迷う場面も見受けられました。
セキュリティ知識の教育も含め、ISMS構築を進めたことで、誰もが迷わずに業務に取り組めるようになりました。実際、セキュリティに関する質問も減るなど、業務効率化につながっています。

— 内部監査や外部審査はいかがでしたか？

外部監査での指摘はほとんど受けませんでした。内部監査の段階で、LRMにしっかりとチェックしてもらい、外部監査前に準備、改善ができていたからだと感じています。

内部監査で指摘を受けた箇所は、「情報端末の管理」や「オンライン会議時の画面共有」といった、従業員の通常業務で気をつけるべき内容でした。「書類が揃っているかどうか」といった形式的な確認のみでなく、実務を想定した細かい指摘はありがたかったですね。大手企業のセキュリティ担当者の中には、“些細な振る舞い”を気にされる方もいらっしゃいます。改めてセキュリティ意識の向上が図れたと思います。

— ISMS認証取得後の効果はいかがでしたか？

ISMS認証取得は、自社に合わせた適切なセキュリティマネジメントシステムを構築できる点が肝だと感じています。
当社の場合、1ヶ月周期で「今月はこれをやろう」「来月はあの課題に着手しよう」など、見通しを立てて運用しています。
過度な負担にならず、ちょうどいい仕組みをつくることができました。

— 今後のセキュリティ対策として、強化していきたいポイントを教えてください。

2024年はプロダクト開発がひと段落つき、本格的に販売開始を進めた1年でした。2025年はセールス体制も強化し、事業を加速させていく段階だと思っています。

今回のISMS認証取得はゴールではありません。当社が参入しているWeb3領域はまだ整備されていないからこそ、気を抜くとセキュリティインシデントも起こり得ます。「この技術を試してみたいけれど、セキュリティ面ではどうだろうか」といったリスクヘッジを、従業員一人ひとりが考えられるよう、セキュリティリテラシーを高めていく仕組みづくりを続けていきたいですね。

— セキュリティ対策に力を入れている企業に向けて、メッセージをお願いします。

今回ISMS認証取得をしたことで、従業員のセキュリティ意識の向上や、社外からの信頼獲得など良い効果が出ています。

大手企業と比べると、スタートアップは使えるリソースにも限りがあります。
集中すべきことに全力で取り組めるよう、早い段階でしっかりとセキュリティ対策を講じていくことはメリットが大きいはず。
当社も、エンタープライズセールスをしっかり進められるよう、引き続きセキュリティ対策に取り組んでいきたいと思います。

株式会社クリプトリエ様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社クリプトリエ様のWEBサイト
※ 取材日時 2025年2月