ベンチャー企業必見！取得だけではなく、企業の成長に繋がるISMSにするためには？

ベンチャー企業がISMS認証を取得する理由

情報セキュリティの重要性がますます叫ばれる昨今、1、2名のスタートアップ企業から1000名を超える規模の大手企業まで、何かしらの第三者認証を取得していることが当たり前になっているといっても過言ではありません。中でも、様々な業種のベンチャー企業においてISMS認証を取得するケースが増えてきています。

その理由としては、次のようなものがあります。

• 「上場へ向けて社内のセキュリティ体制を整備したいから」
• 「クライアント企業や顧客である自治体や官公庁から取引条件としてISMSが求められているから」
• 「人数が少ない今のうちにセキュリティの体制を構築したいから」

「ISMS認証を取得する」と言っても、背景や目的は会社毎に多種多様です。ただ、ISMS認証を取得するためにはセキュリティルールを策定しなければならない以上、取得だけを優先しルールを策定してしまうと、「ルールが厳しすぎて運用できず形骸化してしまう」等の課題を抱えてしまうこともあります。

ISMS認証取得を考えるベンチャー企業が直面しやすい課題

ISMS認証を取得する際は、自社内に経験者がいる場合を除き、コンサルティング会社に依頼するのが一般的です。

しかし、たとえISMS認証取得支援の実績が豊富な会社であっても、ベンチャー企業の業務体制、社風、文化に理解がないコンサルティング会社に頼んでしまったら次のような課題が生じてしまいます。

セキュリティ担当者の業務時間の多くがISMS認証に関する業務に割かれてしまう

ISMS認証を運用するための作業が多く担当者の負荷が大きなものになってしまうことがあります。例えば、毎日PCログのチェックを行わないといけないというルールがあれば、10人規模の会社でも工数がかさみます。

このような実態に合わないかつ作業工数がかかるルールをいくつも制定してしまうと、担当者にかかる負荷が大きく、ISMS認証以外の作業をすることができないという事態が発生します。
そうなれば通常業務が滞り、本業に支障が生じてしまうことにつながります。

スピード感を阻害するようなルールを作られてしまう

ベンチャー企業ではスピード感をもって事業を促進していくことが必要です。しかし、PCの持ち出しの禁止、クラウドサービスの利用禁止、外部とのやり取りはメールのみ。と言った禁止ベースの内容でルールを策定してしまうとルールと現場の乖離が発生してしまいます。さらに、業務の効率が落ち、スピード感を阻害してしまうことになってしまいます。

ISMS認証に関する規程だけで数十冊

コンサルティング会社が提供するひな型によっては、ISMS認証に関する規程類だけで10冊以上なんてこともあります。

例えば、パスワード管理に関する規程やPC等の持ち出しに関する規程、入退室管理に関する規程をそれぞれ作成し、社員へ共有します。ISMS認証担当者としては規程類の管理が大変、社員としては、規程が多すぎて読まない等につながり高負担かつルールが形骸化したものになってしまいます。

LRMがベンチャー企業に選ばれる6つの理由

ベンチャー企業のISMS支援には、上述の通り様々なハードルがあります。ですが、LRMでは、ベンチャーのご支援実績が多くあります。たとえば、2020年に上場した企業のうち、ISMS認証を取得している企業の約20％が弊社でご支援したお客様でした。

弊社がベンチャー企業から選ばれている理由としては、大きく次の6つです。

読み手に合わせた最大4冊の規程で完結！シンプルな文書体系を実現

• LRMでは、効率性、合理性を重視するベンチャー企業やIT企業の支援実績をもとに、シンプルな文書フォーマットを構築しました。
• ドキュメント量が多くなってしまうと、運用工数が肥大化してしまうため、まずは必要十分な文書体系を構築し、その後に適宜見直すことを推奨します。

禁止事項の押しつけはなし！社内の体制、社風、文化に合わせたルールの整備が可能

• LRMでは、業務について禁止事項を押し付けることはなく、要求事項と業務の効率化の両方のバランスを意識し、運用できる・無理のないルールをご提案しています。
• 禁止事項ばかりのルールを策定すると運用が大変になり、結果として「形だけのISMS認証」のために高いコンサルティング費用や高い審査費用を支払うことになってしまいます。

Slackでのやり取り、GoogleDriveでのファイル共有！多様なクラウドサービスに対応可能

• ご支援中の連絡のやり取りは「Chatwork」や「Slack」等のチャットツールや、ファイル共有のためには「box」「Googledrive」等のクラウドストレージサービスを活用しています。
• その他にも、可能な限りお客様が普段業務で利用しているサービスを利用してご支援を行います。

1,600社導入のSaaS開発・運営企業としてのコンサル！自社の課題に合わせた提案が可能

• LRMでは、自社プロダクトとして「セキュリオ」というクラウドサービスを開発・運営しています。その経験を踏まえ、エンジニアにとって重荷にならず、開発スピードを落とさないルールをご提案することが可能です。

ISMS認証取得後は月4千円からサポート可能！万全のフォローサービスをご用意

• ISMSを適切に運用して自社に根付かせるためには取得後もしっかりと運用しなければなりません。LRMでは、お客様のスタイル・ご希望に合わせて柔軟な取得後のアフターフォローサービスを月4千円からでご用意しています。

お客様の声

下記のお客様は、リモートでコンサルティングを実施した事例になります。

ベンチャー企業がISMSを取得する5つのメリット

取引が円滑になる

• システムやソリューションの導入条件の一つとしてISMS認証を提示されることも増えており、検討している企業等が導入を決断するための材料になります。
• また、取引先企業から求められるセキュリティの取り組みを確認するアンケートなどの回答を省略することができ工数の削減にも繋がります。

機会損失を防げる

• テレワークやDXを推進するため多くの企業は新たなサービスやツールの導入を検討しています。しかし、「ISMS認証を持っていないから」という理由で、そもそも検討の際の候補にすら挙がっていないケースもあります。
• ベンチャー企業がサービスやツールを提供していく上で、ISMS認証を取得していることが機会損失を防ぎより多くの企業へ展開することに繋がります。

信用度が上がる

• ベンチャー企業は、様々なステークホルダーと付き合っていく必要があります。例えば、上場するなら監査法人や証券会社、産学連携事業に参入するなら大学や官公庁、DXの波を受けて業務改善を推し進める各種自治体が挙げられます。
• しかし、これまでになかった新たなサービスを展開するベンチャー企業は知名度が劣ることは否めません。他社から信頼を得る手段として「第三者認証」のISMSを取得していることは有効にはたらきます。

社内ルールの整備

• 多くのベンチャー企業は攻めのみに注力しがちです。ともすれば、守りの部分である情報管理や社内ルールは無法地帯になりがちです。アクセス権の設定が不十分であったり、パスワードの桁数などが個人任せになる。など情報管理における取り組みに不備が生じがちです。
• ISMS認証取得時にはこれらのルールを整備していくことにもなるため、社内ルールの整備にも役立てることが可能です。

上場に向けた動きを加速させられる

• ISMS認証は社内のセキュリティ体制が構築されていることを第三者機関から認められて得られる認証であり、また、セキュリティ面のガバナンスを向上させるという観点で内部統制に通じるものがあります。
• そのため、ベンチャー企業が「上場を目指すから」という理由でISMS認証を取得するケースも増えてきています。