アルプ株式会社様 – 顧客事例 –
アルプ株式会社は、2021年11月から翌年4月までの6ヶ月間、LRMのサポートを受け、ISMS/ISO27001認証を取得しました。プロジェクトの途中からISMS事務局に加わり、現在も主担当を務めるプロダクトマネージャー・坂口恵太氏に、取り組みの経緯やLRMのサポートを受けたご感想などをお話しいただきました。
- お客様が抱える課題とISMS構築アプローチ
-
- 自社サービスの販売拡大のため、外部認証を取得したい
- 少人数の会社であり、兼務しながら認証取得したい
- 少人数の段階でISMS構築をしたことで、従業員研修なども苦労することなく実施できた
- 文書作成も、LRMのフォーマットへ、自社の体制を反映するかたちでスムーズに完了
- LRMコンサルティングサービスへの感想
-
- LRMの体系化された文書類のひな形を用いつつ、ISMS構築を適切にリードしてくれた
- セキュリティ教育クラウド『セキュリオ』を利用して、eラーニング実施から受講記録まで一括管理
- 急な相談や質問にも、随時迅速な対応をしてくれた
「企業が創造的な価値提供によりフォーカスできる社会の実現」をミッションに、サブスクリプションビジネス向けのクラウド型販売管理ソフトウェア『Scalebase』を開発・提供するスタートアップ企業。『Scalebase』は契約・請求・収益管理を一つのシステムで実現し、料金変更やプランの乗り換えに正しく簡単に対応することを可能とするサービス。日本の商習慣や会計制度にもフィットし、SFA、電子契約、会計などの外部サービスとも連携してシームレスなオペレーションを構築する。SaaS やサブスクリプションビジネスといった変化の激しいビジネスモデルにおける複雑な契約・請求管理、プライシング・商品管理の課題をなめらかに、柔軟性をもって解決する。2019年10月にリリースされ、SaaS 事業を展開するスタートアップ企業を中心に導入数を増やし、順調にサービスを拡大している。将来的には士業やコンサルティング業など、オフラインの継続課金型ビジネスにも対応していく予定だ。顧客と商品の接点を自由に設計することで、新たなビジネスモデルへの対応を迅速かつローコストで実現し、事業成長の基盤となるプロダクトを目指す。
本社;東京都渋谷区。設立;2018年8月。従業員数;21名(2021年6月現在)。
目次
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
アルプ株式会社は、2020年11月、LRM株式会社にISMS/ISO27001認証新規取得コンサルティングを依頼しました。
LRMのサポートを受け、2021年4月にISMS認証を取得しました。担当者は石濱さんです。石濱さんにはよくしていただき、随時、不明な点をサポートいただいたり、タスクリードしていただいたりして非常に助かりました。
自社サービス『Scalebase』の販売拡大に向けISMS認証を取得
弊社はSaaS 事業を展開しておりますので、導入先の企業様から、社内のセキュリティ体制をチェックされる機会がございます。今後、自社サービスである『Scalebase』の販売の拡大をしていくにあたって、外部認証を会社として取得することは、営業上必須のことだと判断し、ISMS認証取得を目指しました。
お客様によっては、開発している会社がどうなっているのか、非常に厳しく見られますので、外部認証を得たソフトウェアであることを示すことができるようになったことは、営業活動上のメリットに繋がりました。
ISMS運用の経験は、プロダクトマネージャーとしての業務にも好影響
審査前の書類のチェックなども丁寧に対応していただきました
(プロダクトマネージャー・
坂口恵太氏)
— ISMS認証取得に取り組む上での御社内の体制をお話し下さい。
現在、ISMS事務局のメンバーは3名です。私は2021年1月に入社し、2月から事務局に加わり、主担当としての業務を引き継ぎました。
— ISMS事務局の他に、情報セキュリティ委員会のようなものも組織されているのでしょうか。
情報セキュリティ委員会のような組織は組成していませんが、各部門に担当者を立てて必要に応じて会議を行う体制を敷いています。
— 坂口さんは、普段はどのようなお仕事をされているのですか。
会社の中でのメインの役割はプロダクトマネージャーです。『Scalebase』の企画や運用などを担っています。
弊社はまだ少人数の会社なので、それぞれのメンバーが一定の役割を持ちつつ、人が足りないところがあれば兼務して補っています。ISMS認証取得に向けた準備については、文書作成のところまで2名で行っていましたが、その後の審査や運用に向け、全体をとりまとめていくメンバーを補強したいということで、私がアサインされました。
— 過去にISMS認証取得や運用をご担当されたご経験はございますか。
私は、プリセールスの立場でお客様からセキュリティレビューを受けるなど間接的に関わったことはございます。
ISMS事務局のメンバーなど、情報セキュリティに管理者という立場で関わった経験はございません。
— 坂口さんは、前職でもITサービスの業界にいらっしゃったのですか。
そうです。新卒で大手ERPパッケージのメーカーに入社し、約6年勤務しました。販売先は上場企業がメインで、セキュリティレビューを通過するために、我々が販売するERPパッケージがソフトウェアとして一定の規格を満たしていることを示すための材料となるデータを揃えたり、ガイドラインの作成をしたりしていました。そのためバックオフィス系のソフトウェアに対し、ユーザー企業がどのような要求をするのか、一定の知見はありました。
— 坂口さんがISMS事務局に加わったタイミングは、どのようなフェーズでしたか。
セキュリティハンドブックや情報セキュリティマニュアル、ISMSマニュアルといったマニュアル類の他、情報資産管理台帳など、ISMSの規格が指定するドキュメント類の作成は一通り終えていたという認識です。私が事務局で担った業務は、LRMや審査会社とのやりとりや、従業員教育や委託先管理、内部監査などのタスク管理、審査に必要な書類の整理、審査対応などです。
— 2月に主担当となってからは、LRMとの打ち合わせも坂口さんがメインで担当されたのですか。
打ち合わせには参加しましたが、メインはもともといたメンバーが担当しました。私はまず、セキュリティ方針やISMSマニュアルなど既に作成してあったドキュメント類の内容に一通り目を通して、内容のキャッチアップに努めるところからスタートしました。
— ISMSのご担当者を務めて個人的に良かったと感じることはございますか。
『Scalebase』のプロダクトマネージャーとして、ISMS上、どのような要求がなされているのかを踏まえた上で業務に携わることが出来るようになったことは、ある一定のメリットがあると感じています。
ISMSの構築から審査までプロジェクト全体がスムーズに進行
— ISMS認証取得に向け、ご苦労されたことはございましたか。
ISMS認証取得にあたり、特段大きな問題はありませんでした。文書作成の過程もLRMが用意したフォーマットに則って、弊社の体制や内容を反映しながら作成し、スムーズにいったと聞いております。小さい会社ですのでルールを策定する際の調整が難航するものでもありません。メンバーも協力的でしたので、構築自体はスムーズにいきました。
— ISMSの主担当を引き継ぐにあたってのご苦労はありませんでしたか。
はい。特にございません。
— 坂口さんがISMS事務局に入られてから、最も大きなタスクは何でしたか。
全体のタスクとして最も大きかったのは、審査対応です。
— 審査は坂口さんを1人で受けられたのですか。
いいえ。私がISMS事務局のメイン担当を務めた他、第2段階審査では、各部門の担当者も対応しました。
— 審査を受けたご感想をお話し下さい。
どういったことを聞かれるのかわかりませんので、多少緊張はしました。ただ、LRMのサポートを受けて準備をしたことで、
しっかり対応することができました。結果としても、特段大きな指摘は受けることはございませんでしたので、適切な体制が構築できたという認識を持っています。
— 審査を受けるまでの構築段階ではいかがでしたか。
タスクとしては、社員のメンバーに対する研修は大きかったかなと思いますが、少人数なので特に苦労はなく、スムーズに実施出来ました。
— 研修はいつ実施されたのですか。
3月に、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使った従業員教育を実施した他、社内wikiとして使っている『Notion』内でISMSマニュアルやセキュリティハンドブックなどを全社員向けに展開しました。
— セキュリティハンドブックに記載されている内容はどういったものですか。
モバイル端末の使い方やパスワードポリシーなど、業務上気をつけるべきことを記載しております。
— 現在はみなさん、ご出社されているのですか。
現在、新型コロナウィルス感染防止対応のため、リモート体制を敷いています。今後に関しては、時勢を見ながらどのように対応していくかは検討中ですが、完全な出社体制になることはないものと考えております。
— ハンドブックに書かれたモバイル端末の使い方は、そういった就労体系を考慮したものですか。
ある程度意識したものにはなっていますが、暫定的なものです。モバイル端末取り扱いやネットワーク環境など、リモート体制におけるルールは、次年度以降、しっかりと取り組んで行く必要があると考えています。
— 構築したルールを社内に展開する中で、社員の皆さんから反発はございませんでしたか。
構築したルールについては、不便に感じているメンバーも中にはいると思いますが、小規模ですし、世代的にも若く順応性の高い組織ですので、とりたてて反発の声は出ていません。
— 業務委託先の方ともセキュリティハンドブックは共有されているとうかがいました。
弊社はソフトウェア開発を行っている会社ですので、個人事業で働いておられるエンジニアの方々に業務委託しています。そういった方々にも、アクセス権限を設定した上で社内wikiに入ってもらっています。その中でセキュリティハンドブックも共有しています。
ISMS認証取得から運用まで、利便性の高い『セキュリオ』
アルプ株式会社が入居する
シェアオフィス。
— LRMのサポートについて伺います。まず研修で『セキュリオ』のeラーニング機能を活用した従業員教育を実施されたとおっしゃいましたが、ご利用になられたご感想をお話し下さい。
『セキュリオ』は、予め教材が用意されているところが便利でした。それを使うことで社員へのセキュリティ研修をスムーズに実施することができました。
教材の内容に関しては、業務上気をつけるべきことを始め、一般社員が抑えておくべき要点がまとまっていて、適切な教材だと感じました。
–『セキュリオ』に関しては、ISMS認証取得後も継続契約されたとうかがいました。
はい。今後、ISMS認証を維持していくには、従業員教育の実施履歴を管理していく必要がございます。その記録を一つの場所に置いておけるところは利便性が高いと考えて契約しました。
— 従業員教育の実施記録は審査でも利用されましたか。
eラーニングの記録は、従業員教育を実施したという証跡となりますので、審査員から求められた際に管理画面の記録を提示してご確認いただきました。
— eラーニング以外の機能はご利用になられましたか。
eラーニング以外には、法令管理機能、サプライチェーンセキュリティ機能は活用しております。いずれもISMSを維持していく上では便利な機能です。
— 内部監査のサポートは受けられましたか。
内部監査は、事務局への監査、各部門への監査、いずれも石濱さんに審査員を代行していただいて実施しました。
情報セキュリティに対して一定レベル以上の理解を持って対応できるメンバーが多くはいませんので、外部の専門家にご対応いただく方がスムーズに進めることが出来ると判断して依頼しました。外部の視点を入れたことで、本審査を踏まえたチェックができました。
外部環境の変化に対応できる体制整備が課題
— 本審査は、クリティカルな指摘もなく、スムーズに受けることができたとのことでした。いただいた指摘への対応はどうされましたか。
本審査でいただいた指摘が軽微なものでしたので、対応に関しては次年度の年間実施項目に組み込み、次回の維持審査までにどう対応を進めていくか検討していくことになっています。
— 今後、ISMSの運用においての課題や展望がございましたらお話し下さい。
次回更新についてはまず、LRMの力を借りずに、自社で対応を進めていこうと考えています。3年後の更新審査までしっかり運用をして、次回更新をきちんとクリアすることが当面の課題です。特にリモートワーク体制への移行など、外部環境の変化に対応できる体制作りは重要になってくるものと考えています。
— 『Scalebase』というクラウドサービスを提供されていますので、ISMSの追加認証であるISO27017/ISMSクラウドセキュリティ(ISMSクラウドセキュリティ)認証などの取得も考えておられますか。
はい。今後、事業規模が大きくなる中で、どこまで対応しなければいけないかは考えています。具体的にいつ対応するのかというスケジューリングはまだできていませんが、しかるべきタイミングでISMSクラウドセキュリティ認証も取得したいと考えています。
体系化されたひな型の提供から審査前の確認まで適切なサポート
— 最後にLRMのコンサルティングを受けたご感想をお話し下さい。
体系化されたドキュメント類のひな形のご提供を含め、社内体制の構築を適切にリードしていただきました。
ISMS認証取得に向けてスムーズにプロジェクトを進行することができたのはLRMのサポートの結果だと考えています。
石濱さんは急な相談や質問にも、随時迅速な対応をして下さいました。本審査直前の文書類の確認までサポートしていただいたおかげで、つまずくことなくISMS認証を取得することができました。
アルプ株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ アルプ株式会社様のWEBサイト
※『Scalebase』のサービス紹介サイト
※ 取材日時 2021年6月
- クラウドサービス(SaaS)開発・提供
- 50名未満
- 東京
- 1拠点