Baseconnect株式会社様 – 顧客事例 –

「自分でルールを決めて良い?リスクの受容?、ISMSの概念に戸惑いましたがLRMのサポートで理解が進みました」

京都発のITベンチャー・Baseconnect株式会社は、2020年10月、大手企業との取引が拡大する中、LRMのサポートを受け、ISMS/ISO27001認証を取得しました。ISMS/ISO27001認証取得の理由、取り組み前に危惧していたことや取り組み中の不安、さらに取り組みの結果などについて、ISMS事務局を務めた代表取締役CEO・國重侑輝氏とコーポレートチーム 労務・会計担当・小引友理氏にお話しいただきました。

(Baseconnect株式会社について)

Baseconnectは「世界中のデータを繋げることで、ダイレクトに必要な情報にアクセスできる世界を作る」をミッションに掲げる、2017年1月設立のスタートアップ企業です。クエリに対してページリンクを返す従来型の検索エンジンではなく、ダイレクトにユーザーが求める情報を提供する次世代型検索エンジン(ナレッジエンジン)を開発しています。
現在はビジネス領域での検索エンジンの展開を進め、法人営業の業務効率化に特化した「Musubu」を提供しています。2021年6月時点で導入社数は73,000社を突破し、上場企業から中小企業まで幅広くご利用頂いています。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

小引氏(以下、敬称略) Baseconnect株式会社は2020年4月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。コンサルティングを担当して下さったのは松岡さんです。第2段階審査までの7ヶ月間、一緒に準備を進め、10月にISMS認証を取得しました。

顧客の信頼を獲得するためISMS認証を取得。社内の底上げを図る機会にも

— 情報セキュリティの重要性について、御社のお考えをお話し下さい。

國重氏(以下、敬称略) 弊社のようにBtoBのWebサービスを展開している会社にとって情報セキュリティは基本中の基本です。建築家が耐震などの安全性を考えて作るのと同じように、情報システムを作る自分たちが情報セキュリティ上の問題がないものを作ることはごく当たり前のことだと思っています。

ただ、情報セキュリティにも色々な面があり、ISMSの文脈では、プロダクトのセキュリティというより、組織の業務環境全般が対象となります。これまでは主にプロダクトへ目を向けていましたが、本来守るべき領域はプロダクト以外にもあります。弊社の場合、業務システムとして何種類ものWebサービスを利用しており、その中には顧客情報を初めとする様々な情報資産を保有しています。また、エンジニアだけではなく、セールス部門もあれば、学生アルバイトも在籍しており、セキュリティに対する意識レベルには大きな格差があります。ISMS認証取得は、プロダクト以外の領域におけるセキュリティに目を向けるとともに、全従業員の意識レベルの底上げを図る機会となりました。

— ISMS認証を取得した理由をお話し下さい。

國重 ISMS認証取得の目的は、お客様からの信頼獲得です。ISMS認証取得に取り組んだ昨年は、会社設立4年目で成長期に差し掛かった時期でした。設立当初のお客様は中小企業が中心でしたが、徐々に中堅企業、大手企業が増えてきて、セキュリティチェックシートのようなものを頻繁に求められるようになってきました。その中で、社内のセキュリティ体制を客観的な基準に照らし合わせて整備しなおし、対外的に示す必要を感じてISMS認証を取得しました。

ベンチャーの良さが失われることへの危惧も

— ISMS認証取得にはどのような体制で臨まれましたか。

小引 ISMS事務局と情報セキュリティ委員会を組成して取り組みました。ISMS事務局は、國重と私、開発部門のリーダーの3名です。私が主担当として作業を行いました。情報セキュリティ委員会の委員は、職種で分かれているチームごとに1人ずつ選任しました。チーム特有の情報資産やリスクの洗い出しは各担当者が行いました。

— 主担当の小引さんは、ISMSの認証取得や運用に携わったご経験はございますか。

小引 ISMSに対する予備知識は全くありませんでした。しかも2020年1月に入社したばかりでしたので社内のこともほとんど把握できていませんでした。

— ご担当するにあたってご心配や不安などはございませんでしたか。

小引 ISMSの予備知識はありませんでしたが、前職で、銀行、会計事務所とルールの厳しい会社にいましたので、外部規格によるルールが導入されれば、会社は動きづらくなるだろうと思っていました。その分、現場への影響については気を遣いました。

前職は、何をするにしても上司の許可や承認が必要でしたので、入社当時はギャップが大きく、驚くこともたくさんありました。しかし、そういう自由な風土があるからこそ出来るものがあるのだろうと思っていましたので、ISMS認証を取得することで、弊社も普通の会社になってしまうのではと不安に思っていました。

— 従業員の皆さんの反応はいかがでしたか。

小引 現場の社員はセキュリティの重要性は認識していましたのでネガティブな反応は一切ありませんでした。

ITベンチャーへのサポート実績でLRMをピックアップ。依頼の決め手は“話しやすさ”

「ITベンチャーへのサポート実績が豊富だったので期待出来ました」(代表取締役CEO・國重侑輝氏)

「ITベンチャーへのサポート実績が豊富だったので期待出来ました」(代表取締役CEO・國重侑輝氏)

— コンサルティング会社の選定経緯をお話し下さい。

小引 3社ぐらい候補を挙げ、一社ずつ話を聞きました。その中でLRMに依頼した理由は、以下の点です。

(1)ベンチャー企業へのサポート実績
LRMを候補に挙げたきっかけは、國重と付き合いのあるベンチャー仲間がISMS認証を取得した際にサポートしてもらったという話を聞いたからです。弊社に近いベンチャー企業をサポートした実績が多い点は安心材料の1つでした。

(2)担当者の話しやすい印象
担当の松岡さんは、何でも相談出来る安心感がありました。

(3)料金
ベンチャー企業が無理せずに支払える金額でした。

(4)使い慣れたツールの活用
コンサルティング期間中の連絡やファイル共有には、弊社が普段利用しているツールをそのまま活用出来るところも良かったです。全く違うツールを導入しなければいけないとなると負担が増えます。オンライン会議システムは『Google Meet』、普段の連絡には『Slack』、ファイル共有には『Googleドライブ』をそれぞれ使用しました。

(5)関西本社の会社
ご来社いただく機会もあると思っていましたので、地理的に近い方が利便性は高いと考えました。

“自分達でルールを決める”“リスクの受容”。ISMSのイメージとのギャップに対する戸惑い

— ISMSを構築されて、実際に皆さんの仕事はやりづらくなりましたか。

小引 いいえ。ほとんど変わっていません。
私含め、ISMS事務局のメンバーは全員、もっと厳格なルールで固めなければいけないと思っていました。例えば、メールで添付ファイルを送るにしても、ZIP化してパスワードをつける、もしくは管理システムを入れるなどの対策は必須であると考えていました。そのため、松岡さんから「全くそういう必要はない」と聞いたときに、かなり意外に感じました。同時に、こんなに緩くて本当に認証が取れるのかという不安はありましたので、何度も松岡さんに確認しながら準備を進めました。

— その「本当にこれで大丈夫なのか」というご不安は解消されましたか。

小引 審査を迎えるまでその心配は残りました。松岡さんのおっしゃることを信用しないわけではありませんが、それだけイメージのギャップがありました。審査でも従来の弊社の自由さを犠牲にするような改善を求められる指摘はありませんでしたが、“自分達でルールを決めて良い”点や、“リスクの受容”してもいいというISMSの概念は未だに慣れません。認証取得後も現場から「こういう場合はどうしたら良いのか」と判断を求められる度に、「これで本当にセキュリティレベルを保つことが出来るのか」、逆に「業務に支障は出ないか」と迷いながら回答しています。

— 社内の体制整備は進んだというご実感はございますか。

小引 体制整備という目的は達成出来たと思います。例えば、権限周りの整理やWi-Fi環境の見直しなど、見過ごしがちなリスクを一通り洗い出して対応することが出来ましたので、社内のセキュリティレベルは確実に高まりました。また、従業員の情報セキュリティに対する意識や感度が向上したことも実感出来ます。何かある度に事務局に問い合わせが来るのはそのあらわれです。

今回、ISMSを構築して、土台となるマニュアルが出来ましたが、運用してみると細かい部分で見落としていた点も見えてきました。現場から上がってくる声を活かしながら、改善を繰り返していきたいと考えています。

全社の巻き込みとルールの浸透に苦慮

— 作業面でご苦労はありませんでしたか。

小引 主担当の立場では、全社を巻き込むところが気を遣いました。各チームにタスクを振るにしても、私自身入社から日が浅く、会社のことをよくわかっていませんので、どこまで踏み込んで話をして良いか悩むことはありました。特に取り組みをスタートした時はフルリモートでしたので、お互いに人柄もわからない状況でやりにくさはありました。

また、ISMSのような取り組みは、面倒臭がられると思っていましたので、情報資産の洗い出しやリスクアセスメントのヒアリングへの対応を依頼する時も、申し訳ない気持ちがありました。

ただ、実際にやってみると、予想に反して、各チームの担当者が主体的に動いてくれました。私が気づかない視点からの発信も沢山ありましたので、非常に有り難かったです。

— リモート環境で社内でのコミュニケーションは、Web会議システムを利用されているのですか。

小引 オンライン会議とチャットを利用しています。弊社は『Google Workspace』をメインで使っていますので、オンライン会議は『Google Meet』で実施しています。チャットは『Slack』を使っています。

— 他にはご苦労された点はございませんでしたか。

小引 全体の巻き込み同様、ルールの浸透にも気を遣いました。
マニュアルを渡しただけでは社内ルールの浸透は出来ませんので、学生アルバイトを含めた全従業員を対象に研修を実施しました。仕事の手をとめて参加していただくので、失敗は出来ないというプレッシャーもありました。

— 研修会は集合研修を実施されたのですか。

小引 はい。社屋の1階が研修ホールになっていますので、7-8月の新型コロナウィルス感染が一旦落ち着いたタイミングで、6回に分けて集合研修を実施しました。

— アルバイトの方はどのようなお仕事をされているのですか。

小引 アルバイトはデータベースに載せる情報の収集や加工を行っています。弊社が提供するデータを製造する業務で、Data Manufacturing(以下、DMF)と呼んでいます。現在は約120名が、リモートで業務に従事しています。

— そのアルバイトの方々の情報管理で御苦労されたことはなかったですか。

小引 もともと、DMFの業務は自社開発の専用システムを使って行っていますので、基本的に端末に情報が残ることはありません。

ドキュメントの最終確認や内部監査など審査の準備までLRMがサポート

— LRMのサポートは、どういったものでしたか。

小引 松岡さんと打ち合わせをしながら、マニュアルや情報資産管理台帳などドキュメント類の雛形を、自社に合わせてカスタマイズしていました。また、作成したドキュメントの最終的な確認や内部監査員代行など、審査準備のサポートもして頂きました。一連の作業を行う中で、わからないことや不安なことがあった際には質問させていただき、細かい質問にも丁寧に対応いただきました。

— 全社を巻き込むところでは何かサポートはありましたか。

小引 リスクアセスメントのヒアリングでは松岡さんに入っていただきました。各チームのマネージャーの中にも、当時はまだ接点のない人がいましたので、外部の方に入って頂くことで円滑にコミュニケーションを取ることが出来ました。おそらく1人ではできなかったと思うので、有り難かったです。

— 従業員教育は、先ほどおっしゃっていた研修会のみですか。

小引 いいえ。LRMの情報セキュリティ支援サービス『Seculio』を利用し、やはりアルバイトを含めた全従業員を対象として従業員教育を実施しました。
研修会を実施した目的は、自社のルールを浸透させることです。『Seculio』で情報セキュリティの重要性や、ISMSとは何かといった基本を知ってもらった上で研修会を実施しました。

— 『Seculio』を利用されたご感想をお話し下さい。

小引 学生アルバイトを初め、こういったセキュリティ教育を受けたことのない若い人達にとっては良いツールかなと思いました。意外だったのは、テストを実施した後に皆が「何点取れた」「ここが出来なかった」と盛り上がっていたことです。eラーニングをきっかけに、情報セキュリティへの関心はより高まったように感じました。

— ツールとしての使いやすさはいかがでしたか。

小引 使いやすいです。堅苦しくないですし、ユーザー・管理者のどちらにとっても、手間がかからず簡単に使えて良いと思いました。受講記録が残るため、ISMSの運用において非常に役に立ちます。『Seculio』は、ISMS認証を取得した後も契約し、定期的にeラーニングコンテンツを配信しています。

— 内部監査もリモートで実施されたのですか。

小引 第2段階審査の前の内部監査は、松岡さんにご来社頂いて実施しました。

— 内部監査員代行というサービスはいかがでしたか。

小引 内部監査員が務まる人材を育成している余裕はありませんでしたので、代行していただけて良かったと思います。社内の人間だけで実施した場合、緊張感が保てません。今回も外部の方に入っていただいたことで、現場の社員も頑張ろうという意識を持ってくれた部分があったと思います。また、専門家に入っていただくことで、安心感も生まれます。社内の慣れていない人間が恐る恐るやっていたら、その不安感は伝染してしまうでしょう。まだ社内に内部監査員を置く余裕はありませんので、今後もお願いしたいと考えています。

— 審査はいかがでしたか。

小引 「これで大丈夫かな」という不安もありましたので、審査は緊張しました。しかし、審査員も話しやすい方で、対応しやすかったです。今後の運用に向けたアドバイスもしていただき、参考になりました。指摘事項も軽微なものばかりでしたので、終わった時は安心しました。

「LRMと一緒に、ISMSの学習をしながら取り組みました」(右から小引氏、國重氏)※左は弊社・松岡

「LRMと一緒に、ISMSの学習をしながら取り組みました」(右から小引氏、國重氏)
※左は弊社・松岡

成果はセキュリティ意識の底上げと体系的なルールが整備されたこと

「広報担当の社員犬・たぬきち氏。取材中は一切吠えないお利口さんです。

広報担当の社員犬・たぬきち氏。取材中は一切吠えないお利口さんです。

— 國重社長に伺います。経営者の視点では、今回の取り組み成果をどのようにお考えですか。

國重 先ほど申し上げた通り、社員のセキュリティ意識の底上げが出来ました。また、体系的なルールを構築できたことも重要です。従来はスポット的な対応で済ませていましたが、網羅的な対策を取ることができました。結果として、対外的なアピールだけではなく、社内的にも情報セキュリティの意識が高まり、事故が起きにくい環境を整備することが出来ました。

— 社内の意識の変化を実感出来るエピソードがございましたらお話し下さい。

國重 例えば、ドキュメントを共有する際、従来は『Slack』のチャット上にそのままアップしていましたが、DM機能を使うなど、安全な方法を選ぶようになりました。またZIPファイルのパスワードも、形式的に簡単なパスワードをつけるのではなく、パスワードツールを経由して送るようになりました。こういった細かな手順が普段の業務の中に定着しています。

— ビジネス上の変化はありましたか。

國重 大手企業との成約は確実に増えました。ISMSが絶対的な要因ではありませんが、ISMSがあることでお客様側も評価しやすくなった面はあるだろうと考えます。
弊社は設立間もない、地方のベンチャー企業です。そういう会社が作るサービスを基幹システムに導入しようとした時に、表面的な信用は獲得しにくいと思っています。それに対し、ISMSを取得したことで、情報セキュリティにしっかり取り組んでいるという一定のアピールが出来たと考えています。

— 現在のISMSの取り組み状況をお話し下さい。

小引 現在は、ISMS事務局と情報セキュリティ委員会が連携し、審査の指摘事項への対応や、日々の運用の中で見つかったリスクへの対応など、LRMに作成していただいた年間実施項目管理表に基づき、取り組みを行っています。毎月、定例会を実施し、各チームにおける取り組み状況の報告やインシデントの共有などを行いながら改善活動を行っています。

LRMのサポートで、ISMS未経験の担当者が勉強しながら取り組むことが出来た

「松岡さんは最初の印象通り話しやすかったです」(コーポレートチーム 労務・会計担当・小引友理氏)

「松岡さんは最初の印象通り話しやすかったです」(コーポレートチーム 労務・会計担当・小引友理氏)

— LRMのコンサルティングはいかがでしたか。

小引 LRMに依頼して良かったです。今でも『Slack』でやりとりしていますが、コミュニケーションでストレスに感じることはありません。松岡さんは、最初にお会いした時と変わらず、話しやすいコンサルタントでした。

國重 弊社には情報セキュリティの専門家はおりません。主担当を務めた小引も、ISMSに関わるのは今回が初めてでしたので、LRMと一緒に勉強しながら取り組みました。未経験の担当者と一緒に、柔軟に取り組んでいただけたことは、非常に有り難いと感じております。

— 『Seculio』と内部監査員代行サービスは継続されるとおっしゃっていましたね。

小引 はい。『Seculio』のeラーニングは、毎月配信しています。審査が終わって、情報セキュリティに対する従業員の熱が下がらないよう、定期的に実施する必要があると考えています。

『Seculio』と内部監査員代行以外にもISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。まだ社内の体制だけで運用していくのは難しいと感じていますので、基本メニューの他、月に1回、『Slack』上で、年間実施項目管理表に基づいたタスクに取り組む上でのアドバイスや、eラーニングで配信すべき教材のアドバイスなどを頂いています。

ISMSは日常で当たり前にならなければ意味がありません。LRMのサポートを受けながら、浸透・定着を図っていきたいと考えています。

Baseconnect株式会社の皆様、お忙しい中ありがとうございました。今後ともよろしくお願いいたします。

Baseconnect株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※Baseconnect株式会社様のWEBサイト
※ 取材日時 2021年2月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る