Beatrust株式会社様 – 顧客事例 –

Beatrust株式会社は、2020年6月から9月までの4ヶ月間、LRMのサポートを受けながら、ISMS/ISO27001認証取得に取り組みました。「意思決定の連続だった」と取り組みの苦労を語るのはISMS事務局の開発責任者・長岡諒氏。
認証取得の理由やコンサルティング会社選定の経緯、LRMのサポート内容などについてお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• サービスリリースに合わせて認証を取得したい
• 設立して3か月の企業である

• お客様が望むセキュリティレベルと社内の業務スピードとのバランスを取るための落としどころを決めていった
• 規格をもとに、自社の規模や業務内容に応じてルールを調整

LRMコンサルティングサービスへの感想

• ドキュメント類のひな形と、意思決定をするためのTipsをセットで提供してくれた
• 自社の事業フェーズに適した落としどころを提案してくれた

（Beatrust株式会社について）

「従業員が自律的に協業できるようにする」という目的のもと、社員検索のデータプラットフォーム『Beatrust』を開発し、2020年11月に正式リリース。特に従業員数の多い大企業においては、各部署の独立性や人のつながりの属人性が強く、社内にどのようなスキルや経験を持った人材が存在しているのかを把握することが困難であることが多い。そういった問題を解決するために『Beatrust』が開発された。企業内の全従業員のプロファイルやスキル、経験といった情報を自動で構造化し、可視化することで、従業員同士がお互いを知り、つながることができるように支援する。将来的には国内のエンタープライズのみならず、スタートアップから海外企業まで、あらゆる組織や働く人びとが自律的な協業を通じてサポートをしていく方針である。
設立；2020年3月。本社；東京都港区

— LRMへのご依頼内容をお話し下さい。

Beatrust株式会社は2020年6月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。LRMの担当者は金子さんです。同年9月に第2段階審査を終え、翌10月、ISMS認証を取得しました。

— 長岡様は普段、開発責任者としてどのようなお仕事をされているのですか。

開発全般の責任者として、プロダクト開発の優先順位の策定からお客様への開発および技術面でのご支援などを担っています。

— ISMS認証取得は長岡様がお一人でご担当されたのですか。

一部、代表の原が加わりましたが、実務のほとんどは私が担いました。今後の運用では、事務局を担えるような人材を育成していきたいと考えています。

— ISMS認証取得の理由をお話し下さい。

弊社がISMS認証を取得した理由は、お客様の要求レベルを満たす情報セキュリティマネジメントシステムを確立するためです。弊社がターゲットとしている客層は、情報セキュリティに関して厳しい基準を持った大手企業です。
取り組みをスタートした時点では、サービスのβ版をブラッシュアップしている段階でしたが、正式リリースされ具体的な商談が始まれば、社内の情報管理体制を問われることが想定されました。

弊社は2020年3月に設立されたばかりで、社内のルールは定まっていませんでしたので、ISMSに取り組むのは大変だとは思っていました。ただ、正式リリースの前にISMS認証を取得しておくことは、お客様の情報資産を守るという観点や、サービスレベル向上の観点から重要であると考えました。

— 取り組みの期間は設定されていましたか。

サービスを正式リリースするまでには取得出来た状態を作っておきたかったので、LRMに相談し、9月中旬ぐらいには第2段階審査を受審するスケジュールを立ててスタートしました。

— ISMS認証取得の取り組みはいかがでしたか。

予想通り簡単ではありませんでした。取り組みにあたっては、作成すべき文書類のボリュームが多いですし、この短期間で苦労せずに出来るとは考えていませんでした。実際、LRMのサポートを頂きつつ、弊社内でしか決められないところもありましたので、その部分は必死でやり切りました。

— 具体的には、どんなところでご苦労されましたか。

ISMS取得は初めての経験でしたので、どこまでやるべきか“度合いがわからない”という苦労がありました。
ISMS認証取得の準備は、ドキュメントの整備がほぼ全てと言って良いと思いますが、そのドキュメントに記述するルールを定めるにあたって検討すべき項目が膨大にあります。その1つ1つに対して、厳格なルールを定めるのか、リスクとして認識する程度で構わないのかといった判断をしなければいけません。お客様が望むセキュリティレベルと社内の業務スピードとのバランスを取るための落としどころを粛々と決めていかなければならない。“意思決定の連続”で、脳をフル回転させ続けなければいけないところが、大変なところでした。

— ISMSの規格に書いてあることを、そのまま業務に落とし込んでいけば良いというものではないのですね。

今回の取り組みで認識したことは、ISMSの規格が示しているのはお手本のようなものだということです。そのお手本を参照しながら、自社の事業フェーズや規模感、業務内容などに応じてルールを調整する必要がありました。
例えばリモートワークのルールを決めるにしても、リモートワークがほとんどない会社と、フルリモートの会社では、事情は大きく異なります。画一的なマネジメントシステムをそのままインストールするわけにはいかないと感じました。

— プロジェクト進行はスムーズでしたか。

はい。オンラインで打ち合わせを重ね、LRMと相談して決めたスケジュールの通りに進行することが出来ました。

— LRMはどのようなサポートをしてくれましたか。

マニュアルなどドキュメント類のひな型と、そのひな型に沿って意思決定をする際のTipsを、セットでご提供いただきました。

コンサルティング会社に依頼する目的は時間的なコストの削減です。私自身がISMSの規格を理解して、一から作れるかと言えば、時間をかければ作れるのかもしれません。しかし、その時間を確保する余裕はありません。そのような観点からすると、検討の叩き台となるひな型の存在は重要です。

またマニュアルに表記するルールは、最終的には私達自身が判断する必要がありますが、その最終的な意思決定をするために、なぜこのようなルールを決める必要があるのかといった解説や他社の事例などを交えたアドバイスを頂きました。このような意思決定の過程で我々と伴走していただけたところが最大のバリューです。

— 「スタートアップとのコミュニケーションに慣れている」と想定して依頼されたとおっしゃいましたが、それを実感することはございましたか。

それは、ルールを検討する中でアドバイスを求めた際の、さじ加減にあったのかなと思います。先ほども申しましたが、私としては、ルールを決める上でどのレベルに落とし込めば良いのか、正解がわからないわけです。審査に通ることだけを考えれば、全ての要求を満たそうとして、明らかに現実離れした「やり過ぎ」のマネジメントシステムを構築してしまう可能性があります。今の弊社のフェーズに即して、「これぐらいの落としどころが良いのではないか」といったご意見を頂けたことが、コミュニケーションを取る上では楽でした。

— ルール作り以外のサポートは受けましたか。

従業員教育と内部監査のサポートをしていただきました。従業員教育は、情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用して実施しました。内部監査は、内部監査員を代行して頂いて実施しました。

— 各サービスのご感想をお話し下さい。

内部監査員代行はお願いして良かったと思っています。eラーニングに関しては、経験豊富なメンバーだけで構成された現状では必要がないかなと思いました。今後はLRMから教材だけご提供いただいて実施していく計画です。

— 内部監査代行はどのような点が良かったですか。

現状では社内の人間が実施するリソースを確保するのが難しいことと、リソースが確保出来たとして、客観的な視点でチェックすることが難しいことから、代行していただいて良かったと思っています。

— 審査はいかがでしたか。

指摘事項はいくつか頂きましたが、対応に苦労するような指摘はありませんでした。頂いた指摘事項を改善することで、よりブラッシュアップすることが出来ました。

— ISMS認証取得の取り組みによる副次的な効果・成果がございましたらお話し下さい。

お客様からいただくセキュリティチェックシートに対し、より明快な回答が出来るようになりました。

セキュリティチェックシートは、お客様によって名称や調査項目が異なりますが、いずれも情報資産の取り扱いに関する調査シートで項目数は何十項目にも及びます。その中には「第三者機関によるセキュリティ監査を受けているか」または「ISMSを取得しているか」という単純な問いだけではなく、特定の問題に対する具体的な施策を問う項目もあります。それらのチェック項目には、今回整備した施策がそのまま当てはまるものも多く含まれます。ルールが明文化されたことで、弊社にとってはより回答しやすく、お客様にとっては理解しやすい状態になりました。

— 情報セキュリティの取り組みに関する今後の展望をお話し下さい。

情報セキュリティの取り組みは、事業フェーズに合わせて整備していく必要があると考えています。ISO27017/ISOクラウドセキュリティ認証やISO27018などの取得も検討しておりますが、海外展開をする際には、グローバルな視点に立ったさらなる整備が必要になるでしょう。

例えば、国内でビジネスをしている限りでは、SOC2の取得を求められることはほとんどありません。しかし海外のSaaSをサーベイしていると、ISMSを取得せずSOC2を取得しているプロダクトが散見します。どのようなタイミングで、どのような施策を打つかは慎重に見極めていきたいと考えています。

— LRMへの御期待がございましたらお話し下さい。

ISMS認証取得後、LRMとはISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。ISMS運用における弊社の課題は、ISMSの運用を他の人材に引き継いでいくことです。しかし、私自身も次のフェーズに移行しなければならないため、新しい担当者につきっきりでフォローすることが出来ません。LRMには円滑に運用体制を移行できるようサポートしていただきたいと考えています。

Beatrust株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ Beatrust株式会社様のWEBサイト
※ 取材日時 2020年11月