株式会社クレイ様 – 顧客事例 –

自社サービスの『DocBase』が着実に導入企業数を増やす中、さらなる成長を目指してISMS/ISO27001認証を取得した株式会社クレイ。しかし実際にスタートするまでは不安も大きく、一部の社員の反対もあったと言います。
LRMのサポートによって、その不安はどう解消されたのか。ISMS/ISO27001認証取得までの一部始終を、代表取締役・天野充広氏、エンジニア・浅海拓来氏に伺いました。

（株式会社クレイについて）

クラウド情報共有ツール『DocBase』を開発・提供するITベンチャー企業。『DocBase』は組織で使うことを前提に設計されたドキュメントツールである。「小さなメモから始めてチームを育てる」をコンセプトとして開発された。書きやすい文書エディタ、テレワーク利用を想定した強固なセキュリティなどの機能的特徴に加え、価格設定を1ユーザー数百円という低価格にすることで、従業員、または社内外のプロジェクトメンバー全員が参加し、時間と場所を選ばずに情報共有が行えるサービスを実現した。2015年の正式リリース以来、着実にユーザー企業を増やし、スタートアップから数千名規模の大手まで、これまでに7000社以上が導入。もともとはクライアントやパートナー企業を巻き込んだチームによる開発を得意とし、受託開発で力を蓄えてきた。今後も受託開発は続ける傍ら、『DocBase』を中心にチームの活動をより円滑化させるサービスを横展開していく計画である。
本社；東京都武蔵野市。設立；2007年7月。従業員数；約9名（2020年6月現在）。

— LRMへのご依頼内容をお話し下さい。

株式会社クレイは2019年12月、LRMにISMS/ISO27001認証新規取得コンサルティングを依頼しました。
担当は金子さんと二宮さんです。12月のキックオフから2020年3月の第2段階審査のフォローまでサポートしていただき、4月にISMS認証を取得しました。

ISMS認証取得に関しては、従来のような自由が利かなくなる不安もありましたが、キックオフの段階で不安を取り除いていただき、最後まで安心して取り組むことが出来ました。

— 今、テレワークを導入する企業が増えていますが、御社は普段からテレワークを実施されていたのですか。

はい。従来から週1日のリモートワークを実施していました。週4で出社し、1日だけリモートで働きます。いつリモートにするかは各自に任せています。
社員個別の事情に合わせてリモートワークのやり方を変える場合もあります。実際に、弊社社員の奥さんが出産したときには2ヶ月間フルリモートにし、その後もしばらくは週3日のリモートワークと週2日の出社を組み合わせたりしていました。出産・育児以外にも、家庭の事情にはなるべく配慮していきたいと考えています。
また、外部の開発パートナーやクライアントとも、基本的にはいつもビデオ会議で打ち合わせをしています。リモート環境でのプロジェクト進行には慣れている方だと思います。

— 御社の働き方、プロジェクトの進め方について、他に特色のある取り組みがございましたらお話し下さい。

弊社の特徴は、クライアントや外部の開発パートナーと協力しながら仕事をしているため、クラウドツールを多用している点です。ソース管理で『GitHub』を使う他、アジャイルプロジェクトのタスク管理ツール『Pivotal Tracker』、『Slack』を利用しています。そもそも弊社の『DocBase』も、リモートによるプロジェクト推進に力を発揮するサービスです。

— 『DocBase』はもともと、テレワーク向けに作ったサービスなのですか。

具体的にテレワークを想定していたわけではなく、もともと組織をまたぐチーム組成の出来るツールとして開発していました。弊社の中でも、プロジェクトごとのチームに、クライアントや外部の開発パートナーが参加しています。
場所と時間に縛られずに情報共有ができるツールですので、テレワーク向けという言い方は間違いではありませんね。
事実、新型コロナウィルス感染拡大による緊急事態宣言発令後は、テレワークに移行した企業様への導入が急増しています。

— 開発を外に出している部分もあるのですか。

外に出しているというより、フリーランスの方に入ってもらって、一緒にチームとして開発をしています。これは弊社独特のスタイルだと思っているのですが、プロジェクトに内と外という概念を持ち込んでいません。弊社の社員だけではなく、クライアントも開発パートナーも全て、チームメンバーとして関わっていただいています。

象徴的な取り組みが、毎日行っている朝会です。プロジェクトごとに最長15分の会議を実施しています。その会議にはクライアントにも、開発のフリーランスのエンジニアの方にも入っていただきます。弊社では常時10件ぐらいのプロジェクトが動いていて、大きなプロジェクトだと10数名のチームになります。クライアントにも、開発パートナーであることは隠さずに全て公開しています。プロジェクトの進捗状況の報告や確認は全てこの会議の中で行います。その他にわざわざ集まって話をするようなことはありません。このような朝会をもう7年ぐらい続けています。

— 規模を拡大して完全内製化を図るという方針は持たれていないのですか。

弊社は組織の規模拡大を追求する考えは持っていません。それよりも外部の力をうまく組み合わせていく考えです。
社員に関してはサービスの規模に合わせて必要な人、一緒にやっていく上で良いなと思える方を採用していく方針です。

— コンサルティング会社選定の経緯をお話下さい。

ISMS認証を取得しようと決めた際、何人かの知人に相談したところLRMをご紹介いただき、依頼しました。親しく交流させていただいているITベンチャー2社が、いずれもLRMのサポートを受けてISMS認証を取得していました。

— 最終的に依頼する上で、チェックされたポイントはありませんでしたか。

特にありません。ご紹介いただいた方々はいずれも数多くのユーザーを抱えるクラウドサービスのサービス責任者です。親しい同業者からのご紹介でしたので、最初から信用していました。ご担当いただいた金子さんともお会いして不安に感じる要素もありませんでしたので決めました。

また、金子さんとお会いした時の会話で安心できたことがありました。それまで我々は、ISMSには「こうしなければいけない」という決まりがあって、その決まりに自分達を合わせていかなければいけないと思っていました。しかし、金子さんにお越し頂いた際に、LRMは認証取得企業の実情に即した情報セキュリティマネジメントシステムを構築する方針であると伺って、それまで抱いていた不安を払拭することが出来ました。

— 実際にご自身達の開発スタイルや仕事の進め方を維持できるマネジメントシステムは構築出来ましたか。

ルールを明確に決めましたので、多少は「こうしなければいけない」ということはありますが、当初恐れていたような負担を感じる事態には至っていません。

LRMのコンサルティングを通してわかったことは、ISMSの本質は、自分達のルールを明文化し、リスクを認識することであるということです。自分達のルールを明確にして、これはセキュリティを担保出来る、これは担保出来ない、ということを切り分けて認識していれば、自分達のスタイルを維持したまま仕事が出来ることがわかりました。

— 新たに取り入れたルールには、例えばどのようなものがありますか。

例えばWEBサービスの一覧を作成しました。Webサービスは、これまで開発者が自由に追加して使っていましたが、ISMS認証取得を機に、正式に採用する場合は申告して台帳に載せることにしました。

また、デバイスに関しても管理台帳を作って、私物は原則として使用禁止にしました。それに関しては不便にはなりましたが、状況把握出来るようになったことは良かったと思っています。

— 逆にこれは絶対にしなければいけないと思っていたことで、やらなくて良かったということがありましたら教えて下さい。

社員の入退室管理です。ISMSの構築に取り組むまでは、必ず玄関に入退室管理システムを設置して記録しなければいけないと思っていました。しかし結果として、社内のシステムでカバー出来ると考えて、新たな追加対策は取りませんでした。弊社は以前から、社員が会社に出社したら出退勤を自動的に記録するシステムを自前で用意していました。
そのシステムである程度は把握することが可能です。LRMのお二人の話を聞いて、厳密ではありませんが、リスクを許容する形で大丈夫だろうと判断しました。

— ルール決めで意見がまとまらず、難航したことはありませんでしたか。

ほとんどありませんが、社員から指摘されたことはありました。添付ファイル送信時にZIPファイル化してパスワードをかけるという手順についての指摘です。『Slack』などでパスワードなどのアカウント情報を送る際に、そのまま流すことはリスクがあるのではないかと考え、一旦はパスワードをかけるルールにしました。

しかし、社員から時代に合っていないからやめて欲しいという指摘がありました。今回の審査は、ZIP化してパスワードをかけるルールのままで受審しましたが、今は特定のメンバーが認証して入るシステムの場合は、パスワードをかけなくて良いルールに変えました。原則としてメールでの重要なファイル送信は禁止しています。『Slack』なら認証を経た決まった人だけがログインしていることになりますので、パスワードをかける必要がないという考えです。

また、パスワードの文字数に関する指摘もありました。これまで社内規定で、14文字のランダム文字列、かつ全サービスでユニークなパスワードを設定、さらに2段階認証のあるものは2段階認証をつける、という決まりを設けていました。しかし最近はパスワードの文字数制限がないサービスが増えており、30文字、40文字ぐらいは当たり前ですし、
パスワードの生成やログイン時の入力自体はパスワードツールに任せているため14文字は短すぎるという意見が出ました。これについても、今年の維持審査に向けて変更する可能性があります。

— 今回の取り組みを経て、社内に何らかの変化は見られましたか。

第2段階審査を受けてすぐにフルリモートに移行してしまったので、実感できることはありません。

— テレワークに関するルールは何か作られましたか。

特別テレワークを想定したルールは設けていませんが、以前から自宅で作業する際のルールは設けていました。それをそのまま適用していますので、仕事の進め方に変化はありません。

経営者またはサービス責任者の視点で良くなったと思っているのは、インシデント報告書のルールが出来たことです。これまでも『DocBase』で障害が起きた時は、ヘルプセンターの報告書を出してお客様に見える形にしていました。
しかしサービスに関わる人達に発信する仕組みがありませんでした。今はサービスの運用で何か起きたら、インシデント報告書を作成し、どういった種類のインシデントなのか、どれぐらいのセキュリティレベルなのか、どう対処したのかを内部に情報公開することになっています。

— 社内システムに外部の方が入って一緒に仕事を進めるというスタイルに関連したルールはございますか。

一部、パートナーの権限を制限したところはあります。本番サービスの管理領域に関しては、カギを渡さないというルールを定めました。

— ルールが決まるまでの過程でご苦労された点はございましたか。

最も苦労したのが書類作りです。情報資産の洗い出しという作業はやったことがありませんので、どのレベルまで情報資産を洗い出せば良いかという判断は大いに悩みました。特に気を遣ったのが、『DocBase』に関連する情報資産の洗い出しとリスクレベルの設定です。また、自社サービスと受託開発では、同じような情報でもリスクが変わりますので、切り分けてリスト化する作業にも手間取りました。

— そういったご苦労に対して、LRMはどのようなサポートをしてくれましたか。

情報資産の洗い出しに関しては、一旦こちらでまとめたものを見ていただいて、改善すべき点があればアドバイスをいただきました。

また作業が遅れがちな時もフォローしていただきました。他の業務と並行して作業をしていたこともあって、やるべきことを忘れてしまうことがたまにありました。そういった時に、いつまでに何をすべきかを改めて示した上で、『Zoom』を使ったオンラインの打ち合わせを緊急にセッティングし、チェックしてくれました。金子さんと二宮さんの柔軟なサポートがなければ進まなかったと思います。

— 従業員教育に関してはいかがでしたか。

情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使って、全員にテストを受けてもらいました。情報セキュリティの考え方を共有するには便利なツールですので、今後も継続していきたいと考えています。

— 『セキュリオ』を使った教育は社員の方だけを対象に実施されたのですか。

はい、社内だけで実施しました。あれは外部の方に使っていただくことも出来るのですか。

では、今後はそういう形で開発パートナーの方にもテストを受けていただくことはやってみた方がいいかも知れません。現状では委託先管理としてアンケートは実施していますが、開発パートナーの方々にも弊社の情報セキュリティマネジメントに準じた仕事をしていただけるよう検討したいと思います。

— 内部監査員代行についてはいかがですか。メリットを感じられることはございましたか。

はい。代行していただいて良かったと思います。

今回、金子さんたちに来ていただいて内部監査を実施したことで、ロッカーを含め、社内の整理が一気に進みました。このまま審査を迎えるのはまずいということで、社員全員に出社してもらって、個人的なものは家に持ち帰ってもらいました。また、各自持っている情報資産も全て出してもらって、まとめていきました。さらに、二人で社内の掃除や創業時から累積していた書類も全て2日かけて整理しました。ひょっとすると、文書類をまとめる作業よりも苦労したかも知れませんが、整理が出来て良かったと思っています。

— 紙は結構使うのですか。

ほとんどデジタル化出来ていますが、契約書や決算資料などは紙のままです。頑張って減らそうとは思っていますが、どうしても出てきます。今回、そういった書類はまとめて鍵付きキャビネットに保管しました。

— 審査の結果はいかがでしたか。

思ったよりも短時間でスムーズに終わりました。もっと物理的なところが見られるのかなと思いましたが、苦労して整理したところがあまり見られませんでした。「キャビネットもありますね」と、大体整理されていることを確認して終わりました。指摘も軽微なものだけでした。

— ISMS認証を取得したことについて、外部からの反応はありましたか。

まだプレスリリースをさらりと出したばかりなので、具体的にはこれからだと思います。

— 今回のコロナ禍の影響を受けて、事業継続で不安になられるようなことはありませんでしたか。

事業継続の不安はありませんが、違う意味での影響はありました。テレワークを採用する企業が増えたことで『DocBase』を導入されるお客さまが増えましたので、インフラ周りをさらに強化しなければいけない状況になりました。『DocBase』は今後もニーズが増えることが見込まれます。ISMS認証の取得が効力を発揮する機会も増えるでしょう。

— 今後の情報セキュリティ上の取り組みについて展望などがございましたらお話し下さい。

現在、弊社自体も完全にテレワークに移行していますが、ISMSの構築段階ではそこまで想定していませんでした。
今後、やりづらいところや、気付いていないリスクが見つかるかもしれませんので、その時は改善して自分達のルールに組み込んでいきたいです。

また、ISMSの運用体制も見直す必要が出てくると考えています。現在は天野と浅海の2名が中心になっていますが、
実働は現場の社員に任せた方がより実情に合ったマネジメントシステムになると考えています。
今年度は、現状の体制を維持していきますが、来年度以降は、天野がトップマネジメント、浅海がセキュリティ管理者となり、実働を別のメンバーに任せることも考えています。その際は管理者教育も重要な課題となるでしょう。

— LRMのコンサルティングを受けたご感想をお話し下さい。

LRMに依頼したおかげでいろいろ助かったなと感じました。お二人とも何かあったらすぐに来て下さるなど、迅速な対応で、説明はわかりやすかったです。LRMと話す前は不安しかありませんでしたが、今ならLRMから言われた通りにやれば開発スタイルを変えることなく、ISMS認証が取得できると言い切れます。

— ISMSの運用サポートはお考えですか。

ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。我々だけで運用していくと、監査や教育などいろいろな面で抜け漏れが発生する可能性もあります。また、状況が変わってルールを見直さなければいけないことも出てくるでしょう。その時に、我々が考えていることをチェックしていただいて、他社の実例なども交えてアドバイスしていただけることを期待しています。さらに新しいメンバーにISMS運用の実働を任せる可能性もありますので、管理者教育を含め、様々な局面でLRMのサポートが必要になると考えています。

株式会社クレイ様、お忙しい中ご対応いただきありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社クレイ様のWEBサイト
※ 取材日時 2020年6月