お客様の声

ISMS/ISO27001認証やISO27701認証を取得しているZEROBILLBANK JAPAN株式会社は、効率的なセキュリティ体制の運用実現のため、情報セキュリティ教育クラウド「セキュリオ」を利用しています。
運用されているのは、ZEROBILLBANK JAPAN株式会社 Chief Operating Officer・安藤様です。同社での具体的な「セキュリオ」活用方法について、お話を伺いました

ZEROBILLBANK JAPAN株式会社について

2015年、第二のシリコンバレーと呼ばれるイスラエルで創業。2016年の日本法人設立と同時期に、MUFG FinTechアクセラレータ・プログラム第１期スタートアップに選定され、ブロックチェーンとスマートコントラクトをAPIとして使用し、あらゆるデータを資産として管理できる企業間プラットフォーム『ZBB CORE API』を開発。企業の経営資源であるヒト・モノ・データなどを、事業や業界の枠を越えて組み合わせることにより、未だ存在しない事業やサービスの創出を支援する。すでに200社以上の大手企業とアライアンスを組み「○○×ブロックチェーン」のオープンイノベーションの取り組みを進めている。ブロックチェーンを活用した事例を積み重ね、クラウド・IoT時代の新しいデジタルアセット管理の仕組み作りを目指す。

• 日本本社：東京都千代田区
• 設立：2015年2月
• 従業員数：9名(2021年9月現在)
• Webサイト：https://zerobillbank.com/

徹底的な効率化で無理なくISMSを運用

貴社はISO27001認証やISO27701認証を取得するなど、積極的にセキュリティ体制構築に取り組まれていますが、その背景を教えてください。

メ認証取得の主な動機は、営業戦略です。当社は一部上場の大手企業などとの取引も多いですが、そういった会社は取引先のセキュリティレベルに敏感です。いくら当社が「セキュリティ対策は万全です」と言ってもそれだけでは信用してもらうのはなかなか難しいので、第三者認証であるISO27001認証やISO27701認証を取得することで、信頼性の向上に努めています。これらの認証を持っていると、やはり大手企業の場合は社内稟議が通りやすくなるというメリットがあります。

少数精鋭のチーム体制で、これらの認証を維持するのは大変ではないですか？

できるところはなるべく自動化・効率化して運用していますので、正直なところそれほど負担ではないです。

例えば、以前はISMSに関する文書をWordで作成・管理していたのですが、参照や共有がしづらいという問題があったので、最近すべてNotionに載せ替えました。Notionだと文章中の文字列で気軽に検索できますし、「ここを修正しておいて」といった依頼などもしやすいです。新型コロナウイルス感染症の影響でテレワークなど働き方が多様化している中で、シームレスに連携できるのはとても便利です。

また、従業員のセキュリティ教育は「セキュリオ」を使って簡素化できていますし、認証を維持するという点において、そこまで負担はありません。

「プライバシー保護」「GDPR」にも対応した「セキュリオ」教材で手軽にセキュリティ教育を実施

セキュリティ教育で「セキュリオ」をご利用されているとの話がありましたが、普段「セキュリオ」のどの機能を使われることが多いですか？

現状使っているのは「eラーニング機能」と「法令管理機能」です。

特にeラーニング機能の利用頻度は高いですね。当社ではISMSに関する教育を年に1度、セキュリティリテラシー向上のための教育は月に1度のペースで実施していますので、その際に活用しています。

eラーニング機能の使い勝手はいかがですか？

すごく良いと思います。

例えば、セキュリティ教材を自社で用意するのは大変なので、たくさん用意されているのは助かります。当社が課題を感じている部分に関わる教材などは、積極的に活用しています。

最近だとISO27701認証を取得したということもあり、「プライバシー保護研修(ISO27701対応_ISO/IEC 27701:2019版)」や「今さら聞けないGDPR」を使いました。GDPRに関しては、当社に直接関係があるわけではないのですが、当社の取引先にはGDPR対応をしている会社やこれから対応しなければいけない会社が多くありますので、基礎知識を身につけられるのは良いですね。

そのほか、受講管理もしやすいですし、未受講ユーザに対するリマインドもボタン1つでできるので便利です。

「セキュリオ」でeラーニングを受けることについて、従業員のみなさんはどのような反応をされていますか？

月に1度、5～10分程度受講するだけなので、社内から不満の声があがってくるということは現状起きていません。人によっては毎月の受講日をスケジュール設定して、計画的に受講してくれているようです。期限までに受講が確認できなかった人に関しても、リマインドすればすぐに受講してくれます。

管理側としては、5～10分程度で気軽に受講できる「セキュリオ」教材のボリューム感はとてもありがたいです。例えば受講に1時間かかる教材の場合、従業員に対して気軽に「受講してください」とは言いづらいですが、「セキュリオ」の教材なら「10分あれば受講できますので、お願いします」といった依頼の仕方ができます。

法令管理機能の方はどのようにご利用されていますか？

こちらは年に1度審査前に確認する程度ですね。

ISOの審査で法令管理の状況を確認されたときは、「セキュリオ」の画面をそのまま見せるようにしています。審査員の方からは「あ～、セキュリオ(LRM)のやつですね」といった反応をもらうことが多いです。

より積極的なセキュリティへの取り組みも視野に

今後はどのようなセキュリティ対策に取り組まれる予定ですか？

現状はISO27001認証やISO27701を取得・維持できている状態ですが、あくまでも「最低限やらなければいけないことをやっている」というような状況です。ですので、将来的にはもっと積極的にセキュリティに取り組む必要があるとは思っています。

今はLRMにコンサルティングというかたちでサポート（ISMS運用支援サービス「情報セキュリティ倶楽部」を契約中）してもらいながらセキュリティへの取り組みを進めていますが、今後組織が大きくなったり事業のフェーズが変わっていく中で、セキュリティに詳しい人材を採用するなど、もっと積極的にセキュリティへ投資していくことになるでしょう。

その中で「セキュリオ」をどのように活用されていく予定ですか？

これまでどおり、従業員へのセキュリティ研修で積極的に活用していく予定です。

最近「セキュリオ」に新機能がどんどん追加されていることは知っていますが、現状はあまり活用できていません。ですが、移行にかかる手間と移行に伴うメリットを天秤にかけた結果、メリットが上回るのであれば積極的に使っていくべきだと思っています。

今回のインタビュー中にお話を聞いた中で、情報資産管理台帳に関しては現状の管理方法よりも「セキュリオ」の「情報資産管理台帳機能」で管理した方が効率的な気がしましたので、今後移行を検討するかもしれません。

ZEROBILLBANK JAPAN株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

取材日：2021年9月