株式会社ヌーラボ様 – 顧客事例 –

※本事例での情報セキュリティ俱楽部プランは旧プランでのご提供となっており、現在のプラン内容とは一部異なる場合がございます。現在のプラン内容については、料金・プランページをご確認ください。

株式会社ヌーラボは、ISMS/ISO27001認証、ISO27017/ISMSクラウドセキュリティ認証、ISO27018の3つの情報セキュリティ認証を運用されており、今回LRMにBPOコースを依頼されました。
LRMに依頼した理由、取り組みの成果などについて、平山様・松山様・桶谷様・市川様の4名にお話をお伺いしました。

（株式会社ヌーラボについて）

株式会社ヌーラボは、「チームで働くすべての人に」をコンセプトとして、チームのコラボレーションを促進するサービスの開発・提供を行っている企業。チームのタスク管理ツールの「Backlog」は、ウェブ制作、ソフトウェア開発、大手広告代理店など様々な業種で使われており、カンバンボードやガントチャートでプロジェクトの進捗を一目で把握できる。その他にも、豊富なテンプレートとシンプルなUIのオンライン作画ツール「Cacoo」やBacklogと連携も可能なビジネスチャットツール「Typetalk」、ヌーラボ製品のセキュリティを強化し、安全にアカウント管理が行える「Nulab Pass」を提供している。国内は福岡・東京・京都、海外はアメリカ・オランダ・シンガポールに6つの拠点があり、国内外問わずサービスを提供する。2022年6月には、東京証券取引所グロース市場に上場。ヌーラボという社名は、Null（無）とLab（研究所）を合わせた造語で、強い情熱と愛を込めて製品開発を行っており、「“このチームで一緒に仕事できてよかった”を世界中に生み出していく。」ことを目指して活動している。
設立：2004年3月。本社：福岡県福岡市。従業員数：147名。（2023年3月31日現在、グループ全体）。

— LRMへのご依頼内容をお話しください。

株式会社ヌーラボは、2022年1月にISMS事務局の一員としてLRMコンサルタントに作業してもらえるBPOコース（以下、BPO）を依頼しました。担当コンサルタントは、石濱さんです。

— まずは御社の事業についてお聞かせください。

プロジェクト管理ツール「Backlog」、ビジュアルコラボレーションツール「Cacoo」、ビジネスチャットツール「Typetalk」、それらのセキュリティガバナンスを向上させる「Nulab Pass」の4製品を提供しています。これらのサービスは、コラボレーションをキーとして、製品開発・提供を行っています。
ヌーラボは、「“このチームで一緒に仕事できてよかった”を世界中に生み出していく。」をブランドメッセージとして掲げています。ヌーラボ製品を使ってくださるお客様やそのお客様のお客様へと、ヌーラボ製品を核にしてコラボレーションが広がっていくことで、このチームで一緒に仕事できてよかったという気持ちを広げていきたいと考えています。

— 御社の製品は、業種を問わず利用できると思いますが、どんな場面で利用されていますか。

どんな仕事でもチームメンバーとのコラボレーションは必要になってきます。コラボレーションをいかに充実させスムーズに気持ちよく使ってもらえるかに気を付けて製品開発しています。現在は、Webに関わる事業者様を中心に、官公庁や教育機関、製造業の企業様にもご利用いただいています。

— 御社内でもコラボレーションを大切にされているところはございますか。

ヌーラボ製品は、我々の普段の業務においても利用しています。実際に使う中で改善点が生まれてきて、さらなる製品開発を行いお客様により良いコラボレーションをご提供できている側面はあるかと思います。また、会社の文化としてもコラボレーションは大切にしています。
従業員数が増えてきたため、組織の中で役職はあります。ただ、あくまで単純な役割であって、上下関係だとはとらえていません。役職などは関係なく、フラットにお互い意見を言い合えるような雰囲気を大切にしています。

— 御社は海外にも拠点がありますが、海外でもサービスを提供されていますか。

提供しています。海外でも、開発とマーケティングの両方を行っていますが、日本と同じようにはいきません。日本発のサービスのため、まずは知ってもらうために、現地に合わせた戦略を組む必要があります。例えば、プロジェクト管理ツールにおいて、国内の競合と海外の競合は違います。提供する製品は同じですが、それぞれの状況に適した伝え方を心がけています。

「社内リソースを消費せず断然リーズナブルに専門家に参加してもらえるので助かります」
（情報統括部 部長・平山様）

— 御社では複数の情報セキュリティに関する第三者認証を取得されていますよね。

ISMS/ISO27001（以下、ISMS）とISMSクラウドセキュリティ/ISO27017（以下、ISMSクラウドセキュリティ）とISO27018の3つの認証を取得し、運用しています。

以前はプライバシーマークを取得していたのですが、ISMS認証を持っているかというお客様からの問い合わせが増えてきました。そのため、お客様のニーズに応えるために、2016年12月にISMSを取得しました。また、弊社はインターネットサービスを提供しているので、クラウドにおける情報の取り扱いについてより十分に配慮するべきだと考え、ISMSに加えてISMSクラウドセキュリティとISO27018を取得しました。

認証を取得し維持していく過程の中で、情報セキュリティのルールや統制が整備され、弊社の情報セキュリティの取り組みがスムーズになり、質も向上しました。それは結果として、より安心安全なサービス提供に繋がっています。

— 御社のセキュリティ体制についてお話しください。

主には下記4名で情報セキュリティ業務を行っています。

• 平山様：情報統括部 部長。もともとはCacooの開発・運用に携わる。その後、セキュリティ業務や品質保証業務を担当。
• 松山様：情報統括部 品質保証課。セキュリティエンジニアとしてISMS活動に携わる。
• 桶谷様：情報統括部 情報システム課 課長。ISMS活動の推進も担う。
• 市川様：情報統括部 情報システム課。ISMS活動の推進も担う。

品質保証業務は、プロダクト全般をお客様が満足いく形に持って行くためのあらゆる活動です。ソースコードの品質を図るための仕組みを導入したり、新しいプロダクトや機能を開発する際のレビューを行ったりしています。情報システム課では、社内のITインフラ環境全般の対応を行っています。

— 品質保証や情報システムなど、ISMS活動以外にも業務を担当されている上でのご苦労などはございましたか。

別業務と兼務をしながらISMS活動を行っていくため、ISMS活動がおろそかになってしまっていた部分はありました。立てたスケジュール通りに進んでいないところが顕在化してきていたので、その課題を解決したいという想いもあって今回LRMさんにBPOを依頼しました。

— BPOを利用される前のセキュリティ運用状況はいかがでしたか。

ルールやマネジメントシステムなど、ある一定の形は出来上がっていたものの、立てたスケジュールをその通りに進められてていくのが出来ていませんでした。ISMS活動それ自体はメインの業務ではないので、どうしても優先度が落ちてしまい対応が後回しになって伸びてしまっていました。事務局のISMS運用における事務的な業務についても、片手間でやっているため、遅れが生じていました。結果として、全体的にISMS活動が後ろ倒しになり、できていないところもあった状況です。

また、スケジュール通りに実施できているものの、きちんと対応しきれていないところもありました。
例えば、各種台帳の確認は実施しているけれど、よく見ると現状と違うものが散見されるなど、対応が追い付いていない箇所もありました。

事務局としてISMSのPDCAサイクルを回すことに精一杯になってしまっていることで、ISMSを社内に浸透させる活動まで対応する余裕がありませんでした。ただ、ISMSはルールを決めているだけで誰も使っていないという状況では意味がありません。せっかく認証を取得しても、きちんと全社で運用して製品に活かしていかなければ、バッジをつけているだけになってしまいます。LRMさんにBPOを依頼する以前からこういった課題は抱えていて、社内でセキュリティチームを結成して課題解決に取り組んでいました。BPOは、セキュリティの取り組みをさらに加速させていくために利用を決定しました。

— 対応スケジュールに遅れがでることで、社内へ浸透させる活動まで対応する余裕がなかったとのことですが、従業員の方のセキュリティ意識に課題はございましたか。

ISMS認証運用の中で、毎年eラーニングで教育は実施していますし、従業員のセキュリティ意識は、決して低くありませんでした。ただ、例えば新しい機能を開発して、お客様から新たな情報を取得するようになった際に、情報管理台帳に掲載しなくてはいけないという意識を瞬時に持つことができていた従業員は少ないと思います。ISMSを取得して仕組みはあるけれど、使いこなせていない印象がありました。

現在は、以前よりも格段に意識してもらいやすくなっています。従業員から、「こういう場合は情報管理台帳を更新しないといけないですか」という質問がくることもあり、関心の高まりを実感しています。

「LRM石濱さんが事務局メンバーの1人として居てくれるのは
心強かったです」
（情報統括部 情報システム課
・市川様）

— BPOをご契約いただいた経緯をお話しください。

LRMさんのBPOサービス情報を見て、「これいいんじゃない」と思ったのがきっかけです。対応していただける内容と費用感を検討した際に、社内から登用するよりもリーズナブルでした。また、当時困っていたこととして、規格の要求事項に対してどこまで実施すべきなのかのラインを判断する際に、専門家であればすぐに答えてもらえるようなことについても調査しなければならないという工数負担がありました。LRMさんが事務局に入っていただければ、その工数が丸ごとまるまる削減できます。

後は、専門家にセカンドオピニオンが聞けるのはありがたかったです。
セキュリティエンジニアの立場から、こうしましょうと決めた際に、大きくズレていることはないと思う一方で、本当に正しいのかを客観的に評価できる人がおらず、不安もありました。専門家から妥当性や適切性があることを裏付けてもらえることで、社内への説明がしやすくなりました。また、個人ではなくLRMさんに依頼をするため、担当コンサルタントの向こう側にも専門家チームがいてくれるのは心強かったです。

— BPOをご利用される以前に、LRMのサポートは受けていらっしゃいましたか。

ISMSを始めとする3つの情報セキュリティ認証を取得する際もサポートいただきましたし、内部監査はずっとLRMさんにお願いしています。
そのため、各ポイントで運用のアドバイスは随時いただいていました。ただ、あくまで第三者視点からアドバイスをいただいていたので、社内にISMSを浸透させるためにもう一歩踏み込んでほしいと感じていました。

— LRM以外のサービスもご検討されましたか。

他のコンサル会社は考えていませんでした。自分たちが抱えている問題やこれから解決したい方向性をきちんと言語化するのが難しいと感じていたので、毎年内部監査を実施していただいて、これまでの状況を理解していただいているLRMさんにお願いするのが一番だと考えました。LRMさんのBPOが、他を検討する必要性がないくらいリーズナブルだったのも一因です。

「事務局としては、自分たちの
組織におけるリスクを自ら
主体的に考えてほしいという想いがありました」
（情報統括部 品質保証課
・松山様）

— BPOではどのようなことを行ってもらえるのでしょうか。

事務局の一員として参加いただき、ヌーラボの内情を知っていただきつつ、ISMSやISMSクラウドセキュリティの専門家としつつアドバイスをしていただきながら、実務もやっていただきました。
また、スケジュール通りに進められるように調整もしていただきました。

— ヌーラボの内情も知りながら実務も含めて支援したとのことですが、情報共有はどのように行っていたのでしょうか。

2週間に1回の頻度で定例のお打合せを行っていました。定例お打合せでは、ISMS活動の中から議題を設定して検討し、必要なアクションの決定と実施状況の確認を行ったり、年間スケジュールにあわせた進捗確認を行ったりしていました。緊急の質問事項などについては、「Typetalk」を利用してコミュニケーションを取っています。基本的には普段の業務で使っているツールを使っており、ISMS運用におけるタスク管理も「Backlog」で行っています。

— BPOをご契約いただく前は運用支援サービス「情報セキュリティ倶楽部」をご契約いただいていましたが、違いを感じられるところはございますか。

情報セキュリティ倶楽部でもメールでの相談はできるのですが、形にならない質問は投げづらいところがありました。明確にこれが分からないのですがどうしたらいいですかという質問であれば聞けますが、漠然としていて言語化しづらい質問もあります。BPOは、定例のお打合せで弊社の状況を理解してくださっている人と会話ができるので、こちらがぼんやりした状況であっても、課題や対応を明確にしていくやりとりをできるのが一番の違いだと感じています。

— 御社とLRMの役割分担などはされていましたか。

最初に「LRMさんにはこういうことを期待しています」とはお伝えしましたが、明確に役割を線引きしている訳ではありません。セキュリティは最終的には自社で決めるべきことであって、あくまで主体は事務局でないと意味がありません。そのため、LRMさんに丸投げをする、言われたことをそのままやるだけというのは考えていませんでした。事務局メンバー全体でそれぞれの得意分野を活かしながらISMS活動を行っており、例えば、これは専門家のLRM石濱さんから社内に言ってもらった方がインパクトがあるだろうという内容のアナウンスについては担当してもらったりしています。

ただ、BPOの利用を開始した頃は、どこまでやってもらえるのかが手探り状態でした。LRMさんに教育資料の作成を依頼した際も、テーマと含めてほしい内容をお伝えしただけだったのですが、そのレベルでお願いしてしまっていいのかが不安でした。しかし、作成いただいた資料の精度は期待以上で、研修もしっかり実施していただけたので、「ここまでやってもらえるんだ」とありがたかったです。

— BPOを導入してからはじめて実施された取り組みなどはございますか。

リスク分析のやり方をレクチャーするワークショップを行いました。ワークショップには、提供するプロダクトの裏側のシステムを扱うインハウス部門に参加してもらい、LRM石濱さんに講師を務めていただきました。実際に参加したのは1部門のみでしたが、ワークショップの模様はオンラインで配信し、他部署にも視聴してもらいました。録画も行ったので、コンテンツとして今後も活用したいと考えています。

ワークショップを行った背景としては、ISMSのルールや制度を十分に理解してもらえていないという状況がありました。ISMSを運用する上で、情報資産やリスクを管理する台帳の見直しは必須です。
台帳の見直しは、事務局から各現場部門の担当者に対応を依頼していますが、各担当者によって理解度がまばらで、記載の粒度にもバラつきがありました。ワークショップを実施することで、まずはISMSに関心を持ってもらい、理解を深めてほしいという想いがあり、今回初めて取り組みました。実施してみて、理解度が上がったと思いますし、より精度の高い台帳になっていくのではないかと期待しています。

— 社内の関心や理解度をあげるためにワークショップを実施されたとのことですが、他にも従業員の方の理解度を上げるあげるために取り組まれたことはございますか。

規格の管理策ごとにリスクを検討するベースライン分析のやり方についても、各担当者に向けて説明会を実施しました。ベースライン分析も各担当者に対応してもらっていましたが、やはり理解度にムラがありました。各担当者の理解度をあげるためにも、ベースライン分析の目的や必要性についてLRMさんから説明していただきました。

今までは、ベースライン分析の目的や必要性について説明しようにも、私たちは専門家ではないのでどうしても説得力に欠ける部分がありました。また、社内の人間が説明してしまうと、単なる業務指示になってしまう側面があります。しかし、ベースライン分析は、誰かから依頼されてやらされるものでは意味がありません。事務局としては、自分たちの組織におけるリスクを自ら主体的に考えてほしいという想いがありました。今回LRMさんに説明会を実施していただいたことで、各担当者が主体的にリスクについて考えるきっかけになったと思います。

— LRMに教育資料の作成を依頼したとお聞きしましたが、社内教育についてはどのように取り組まれましたか。

情報セキュリティ教育クラウド「セキュリオ」を利用して、eラーニングを行いました。セキュリオに登録されているeラーニング教材一覧から、4～5個の教材を選定して配信しました。教材には、例えばサプライチェーンに関わるセキュリティなど、弊社として課題に感じているトピックを含めたり、日本国籍以外のメンバーもいるので英語版の教材を含めたりしました。

ただ、従業員教育は年1回だけでは意味がないと思っています。1つの軸だけではなく、さまざまな方法で教育をしたいと考えており、サービス管理者向けの研修を実施したり、セキュリオのセキュリティアウェアネス機能を利用したりしています。

— サービス管理者向けの研修はどのように行われたのですか。

こちらも、LRM石濱さんにオンラインでの研修を実施していただきました。最初は、現在のサービス管理者数名に向けて実施する想定でしたが、すべての従業員が将来的にサービス管理者になる可能性があります。そのため、なぜアクセス管理や権限管理が必要なのかは、全員に知っておいてもらう方がいいと考え、全社研修として行いました。研修実施に際してLRMさんにコンテンツを作成してもらったので、今後はセキュリオでのeラーニング教材としても活用していきたいと思っています。

— セキュリオのセキュリティアウェアネス機能は1回3分程度のセキュリティに関するミニテストを定期的に配信できる機能ですが、どのように活用されていますか。

弊社では、セキュリティアウェアネスを毎週配信しています。
最初は興味本位で実験的な取り組みとしてスタートしましたが、想定以上に手ごたえを感じています。
配信を開始してから社内におけるセキュリティに関する会話をより感じるようになりましたし、無意識のレベルで普段の業務に役立っていると思います。アップデートがどんどんされているので使っていて楽しく、回答率もほとんどの週で6割を超えています。セキュリティはどうしても堅いイメージがあるので、セキュリティアウェアネスの取り組みは面白いですし、週1回セキュリティに対して興味を持ってもらえる機会を提供できることは価値が高いと感じています。

「BPOはずっと継続していきたいですし、セキュリオももっと活用していきたいです。」
（左手前から平山様・市川様・松山様、右は弊社・石濱）

— 内部監査はどのように実施されましたか。

内部監査はこれまでずっとLRMさんに実施していただいていたので、今回もLRM石濱さんにお願いしました。弊社の状況を理解した上で監査していただけるので、回答に詰まってしまった際に該当箇所を教えていただくなどサポートしてもらいつつ、スムーズに実施できています。ただ、確認すべき箇所はしっかり見てもらっているので、ISMSとして甘いところは厳正に指摘をいただけます。一方で、良いところはグッドポイントとして挙げていただくこともあります。

— BPO導入後の審査は、受けてみられていかがでしたか。

3年に1度の更新審査のタイミングだったので、維持審査と比べて長丁場で網羅的に確認される審査でした。それにも関わらず、今までの審査よりも指摘される内容やレベル感が軽微だったのは、BPOを利用してしっかりISMS活動を行ってきたからだと思います。ワークショップや社内教育に取り組んだことで、各従業員のISMSへの関心や理解が深まりました。今までは「そもそも情報管理台帳って何ですか」という従業員もいましたが、今回はISMSの目的を理解した上で、自分たちで台帳を作成し、リスク評価をしているので、審査においてもスムーズに説明ができていたと思います。

— BPOを振り返ってみて、サービス内容は期待通りでしたか。

期待値以上でした。BPOを依頼した背景には、策定した年間スケジュール通りにタスクを対応できる体制構築がしたいという想いが大前提としてありました。結果としては、問題なく達成していただきましたし、ワークショップの開催なども含めて大満足しています。LRM石濱さんには、タスク管理、教材作成、台帳やマニュアルのレビューなどさまざまな部分を担当していただきました。自分たちだけではできなかったと思います。事務局にとって、LRM石濱さんが事務局メンバーの1人として居てくれるのは心強かったですし、ほかの従業員にとっても、専門家のアドバイスを常に受けているという認識は安心感に繋がっていたと思います。

— LRMコンサルタントとのコミュニケーションにおいてやりにくさなどはございませんでしたか。

実は、BPOが始まって数か月で担当コンサルタントが変更になる旨を伝えられたので、また一から関係性を積み上げる必要があるのではないかとすごく不安でした。ただ、BPO以前の状況や始まってからの状況をかなりの精度でキャッチアップした上で、LRM石濱さんにご参加いただいたので、すごくやりやすかったですし、ストレスも全然ありませんでした。

— 今後の展望や課題についてお話しください。

まずは、今行っている取り組みを地道に続けていき、従業員の意識にセキュリティを浸透させることが大事だと考えています。その上で、現状さらに対応が必要だと捉えている課題についても取り組みたいと思っています。例えば、委託先の管理については、契約前のセキュリティチェックは出来ているものの、継続的なチェックは不十分だと感じています。また、PII（Personally Identifiable Informationの略で、個人を識別することができる情報を指す）保護の要請が高まっているので、ISO27701認証取得も視野に入れて、社会的責任を果たしていきたいと考えています。

海外拠点も含めて、セキュリティ意識を向上させる取り組みを毎年実施していくことで、最終的には、従業員のセキュリティ意識がヌーラボ製品の品質に浸透して、お客様に「ヌーラボならセキュリティは大丈夫」と感じていただけたら嬉しいです。そのためにも、BPOはずっと継続していきたいですし、セキュリオももっと活用していきたいです。

株式会社ヌーラボ様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

株式会社ヌーラボ様のWebサイト
※取材日時 2023年3月