Capy株式会社様 – 顧客事例 –

世間を騒がせるSNSがらみのトラブル。会社として使っていないからといって無関係ではない。“見えないリスク”に気づけたことは収穫でした。

Capy株式会社は、国内大手企業との取引が増える中、対外的な信用の担保と社内ルールの見直しを目的としてISMS/ISO27001認証の新規取得に取り組みました。LRMにサポートを依頼するまでの経緯、取り組みの概要と成果について、取締役兼プロダクトマネジメント部長・小林悟朗氏、経営支援部 経営企画・渡邉雅也氏にお話を伺いました。 

(Capy株式会社について)

“Security for All”をミッションに、ロボットによる不正ログイン・不正アクセスや、人の手によるなりすましからWebサイトを守るクラウド型サービスを研究開発するベンチャー企業である。創業のきっかけであり、現在の主力製品でもある『Capy パズル CAPTCHA』は、SaaS型かつ商用の不正ログイン対策サービスとしてはパイオニア的な製品。それに続いてリリースされた『Capy アバター CAPTCHA』も含め、その使いやすさと、競合製品にはないサポート体制を武器に、クレジットカード会社、ゲーム会社、鉄道会社のチケット予約サイトなど、大手企業を含む多くのWEBサイト事業者への導入が進んでおり、国内外の権威あるカンファレンスで15以上の受賞歴を誇る。近年はキャプチャ製品に留まらず、人のなりすましによるアカウント乗っ取りを防ぐ『Capy リスクベース認証』や、FIDO(オンライン認証の国際標準技術)を使用した『Capy FIDOソリューション』など、新しいプロダクトもローンチ。CAPTCHA製品で蓄積したデータを強みに、不正ログインを包括的に防止するソリューションを提供し続けている。技術の進化に伴い利便性が高まる一方、セキュリティリスクも高まる中、ユーザビリティを損ねることなく、誰もが安心してインターネットを使い続けられる社会の実現を目指す。本社;東京都中央区。設立;2012年10月。従業員数;約15名(2019年7月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

Capy株式会社は2018年12月、ISMS認証取得コンサルティングを依頼しました。

LRMの担当者・三崎さんのサポートを受けながらISMS認証取得に向けた準備を進め、2019年6月末に第2段階審査を受審しました。現在は、審査会社の手続きが終わり、認証書が届くのを待っている段階です。

信用の担保と社内ルールの見直しを目的にISMS/ISO27001認証を取得

「英語版の教育資料をご用意いただけたことも選定理由の1つです」(経営支援部 経営企画・渡邉雅也氏)

「英語版の教育資料をご用意
いただけたことも選定理由の1つです」
(経営支援部
経営企画・渡邉雅也氏)

— ISMS認証取得を決めた時期はいつ頃ですか。

2018年11月に取締役会で予算を含めて確定しました。

— ISMS認証を取得した理由をお話し下さい。

理由は2つあります。

(1)対外的な信用の担保
弊社のお客様の多くは大手企業様です。大手企業様にはそれぞれ、取引先選定にあたっての要件やチェック項目が必ず存在します。何かしら外部の認証保持を条件とする企業様も少なくありません。弊社はセキュリティサービスに携わっていることもあり、万全な体制で業務を行っていることを対外的に示したいと考えていました。第三者機関が定めた規格に則って社内の取り組みをチェックし、第三者機関によって認証を付与されるISMSは、そのような弊社の目的を満たす上で最適な制度だと考えました。

(2)社内ルールの見直し
弊社は以前から独自の社内ルールを策定し、そのルールに則って業務を行っていました。その中に情報セキュリティマネジメントルールも存在していました。ただしそのルールは、何らかの規格に則って策定したものではありません。
そこで改めて社内ルールを世界標準とされる規格に沿ってチェックし、漏れなく対策が出来ているか、その網羅性は継続出来るものかどうかを見直す機会を持ちたいと考えました。

— 従来の情報セキュリティマネジメントルールは、どのように策定したものですか。

社内メンバーの経験値から、社内システムの権限管理など、必要と思われる対策や顧客からの要求事項をまとめる形で策定しました。

弊社は業務経験豊富なメンバーが揃った会社です。小林は、ISMSおよびPマークを運用する企業に在籍した経験もあり、どのような観点でどのような対策をしなければいけないかは把握していました。

ただ、既存の情報セキュリティマネジメントのルールは、システム部門が中心となって作成したものでしたので、バックオフィス、セールスなど他部門の業務も含めて網羅できているかどうか確認する必要も感じていました。
そこで普段情報システム管理者を務めている小林の他に、バックオフィス部門の渡邉、さらに内部監査員を務める2名の合計4名でISMS事務局を構成して取り組むことになりました。

— ISMS認証取得の期限は定めていましたか。

2019年6月を目処に考えていました。弊社の決算は3月末ですが、大体半年ぐらいはかかるといわれていましたので、
区切りの良いところで第1クォーター内での取得を目指しました。

訪問回数無制限など、手厚いサポート内容が依頼の決め手

— 自社取得は考えられませんでしたか。

コンサルティング会社に依頼せず自社だけで取得することも考えました。しかし、弊社は少数精鋭体制を採っていることに加え、取得期限が迫っていたこともあり、専門的な知見を持ったコンサルティング会社のサポートを受けることにしました。

— コンサルティング会社は何社か比較されましたか。

インターネット検索をもとに5社選んで連絡しました。メールで連絡をして、スケジュール、費用、サポート内容を確認した上で2社に絞り込みました。選考から漏れた3社は、回答をいただくまで1週間以上かかるなど、安心して任せることが出来ないと判断しました。

— 選定にあたって重視されたポイントをお話し下さい。

既存の社内ルールをチェックして、不足している部分を補っていくにはある程度の時間がかかると考えていましたので、相応の時間を割いていただけるコンサルティング会社が良いと思っていました。また、弊社には英語を母国語とする外国人スタッフも在籍していますので、英語版の教育資料をご用意いただきたいという希望もありました。

— LRMに依頼した決め手をお話し下さい。

訪問回数が無制限であることに加え、電話やメールによる問い合わせにも対応していただけるという手厚さが大きな要因となりました。また、英語版の教育資料についても対応していただけるとご回答いただきました。ISMS認証取得の仕組みや期間、費用といった質問にも的確に丁寧にご回答いただけたので、不安を抱くことなく依頼することができました。

LRMの『Security Diet』というコーポレートスローガンは、情報セキュリティマネジメントシステムの構築に対する考え方を知る上で大変参考になりました。規格に沿ったルール作りをするにしても、業務に支障を来すようなルールは作らないという考えは共感出来ました。

無理のない範囲でのルール作りと“見えないリスク”の発見

— ISMS認証取得に向けた取り組み内容を教えて下さい。

情報資産管理台帳やリスク管理台帳、ISMSマニュアル、記録類など、ISMS認証取得に必要なドキュメント類の作成です。またそういったドキュメント類を作成する過程で、情報資産の洗い出し、リスクアセスメント、従業員教育、内部監査などを実施しました。初回の打ち合わせの際にLRMに年間実施計画を策定していただき、その計画に沿って進めていきました。

— 実際に既存のルールをチェックした結果、改善すべき箇所はどれぐらいありましたか。

大きく変更した点はありません。洗い出したリスクを認識した上で、無理のない範囲でのルール作りを行いました。
変更点としては外出時におけるスマートフォンの管理など、細々としたルールを追加した程度です。

— 外出時におけるスマートフォンの管理に関するルールとは具体的にはどういったことですか。

会社支給か個人所有かに関わらず、スマートフォンの使い方に多少の制限をかけました。ログイン認証や画面ロックの設定は基本ですが、『Slack』などメッセンジャー系のアプリで通知設定をオンにしていると、画面にロックをかけている状態でもメッセージが表示されてしまいますので、通知設定はオフにするルールにしました。

大手企業様から求められるチェックシートには、具体的な施策を挙げて、実施しているかどうかを問うものもあります。弊社では常に、そういったお客様から求められる具体的な施策を参照し、社内ルールに取り入れるべき施策は取り入れるといった改善は進めていました。パスワードポリシーの策定を始め、ISMSで求められる基本的な取り組みも出来ている状態でした。そのような経緯があったことで、今回のISMS認証取得に向けたルール構築は大きな負担を強いられることなく出来たものと考えています。

一方、今回の取り組みで非常に有益だったことは、リスクアセスメントを通じて隠れたリスクを認識することが出来たことです。LRMに我々が日常的に行っている業務をヒアリングしていただいた上で、リスクを洗い出していただいた中には、普段、私たちには見えていないリスクがいくつかありました。そして、そういったリスクをどのように捉え、何をすれば良いかといった考え方も教えていただけたことは非常に有意義だったと考えています。

— 見えていなかったリスクとは、例えばどのようなものですか。

例えばSNSの利用についてです。弊社はSNSをほとんど使っていませんので、そこにリスクが潜んでいるとは考えていませんでした。しかし企業としては利用していなくても、そこに所属する個人は利用している場合があります。
昨今、企業で発生しているSNSがらみのトラブルは、ほとんどが従業員の個人アカウントによるものです。企業としてSNSを利用していなくても、個人の利用実態を把握するとともに、利用者に対しては投稿に気をつけるよう継続的に注意喚起する必要があるということに気がつけたことは、大変有意義でした。

ルール作りから従業員教育、内部監査員代行、審査の指摘事項対応までサポート

「ISMS認証を取得したことで社内の取り組みを堂々と示せるようになりました」(取締役兼プロダクトマネジメント部長・小林悟朗氏)

「ISMS認証を取得したことで
社内の取り組みを堂々と示せるようになりました」
(取締役兼プロダクトマネジメント部長・小林悟朗氏)

— ルール作りにはどれぐらいの期間がかかりましたか。

ルール作りは12月上旬から1月末までの2ヶ月間で完了しました。リスクアセスメントをもとにマニュアルのひな形を作成してもらい、読み合わせをしながら、微調整をして完成させました。

— 従業員教育はいつ頃、どのような方法で実施されたのですか。

従業員教育はルール構築が一通り終わった後、2月中旬頃にLRMが提供する情報セキュリティ支援サービス『Seculio』を利用して実施しました。最初にお話しした通り、英語版の教育資料もアップしていただけたため、全従業員を対象に実施することが出来ました。また、『Seculio』ではLRMが用意した標準教材を受講しましたが、別途、構築したルールの周知を行いました。

— 『Seculio』をご利用になられたご感想をお話し下さい。

ISMS事務局にとっては非常に便利でした。予め教材がセットになっていますので準備する手間は省けますし、アカウントの設定や従業員への告知も簡単にできました。また、各自の実施状況も把握しやすかったです。さらにテストの結果も記録して保管出来ますので、従業員教育の実施記録としてそのまま使うことが出来ました。

— ルールの周知はどのような形式で行いましたか。

一通りドキュメントの作成を終え、ISMS事務局を対象とした内部監査を実施して、運用の準備が整った段階で実施しました。ただ、弊社は業務経験豊富なメンバーが揃っており、情報セキュリティの重要性やISMSに取り組む必要も認識されていましたので、スムーズに理解を得ることが出来ました。

— 内部監査は、御社内の内部監査員の方が行ったのですか。

内部監査は、ISMS事務局を対象とする内部監査、現場を対象とする内部監査を実施しましたが、いずれもLRMに内部監査員を代行してもらって実施しました。弊社では情報セキュリティに限らず、各部署の業務に合わせた社内ルールを整備し、定期的に内部監査を実施していますが、ISMSの内部監査は初めてですし、第三者視点でチェックしていただきたいという考えもあり代行していだきました。

実際、現場を対象とした内部監査では、パスワードポリシーやPC画面のロックなど徹底できていない箇所が見つかりましたので、改善した上で審査を迎えることができました。LRMのやり方を見ながら、どのような視点でチェックすれば良いか、浸透させるためにどのような伝え方をすれば良いかといったことも学べて良かったと思っています。

— 審査はいかがでしたか。

第1段階審査で軽微な指摘を受けましたが、LRMのサポートを受けて改善した上で第2段階審査を迎えました。
審査では、年間目標の設定の仕方や考え方など、今後のISMS運用に対するアドバイスをいただきましたので、参考にして取り組んで行きたいと考えています。

自社の取り組みを外部に向けて堂々と示せる根拠が出来た

— 今回の取り組み成果をお話し下さい。

ISMS認証取得を通して、既存の社内ルールを見直すとともに、継続的に運用しつづける体制を作ることが出来ました。また、第三者機関の認証を受けたことで、自社の取り組みを外部に向けて自信を持って示すことが出来るようになりました。認証書や認証マークが届き次第、外部に向けた発信にも活用していきたいと考えています。

— 情報セキュリティに関連した課題がございましたらお話し下さい。

まずは社内への浸透です。マネジメントレビュー時に社長からも指摘されましたが、内部監査で指摘を受けたようなことがないよう、社内へのルール浸透に取り組みたいと考えています。

中長期的には業務領域の拡大や従業員の増員時の対応が課題です。現在の業務領域に対しては一通りリスクを洗い出すことが出来ましたし、PDCAを回していける体制は整備できました。しかし新しい事業に取り組む際には、その事業を行う上でのリスクを洗い出し、ルール作りを行う必要があります。そのためのノウハウや考え方はまだ獲得できていません。

また、組織を拡大する際は、どのような体制が最適か、どう浸透させていくかが問題となります。弊社は人数が少ないため、属人的な運用に陥る可能性がありますので、人が変わっても体制を維持出来るよう、先を見据えた体制作りをしていきたいと考えています。

「筋道を立てて最後まで投げ出さずにサポートしていただきました。今後も同様のサポートをお願いしたいですね」(右から;小林氏、渡邉氏)※左は弊社三崎

「筋道を立てて最後まで投げ出さずにサポートしていただきました。
今後も同様のサポートをお願いしたいですね」
(右から;小林氏、渡邉氏)※左は弊社三崎

心強い専門家としてのアドバイス

— LRMのサポートはいかがでしたか。

ISMS認証取得までに何をしなければいけないのか、最初に筋道を立てて具体的に示していただけたことで安心して取り組むことが出来ました。

また、専門家としてのアドバイスは非常に心強かったです。特に第1段階審査でいただいた指摘事項にはどのように解釈すべきかわからないものがいくつかあり、改善する上で三崎さんのアドバイスは非常に有益でした。ISMSで用いられる専門用語は、多様な解釈が可能なものが多く、文書作成でも判断に迷うことは少なくありませんでした。そのような時もメールや電話で相談すると、考え方や落とし所を的確にアドバイスしていただきました。

さらに、文書類のひな形の提供やアドバイスに留まらず、リスクアセスメントや内部監査員代行など、実際に手を動かしていただくことも少なくありませんでした。一緒に取り組んでいただいているという想いが持てるコンサルティング会社でした。

環境の変化にいかに対応するか。専門家のアドバイスに期待

— LRMへのご期待がございましたらお話し下さい。

弊社はISMS認証取得の取り組みが終わった後、LRMのISMS運用改善サポート『情報セキュリティ倶楽部』と『Seculio』を契約しました。ISMS認証新規取得のサポートでは、筋道を立てて最後まで投げ出さずにサポートしていただきました。引き続き同様のサポートを期待しています。

変化が激しいインターネット業界ですが、その中でも情報セキュリティは常に重視されているテーマですし、今後様々な規制が加えられる可能性があります。それは弊社にとっては、事業を継続していく上での大きなリスクです。
そのような変化にどう対応すれば良いか、そのための知見とアドバイスを期待しています。

Capy株式会社様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

Capy株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※Capy株式会社様のWEBサイト
※ 取材日時 2019年7月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る