株式会社スタディスト 様 – 顧客事例 –

BtoBのITベンチャーにはISMS認証取得をお勧めします。ベンチャー企業の支援経験豊富なLRMに頼めば、実用性を考慮したマネジメントシステムが構築できますよ。

株式会社スタディストは、自社が運営するマニュアル作成・共有サービス『Teachme Biz』の本格的な営業展開を見据え、ISMS/ISO27001認証を取得しました。コンサルティング会社にLRMを選定した理由やその成果などについて、情報セキュリティ管理者の取締役 庄司啓太郎氏にお話しを伺いました。

(株式会社スタディストについて)

マニュアル作成・共有ツール『Teachme Biz』を開発・提供するベンチャー企業。もともと業務効率改善のコンサルティング会社として創業した会社だが、そこで培った見識を生かしたWEBサービスとして『Teachme Biz』を開発した。開発したのはIT業界とは全く縁のなかった同社社員たち。完全内製で試行錯誤を繰り返しながら、2013年9月に正式ローンチを迎えた。
マニュアル作成時間を従来比5分の1にまで短縮するとともにマルチデバイスで簡単に共有・公開できる同サービスは、人材教育や業務の引継ぎ、情報発信などで課題を抱える多くの事業者に受け入れられ、約1年間で規模の大小や業種業界を問わぬ1500社以上の導入実績を築き上げている。
設立;2010年3月。所在地;東京都千代田区。従業員数;6名。

ISMS/ISO27001認証新規取得コンサルティングを依頼

– LRMへの委託内容を教えてください。

弊社は、2014年1月、LRMにISMS/ISO27001(以下、ISMS)の新規取得コンサルティングを依頼しました。
コンサルティングが実際にスタートしたのは4月です。担当の幸松さんの柔軟性のあるサポートによって、6ヶ月という短期間で取得することが出来ました。
取得までの経緯は、当社のブログでも公開していますので、あわせてご覧ください。

「対外的信用の向上」と「社内業務の効率化」を目指してISMS/ISO27001認証を取得

– ISMS認証を取得した理由を教えてください。

弊社がISMS認証を取得した理由は2つあります。(1)対外的信用の向上(2)社内業務の効率化です。

(1)対外的信用の向上
弊社が提供する『Teachme Biz』は、社内マニュアルという機密情報をお預かりするクラウドサービスです。お客様は、このようなサービスを導入する際、非常に慎重になります。特に大手企業では、独自の基準を設けて厳しくチェックします。弊社もお客様が独自に用意する「セキュリティに対する確認リスト」への記入を求められることが度々ありますが、ISMS認証を持っていれば「ISMS認証取得」と書くだけで済みます。ISMS認証を取得していることで、対外的な信用度は格段に向上します。
『Teachme Biz』はローンチ直後からご注目いただいて、著名な大手企業様からもお問い合わせが多数寄せられました。その際必ずISMS認証の有無を聞かれました。またそれだけ頻繁に聞かれるということは、弊社のホームページで認証取得に関する表記がないという理由で、検討対象から外され、機会損失につながっていることも考えられました。
今後、ユーザーが増えるに従いお預かりする情報が増え、責任も大きくなります。弊社は、情報を守るための独自の取り組みを行い、Webサイトで公開していますが、それらはあくまでも自分たちの努力の範囲の中で出来ることです。客観的な評価基準に沿ったISMS認証を取得することで、多くのお客様に安心して導入を検討していただける条件を整えたいと考えました。

(2)社内業務の効率化
情報セキュリティ上のリスクは見えにくいため、これまではやみくもに不安を抱え続けていました。例えばパソコンを増設したり買い換えたりした際には、各自の判断でウィルスソフトを選ぶような状態であり、きちんと対策できているのか半信半疑でした。そのような状態が続くことはとても耐えられません。
そのような状態から脱するには、リスクの全体像を体系的に把握するための仕組みが必要です。私たちはISMSのフレームワークを活用すればそれが可能だと考えました。人間の健康に置き換えるなら、人間ドックのようなもの。定期的に健康状態をチェックする方法があれば安心です。
また、継続的にセキュリティを管理するには、全社員が意識的に取り組むことも必要ですが、増員の際もルールや手順をまとめておけば、場当たり的な教育にならず、一定の水準を保つことができます。ISMS認証の取得には手間、労力、時間がかかりますが、それらを勘案したとしても、長期的に見れば効率化につながると判断しました。

– ISMS認証取得を決めたのはいつですか。

2014年1月頃に具体的な検討を始めました。その段階で、一度、LRMにお会いして取得することを決めました。
その上で社内の調整をして、4月からスタートしました。

LRMに依頼した理由は「ベンチャー企業の支援例があること」

– コンサルティング会社のサポートが必要だと考えた理由を教えて下さい。

「親交の深いチャットワークさんをサポートした実績も安心材料でした」(取締役 庄司啓太郎氏)

「親交の深いチャットワークさんを
サポートした実績も安心材料でした」
(取締役 庄司啓太郎氏)

予備知識なく独学で進めることは現実的に難しいと感じたからです。
ISMS認証を取得するには、ノウハウ・知識が必要です。ゼロから勉強して試行錯誤を繰り返せば、コンサルタントのサポートを受けずに取得することは可能かもしれませんが、決して簡単ではありません。専門家に依頼した方が確実に早くゴール出来ると判断しました。

– 数あるコンサルティング会社の中からLRMを選定した理由を教えて下さい。

弊社がLRMに依頼した理由は次の3つです。

(1)ベンチャー企業の支援例がある
ベンチャー企業の多くは、社内の事業環境が整備しきれていません。
弊社もその中の1社です。従って「大企業ではこうしている」「普通はこうあるべき」という杓子定規のアドバイスをされても、弊社の実態と乖離したものにしかなりません。また、企業のあり方として管理に偏重して自由度や柔軟性が損なわれることは避けたいとも考えています。

そこで委託先の選定では、企業ごとの考え方・状況・ビジネスを踏まえた上でサポートいただけることが重要だと考えました。LRMは、弊社と業種や規模等が類似したベンチャー企業のコンサルティング経験を有しています。
そもそもLRMを候補に挙げたのは、普段から親交のあるチャットワークさんからご紹介いただいたことがきっかけでした。チャットワークさんも、LRMのサポートを受けてISMS認証を取得しました。弊社と比較的近い企業の実績があるということでも安心感がありました。

(2)効率的な進め方ができる
ISMS認証取得には半年から1年近くの期間がかかります。その間、企業の実態・実情を整理し、セキュリティ管理の方針を決めるための「打ち合わせ」を約2週間ごとに何度も繰り返します。通常、この打ち合わせは、対面で進められると思われます。しかし限られた人数で事業を行う企業では、その打ち合わせのための時間を確保することは困難です。私自身、出張が多く、隔週で平日の日中に2時間程度の打ち合わせをオフィスで行うという進め方は、スケジューリングがなかなか難しく、非効率的だと考えました。

こでLRMには、日常的な連絡はビジネスチャット、定例の打ち合わせはWebミーティング、重要な部分の打ち合わせは対面、情報整理や社内での確認は次回定例会までの宿題、と目的に応じた4つの方法を組み合わせた進め方をお願いしました。この方法なら、場所や時間を限定しないため日程調整の自由度が格段に高まります。そのためだけに移動する必要もありません。コンサルティング会社によって対応可否は異なりますが、LRMには快く対応していただきました。進め方を柔軟に対応してもらえるかは大きなポイントです。

(3)やり方を押し付けない
各社の状況・方針そして要望をきちんと汲み取って、それぞれに合わせたやり方で対応してもらえることも重要です。コンサルティング会社には、サポート内容をパッケージ化することで「短期化・低コスト化」を謳っているところがあります。しかし、パッケージ化された方法では、認証取得ができても、その後の運用が難しいと考えました。例えば今回はISMSに付随するマニュアル類をクラウド化(『Teachme Biz』で作成・共有)することを前提としてスタートしました。それをLRMに事前に伝えたところすんなりと対応していただきました。

2014年1月にお会いした際、以上3点を確認し、LRMにISMS認証コンサルティングを正式依頼しました。

「出張先のホテルでも打ち合わせが出来る」Webミーティングで短期取得を実現

– 認証取得はどのように進みましたか。

弊社の希望に合わせてLRMが作成したスケジュールに沿って進みました。通常は1年近くかけて取得するケースが多いようですが、弊社はどうせやるなら短期間で集中して取りたいと考え、半年間ぐらいで取得したいとお願いしました。

今回のISMS取得に向けたLRMとの打ち合わせは、Webミーティングを中心に行いました。マネジメントシステム構築の経緯の中で、幸松さんと対面したのは最初の1回だけです。その際に状況確認から情報資産の洗い出し、リスクアセスメントまで行い、その後の定例の打ち合わせはWebミーティング(チャットワークライブ)で行いました。
定例の打ち合わせでは、主にベースラインの分析を行いました。ISMSの重要管理策114項目について、弊社がどのように対応するのか方針を決める最重要工程です。その分時間もかかりました。1回あたりの所要時間は1時間から2時間ぐらい。隔週で合計10回ぐらい行いました。その中で明らかに、弊社内で決めなければならないことが、次回までの宿題となりました。その作業をする上で聞きたいことや確認したいことがある場合は、ビジネスチャット(チャットワーク)で連絡を取り合いました。

約6か月間という短期間取得が出来たのは、このような進め方のおかげです。出張先のホテルでも出来るし、急遽都合が悪くなった際には日程を組み替えやすい。お互いの隙間時間を利用して打ち合わせが出来ました。

– 御社の中での情報資産とはどういったものがありますか。

守るべき最大の情報資産はやはり、『Teachme Biz』の中にある、お客様のマニュアルデータです。しかし、データはクラウドのサーバー上にありますが、そこにアクセスするためのシステムや、アクセスできる人、と広げて考えると、情報が出て行くルートは沢山あります。また、ソースコードや顧客情報など社内のパソコンの中にも重要な情報が存在します。このような情報に、会社としてどのような方法でアクセスするのか、そのための体制そのものがセキュアにすべき対象です。

– 御社はこれまでも、情報セキュリティに関して独自の取り組みをされてきましたが、ISMS認証取得を通じて改めて気がついたことはありましたか。

弊社のWebサイトで公開していることは『Teachme Biz』のプログラムを置いているシステム本体の安全性についてだけです。スタッフによる業務上で発生するリスクについてはカバーしていません。『Teachme Biz』ではAWSを使っていますが、それはあくまでデータそのものの問題です。それを扱う人の問題とは異なります。そこが従来の取り組みとの最大の違いです。
また、事業継続管理に関しても具体的に考えることが出来ました。これまでもサーバーの大規模障害や天災などが発生する事態は想定しなければと考えていましたが、漠然と想像するにとどまっていました。今回のISMS認証取得が非常時の対応方法を具体的に考える良い機会になりました。

以上のような流れで、決めたことを文書化し、それに基づいて社員教育、内部監査を行い、申請をしました。
社員教育と内部監査は、幸松さんにリードしていただきました。その後の審査もスムーズに通過し、2014年10月8日付けで無事に認定を受けることが出来ました。

起こり得る全てのリスクを認識出来たことが重要

– ISMS認証を取得した効果・成果をお話し下さい。

『Teachme』のマスコットキャラクター

『Teachme』の
マスコットキャラクター

まず、ISMS認証を取得した理由のうち(1)対外的信用の向上については早速効果を実感しています。名刺に認証マークを印刷してあるお客様にお渡ししたら「おおっ!取ったんですね」と良い反応を頂きました。すでに自社サイトにも認証マークを掲載しているので、「ISMS認証を取得していないから」という理由によって問い合わせに至らないという機会損失は防ぐことが出来ます。

次に(2)社内業務の効率化は、これから実感するところでしょう。増員、端末の増設・入れ替え、拠点の移動、などの際に、毎回毎回迷わずに済みます。
また、社員教育などを通して、情報セキュリティに対する意識を全社員で共有することが出来ました。

– ISMSをよく知らない立場からすると、114項目のベースラインなどは、非常に重箱の隅をつつくようなところがあるようにも見えますが、いかがでしょうか。

そうだとしても、私はそれが無駄だとは思いません。めったに起きそうもないリスクも含めて、あらゆる可能性に一通り頭を巡らせることが出来たということに価値があったと考えています。人間ドックのようなもので、普段気にもとめないような数値ですが、そのチェックポイントの存在さえ知っていれば、何か異常があった時に気づくことが出来ます。そこに気づくことが出来る視点が持てたということが大事だと考えています。

– ISMSに付随するマニュアル類をクラウド化することを前提とされていましたが、審査に必要なマニュアル類も含めて全て『Teachme Biz』で作成したのですか。

『Teachme Biz』に載せたいと考えていたものは、実際に社員が現場で業務を行うための手順書です。
ISMS認証取得に向けて作成するマニュアルは「マネジメントシステム管理マニュアル」「事業継続管理マニュアル」「情報取り扱いマニュアル」「システム管理マニュアル」などです。そこに書いてあることは、例えば「端末にはウィルス対策ソフトをインストールし、パターンファイルを最新に保つ」という大原則です。しかし、実際にウィルス対策ソフトのインストールの仕方は書いていません。ISMSで謳っている大原則を、社内のメンバー一人ひとりが実行するための手順書を、『Teachme Biz』の中で作成・共有することが思惑でした。

ただ、幸松さんと作業を進める中で、全てを『Teachme Biz』内に置くことは難しいことがわかりました。
マニュアルには様々なものがありますが、『Teachme Biz』は”誰がやっても同じような単純作業をわかりやすく伝える”ことに主眼を置いてブラッシュアップしてきたサービスです。従って、ソフトウェアのインストール方法など、テキストよりも画像や動画を使って視覚化した方が伝わりやすいものが向いています。しかし反対に視覚化しにくいものもあるので、それらにはWordを使うなど、マニュアルの特性によって分けることにしました。これらの現場で使うマニュアル類は、現在社内で制作しているところです。

– ISMS認証取得を検討しているITベンチャーの方々にアドバイスをお願いします。

ITベンチャーにも色々ありますが、BtoBのサービスを提供している企業ならISMS認証は取得しておいた方が良いとは思います。取得して初めてスタートラインに立てるというところはあると思います。
私は、ISMS認証は、自動車の運転に譬えれば、運転免許みたいなものだと感じます。「あるから良い」というより、「ないなら車には乗れない」というような感じですね。「ISMS認証を持っていないのに企業の情報を預かるようなサービスをやるべきじゃないでしょう」といった感覚は、発注者側にはますます強くなっているように感じます。

ISMS認証を取得するかどうかは、結局、投資対効果の判断によると思いますが、信頼性や安全性はプライスレスです。少人数のうちに取得すれば、社内に何もない状態なので比較的楽に取れるはずです。取得後、成長に合わせて変えていけば良いので、成長意欲を持っているBtoBのITベンチャーならISMS認証取得はお勧めします。

取得後の実用性を考慮したアドバイスに従い、弊社の実態に即したルールを構築

– LRMに対するご評価をお聞かせ下さい。

通常の業務を抱えながら、半年という短期間で取得できたのは、LRMがしっかりスケジューリングをして、的確にリードしてくれたおかげです。また審査に必要な文書類の作成支援も助かりました。自社だけで取得することは非現実的だったと感じています。

LRMのコンサルティングの特長はその基本スタンスにあると思います。ISMS認証というのは、取って終わりと考えている方もいらっしゃいますが、LRMはそうではなく、全体を通して取得後の運用における実用性といった観点からアドバイスをしてくれました。そのアドバイスに従って決めたルールは弊社の実態に即しているため、社内に浸透させるのも楽でした。

– 御社と同じような業種の支援実績に関してはいかがでしたか。

ITベンチャーの業務に対する理解度の高さを感じました。例えば状況確認の際には、弊社のありのままの状況をお伝えしましたが、そこで生じる会話がかみ合わないということはほとんどありませんでした。”話が早い”ので、コミュニケーションでストレスを感じることはありませんでした。

「幸松さんは非常に気さくで話しやすいコンサルタントでした」(左;庄司氏)

「幸松さんは非常に気さくで話しやすいコンサルタントでした」(左;庄司氏)

今後はLRMとのコラボも。ともに成長できる関係へ

– 今後のISMS運用にあたってのビジョンをお話し下さい。

ISMS認証は、取得しただけで安心して良いものではありません。随時、立ち返って、脇が甘くなっていないか確認し続ける必要があります。情報セキュリティの事故の多くは、取得している企業で起きています。自動車免許は持っているからとって違反や事故が起きないわけではありません。それと同様に、認証があるだけで情報セキュリティ事故のリスクがなくなったわけではない。その危機感は持ち続けなければいけないと考えています。

– 最後に、LRMへのご期待をお話し下さい。

ISMS認証の運用・維持に関連した作業量はさほど多くはありませんが、事業が拡大した時に今と同じやり方を続けるわけにはいきませんので、必要に応じてサポートをお願いすることになるでしょう。また、それとは別の話ですが、今後、弊社サービスとLRMのノウハウを融合したビジネスを展開していくことが決まっており、もうすぐスタートする計画です。LRMとは一緒に成長していける関係を築いていきたいと考えています。

株式会社スタディスト様、お忙しい中、有り難うございました。

株式会社スタディスト様、お忙しい中、有り難うございました。

※株式会社スタディストのWebサイト
※株式会社スタディスト・庄司氏が書いたブログ記事『ISMSへの道』
※ 取材日時 2014年10月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る