ZEROBILLBANK JAPAN株式会社様 – 顧客事例 –

ISMS認証取得後の運用を見据え安定したサポートが期待できるLRMに依頼。狙い通り情報セキュリティの基盤は整いました。

ZEROBILLBANK JAPAN株式会社は、LRMのサポートを受け、2019年11月、ISMS/ISO27001認証を取得しました。
ブロックチェーン技術を駆使した事業を展開する同社がISMS認証を取得した理由と取り組みの経緯を、CEO＆Co-founder・堀口純一氏にお話を伺いました。

記事index

ミッションは“Bordable Theater”。みんながわくわくするようなプラットフォームに
LRMへのご依頼内容；ISMS/ISO27001認証新規取得コンサルティング
ISMS/ISO27001認証は企業データを扱うために必要最低限の免許のようなもの
継続的な運用を見据え安定したサポートを見込みLRMにサポートを依頼
人為的なオペレーション以前にシステムで守る体制を整備
時間がかかるリスクの洗い出しもLRMのサポートで負担を軽減
取引先から要求されるクラウドチェックシートへの回答を簡略化
「ここまでで大丈夫」というガイドライン。経験の豊富さを実感
事業の成長に備え『情報セキュリティ倶楽部』を契約

（ZEROBILLBANK JAPAN株式会社について）

2015年、第二のシリコンバレーと呼ばれるイスラエルで創業。2016年の日本法人設立と同時期に、MUFG FinTechアクセラレータ・プログラム第１期スタートアップに選定され、ブロックチェーンとスマートコントラクトをAPIとして使用し、あらゆるデータを資産として管理できる企業間プラットフォーム『ZBB CORE API』を開発。企業の経営資源であるヒト・モノ・データなどを、事業や業界の枠を越えて組み合わせることにより、未だ存在しない事業やサービスの創出を支援する。すでに200社以上の大手企業とアライアンスを組み「○○×ブロックチェーン」のオープンイノベーションの取り組みを進めている。ブロックチェーンを活用した事例を積み重ね、クラウド・IoT時代の新しいデジタルアセット管理の仕組み作りを目指す。日本本社；東京都千代田区。設立；2015年2月。

ミッションは“Bordable Theater”。みんながわくわくするようなプラットフォームに

— まず、御社の事業内容について少し伺いたいのですが、お客様はどのような企業が多いのですか。

いずれも一部上場企業です。そういった大企業ではなかなかイノベーションが生み出しにくい状況です。我々はプラットフォームを提供するだけではなく、我々自身が間に入って各企業が持つ人、金、物、情報といった経営資源をつなげて世の中の課題を解決していく提案をしています。我々はそれを「未来新聞」と呼んでいます。従前のSIerやソフトハウスは、既に存在するものを売るというモデルですが、我々は未来からバックキャストして、A社が抱える課題が、B社とC社のアライアンスを作ることで解決出来るというシナリオを作り、プレスリリースに見立てた提案書を作って各社に提案しています。

— ビジネスの手応えはいかがですか。

みなさんに関心を持っていただいています。弊社は現在、400社以上と何らかの接点を持っており、企業と様々なプロジェクトをご一緒させていただいています。

従業員も増えてきましたので、会社としてのミッションをみんなで話し合って構築しました。それが「Bordable Theater」です。“Bordable”は“border”を“ableする”という造語です。これまで接することがなかった境界線をテクノロジーの力を使って再定義する会社になりたいという想いを込めました。これまで国境や業界、業種などには、常識の壁や規制に阻まれていた部分がありましたが、そういった境界線をブレークスルーしたりずらしたりすることでイノベーションを生み出していきたいと考えています。

次に“theater”に込めた想いですが、劇場は演劇の舞台であり、演劇は役者と役者の組み合わせで出来上がります。
大企業を役者とした演劇が上演される劇場。そこに訪れる人が、わくわくするような場を作りたいという想いを込めました。プロデューサーとしてキャスティングして、役者の組み合わせの妙でみんながわくわく出来るプラットフォームになりたいと考えています。

LRMへの依頼内容；ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は2019年5月、LRMにISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。
幸松さんと松原さんお二人と一緒に準備を進め、同年11月にISMS認証を取得しました。

ISMS/ISO27001認証は企業データを扱うために必要最低限の免許のようなもの

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由には、ブランディングとお客様からのご要望という2つの側面があります。きっかけは2019年の年明けぐらいから『ZBB API』の提供を本格化したことです。企業のデータを扱っている以上、情報セキュリティは必要最低限意識すべきものです。ISMS認証は必要最低限の免許みたいなものであると考え取得に向けて動き始めました。

また、今後は従業員を増やす計画です。人数が増えればガバナンスが効かなくなっていきます。そういう意味で、コンプライアンスの遵守を含めて会社を統治する軸が必要となります。加えてそれを支える教育の基盤や内部監査の仕組みも構築したいと考えました。

継続的な運用を見据え安定したサポートを見込みLRMにサポートを依頼

「ISMS認証を取得して
営業もしやすくなりました」
（CEO＆Co-founder・
堀口純一氏）

— ISMS認証を取得する上でのご不安はございませんでしたか。

社内規定などの文書類がきちんと作れるかが不安でした。

私は以前在籍していた会社でISMSの導入に携わったことがありました。
BS7799という古い規格の時代です。その時に苦労した経験から、ISMS認証取得に伴う、社内規定の構築には大変な労力が求められるというイメージしかありませんでした。

実際、セキュリティマニュアルの読み合わせをしていた時は辛かったですよ。LRMのサポートが一切ない状態では、やりきれなかったでしょうね。

また、運用上の不安もありました。会社の規模が小さい間は専任者をつけることが出来ません。その中でISMSを管理・維持していくためには、専門家のサポートが必要だと考えてLRMに依頼しました。

— ISMSのルールを作って仕事がしづらくなるといったご心配はありませんでしたか。

そういった不安も最初はありました。他にも、弊社は現在、シェアオフィスで業務を行っていますので、そのような執務環境でもISMS認証を取ることが可能なのかという心配もありました。ただそれらの不安や心配に対しては、LRMの営業の藤居さんと最初に面談した際、丁寧に説明していただき、解消した状態で取り組むことが出来ました。

— LRMにサポートをご依頼された経緯をお話下さい。

LRMにサポートを依頼したきっかけは、知人からの紹介です。すでにISMS認証を取得しているベンチャー企業の経営者が「LRMにサポートしてもらって、すごく良かった」とご紹介下さったことがきっかけで相談しました。最終的には他に別ルートで探してきた複数のコンサルティング会社と比較検討した上でLRMに依頼しました。

— LRMに依頼した決め手を教えて下さい。

営業担当者がしっかりしていたことです。ISMS認証取得に至るまでの段取りや運用に関して、具体的にどうすれば良いかということを明確に伝えていただきました。サポート体制に安定感があり、料金も合理的なので、継続的にサポートしていただけると考えました。

他社は決まったことを話すだけで、「実際にどうするのかは契約してから」という感じでした。単純に取るだけなら大差はないと思いますが、継続的な運用を考えればLRMに依頼するのがベストであると考えました。

人為的なオペレーション以前にシステムで守る体制を整備

— ISMS認証取得はスムーズに行きましたか。

スケジュール通りにいきました。10月末に第2段階審査を受審し、指摘も軽微なものばかりでしたのでスムーズに進行できました。

— 今後に向けた体制作りに関しては思惑通りに出来たという実感はございますか。

体制整備は出来ました。例えば重要障害発生時にアラートを送るシステムを整備し、対応フローを確立しました。
また、業務で使っているクラウドサービスのログイン方法を多要素認証にするなど、細かい対策も取りました。今後、組織が拡大していくと、権限設定が複雑になって大変になっていきますが、それは今後の課題です。

人為的なオペレーションも重要ですが、その手前のインフラシステムのところで守れることも重要です。今回の取り組みでそのための軸を作ることが出来ました。課題に上げた部分は徐々に改善していく計画を立てています。

— 業務負荷が増えたことはございませんか。

ありません。現状に合わせて実行可能なマネジメントシステムを構築することが出来ました。手間が増えたとすれば年間タスクに上げた従業員教育ぐらいです。それも情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能で簡単にできるので、業務負荷は変わっていません。

— 執務スペースの専有部分は全面ガラス張りですが、それについても特にややこしい対策は取らなくても良いのですか。

それに関してはペーパレス化を徹底することで解消しました。内部監査の時に、紙がある時点で機密性が疑われるので捨てましょうと言われて、紙の文書類は捨てました。そもそも漏れても大丈夫な状態を保つという考え方です。その指摘を受けて確かにそうだなと思いました。

— 作成した文書類の量はいかがですか。

管理するのが負担になるようなボリュームではありません。

今回の取り組みでは、従来の業務手順を保ったまま、セキュリティルールを明文化し、情報セキュリティマネジメントの軸を作ることが出来ました。

時間がかかるリスクの洗い出しもLRMのサポートで負担を軽減

— ISMS認証を取得するまでの経緯の中で、ご苦労されたことはございましたか。

ISMSマニュアルを作成する過程でのリスクの洗い出しやルールの文書化は苦労しました。普段の業務の中で当たり前にやっていることですが、文書類に明文化するとなると難しいもので、非常に時間と労力がかかりました。

— その作業は御社内だけで行ったのですか。

LRMにリードしていただきました。Q&Aの形で、LRMの質問に対し、我々はどう考えているか、実際にどうやっているかを答えていくという形でインタラクティブな進め方をしてもらいました。LRMのリードがなければやりきれなかったかも知れません。あの作業は苦行ですね。

— 先ほど年間タスクの従業員教育に触れられていましたが、新規取得に向けた取り組みの中でも実施されていますよね。

はい。その時も『セキュリオ』を使いました。その他、作成したマニュアルを抜粋したハンドブックを作成していただいて、全従業員に配布して周知した後、内部監査で遵守出来ているかどうかというチェックしました。

— 『セキュリオ』を使われたご感想をお話し下さい。

『セキュリオ』は使い易かったです。テキストを読んでテストを受けるという流れが5分ぐらいで完了します。この取り組みをしている期間中、従業員も5名ほど増えていますが、増えるたびにアカウントを追加して実施してもらいました。
面倒くさくなくて便利ですね。今回はISMSの基礎知識を確認するコンテンツでしたが、最近アンケート機能が追加されたので、ハンドブックの内容を確認するような時にも活用できるのではないかと考えています。

— 内部監査に関してもお話しいただけますか。

内部監査はLRMに内部監査員を代行していただいて実施しました。第1段階審査前にISMS事務局側、第2段階審査前に現場のチェックをしていただきました。現場の内部監査では机の中も見ていただいて、不要なものがないか、文書類が積み重なっていないかなど、細かいところまでチェックしていただきました。それによってオフィス内の整理が出来ましたし、従業員の意識付けが出来ました。

— 審査はいかがでしたか。

拘束時間が長いので担当者は大変だったと思います。一方で、GDPRなどの情報セキュリティをめぐる世界動向に関するアドバイスをいただき非常に勉強になりました。結果的には、軽微な指摘事項はあったものの、それに対する対応もLRMにサポートしていただけたので、困ることはありませんでした。

取引先から要求されるクラウドチェックシートへの回答も簡略化

— 取り組み前後で、従業員の方の行動などに変化はございましたか。

まだ目立った変化はありませんが、名刺にISMSのマークを印刷しているので、社員の間でも会社として体制が整ってきたという感覚は芽生えていると思います。名刺にマークが入るとドキドキしますね。今後、PDCAを回していく中でより意識が高まることを期待しています。

— 経営者様としての視点で何らかの変化は感じることはありますか。

営業はしやすくなったと感じています。お客様からクラウドチェックシートへの回答を求められるのですが、「ISMSの何番」と書くだけで、どんな対策を取っているかを逐一書く必要がなくなりました。これも一つの信用だと思います。我々のビジネス領域は企業側の予算が大手SIerと重なります。我々は小規模な会社ですがユニークさはあると自負していますので、今後競合するケースも出てくると考えています。ISMSはそういった競争に参加するための免許のようなものだと考えています。

「LRMのサポートなしではやりきれなかったと思います」（右；堀口氏）※左2名は、弊社幸松、松原