「この会社に、自社の重要な情報資産を託していいのだろうか……?」
外部パートナーとの連携は、自社の情報資産を預けることになるため、セキュリティに対する不安は大きいのではないでしょうか。特に、物理的に距離の離れたオフショア開発となれば、その不安はさらに高まるかもしれません。
弊社LIGでは、お客さまの大切な情報資産をお預かりするため、全社でセキュリティ対策に取り組んできました。特に、2015年にオフショア開発事業を開始してからは、その重要性をより強く認識し、体制強化を続けています。
お客さまの「信頼」に、言葉だけでなく「仕組み」で応えるために。その証が、2022年に初めて取得し、今年も厳格な審査をパスした国際認証「ISMS(情報セキュリティマネジメントシステム)」です。
本記事では、LIGのセキュリティ強化をリードしてきたCTOのづや(高遠)が、セキュリティに対する「リアルな想い」と「具体的な取り組み」を語ります。
 |
高遠 和也(づや)株式会社LIG 取締役 COO 兼 CTO / DX事業本部長 1983年生まれ。SIerとしてのキャリアをスタートし、JavaやC#を中心に多岐にわたる開発プロジェクトにエンジニアとして参加。その経験を活かし、LIGを創業。バックエンドおよびフロントエンドエンジニアとしての深い知識と経験をもとに、多様なプロジェクトに従事。現在は、取締役COO兼CTO、DX事業本部長として、社内の体制やルールの最適化、AI技術の推進など、経営戦略の一翼を担う。 |
|---|
外部パートナーとの連携に、少しでも不安を感じている方にとって、良い判断材料となるはずです。ぜひご一読ください。
(※LIGの「情報セキュリティ基本方針」については、こちらのページで詳しくご確認いただけます。)
本気のセキュリティ対策は、お客さまと自社を守るための必須条件
――まず、LIGが全社を巻き込んでセキュリティに力を入れている、その根本的な理由について教えてください。
はい。理由は大きく2つあります。
1つは、高まり続けるお客さまのご期待にお応えするためです。大手のお客さまとのお取引が増えるなかで、セキュリティに求められるレベルは年々上がっています。この業界で事業を続けていくうえで、もはや「絶対にやらなくてはいけないこと」なんです。
――絶対にやらなくてはいけないこと、ですか。
はい。セキュリティは、何か新しいものを生み出すプラスの投資というよりは、事業を安全に続けるための必須条件だと考えています。
そしてもう1つの理由が、自社を守るためです。万が一大きなセキュリティ事故が1つでも起きてしまえば、会社がなくなるほどの損害になりかねません。直接的な被害がなくても、「あの会社は危ない」という評判だけで致命的になることもあります。
――なるほど。お客さまの重要な情報を預かるうえで、特に気を使っている点はありますか?
はい。案件によっては、非常にセンシティブな情報を扱うこともあり、そういうときはプロジェクトメンバー全員にすら、すべての情報を共有できない、というケースも珍しくありません。情報が正式に公開されるまでは、最後まで気が抜けないですね。
――特にお客さまが不安を感じやすい「オフショア開発」についてはいかがですか?
まずは、お客さまが何に不安を感じているのかを詳しくヒアリングすることから始めます。一方的に「大丈夫です」と説明するのではなく、対話が重要だと考えています。
――お客さまの不安に、具体的にどう応えていくのでしょうか?
たとえば情報の取り扱いに不安があれば、「機密性の高い情報は物理的に日本側だけで扱い、海外拠点では開発に必要な情報レベルを下げたデータのみを割り当てる」といったご提案をします。
また、「個人情報にアクセスできるのは、承認された日本側のメンバーだけに限定する」といった、お客さまのプロジェクトのためだけの特別な体制を組むことも可能です。
――可能な限りお客さまの要望に寄り添うことで、不安を解消していくのですね。
はい。お客さまの不安な点に合わせて、扱う情報や体制そのものを柔軟にカスタマイズできるのはLIGの強みですね。
過去のインシデントでの経験とそこで得た教訓
――LIGがセキュリティを本格的に考えるようになったきっかけについて、教えていただけますか?
LIGがISMSを取得する前の話になりますが、たとえばオフショアで開発していたサーバーが、アクセス情報の管理ミスによって不正利用されてしまったということがありました。
自分たちの知らないところでお客さまに多大なご迷惑をおかけしかねない、非常に危険な状態でした。
――そんなことがあったのですね。そこからどんな教訓を得られましたか?
やはり、個人のスキルや注意深さに頼るだけでは限界がある、ということです。当時はまだ会社として統一された厳格なルールが少なく、「関わる人を最小限にする」といったセキュリティの基本原則ですら、日々の業務の手間を考えると徹底できていない部分がありました。
この一件で、そうした基本的な仕組みがないことの怖さを、会社として痛感しましたね。
――そのインシデントが、ISMS取得の直接のきっかけになったのでしょうか?
はい、それも大きな要因の一つです。
また、ちょうど同じ時期に、お客さまからもセキュリティ対策の具体的な「仕組み」を求められるようになってきたんです。特にLIGがシステム開発やDX支援の事業に本格的にシフトしていくなかで、お客さまから取引前にセキュリティに関する非常に細かいチェックシートの提出を求められる機会が格段に増えました。
――取引の条件として、具体的なセキュリティ体制が問われるようにもなったのですね。
はい。そのチェックシートの項目のなかにISMSの有無があり、我々が「仕組み」としてそれを提示できないことが、お客さまを不安にさせ、失注理由の一つになりかねない。
そうした社内での教訓と、お客さまからの具体的なご要求。その両方が重なったことが、我々がISMS取得へと踏み切った、最大の理由です。
- そもそもISMSとは?
- ISMS(情報セキュリティマネジメントシステム)とは、企業が情報セキュリティを管理するための、国際的な「仕組み(ルール)」のこと。
この認証は、第三者の審査機関による厳しい監査をクリアする必要があり、LIGでは2022年に初めて取得しました。その後も1年ごとの維持審査を経て、今年2025年にも無事、更新審査を通過しています。
LIGが実践する、情報資産を守るための具体策
――ISMSの具体的な取り組みについて、教えてください。
株式会社LIG 「Information Security」
はい。たとえばISMSでは、万が一セキュリティ事故が起こってしまった場合の対応フローも明確に定めています。まず、インシデントを発見したメンバーは、上長と情報システム部門に連絡することが第一のルールです。
報告を受けた後は、担当部署が調査を行い、インシデント対応専門のSlackチャンネルを立ち上げて迅速に情報共有を行うなど、具体的な対応方針も決まっています。
――事前に「もしも」のときの動き方が決まっているのですね。
そうです。何かあったときに組織として冷静かつ迅速に対応できる体制を整えておくことも、お客さまへの責任の果たし方の大きなアクションだと考えています。
――では、日々の業務のなかで、特にセキュリティを意識するのはどんな場面ですか?
やはり、重要な情報を取り扱うときが一番意識しますね。たとえばサーバーのアクセス情報など、絶対に流出してはいけない情報の受け渡しの際は、安全な方法で行うように徹底しています。
もちろん離席時のPCロックや、個人端末も含めたパスワードの厳格な管理など、基本的なことは当たり前にやるようにしています。
――そうしたルールや意識を徹底するために、LIGでは情報教育についてどのような取り組みをしているのですか?
ISMSの要求事項でもありますが、入社直後の研修に加えて、今後はクォーターに1回か半期に1回、定期的に全社員向けの研修を行っていく予定です。
一般的な知識を学ぶだけでなく、LIGの実際の業務に即した、「うちでは、このルールを、こうやって守ります」という具体的な内容を学べる研修にしていきたいですね。
――特に海外にいるオフショア開発のメンバーと意識を合わせるのは、簡単なことではないかと思います。
はい。オフショア開発のメンバーに関しては、現在も現地の責任者である岩田を中心に、日々コミュニケーションを取りながら進めています。
オフショア開発での「意識の統一」と「教育」の取り組みについて、現場責任者に聞いてみました。
 |
岩田 憲昭(Noah)株式会社LIG 取締役(管理本部長/海外事業部 部長/Cody Web Development Inc., COO兼任) 株式会社LIGに参画後、フィリピン子会社CODYのCOOとしてその立て直しを成功に導く。現在はLIG本社の管理本部長も兼務し、海外事業を牽引する。 |
|---|
-
――オフショア開発の現場では、メンバーの意識統一や教育について、具体的にどのような取り組みをされていますか?
岩田:海外と日本とでは「当たり前」とされる基準が異なる部分もあるため、まずは「なぜその水準が求められているのか」を丁寧に説明し、納得感を持ってもらうことを大切にしています。
――ただルールを伝えるのではなく、「なぜ」から入るのですね。
岩田:はい。特に日系企業の経験がないエンジニアは、クライアントの要求レベルとの意識差が生じやすいので、チームリーダーを中心に水準を明確に伝えるよう心がけています。金融や医療といった、特に高いセキュリティ基準を求められる業界の特徴も、文化の違いから想像が難しい場合があるので、念入りに説明していますね。
――なるほど。他に何か工夫はありますか?
岩田:日々の業務では意識しづらい「インシデント発生時に企業が負うリスク」についても、具体的な事例を交えながら共有し、理解を深めてもらうようにしています。
――教育の仕組みについてはいかがですか?
岩田:入社時には日本の本社と同じ情報セキュリティ研修を実施しています。ただ、一般的な内容も多いため、チームリーダーやPM陣には追加で英語でのeラーニング研修も受講してもらい、理解を強化しています。
――今後の目標についてもお聞かせいただけますか?
岩田:はい。今後は、子会社CODY単独でのISMS取得も視野に入れています。直接クライアントと契約する案件が増え、求められる水準がさらに高まっているからです。
とはいえISMSはあくまで「結果」であり、本質は各プロジェクトで日々セキュリティ意識を高め、適切な管理・運用体制を継続することにあると考えています。その実現に向け、情報セキュリティ専任担当を中心に取り組みを強化していきます。
――日本だけでなく、現場でのリアルな取り組みまでよく分かりました。そうした日々の対策のなかで、「このルールがあって助かった」と感じるような瞬間はありましたか?
セキュリティというのは、「助かった」と感じる瞬間はあまりないんですよね。何かを発見したときというのは、もう「やってしまった」あとなんです。「助かった」と感じる瞬間がない、何事もない状態こそが、対策が機能している平穏な状況だと言えますね。
――なるほど……セキュリティの本質ですね。お客さまから特に厳しいセキュリティ要件を求められることはありますか?
はい、あります。直近でも、「この案件の作業をするメンバーのネットワークを完全に分離してほしい」「物理的にも、専用のPCを用意し、プロジェクト外の人間が入れない部屋で作業してほしい」といった、ネットワークだけでなく物理的なレベルでの隔離を求められるケースがありました。
こうしたご要求の一つひとつにしっかりと応えていくことが、お客さまの信頼を得るための第一歩であり、LIGがISMSを運用する本当の意味だと考えています。
LIGが目指す、これからのセキュリティ
――最後に、LIGのセキュリティが目指している、今後の目標について教えてください。
現在LIGでは、デザイン制作やシステム開発を担う主要な事業部でISMS認証を取得していますが、今後は教育事業なども含めた全社での取得を目指していきたいと考えています。また、Pマーク(プライバシーマーク)の取得も視野に入れていますね。
――なぜ、全社での取得を目指すのですか?
LIGの事業が開発や教育事業など多様化するなかで、どの事業においてもお客さまの大切な情報を扱っていることに変わりはないからです。
開発部門だけでなく、会社全体として、お客さまに同じレベルの「安心」を提供できる体制を整えることが、企業の責任だと考えています。
――なるほど。そのうえで、ISMSなどの資格取得について、づやさんが最重要だと考えていることは何ですか?
ISMSやPマークといった資格は、ある程度の評価をいただいているという「状態の証明」でしかない、ということです。
本当に大切なのは、資格を取ることそのものではなく、現場でルールが適切に運用されているか、万が一のときにきちんと対応できるか、ということです。
――あくまで資格の取得は「証明」であって、ゴールではないということですね。
はい。本当に目指すべきは、社員一人ひとりのセキュリティに対するリテラシーを、会社全体として底上げしていくことです。
どの会社に行っても「この人はセキュリティに詳しい」と言われるような人材の集まりになっていく。それが、LIGがお客さまから本当の意味で信頼される組織になるために、不可欠だと考えています。
――そのために、具体的にどのようなことを考えていますか?
今よりも研修の機会を増やし、内容もよりLIGの実務に即したものにしていきます。「一般的な知識」ではなく、「LIGでは、こうやって情報を守る」という具体的な行動につながる教育を徹底したいですね。
――ありがとうございます。最後に、お客さまへのメッセージをお願いします。
正直なところ、今のLIGのセキュリティが完璧だとは思っていません。というのも、セキュリティに完璧はなく、常にアップデートし続けなければならないものだからです。
これからも、お客さまが安心してLIGにお仕事を任せていただけるような体制を作り、それを世の中に発信し続けていきたいと思っていますので、どうぞよろしくお願いいたします。
さいごに
今回のインタビューで見えてきたのは、CTOのづやと海外拠点の責任者である岩田が口を揃えて言っていた、「資格はあくまで状態や結果の証明でしかない」という、LIGの一貫した姿勢です。
過去のインシデントから真摯に学び、お客さま一人ひとりの声に応えるために。オフショア開発の現場をはじめ、社員一人ひとりの日々の努力や心がけを通じて、LIG全体のセキュリティ体制は今もアップデートされ続けています。
そしてお客さまへの信頼に応えたいという想いと、セキュリティを強化し続けるための証明として取得したのが、国際基準である「ISMS」です。
オフショア開発をはじめとする、外部パートナーとの連携におけるセキュリティに少しでも不安を感じているのであれば、ぜひ一度LIGにご相談ください。
貴社に最適な体制を、ご一緒に考えます。
