不耐層圏とのコラボセミナー
こんにちは、遠藤克喜です。久野勝也の「労務の未来」久野先生、よろしくお願いいたします。
お願いします。
さあ、ということでね、今日も行きたいと思いますけれども、今日は久野先生の方が、不耐層圏さんたちと提携ですか、コラボして、
なんか視察セミナー的なことをしたというふうに聞いてるんですけども、ちょっとそんなお話をしていきたいなと。
9月の18日に不耐層圏がクリニックって言って、毎年やってるんですよ。
不耐層圏創業者の方が、セミナーというよりはクリニックって言って。
クリニック?
はい。1日で3事務所ぐらい、社労士事務所と税理事務所を見に行くみたいな企画を、東京でやったり名古屋でやったりするんですけど、
そういうことによって、自社を見直そうみたいな名前でクリニックって不耐層圏がつけてるらしいんですけど。
志向のクリニック的な意味なんですかね。
そういうことだと思うんですね。
それの名古屋バージョンがありまして、うちの事務所も選んでいただいて、ちょっとおまけに近いと思うんですけど、
名古屋で有名なグロースリンクさんっていう代表の鶴田先生が、大学の先輩なんですけど。
いいえ。
あと、青いパートナーズの鶴田先生も一応仲良くさせていただいております。
税理士個人の。
はい。あとうちの事務所という形で3社を回ると、1日で。
始業を1日に3箇所回るんですか。
1日に3箇所回ります。
激しいですね。
11時に集まって、もうめちゃくちゃタイトなスケジュールで。
はいはいはい。
グロースリンクさんは本当に、どっちかと言えばワンストップサービスみたいな感じで、
税理士、社労士、それから保険会社みたいな感じで、総合サービスみたいな感じで。
青いパートナーズさんは経理BPOっていうところで、割と経理のアウトソーシング寄りで。
なんかチャットワークとか頑張ってそうなところの領域ですかね。
僕らはどっちかと言えば、社労事務所ではあるものの、アウトソーシングも一生懸命やってるので、
なんかロームBPOみたいな感じなんで。
今流行りのBPOを視察しに行くみたいな。
プラス、総合事務所見に行こうみたいな。
面白いですね。という名のクリニックセミナーということで。
セキュリティ体制の重要性
どんなテーマについて、くの先生のパートはお話しされたんですか。
僕は初めに20分くらい会社経営の話とか売上数字で話しさせてもらって、
その後は、うちの役員の方から大規模処理みたいな感じで、
うちの会社は今、数百人とか数千人とかの社会保険手続きをやってるので、
そこの処理の考え方と、あとどうしてもセキュリティの問題が出てくるので、
事務所見学自体来てもらった時には、社内のセキュリティとか、
あとどうしても大量処理とか、生産性を高めるためのツールみたいなところの説明を
させてもらったっていう話でした。
大量処理の方の話もしようかという話をしてたんですけども、
あまりにマニアックすぎるのと、音声でどうやって伝えるかっていうのが
限界があるなというのがあって。
これはセミナーとか、せめて動画とかじゃないと厳しいかなと思いますんでね。
厳しいですね。
形を考えながら、あとこの話を聞きたいのって
ピンポイントのそういった同業のすごい一部の人なんでね。
ちょっと機会をまた改めたいと思いますので、
ぜひそういう話聞きたいという方いらっしゃいましたら、
質問とかいただけますと、フォームのほうにね。
別途セミナーをしてみるみたいなこともできるかもしれませんので、
ぜひお寄せください。
ということで、今日はセキュリティのほうに絞りますか。
セキュリティの話、以前も少しだけさせてもらったんですけど、
ちょっとだけまとめようかなと思ってまして。
セキュリティ体制見に来てもらったんですけど。
みんなどんなリアクションなんですか。
難しいんですけど、セキュリティってお金生まないから
結構後ろ向きなんですけど。
目に見えないしね。
目に見えないし、そこは大企業さんと付き合おうと思うと
どうしてもやらなきゃいけないところではあるし、みたいな。
社の事務所だと逆に言うと、セキュリティエラーが起きると
ものすごい時間とお金がかかるので、
どのくらいのレベルまでやるかっていうのは色々あると思うんですけど、
結構皆さん興味があるって感じです。
隣を見ないとなかなか投資判断が難しいところなので、
だからすごく興味が多くて関心が高いところかなと思っています。
すごく一番わかりやすいのは、プライバシーマークとか
あと、うちはISMSっていうのを取ってるんですけど、
ISMSっていう認証基準を取ってて、
取るの大変なんですけど、
金も時間も相当かかると聞きますけど。
そうですね。情報セキュリティのマネジメントシステムで、
例えばエラーが起きた時にどういう経路で上司に報告するかとか、
あと一個一個のポリシーみたいなものを、
ISMSの面白いところは自分たちで決めることができるので、
なので社内体制の、例えばこのクラウドストレージを使うんだけど、
そこに対してアクセス制御をどうかけるかとか、
そういうのを全部自分たちで考えて決めていくというようなところなので、
非常に自社のセキュリティの力もつくし、
持続可能な制度になるし、
あとエラーが起きた時にどうエラーを検知するかみたいなところがわかるので、
非常にISMSを持つっていうことは、
事務所にとってはプラスだったなというふうには思っています。
教育と人的対策
なるほど。全体の底上げとか、教育にもなるってことですね。
そうですね。
ちなみに金額がどのくらいかかって、期間どのくらいでやるんでしたっけ?
だいたいISMSでコンサルタント入れないとなかなか厳しいと思っていまして、
準備も含めるとたぶん6ヶ月から8ヶ月ぐらいかかるかなと思ってて、
コンサル4ヶ月ぐらい受けまして、
実際第三者認証なので、
イギリスの会社でうちはBSIさんというところにお願いしたんですけど、
そこの監査の方が来て、
調査で2日間ぐらいやってみたいな感じ。
半年から8ヶ月ぐらいで、
費用感はどうですかね。
全体初回は200万弱ぐらいかかるんじゃないかなと思って。
でもそのぐらいなんですね。
そうですね。毎年更新していくっていう形になるんですね。
毎年200万ぐらい更新していくってことですか。
毎年100万弱ぐらいかなと思うんですけど。
それに見合ういろいろクラウドとかを導入するんで、
そっちの方でも経費がかかる的な。
そうですね。あとセキュリティとかもやらなきゃいけないので、
セキュリティ教育ツールを入れたりだとか、
そういったところとか、あと足りない部分は置きなわなきゃいけないので、
そういったところにお金がかかったりとか、
あとは単純に管理コストですかね。
例えば自分たちで自分たちを縛るので、
オペレーションが若干複雑になると。
なるほど。
数千万体の投資規模ではないんですね。
そうですね。ただ意外と事業事務所だと
売上規模の割には占める割合が大きいので、
確かに。
だからどのタイミングで投資するかっていうのは大事かなと思うんですよ。
なるほど。
あと社長司会とかでSRP認証っていうのがあったりするんですよ。
個人情報保護事務所みたいな。
そういうのも取ったりはしてて。
そっちのほうがライトですけど、
まずはSRP2っていうのがあったりするんですよ。
ライトですけど、まずはSRP2っていうのが社長司会事務所の認証でありまして。
これは最低限取ったほうがいいと思います。
やはりISMSとかそういったところを取っていくっていうのが
大事かなというふうに思ってます。
あとはセキュリティはいつもアケルンっていう
入口の入台室管理を使ってまして、
どうしても情報漏洩のときに物理的に盗まれるケースと、
あとデータで盗まれるケースがあるので、
物理のほうはうちはほとんど紙がないんで、
そんなに持ってかれるものはないんですけど、
入台室の管理を全部クラウドでやってるっていう形になります。
アケルンですね。
はい。
使ってるサービスをね。
だから休みの日でも誰が事務所にいるかっていうのは、
一応クラウドで見ようと思えば見れるっていう。
なるほど。管理してると。
はい。
こんなことやってます。
あとはうちの特徴で言っては、
ISMSでやったのもあるんですが、
セキュリティハンドブックっていうのを作ってまして、
これは他の事務所にはそこまでしっかりやってるところないかなと思うんですけど、
セキュリティハンドブックって言って、
従業員に配れるようなハンドブックを作ってて、
例えばデスクトップの画面が、
うちはショートカットキーとかは置いちゃダメなんですよ。
へー。
常に基本的にはダウンロードをさせちゃいけなくて、
ダウンロードしたらすぐにゴミ箱に入れて、
ゴミ箱から削除するみたいなルールになってるんですけど、
あとPCとかも一時的に設計から離れるだけの時も、
Windows Lって押すと画面ロックかかるじゃないですか。
必ず画面ロックかけなきゃいけないとかですね。
スクリーンセーブは何分以内にかけなきゃいけないとか、
細かくルール化されてまして。
へー。
そういったのを作ったりしてます。
へー、そこまでやってるんですね。
はい。
人的対策の方ってことですね、今の。
そうですね。
あとは教育でセキュリオっていうeラーニングシステム使ってまして、
2週間に1回くらいかな。
セキュリティのインシデントの事例とかがメールで送ってきてですね、授業で。
あとはテストみたいなのがありますんで、
最新のセキュリティ戦略
3分から5分くらいで終わるんですけど、
必ず毎回スライド20枚くらい見てですね、
テストを受けなきゃいけないみたいな感じ。
はいはいはい。
あとたまにテストメールとかが送れるんですよ。
避難訓練的なやつですね。
避難訓練的なやつを黙って送るみたいな。
はいはい。
で、開くと大丈夫かみたいな話で。
実際に社員でそれをやって開いた人とかいるんですか?
いや、うち今のところいないです。
いないんだ。
さすがに事前にそういうのもみんなに知り渡っちゃってるんで。
なるほどなるほど。
気をつけた方がいいぞみたいな。
そうですよね、踏んだらもう解雇されちゃうんでいくぐらいの恐怖ですね。
そうですね。
なるほど、セキュリティですね。
まさにe-learningシステムと避難訓練セットみたいなパッケージ商品でしたよね。
そうですね、合格したかどうかも全部可視化できるので。
僕もこの前やりましたけど、なかなか受からないです。
そうなの?
はいはいはい。
そっち、そうですか。
あと意外と忘れがちなのは、
加速をなくしたときに遠隔からデータ削除できるとか。
ああ、なるほど。
あとスマートフォンがですね、そういうような形でリモートで削除できたりとか。
一般にリモートワイプみたいな感じで言われるんですけど、
そういったものとかですね、あのも入れてます。
あとスマートフォンも今端末管理ができてですね、
会社のスマートフォンはこのアプリとこのアプリしかダウンロードできませんみたいな、
そういうのも全部一括で管理してます。
全員社員には携帯対応してアプリ制限とかもかけてると。
そうですね、はい。
あとちょっとEPPとかEDRとかSOCって呼ばれるの、なかなか難しいんですけど。
EPPっていうのがですね、最近のウイルスって入った瞬間に感染するわけじゃなくてですね、
はいはいはい。
ずっとなんか痴行が立っていて、中に入って待ってるんですね。
タイミングが来たら動き出すんで。
発動するまで何年も鎮座してるみたいなイメージありますよね。
そうですね、そういうのに対応するセキュリティソフトとかですね。
あとEDRって言ってですね、
その侵入後に不審な挙動した瞬間にネットワーク遮断するみたいな、
そういうシステム入れたりだとかですね。
この辺はあれですか、そういったセキュリティソフトを入れてるっていうことですか。
そうですね、セキュリティソフトで、あんまりただのセキュリティソフトではなくてですね、
本当にさらに一個進化したようなものを入れてるって感じで。
あとSOCっていうのは24時間365日監視してくれるようなツールがあるんですけど、
うちはウィズセキュアっていうのを使ってるんですけど。
はいはいはい。
そういうのを入れてるっていう形ですね。
結構今大企業も情報ローエとかしてたときにすると、
対策としてはEDRとかSOC SOCっていうのを対応しますよみたいな感じが多いかなって感じです。
なるほど。
EPP、EDR、SOC、この辺の概念を押さえつつ、
そういったセキュリティソフト対策をしているということですね。
そうですね。聞いたことなければ一回ネットで調べてもらってですね、
データ保護の強化
やるといいのかなというふうに思ってます。
こういったところの話をさせてもらったっていうところかなと思います。
あと他にもいろいろあるんですけど、
例えばですけどチャットワークとかもそうなんですけど、
今プランっていっぱいありまして、
ビジネスプランとかあると思うんですけど、
基本的にいろんなクラウドツールはエンタープライズプランということでお願いしてまして、
例えばですけどチャットワークなんかでもエンタープライズで申し込むとですね、
IPアドレス縛りみたいな感じで、
このIPじゃないとログインができないとかですね、
そういったことが。
スタバでやろうとしてもできないってことですかね。
そうですね。あとUUIDっていって、
このスマートフォンでしかこのチャットワーク開けないみたいな感じで設定することもできるので、
そういったかなりアクセス制御って言われるようなところにかなり聞き配ったりだとか、
あとうちもクラウドストレージでボックスとかシェアポイント使ってるんですけど、
基本的にはパソコンの中にはデータは絶対保存させないような形になってまして、
クラウドで保存されてるんですけど、
クラウドのボックスとかもエンタープライズプランなんかでアクセスのログを取ったりだとか、
このストレージにはこの管理職の人しか入れないとかっていう形で、
アクセス制御はクラウドでかけてるって感じです。
なるほど。
徹底してますね、聞くとやっぱり。
この辺って説明してもらわないと見えないところなんで、
全然わからないですもんね。
そうですね、結構中小企業で多いのがアカウントを1個で使いますとか、
そういうの多いんですよ。
だから僕らは必ずどんなやつでも1人1アカウントにしててっていうところとか、
当たり前なんですけど、
そういうのとか、あとはプランも結構セキュリティの高いプランと低いプランって、
それで多分値段が決まってると思うんですけど、
基本はエンタープライズとかでちょっと高い方を選んで、
特に事業事務所であれば、
それでアクセス制御みたいなところを、
これ以外にもいっぱいあるんですけど、
そういったものを必ずかけて、
一番簡単に二要素認証とかですね、
ああいうのも多分標準でかけれると思うんですけど、
エンタープライズするともっとセキュリティ高くできるので、
そういうのひたすらやってるって感じですね。
ということですね、この辺りは目的は当然どこにあるんですか?
個人情報、相当な物量扱っておると思うんで、
そこに対する責任性の話なんですか?
どういうお考えなんですか?
社路事務所はやはりマイナンバーとか特定個人情報と呼ばれるものも扱ってますし、
個人情報の関係と、
あとセキュリティが一番高いところで、
あと仮にエラーが起きたとしてもトレースできるというか、
どの範囲まで情報が出てしまったのかというところと、
あとは今後ちゃんと対策が打てるかどうかというところなのかなと。
なるほど。ということで今回は、
船井総計さんのクリニックセミナーの中で、
東海さんからお伝えさせていただきたいと思います。
どうぞ。
ということで終わりましょうかね。
ありがとうございました。
ありがとうございました。
本日の番組はいかがでしたか?
この番組はご覧いただきありがとうございました。
またお会いしましょう。
ありがとうございました。
次では、くのまさやの質問を受け付けております。
番組内のURLからアクセスして、質問フォームにご入力ください。
たくさんのご質問お待ちしております。
