積水ハウスが、セキュリティ評価プラットフォーム「Assured」を導入


大手ハウスメーカーが推進する、安心・安全なクラウド活用に向けた効果的なセキュリティ評価事例

槻山氏：
当社では、業界での競争優位性を発揮し続けるために、事業環境の変化を踏まえながら、効率化を図り、徹底した品質の管理・向上にも寄与するデジタル技術の導入を進めてきました。

直近では、2023年3月に発表した第6次中期経営計画で、「事業や顧客を取り巻くさまざまなデータとデジタル技術を活用し、新たな価値創出と事業機会の最大化を図る」というDX戦略を掲げています。
具体的には、CRM（Customer Relationship Management）による、お客様視点に立った満足度の高い価値提供、ブロックチェーン技術を活用した賃貸住宅DXなど、様々な取り組みを進めるなか、それらを実現するための基盤として、「グローバル全体のセキュリティとITガバナンス」を重要な柱として位置付けています。

こうした取り組みは、私が所属する「ITデザイン部」が関与しており、積水ハウスの事業変革を支える役割を担っています。特に情報セキュリティ強化についてはValue Report 2023のガバナンスカテゴリで「セキュリティ強化進捗率」をKPIとして設定し、経営の重要な指標としています。

槻山氏：
DXを積極的に推進すると同時に、クラウドサービスの利用数も増加しています。これらの安全性を確保するため、セキュリティチェックシートを活用したセキュリティ評価を行ってきました。

一方で、利用可否を判断する明確な基準がなく、また、厳格な審査実施のためには調査項目が多岐にわたります。積水ハウスで調査するためには多くの人的対応が必要であるため、審査完了までに長期間を要することから事業部門のリクエストに迅速に応えられず、その結果DX戦略が減速してしまうという危惧もありました。

これらの課題を解決するべく、新たなツールの導入等を模索していたなか、Assuredを知り導入を決定しました。

1つ目に、評価レポートの精度、客観性、網羅性の高さです。
Assuredは専門知識を有するセキュリティ評価チームが主要なガイドラインに基づき、クラウドサービスのセキュリティ対策状況の調査を行います。それを利用することで利用者は中立的な評価情報を得ることができます。また、公開情報を自動解析したウェブ評価レポートも取得可能で、これらを参照して評価を行うことで、属人性を排除したセキュリティ評価体制を構築出来ると考えました。
また、Assuredのデータベースにまだ登録がないサービスについても、クラウドサービス利用企業のリクエストに応じて柔軟にセキュリティ評価を実施してくれるため、対象サービスの幅広さにもメリットを感じました。
Assuredを利用することで、導入検討時だけでなく、導入後の定期的な評価も含めて、高いレベルのセキュリティ評価を実現し、安心・安全なクラウド推進が可能になると期待しています。

2つ目に、クラウドサービスの迅速な導入が可能となり、ビジネスチャンスの捕捉に寄与できる点です。
これまでは、クラウドサービス事業者の回答スピードや回答の粒度がまちまちな点などからセキュリティ評価に時間がかかり、社内からの利用申請に対して迅速な判断が出来ず、サービスの利用に遅れが生じてしまうことがありました。本来、クラウドサービスは事業スピードを高めるために導入するものであるにも拘わらず、機会損失に繋がる可能性もあります。
Assuredは、国内外のクラウドサービスのセキュリティ評価情報をデータベースに集約しているため、これまでクラウドサービス毎に事業者とやり取りが必要だったものが、プラットフォーム上で完結できます。これにより、迅速なセキュリティ評価、利用可否判断が実現でき、これからのビジネス環境を踏まえて、非常に意義があるサービスだと考えています。

3つ目に、IT部門の生産性向上が大きなメリットになると思っています。
他社での事例を調べたところ、社員が個別調査をし、場合によっては現地視察も行っているというケースがありました。この場合、クラウドサービス事業者とのやり取りや自社内の対応、あるいは定期的な再チェックなどに大きな工数を費やしていることがわかりました。
これではIT部門が本来実施すべきコア業務の時間の確保が非常に困難であるという結論になりました。自社対応ではこのような課題がありますが、Assuredを利活用することで社員がコア業務に集中できると考えます。