高田様：
大きく分けてふたつの課題感があり、ひとつは事業拡大に伴い、従業員数が増えたことで、クラウドサービスの利用数が増えたことです。当グループは現在M&Aによって子会社が増えており、この数年で200名近く人員が増加しています。

特に、M&Aによって異業種の会社が増えているのですが、異業種の場合はメールサービスひとつ挙げても、会社によってはGoogleを使いたい、他の会社は別のサービスを使いたいなど、会社ごとにカルチャーがあり、求めるシステム要件が異なることは珍しくありません。
一方で、以前まではクラウドサービスのセキュリティ評価を体系立てて行えていなかったため、様々なクラウドサービスの利用申請が増加する中、人力でのクラウドサービスの評価・管理に限界を感じていたことが課題感のひとつとしてありました。

また、もうひとつがグループ全体のDXの推進です。DXで業務効率化を図っていくためにも、会社としてクラウドサービスの利用促進を図っていきたいという考えがありました。しかし、業界の特性上、必ずしも従業員全員のITリテラシーが高いというわけではないため、セキュリティと利便性の両立をどう実現させるかが課題感としてありました。

経営管理本部
システム部長　高田 裕士様

高田様：
あるイベントにてAssuredクラウド評価を知ったことが、サービス導入のきっかけでした。当時、第三者機関による客観的な評価を得られるクラウド評価サービスはAssuredクラウド評価以外にない印象でした。あったとしても、クラウドサービスの管理ツール程度のもので、実際のセキュリティ評価はこちら側で行う必要がありました。

しかし、Assuredクラウド評価であれば、最新のセキュリティ動向に対応したセキュリティ評価が可能であり、さらにクラウド事業者とのやり取りも代行いただけたりと、クラウドサービスのセキュリティ評価を一任できるということが魅力であると感じました。

もちろん自社でチェック項目を策定してセキュリティ評価を行うという選択肢もありましたが、相当な工数がかかってしまうことが予想されることはもちろん、セキュリティの専門家による客観性および専門性が担保された項目で、体系立てられたセキュリティ評価を任せられるサービスがよいと思ったことが、Assuredクラウド評価導入の決め手でした。

高田様： 基本的に従業員がクラウドサービスを利用する際は申請を出してもらうフローをとっておりますが、どうしても申請を出さずに無断で利用するケースというのも存在します。
もちろん、以前からファイアウォールによるアクセス制御を実施しておりますが、クラウドサービスが無数に存在するため、ファイアウォールだけでは対応しきれないのが実状でした。

実は、過去に他社のシャドーIT検知サービスを利用していたこともあったのですが、ユーザー端末への配布が難しく、対応を依頼してもなかなか全員に対応をしてもらうことには限界があります。
さらに検知精度も十分ではなく、検知されるべきアクセスに対しても検知されないなどの課題がありました。そこで、管理者側で設定可能で、さらに精度高く検知できるソリューションを探していたというのが背景としてあります。

そうした中、Assuredクラウド評価のシャドーIT検知機能は、別のIT資産管理ソリューションと組み合わせることで対象者に一斉配布が可能であることが魅力でした。また検知精度も非常に高く、検知数は約800件と漏れなく検知できており、評価すべきクラウドサービスを容易に洗い出せる機能だと感じています。

経営管理本部 システム部
担当次長　中原 一彦様

中原様：
第一フェーズでは、管理部門および特定のグループ会社を対象に進めていき、シャドーIT検知機能を導入しました。そして検知されたクラウドサービスを判定し、重要度の高いものはAssuredクラウド評価を活用するというフローで運用していますが、運用開始までに苦労したことは特にありませんでした。

特に業務フローに関してはAssuredからご提案いただき、こちらの要望をふまえた運用ルールの策定にもご尽力いただけたからこそ、工数をかけずにスムーズに運用を開始することができたと感じています。

また、以前までは承認済みのクラウドサービスのリストを公開していましたが、公開していたのも一部のサービスのみという状況でした。しかし、Assuredクラウド評価ではシャドーIT検知からセキュリティ評価、さらにサービス台帳への登録が一気通貫で行えるため、リスト管理の工数が削減でき、また透明性を持って社内にも説明できるようになります。
 
なお、システム部門が見たい情報と実際の利用部門が見たい情報は当然違うわけですが、Assuredクラウド評価のサービス台帳は閲覧性が非常に高く、フィルターを用いた表示切り替えができたりするため、とても使い勝手のよい台帳だと感じています。

中原様：
弊社では、デイリーで約9万件ものWebアクセスが発生しています。9万件ものアクセスログを人力で分析・判定するのは限界がありますし、人力での振り分けをしてしまうと、属人的な判断に委ねられがちです。

しかしAssuredクラウド評価のシャドーIT検知機能であれば、漏れなく検知してくれるという点はもちろん、検知された中で何が重要度の高いものなのかなど、検知されたサービスが丁寧に分類されてレポーティングされます。

そうしたレポート含め、Assuredクラウド評価のシャドーIT検知機能によって当社グループのクラウドサービスの利用実態を見える化でき、リスクに的確に対処できる体制構築を実現できたことに大きな価値を感じています。

高田様：
DXを推進していく上で、そもそも従業員がどういったソリューションを求めているのかを把握しようにも、要望というのは聞いてもなかなか出てこなかったりもします。しかし、実際に利用しているサービスを見ていくことで、ニーズを把握することが可能です。

また、利用状況が可視化されたことで、どういったリスクがあるのか、どういった利用傾向があるのかなどを、社内に対しても根拠を持って説明できるようになりました。そうした根拠となる情報があることで、グループ全体でのクラウドサービスの利用促進にも繋げていきやすくなったと感じています。

中原様：
私が入社した2013年時点では、当グループは関西エリアのみでした。しかし、現在は北海道から九州までエリアが広がり、さらに廃棄物事業以外にも幅広く事業を展開しています。
人が変わればリスクも変わっていくもの。今後もM&Aによってグループ会社が増えていくことが想定されるため、Assuredクラウド評価を活用し、グループ全体のクラウド管理を積極的に行っていきたいと考えています。 

そして現時点では、シャドーIT検知のルール整備等、リスク管理のライフサイクルを一通り構築できたフェーズです。今後は実際の運用をより高度化していき、リスク管理の品質を高めていきたいと考えています。