Assuredを活用したセキュリティ情報開示で、セキュリティチェック対応工数25％削減

セキュリティ戦略の策定や外部の認証取得、コーポレートとしての情報システムのセキュリティについてはセキュリティ室が対応しており、各製品の脆弱性検証は、開発本部のなかにある製品のセキュリティチームが対応しています。

一方で私たちシステムコンサルティング本部は、主に顧客対応を担っています。メインの業務は、いわゆるプリセールスとして、私たちも営業に同行して、お客様へのデモ紹介や技術的な問い合わせ対応など、技術支援の領域を担っています。それらの業務の一部として、セキュリティチェックシート対応を行っています。

萩澤様：
昨年は年間で530件対応しており1ヶ月あたり平均45件程度です。この数は年々右肩上がりで増え続けています。

櫻屋様：
当社はAssured利用前から、ホームページ（https://www.cybozu.com/jp/）上に経済産業省のガイドラインに沿ったチェックシートを公開しており、基本的には公開情報を参考にしていただくかたちで、個別のチェックシート回答は受け付けていません。公開情報だけでは判断できないという場合のみ営業担当経由で個別依頼を受けているのですが、それでも多くのセキュリティチェックシート対応に追われている状況です。

萩澤様：

お客様から個別にいただくチェックシートは、kintone上で管理をしています。今年の1〜3月は過去最高で月60件ほど依頼がありました。

新規依頼と定期調査の割合は7：3程度で、2回目以降の依頼により純増しているというよりも、新規の依頼が増えています。もちろん、ビジネス上良いことではありますが、その分、対応の負担が重くなり続けている状況です。

萩澤様：
お客様毎にチェックシートの項目数が異なりますが、何百項目とあれば何時間もかかります。軽いものであれば、用意しているナレッジのテンプレを活用してすぐに対応できる場合もありますが、込み入ったものだと、他部署への確認が必要になるなど、非常に工数がかかります。

平均で1件あたり0.34日分、時間にすると2〜3時間かかっており、月50件の対応で150時間、約1人月分を要している計算です。

萩澤様：
先ほども申し上げたように、右肩上がりで対応件数が増えていますので、同じやり方を続けている限り、増えた分の工数をかけていくしかありません。そのため、人員を増やして、1人あたりの負担を減らしていくしかなく、現在は約10人体制で対応しています。

萩澤様：
本格的に利用開始したのが2022年7月で、2年弱が経ちますが、実は2021年7月頃のベータ版の段階から検討を開始していました。

もともとセキュリティチェック対応を担っていた部署と私がいた部署が2021年10月に合併し、私がマネージャーに就いた際に、セキュリティチェックシート対応が大変だということを知りました。なんとか出来ないかということでAssuredの話が挙がり始めたという経緯です。ただ当時は、Assuredの利用者が増えない限りは、情報を掲載しているだけに留まってしまうなというのが、懸念していた点ですね。

櫻屋様：
私がこの業務に関わり始めたときには、すでにAssured上の回答マスタも組まれ公開できる状態でしたが、外部からのセキュリティ情報開示依頼（※）がまだ受け付けられなかったタイミングでした。第三者による評価情報を得られるということでは信頼性という観点で有効だと感じていましたが、対応工数を減らすという観点では、より多くの企業に広まらないと効果は薄いのではないかという印象がありました。

Assuredの回答マスタ

それが、新たに機能が追加され、お客様から情報開示依頼を受けて、当社からは許可するだけで公開ができるようになったことで、多くの企業に広がっていきそうだなという印象を持つようになりました。

回答マスタの情報開示機能 リクエストフォーム（サイボウズ株式会社様の例）
リクエスト後、承認制で一部レポート展開が可能

萩澤様：
2021年末に、セキュリティチェックシートの業務を他のメンバーから引き受けることになり、この状況をどうにかできないかと調べたときに、世古さんという弁護士の方が書かれているWeb記事（https://www.cloudsign.jp/media/20210922-saassecurity3/）を見つけまして。クラウドサービスのセキュリティの確かめ方として様々な方法があるなかで、Assuredのような第三者確認モデルに注目していると書かれているのを読んだのが一番のきっかけでした。こうした有識者の方からも注目されているサービスということで、まずは情報を載せておこうという後押しになりました。

萩澤様：
3ヶ月程度です。Assuredの利用を考え始めたタイミングで、社長の青野にセキュリティチェックシートがいかに大変かという話をしにいきました。それをきっかけに、青野がXでつぶやいた投稿が非常に大きな反響を受けて、公開討論にまで発展しました。そこにAssuredの大森さんも登壇いただきましたね。

こうした社長の強い意志もあり、世の中的にも、当社内でも、セキュリティチェックシートというワードがトレンドになったことが波になって、その後はとてもスムーズに社内に話を通すことができました。

萩澤様：
あまりないですね。このように変えてもらえますか？と依頼し、そのまま受け入れてもらえました。

最初は、週1で行っている営業の定例会に私と櫻屋が参加し、フロー変更の案内をしました。また、オペレーションを管掌している部長陣には個別に合意を得ていたので、そこからメンバーにも周知してもらえたというかたちです。

また、営業担当から私たちの部署に申請をする際は、「公開情報を案内しましたか？」というチェックボタンがありますので、そこで営業担当は再度認識できるようになっています。営業担当としても、Assuredを案内した方がお客様への一度の連絡のみで完結でき、お客様から個別に依頼を受け、私たちの部署に申請するという社内手続きが不要になるため、負担も軽くなっているはずです。

実際に個別回答の依頼件数を見る限り、積極的にお客様に案内してくれているようです。

萩澤様：
Assuredに情報掲載を開始して最初の半年から1年は、チェックシート対応件数全体の10％程度の削減で、すごく効果を感じていたわけではありませんでした。

それが、最近は25％もの削減を実現しており、大きな効果を実感しています。

利用開始から直近までのAssured導入効果推移（提供：サイボウズ株式会社様

このグラフからも分かるように、2023年の7〜12月は、チェックシート対応件数全体の3分の1がAssuredでの依頼となっており、目に見えない助っ人が前捌きしてくれている感覚ですね（笑）。

Assured上の情報を提供したうえで、個別のチェックシートへの回答を求められるケース（青とオレンジの差分）も約1割もありますが、Assuredに掲載している情報の問題というよりは、いずれにしても自社のチェックシートに回答してほしいという場合や、この質問への回答だけ見当たらなかったので回答してほしいという場合で、個別対応せざるをえないことが時々ある程度です。

やはりあのときにAssuredの利用を決断してよかったなと思っています。

萩澤様：
経済産業省のチェックシートは質問リストに対して回答しているのみですが、Assuredの場合は第三者評価も合わせて掲示できます。

また、チェック項目についても、Assuredの場合はセキュリティの専門家により社会情勢やセキュリティトレンドに応じて定期的にアップデートされるため、常に最新のセキュリティ情報を掲示できる点が、お客様にも有効に感じていただけていると考えています。

経済産業省のチェックシートだけでは情報が不足していたお客様にも、Assuredのレポートがあれば必要なチェック項目が網羅できるため個別依頼は不要と判断いただけているのだと思います。

萩澤様：
ホームページにAssuredのリンクを掲載しました。

https://www.cybozu.com/jp/

このページは、営業担当からお客様に案内する経路に加えて、オーガニックで閲覧されている方も多くなってきています。当社のサービスを検討中の企業様が自ら検索してくださることも多いので、オーガニックの動線も設けることが大事だなと感じています。

萩澤様：
クラウドサービス事業者の過半数以上がAssuredでセキュリティ情報を開示している状態になり、クラウドサービスを利用する企業はAssuredを通じてセキュリティ情報を取得することが当たり前になっていってほしいと考えています。

なので、Assuredの導入事例ページが新しく公開されるたびに、「Assuredさん、この調子でお願いします」と心のなかでつぶやいています（笑）。

今後も、Assuredを利用するクラウドサービス事業者、利用企業の双方が増えれば増えるほど、私たちの負担も軽減していきますので、期待しています。

櫻屋様：
当初は選択肢の一つとして、信頼性の高い情報を掲載しようという感覚でしたが、今は目に見えて削減効果が出てきています。今後もAssuredがより多くの企業に広がっていくことで、私たちの負担も更に軽減していけると期待しています。

萩澤様：
実はAssuredの利用を検討しているクラウドサービス事業者と2社ほど打ち合わせをしたこともありまして、運用方法等の相談を受けました。他社と話して改めて気付いたのは、前提として当社のセキュリティ体制がしっかり構築されているからこそ、問題なくセキュリティ情報を公開できるということです。反対に、Assured上のスコアがあまり高くない企業の場合は、積極的に情報公開したくないということになるだろうと思います。そうした際に、Assured上のスコアが高くなるように、製品の運用体制をしっかり整備していくことが重要だと思います。Assuredの評価情報から、自社に足りていない点が明確になるので、自社サービスのセキュリティ向上という面でもAssuredは有効だと感じていますし、世の中のクラウドサービス事業者の回答を集約しているAssuredならではの強みだと思います。

櫻屋様：
その強みをさらに活かすためにAssuredへの要望があるとすれば、各項目に対して対策できている企業の割合はどのくらいで、対策できていないとどのようなリスクがあり、どのような代替施策でカバーできるのかといった情報も拾えるとすごく有り難いです。スコアがマイナスになっている要素が分かると、社内のセキュリティ室にもフィードバックしやすいですし、外部の認証を取得する際の参考にもできると考えています。

萩澤様：
クラウドサービスを提供する事業者の皆さんも、利用する企業の皆さんも、ぜひAssuredを一緒に使っていきましょう（笑）！
Assuredに世の中にあるほとんどのクラウドサービスのセキュリティ情報が集まっているようにしていくことで、セキュリティチェックシートに対する世の中の当たり前を変えていくことができると思います。

櫻屋様：
Assuredは、当社サービスのセキュリティ情報に更新があると、過去に当社のセキュリティ情報を閲覧した利用企業に通知が届くようになっているので、常に最新のセキュリティ情報を提供できる点がよいと考えています。私たちのサービスをご利用いただいているお客様に、最新情報を提供できるように私たちも体制を整えていくので、クラウドサービスを利用する企業の皆さんにもぜひ活用してほしいです。