株式会社竹中工務店様
クラウドサービスのセキュリティ評価工数を42%削減、業界特化のSaaSも含めた網羅的で高精度な評価を実現
会社名:株式会社竹中工務店
ご担当者様:
- 株式会社竹中工務店
- 総務室 総務部 情報セキュリティグループ長 佐藤 大吾 様(写真中央)
- デジタル室 デジタル企画グループ 主任 鈴木 真徳 様(写真右)
- 株式会社TAKシステムズ
- システム事業部 デジタルサポートセンター 藤本 光二 様(写真左)
導入の背景
- クラウドサービスのセキュリティ評価品質の向上
- クラウドサービス利用可否基準の標準化
- 建設業界に特化した小規模SaaSやスタートアップのSaaSも含めた網羅的な評価の実現
課題
- セキュリティ評価品質のバラつきや、評価精度への不安
- 再評価のための、社内外、各部門をまたいだ煩雑なやり取り
導入の効果
- Assuredのコンサルティング支援による、クラウドサービスの利用可否基準を再整理
- 第三者機関による高精度な評価取得によるクラウドサービスの安全性への不安解消
- 詳細で精度の高い日本語レポートで、利用希望部門の納得感も向上
- クラウドサービスのセキュリティ評価対応工数42%削減
竹中工務店について
「建設業の2024年問題」が取り沙汰されるなか、業界全体で生産性向上が求められています。そのようななか竹中工務店では、デジタル変革により目指す2030年の姿として「お客様の課題解決と事業機会の創出」「圧倒的なお客様満足を生み出すものづくり」「建築とそのプロセスでのサステナブルな価値提供」を掲げています。建設プロセス全体を通したデジタル変革に取り組むなか、クラウドサービスの利用も積極的に推進しています。
「バランス」「環境変化への適応」「外部サービスの活用」を重視したセキュリティ方針
まずはじめに皆さまのお役割についてお聞かせください。
鈴木様:
私は、デジタル室 デジタル企画グループのメンバーとして、竹中グループにおけるサイバーセキュリティの戦略立案や企画管理を担っています。当社には2019年にキャリア入社しデータサイエンス業務を担当した後、2020年からサイバーセキュリティ業務に携わるようになって4年が経過するところです。
佐藤様:
私は、総務室 情報セキュリティグループのグループ長を務めていますが、これまでの総務部門での担当業務も合わせると、セキュリティ関連業務に約20年ほど携わっています。
当社では、総務室とデジタル室が主管部門としてセキュリティ全般の対応を行っています。デジタル室では、セキュリティツールの評価・選定・導入を行い、総務室ではそれらのツールを活用した社内ルールの策定や、社員教育等を担っています。また、インシデントが発生した際には、被害拡大の防止、再発防止等の対応を協業して行っています。
藤本様:
私は、竹中グループの一員としてTAKシステムズに所属し、竹中工務店と連携しながら、竹中グループ全体のサイバーセキュリティ対策の推進を支援しています。クラウドサービスのセキュリティ評価においては、竹中工務店で策定した評価基準や運用ルールに沿って、実働組織として実際の運用を担っています。
私は、デジタル室 デジタル企画グループのメンバーとして、竹中グループにおけるサイバーセキュリティの戦略立案や企画管理を担っています。当社には2019年にキャリア入社しデータサイエンス業務を担当した後、2020年からサイバーセキュリティ業務に携わるようになって4年が経過するところです。
佐藤様:
私は、総務室 情報セキュリティグループのグループ長を務めていますが、これまでの総務部門での担当業務も合わせると、セキュリティ関連業務に約20年ほど携わっています。
当社では、総務室とデジタル室が主管部門としてセキュリティ全般の対応を行っています。デジタル室では、セキュリティツールの評価・選定・導入を行い、総務室ではそれらのツールを活用した社内ルールの策定や、社員教育等を担っています。また、インシデントが発生した際には、被害拡大の防止、再発防止等の対応を協業して行っています。
藤本様:
私は、竹中グループの一員としてTAKシステムズに所属し、竹中工務店と連携しながら、竹中グループ全体のサイバーセキュリティ対策の推進を支援しています。クラウドサービスのセキュリティ評価においては、竹中工務店で策定した評価基準や運用ルールに沿って、実働組織として実際の運用を担っています。
貴社のデジタル化の取り組みや、サイバーセキュリティに対するお考えについてお聞かせいただけますでしょうか。
鈴木様:
竹中工務店単体としては、建築を専業として事業を展開しており、土木、ビル管理など様々な業態のグループ会社を抱えています。近年は竹中グループとして「まちづくり」にフォーカスし、実現に向けた一つの大きな方針としてデジタル変革が挙げられます。
これまで業界全体の傾向としてデジタル技術の適用がなかなか進みにくい状況であったものの、近年はクラウド、AI、IoTなどデジタル技術の活用が急速に進んでいます。これらに対するセキュリティ対策強化のため、デジタル室と総務室が連携して取り組んでいます。
そんななか、サイバーセキュリティに対する考え方としては、「バランス」「環境変化への適応」「外部サービスの活用」の3つのポイントを重視しています。
「バランス」については、特定の対策だけ厳しくするなどはせず、ユーザーの利便性や守るべき資産に対して、バランスの取れた対策ができているかどうかを重視しています。
「環境変化への適応」においては、コロナ禍でのリモートワークの活用や、サイバー攻撃の高度化・多様化によるクラウドサービス事業者への被害拡大などの外部環境の変化に適応した対策を検討するようにしています。
「外部サービスの活用」は、ITを本業とする業態ではなく、高度・広範なセキュリティ体制の内製化も難しい状況のなかで、社会のトレンドに応じた適切な外部サービスを上手く活用することで、徹底したセキュリティ対策の実現を目指しています。Assuredの導入もまさにこのテーマに当てはまります。
佐藤様:
当社の場合、建物の設計・施工において、図面はもちろんのこと、お客様から事業・経営に関わる重要な情報をお預かりして取り扱っており、これらの情報を漏えいさせないことが私たちの使命です。
10〜20年前であれば紙でのやり取りが主流で、物理的にどう無くさないかだけを考えていればよい時代でした。それが、現在はスマートデバイス、IoT、クラウドサービスなど、インターネットに繋がる様々なツールが急速に普及しており、一見非常に便利で飛びつきたくなりますが、サイバーセキュリティリスクが潜むこれらのツールを安全に利用するためのセキュリティ対策が重要になってきています。
竹中工務店単体としては、建築を専業として事業を展開しており、土木、ビル管理など様々な業態のグループ会社を抱えています。近年は竹中グループとして「まちづくり」にフォーカスし、実現に向けた一つの大きな方針としてデジタル変革が挙げられます。
これまで業界全体の傾向としてデジタル技術の適用がなかなか進みにくい状況であったものの、近年はクラウド、AI、IoTなどデジタル技術の活用が急速に進んでいます。これらに対するセキュリティ対策強化のため、デジタル室と総務室が連携して取り組んでいます。
そんななか、サイバーセキュリティに対する考え方としては、「バランス」「環境変化への適応」「外部サービスの活用」の3つのポイントを重視しています。
「バランス」については、特定の対策だけ厳しくするなどはせず、ユーザーの利便性や守るべき資産に対して、バランスの取れた対策ができているかどうかを重視しています。
「環境変化への適応」においては、コロナ禍でのリモートワークの活用や、サイバー攻撃の高度化・多様化によるクラウドサービス事業者への被害拡大などの外部環境の変化に適応した対策を検討するようにしています。
「外部サービスの活用」は、ITを本業とする業態ではなく、高度・広範なセキュリティ体制の内製化も難しい状況のなかで、社会のトレンドに応じた適切な外部サービスを上手く活用することで、徹底したセキュリティ対策の実現を目指しています。Assuredの導入もまさにこのテーマに当てはまります。
佐藤様:
当社の場合、建物の設計・施工において、図面はもちろんのこと、お客様から事業・経営に関わる重要な情報をお預かりして取り扱っており、これらの情報を漏えいさせないことが私たちの使命です。
10〜20年前であれば紙でのやり取りが主流で、物理的にどう無くさないかだけを考えていればよい時代でした。それが、現在はスマートデバイス、IoT、クラウドサービスなど、インターネットに繋がる様々なツールが急速に普及しており、一見非常に便利で飛びつきたくなりますが、サイバーセキュリティリスクが潜むこれらのツールを安全に利用するためのセキュリティ対策が重要になってきています。
鈴木様:
業界ならではの特性として、全国に数百カ所の工事現場があり、建物の施工も現場で行われているため、現場の独立性が高いという点が挙げられます。そのため、例えばクラウドサービスの利用にあたっても、自分たちで現場の状況に適したサービスを選定・利用をしたい、といったニーズがあり、これらの管理をいかに徹底していくかが重要なテーマでもありました。
業界ならではの特性として、全国に数百カ所の工事現場があり、建物の施工も現場で行われているため、現場の独立性が高いという点が挙げられます。そのため、例えばクラウドサービスの利用にあたっても、自分たちで現場の状況に適したサービスを選定・利用をしたい、といったニーズがあり、これらの管理をいかに徹底していくかが重要なテーマでもありました。
伝言ゲームによる情報精度への不安、評価品質のバラつきに課題
そのようななか、クラウドサービスのセキュリティ対策における管理体制や課題についてはどのようにお考えだったのでしょうか。
鈴木様:
デジタル室と総務室で、クラウドサービスの利用可否判断基準をつくったうえで、社内の運用フローを構築し、TAKシステムズ側で実際の対応を行うという体制をとっていました。
クラウドサービスの評価自体は、2021年に導入した海外製CASBに付随するSaaSリスク評価サービスで対応していましたが、運用上、評価品質にバラつきがあり、安全性の確証が持てないという課題を持っていました。
佐藤様:
クラウドサービスの評価基準が透明化されていなかった点が一番の問題だったと感じています。そのため、評価の結果、利用不可となった際に利用希望部門に納得してもらえるような説明ができないでいました。
評価基準を整理する必要がありましたが、自社だけで整理するのは難しい状況でした。
デジタル室と総務室で、クラウドサービスの利用可否判断基準をつくったうえで、社内の運用フローを構築し、TAKシステムズ側で実際の対応を行うという体制をとっていました。
クラウドサービスの評価自体は、2021年に導入した海外製CASBに付随するSaaSリスク評価サービスで対応していましたが、運用上、評価品質にバラつきがあり、安全性の確証が持てないという課題を持っていました。
佐藤様:
クラウドサービスの評価基準が透明化されていなかった点が一番の問題だったと感じています。そのため、評価の結果、利用不可となった際に利用希望部門に納得してもらえるような説明ができないでいました。
評価基準を整理する必要がありましたが、自社だけで整理するのは難しい状況でした。
評価品質について、具体的にどのような課題をお持ちだったのでしょうか。
鈴木様:
私たちとしては安全性に確証を持てないサービスの利用は避けたいため、利用可否判断に必要な情報が不足している場合は利用不可としたいものの、それでは利用希望部門になかなか納得してもらえません。その際は、不足している情報をクラウドサービス事業者から個別に回答してもらうよう依頼し、回答内容に応じて再度判断するようにしていました。こうしたやり取りは、TAKシステムズと利用希望部門に対応してもらっていたのですが、伝言ゲームになってしまい、質問の意図が正しく伝わらず欲しい情報が得られない等、情報の精度、品質にばらつきが出てしまっていたという状況です。
藤本様:
また、以前の評価サービスでは、窓口が英語対応のみだったことも課題として挙げられます。
こちらが聞きたいことが伝わらず、思うような回答を得られないこともあり、やり取りに負担がかかっていました。
私たちとしては安全性に確証を持てないサービスの利用は避けたいため、利用可否判断に必要な情報が不足している場合は利用不可としたいものの、それでは利用希望部門になかなか納得してもらえません。その際は、不足している情報をクラウドサービス事業者から個別に回答してもらうよう依頼し、回答内容に応じて再度判断するようにしていました。こうしたやり取りは、TAKシステムズと利用希望部門に対応してもらっていたのですが、伝言ゲームになってしまい、質問の意図が正しく伝わらず欲しい情報が得られない等、情報の精度、品質にばらつきが出てしまっていたという状況です。
藤本様:
また、以前の評価サービスでは、窓口が英語対応のみだったことも課題として挙げられます。
こちらが聞きたいことが伝わらず、思うような回答を得られないこともあり、やり取りに負担がかかっていました。
そうしたクラウドサービスのセキュリティ評価にはどのくらいの時間や工数がかかっていたのでしょうか?
藤本様:
短くても2〜3週間、長いと数ヶ月単位でかかってしまうこともありました。
基本的には、クラウドサービス事業者と評価会社でやり取りしてもらうのが理想ではありますが、先程お伝えしたように英語対応のみということもあり、クラウドサービス事業者が回答した内容をそのまま評価会社に渡しても読み取ってもらえないだろうと判断した際は、私たちが間に入ってフォローする等、何往復もやり取りが発生し、かなり工数がかかっていました。
短くても2〜3週間、長いと数ヶ月単位でかかってしまうこともありました。
基本的には、クラウドサービス事業者と評価会社でやり取りしてもらうのが理想ではありますが、先程お伝えしたように英語対応のみということもあり、クラウドサービス事業者が回答した内容をそのまま評価会社に渡しても読み取ってもらえないだろうと判断した際は、私たちが間に入ってフォローする等、何往復もやり取りが発生し、かなり工数がかかっていました。
第三者による高精度なセキュリティ評価、利用希望部門も納得しやすい日本語レポートに期待
そんななか、どのような経緯でAssuredの導入を決定いただけたのでしょうか?
鈴木様:
もともとは、脆弱性管理ツールを調べるなかで御社のyamoryを知り、同じ会社がクラウドサービスの評価もやっているんだということでAssuredにたどり着きました。
同業界の企業がAssuredを利用していたことも関心を持つ理由となりましたね。
導入の決め手は、セキュリティの専門知識を持つ第三者が評価してくれることに加えて、クラウドサービス事業者に直接ヒアリングを行った調査結果を日本語で返してくれることから、評価精度の向上と工数削減が期待できた点です。
特に、当社が評価するクラウドサービスには業界特化の小規模なSaaSが多く含まれます。これらのクラウドサービス事業者の多くは、クラウドサービスのセキュリティ情報を公開しておらず、また、質問票をお送りしても、セキュリティを専門としない営業担当の方が窓口になってしまい、本来求めていた回答が得られないケースも多く、複数回のやり取りがどうしても発生してしまうため、日本語でのコミュニケーションができないと厳しい状況でした。Assuredを活用することで、こうした小規模に展開するSaaSの評価にも効果が見込めると考えました。
佐藤様:
今までは、利用希望部門、TAKシステムズ、評価会社、クラウドサービス事業者、私たち総務室・デジタル室と、社内外を跨いでのやり取りに非常に工数がかかっていました。Assuredでセキュリティ評価が完結することで、これらの工数を大幅に削減できると期待しました。
また、Assuredの評価レポートには、利用における懸念点をフリーコメントでわかりやすく記載されている点も安心感に繋がりました。
もともとは、脆弱性管理ツールを調べるなかで御社のyamoryを知り、同じ会社がクラウドサービスの評価もやっているんだということでAssuredにたどり着きました。
同業界の企業がAssuredを利用していたことも関心を持つ理由となりましたね。
導入の決め手は、セキュリティの専門知識を持つ第三者が評価してくれることに加えて、クラウドサービス事業者に直接ヒアリングを行った調査結果を日本語で返してくれることから、評価精度の向上と工数削減が期待できた点です。
特に、当社が評価するクラウドサービスには業界特化の小規模なSaaSが多く含まれます。これらのクラウドサービス事業者の多くは、クラウドサービスのセキュリティ情報を公開しておらず、また、質問票をお送りしても、セキュリティを専門としない営業担当の方が窓口になってしまい、本来求めていた回答が得られないケースも多く、複数回のやり取りがどうしても発生してしまうため、日本語でのコミュニケーションができないと厳しい状況でした。Assuredを活用することで、こうした小規模に展開するSaaSの評価にも効果が見込めると考えました。
佐藤様:
今までは、利用希望部門、TAKシステムズ、評価会社、クラウドサービス事業者、私たち総務室・デジタル室と、社内外を跨いでのやり取りに非常に工数がかかっていました。Assuredでセキュリティ評価が完結することで、これらの工数を大幅に削減できると期待しました。
また、Assuredの評価レポートには、利用における懸念点をフリーコメントでわかりやすく記載されている点も安心感に繋がりました。
多くの企業で、セキュリティに対する経営層の理解が得にくく、こうしたツール導入の承認に苦労されるケースをお聞きするのですが、貴社では何か工夫されたことはありましたか?
佐藤様:
当社では経営層が参加するリスク管理に関する委員会を年2回実施しています。主に工事に関わるリスクを協議する場だったのですが、10年以上前から情報セキュリティに関するリスクも協議するようになり、こうした機会等を通じて経営層のセキュリティに対する理解を深めるようにしています。
加えて、昨年、当社が利用するクラウドサービスがランサムウェアの被害に遭うという事象が3件発生しました。当社情報の漏えいなどの直接的な被害はなかったものの、安全だと信じて使用していたクラウドサービスがサイバー攻撃の被害に遭ったという事実は、経営層のクラウドサービスのセキュリティに対する危機意識が高まるきっかけとなりました。
当社では経営層が参加するリスク管理に関する委員会を年2回実施しています。主に工事に関わるリスクを協議する場だったのですが、10年以上前から情報セキュリティに関するリスクも協議するようになり、こうした機会等を通じて経営層のセキュリティに対する理解を深めるようにしています。
加えて、昨年、当社が利用するクラウドサービスがランサムウェアの被害に遭うという事象が3件発生しました。当社情報の漏えいなどの直接的な被害はなかったものの、安全だと信じて使用していたクラウドサービスがサイバー攻撃の被害に遭ったという事実は、経営層のクラウドサービスのセキュリティに対する危機意識が高まるきっかけとなりました。
Assuredのコンサルティング支援により、クラウドサービスの利用可否基準を再整理
Assuredの導入は具体的にどのように進めていかれたのでしょうか?
鈴木様:
既存のクラウドサービス評価の運用と並行期間を設けて、Assuredに切り替えていきました。
まずはじめに、Assuredの評価項目と既存の評価項目を比較し、漏れている観点がないか等をデジタル室、総務室で議論しました。その際にはAssuredのコンサルティングチームにも協力いただき、週次でセキュリティコンサルタントの方とディスカッションしながら、利用可否基準の策定や実際に業務で利用する申請書、手順書の作成までご支援いただきました。
こうしてAssured導入後の評価基準を定め、その後の運用フローも整えていきました。
また、評価を効率化するために、取り扱う情報やサービス特性毎にクラウドサービスを分類し、それぞれ確認するべき項目を定めていく際もAssuredによるコンサルティングのご支援をいただきました。
既存のクラウドサービス評価の運用と並行期間を設けて、Assuredに切り替えていきました。
まずはじめに、Assuredの評価項目と既存の評価項目を比較し、漏れている観点がないか等をデジタル室、総務室で議論しました。その際にはAssuredのコンサルティングチームにも協力いただき、週次でセキュリティコンサルタントの方とディスカッションしながら、利用可否基準の策定や実際に業務で利用する申請書、手順書の作成までご支援いただきました。
こうしてAssured導入後の評価基準を定め、その後の運用フローも整えていきました。
また、評価を効率化するために、取り扱う情報やサービス特性毎にクラウドサービスを分類し、それぞれ確認するべき項目を定めていく際もAssuredによるコンサルティングのご支援をいただきました。
Assuredのコンサルティング支援で作成した評価基準表イメージ
評価基準の見直しはどのような観点を注視されたのでしょうか。
鈴木様:
大きく3つの観点があります。
1点目は、先ほどもお伝えしたクラウドサービスの事故を受け、セキュリティ確保のための運用体制に関する項目を押さえておきたいというものです。
2点目は、これまでの運用のなかで押さえておけば良い項目は固まってきていたため、これまでの評価項目には無かったが、当社として追加したい項目がAssuredにあるかどうかを確認していきました。
3点目は、昨今急増する生成AIを活用したクラウドサービスへの対応です。預けたデータが学習に使われるかどうか、利用終了後にデータを削除してくれるのかどうかといった、生成AIならではの観点を押さえておきたいと考えました。
大きく3つの観点があります。
1点目は、先ほどもお伝えしたクラウドサービスの事故を受け、セキュリティ確保のための運用体制に関する項目を押さえておきたいというものです。
2点目は、これまでの運用のなかで押さえておけば良い項目は固まってきていたため、これまでの評価項目には無かったが、当社として追加したい項目がAssuredにあるかどうかを確認していきました。
3点目は、昨今急増する生成AIを活用したクラウドサービスへの対応です。預けたデータが学習に使われるかどうか、利用終了後にデータを削除してくれるのかどうかといった、生成AIならではの観点を押さえておきたいと考えました。
対応工数42%削減、安全性に確証をもった利用可否判断を実現
評価基準を見直したうえでAssuredをご導入いただいた後、どのような効果がありましたか。
藤本様:
1サービスのセキュリティ評価にかかる工数負担を計算したところ、42%削減することができました。
また、特に想定される利用者数が多く、ギリギリで基準をクリアできなかったサービスに関しては、こちらから再評価を働きかけることも少なくありませんでした。Assuredでは、セキュリティの専門知識をもつ第三者が情報収集から評価を行ってくれるため、信頼して利用可否を判断できるようになりました。
鈴木様:
以前はクラウドサービスを大きく3段階、「安全」、「対策が不十分な項目有り」、「企業利用には不適」で評価していました。当社のルールでは「対策が不十分な項目有り」の 評価がついた場合は不十分な項目をカバーできる制限を利用者に課す形で条件を付けて利用OKとしていたため、ルール上は利用して良いとなってしまいます。しかし情報が不足している状態で利用可とするわけにもいかず、また正しい情報をもとに評価できていたとしても、利用可のギリギリのラインのサービスをどのような条件で利用するのか、現場の使い方とどうマッチさせるのかといったことを検討する必要があります。TAKシステムズがこれらの現場とのコミュニケーションを担っていましたが、負担は大きかったと思います。
藤本様:
Assured導入後は、専門知識を持つ第三者機関が明確な基準に沿って評価している旨を伝えることで、利用希望部門の納得感が高まっている感覚があります。
以前は評価会社から返ってきたテンプレート形式の評価内容の説明文を日本語訳して利用希望部門にフィードバックしていたため、相手に伝わりづらい内容になってしまっていました。Assuredは、どのような点に気をつけるべきか利用時のアドバイスまで含めた明快な評価コメントを日本語で得られるため、利用希望部門に対しても説明しやすくなりました。
1サービスのセキュリティ評価にかかる工数負担を計算したところ、42%削減することができました。
また、特に想定される利用者数が多く、ギリギリで基準をクリアできなかったサービスに関しては、こちらから再評価を働きかけることも少なくありませんでした。Assuredでは、セキュリティの専門知識をもつ第三者が情報収集から評価を行ってくれるため、信頼して利用可否を判断できるようになりました。
鈴木様:
以前はクラウドサービスを大きく3段階、「安全」、「対策が不十分な項目有り」、「企業利用には不適」で評価していました。当社のルールでは「対策が不十分な項目有り」の 評価がついた場合は不十分な項目をカバーできる制限を利用者に課す形で条件を付けて利用OKとしていたため、ルール上は利用して良いとなってしまいます。しかし情報が不足している状態で利用可とするわけにもいかず、また正しい情報をもとに評価できていたとしても、利用可のギリギリのラインのサービスをどのような条件で利用するのか、現場の使い方とどうマッチさせるのかといったことを検討する必要があります。TAKシステムズがこれらの現場とのコミュニケーションを担っていましたが、負担は大きかったと思います。
藤本様:
Assured導入後は、専門知識を持つ第三者機関が明確な基準に沿って評価している旨を伝えることで、利用希望部門の納得感が高まっている感覚があります。
以前は評価会社から返ってきたテンプレート形式の評価内容の説明文を日本語訳して利用希望部門にフィードバックしていたため、相手に伝わりづらい内容になってしまっていました。Assuredは、どのような点に気をつけるべきか利用時のアドバイスまで含めた明快な評価コメントを日本語で得られるため、利用希望部門に対しても説明しやすくなりました。
貴社とは、通常のセキュリティ評価サービスのご提供に加えて、コンサルティング支援もさせていただき、Assuredの評価を活用したクラウドサービスの利用可否基準を一緒に構築させていただきました。こちらのご支援に関してはどのような効果を実感いただけていますか。
鈴木様:
以前の仕組みでも、私たちがセキュリティ上の検討を行い、利用可否基準を決めていましたが、コンサルティング支援により、第三者の目が入って検討できたことは良かったですし、実際の運用まで想定した洗練された仕組みができたと思います。
佐藤様:
当社では、クラウドサービスの利用申請に関する専用のホームページを社内用サイトに用意しています。クラウドサービスの利用希望部門は、そのサービスが、すでにセキュリティ評価を実施したことがあるかを、本ホームページ上で検索し、評価実績がない場合に利用申請をするよう案内しています。このページ上に、新たに構築した基準を公開し、社員が、どのような基準で評価をしているのか閲覧できるようにしています。この基準を満たしていないと利用できないと明確に示しているため、社員も納得してくれているようです。
以前の仕組みでも、私たちがセキュリティ上の検討を行い、利用可否基準を決めていましたが、コンサルティング支援により、第三者の目が入って検討できたことは良かったですし、実際の運用まで想定した洗練された仕組みができたと思います。
佐藤様:
当社では、クラウドサービスの利用申請に関する専用のホームページを社内用サイトに用意しています。クラウドサービスの利用希望部門は、そのサービスが、すでにセキュリティ評価を実施したことがあるかを、本ホームページ上で検索し、評価実績がない場合に利用申請をするよう案内しています。このページ上に、新たに構築した基準を公開し、社員が、どのような基準で評価をしているのか閲覧できるようにしています。この基準を満たしていないと利用できないと明確に示しているため、社員も納得してくれているようです。
今後、Assuredを活用してさらに実現していきたいことなどはありますか。
鈴木様:
Assuredの支援もあり、利用可否の判断基準と運用フローは整備できました。今後は、膨大な量のクラウドサービスをさらに類型化し、徹底した基準で評価するもの、そこまでの必要がないものを分けていくことで、より利用希望部門に寄り添った対応を実現できると考えています。例えば、Webカメラによる監視サービス、施工管理のプロジェクト管理サービスなど、形態が全く異なるものがたくさんあり、使い方や取り扱うデータによってリスクも変わるため、それらを考慮できるようにブラッシュアップしていけると良いですね。
佐藤様:
今後の課題は、当社のクラウドサービスの評価基準を、グループ会社の標準にしていくことです。
さらには、協力会社についても、同じ基準で評価していく必要があると考えています。当社のプロジェクトにおいては、非常に多くの協力会社と、図面などのお客様の重要な情報のやり取りを行っており、これらの情報は、協力会社が利用するクラウドサービスでも取り扱われています。協力会社が利用するクラウドサービスにおいても、当社同様の評価を実現できれば、より徹底した対策になると考えています。
藤本様:
クラウドサービスのセキュリティ評価運用を開始した当初は、主要なサービスを一通り評価し終えれば、新規の利用申請は一旦落ち着くだろうと考えていました。しかし蓋を開けてみると、今でも年間100サービスほどの利用申請がある状況です。
こうした負担を減らすためにも、入口から変えていくことはできないかと考えています。例えば、一覧化されたAssured評価済みのサービスから、利用目的に合ったサービスを見つけられるようになれば、安全性の高いサービスを始めから選べるようになると期待しています。
佐藤様:
パソコンやスマートフォンは会社が支給した標準機器を利用するのが当たり前ですが、クラウドサービスついては、標準化が追い付いておらず、従業員が各自でネットの情報や営業を受けるなどして見つけてきたサービスを利用する傾向になっています。
現在は、その一つ一つを評価していますが、今後は、当社の評価基準を満たしたサービスの中からしか選択できないような、クラウドサービスの標準化を進めていくことが重要だと思います。
Assuredの支援もあり、利用可否の判断基準と運用フローは整備できました。今後は、膨大な量のクラウドサービスをさらに類型化し、徹底した基準で評価するもの、そこまでの必要がないものを分けていくことで、より利用希望部門に寄り添った対応を実現できると考えています。例えば、Webカメラによる監視サービス、施工管理のプロジェクト管理サービスなど、形態が全く異なるものがたくさんあり、使い方や取り扱うデータによってリスクも変わるため、それらを考慮できるようにブラッシュアップしていけると良いですね。
佐藤様:
今後の課題は、当社のクラウドサービスの評価基準を、グループ会社の標準にしていくことです。
さらには、協力会社についても、同じ基準で評価していく必要があると考えています。当社のプロジェクトにおいては、非常に多くの協力会社と、図面などのお客様の重要な情報のやり取りを行っており、これらの情報は、協力会社が利用するクラウドサービスでも取り扱われています。協力会社が利用するクラウドサービスにおいても、当社同様の評価を実現できれば、より徹底した対策になると考えています。
藤本様:
クラウドサービスのセキュリティ評価運用を開始した当初は、主要なサービスを一通り評価し終えれば、新規の利用申請は一旦落ち着くだろうと考えていました。しかし蓋を開けてみると、今でも年間100サービスほどの利用申請がある状況です。
こうした負担を減らすためにも、入口から変えていくことはできないかと考えています。例えば、一覧化されたAssured評価済みのサービスから、利用目的に合ったサービスを見つけられるようになれば、安全性の高いサービスを始めから選べるようになると期待しています。
佐藤様:
パソコンやスマートフォンは会社が支給した標準機器を利用するのが当たり前ですが、クラウドサービスついては、標準化が追い付いておらず、従業員が各自でネットの情報や営業を受けるなどして見つけてきたサービスを利用する傾向になっています。
現在は、その一つ一つを評価していますが、今後は、当社の評価基準を満たしたサービスの中からしか選択できないような、クラウドサービスの標準化を進めていくことが重要だと思います。
Assuredのサービス台帳機能では、利用OKとしたか、NGとしたかの情報を載せられたり、一括インポート機能で貴社の利用中サービスを台帳に反映することも可能です。いただいたご要望もご支援できると思いますので、追ってご紹介させてください。
そのほか、今後Assuredに期待されることはありますか。
佐藤様:
クラウドサービス事業者のなかには、セキュリティ評価の結果利用不可となったことをお伝えすると、基準を満たせるように改善に取り組みますと言ってくださる企業もいらっしゃいます。Assuredの評価により、何が足りていないのかが明確に分かるため、より良いサービスにしていくための橋渡しになってくれているのはすごく良い点だと感じています。今後、クラウドサービス事業者にもAssuredがより広まり、Assuredがクラウドサービス評価のデファクトスタンダードになり、最終的には、我々利用者側で評価しなくても済むようになることを期待しています。
クラウドサービス事業者のなかには、セキュリティ評価の結果利用不可となったことをお伝えすると、基準を満たせるように改善に取り組みますと言ってくださる企業もいらっしゃいます。Assuredの評価により、何が足りていないのかが明確に分かるため、より良いサービスにしていくための橋渡しになってくれているのはすごく良い点だと感じています。今後、クラウドサービス事業者にもAssuredがより広まり、Assuredがクラウドサービス評価のデファクトスタンダードになり、最終的には、我々利用者側で評価しなくても済むようになることを期待しています。
そのようにご期待いただき大変光栄です。最後に、どのような方にAssuredをおすすめしたいと思われるか、ぜひお言葉をいただければと思います。
鈴木様:
セキュリティ評価業務が属人化しており、負担が増えてしまい、手に負えなくなってしまっている企業にはぜひおすすめしたいです。
藤本様:
社内のクラウドサービス利用が急速に拡大し始めており、これからセキュリティ評価の運用をはじめていきたい企業にはぴったりのサービスだと思います。
セキュリティ評価業務が属人化しており、負担が増えてしまい、手に負えなくなってしまっている企業にはぜひおすすめしたいです。
藤本様:
社内のクラウドサービス利用が急速に拡大し始めており、これからセキュリティ評価の運用をはじめていきたい企業にはぴったりのサービスだと思います。
多くのご期待をいただき、身が引き締まる思いです。今後も貴社の安心安全なDX、デジタル化をより力強く支えていけるよう、サービス向上に努めてまいります。
関連記事
CONTACT
資料請求・お問い合わせはこちら
商談やサービス利用のご相談はこちら
サービス概要資料はこちら