【イベントレポート】

クラウドサービス提供企業 担当者が本音で語る

アーカイブ視聴はこちらから  

 

 ⚫︎エンバーポイントホールディングス株式会社
　CISO　/　山下 英樹 氏
　システム管理部 部⻑　/　植松 淳一郎 氏

⚫︎セーフィー株式会社
　開発本部CTO室セキュリティマネジメントグループ　/　川部 勇貴 氏

⚫︎フリー株式会社
　エンジニアリング基盤本部 セキュリティ部　/　吉本 真一 氏
　　　　　　　　　　　　　　　　　　　　　/　田上 雅章 氏

⚫︎株式会社ログラス
　経営戦略室　/　漣 竜弥 氏

 

昨今、多くの企業でDXへの取り組みが進み、国内企業の約8割がクラウドサービスを利用（※1）していると言われています。同時に、多くのクラウドサービスが日々開発され、その数は日々増え続けており、2024年国内クラウド市場規模予測は3兆円（※2）にのぼります。
 
手軽に導入できるクラウドサービスの活用により、ビジネスの生産性向上や新たな価値創造に大きく寄与する一方で、セキュリティ脅威も拡大。DXに欠かせないクラウド活用を安心・安全に推進するため、政府もガイドラインなどで対策を促しています。
 
こうしたなか、クラウドサービスの安全性を確認する方法の一つとして「セキュリティチェックシート」が挙げられます。
Assuredの調査結果（https://prtimes.jp/main/html/rd/p/000000573.000034075.html）では、クラウドサービスを利用する企業の約6割がセキュリティチェックシートを活用した情報収集を実施していることが明らかになっており、クラウドサービス事業者は、利用企業から受け取るセキュリティチェックシートへの回答が必要です。
 
これは、利用企業、事業者双方の負担になっており、社会全体の迅速なクラウド導入にはだかる大きな壁となっています。
 
そこでAssuredは、お客様に安心してサービスをご利用いただくため自社サービスのセキュリティ情報の開示に積極的に取り組むクラウドサービス事業者4社をゲストにお招きし、セキュリティチェックシートによる情報開示対応と、課題・解決策についてお話しいただくトークセッションを6月19日に開催しました。
 

※1 出典：総務省「令和5年 通信利用動向調査報告書（企業編）」
※2 出典：総務書「情報通信白書令和5年版」／IDC「国内パブリッククラウドサービス市場予測を発表」（2022年9月15日）

司会：

まずはじめに、セキュリティ対策の重要性をどのように位置付けているか、各社様のお考えと、現在のお取り組みについてお聞きしていきたいと思います。

エンバーポイント 植松様：
SaaSビジネスという特性上、他の皆さんも同様だと思いますが、セキュリティの重要性は高いです。

課題に対するソリューションをその都度取り入れるということを重ねていくと、”動かない城”ができてしまうため、これらの見直しを定期的に実施することで、”動かす”ということを大事にしています。自社だけでなく、セキュリティの専門ベンダー様にご協力いただいたり、社内の自動化を駆使するなどして、労力をかけ過ぎず動いていくことで、セキュリティの対策を行い続けているエビデンスとなる形を目指しています。

セーフィー 川部様：
当社はクラウド型映像プラットフォームを展開しており、映像という特殊なデータを取り扱っています。建設業界に導入されたり、防犯用にも活用されたりなど、秘匿性の高い個人、プライバシー情報となるため、セキュリティの重要性は非常に高いです。
 
また、目に見えないソフトウェアで駆動しているという特性上、お客様に安心・安全を提供する一つの方法がセキュリティだと捉え、プロダクトとしてのセキュリティ向上はもちろんのこと、社員全員のリテラシー向上にも努めています。
 
freee 吉本様：
当社は、クラウドERPサービスを提供するなかで、お客様の財務情報、人事労務情報、お取引情報などの重要情報を取り扱っており、セキュリティは最重要課題であると受け止めています。
 
具体的な取り組みの一つとして、「SecurityChampions」という制度が挙げられます。エンジニアリングや事業部門内にセキュリティ担当をおくことで、各部門とセキュリティチームの橋渡し役になってもらい、セキュリティに対して自主的に動いてもらえる仕組みを構築しています。（参考：https://speakerdeck.com/otyamura/freeeniokerusecurity-championnoshi-shi）
 
ログラス 漣様：
当社はクラウド系管理ソフトを展開しており、セキュリティにおいては高いレベルでのサービス提供が必要です。

体制としては、もともとは私が現場で1名で対応していたので、正確性と効率性を高めるため、まず取り組んだのは（セキュリティチェックシートの）回答マスタの作成でした。特に、回答マスタの更新頻度を増やしたり、開発側とのコミュニケーションを増やすことに注力したことで、お客様に正しい回答を提供でき、我々として備えておくべき機能を開発側にフィードバックできる体制を構築できたのは良かったことだと考えています。

 

司会：
Assuredをご利用いただく前も、自社のセキュリティ対策情報を開示されていたということですが、Assuredのレポートとの違いはどのような点にあると感じていらっしゃいますか？
 
エンバーポイント 植松様：
手前味噌じゃない、というのが一番大きいかなと思います。
自分たちで「しっかり対策出来ています」と言うのは簡単ですが、それがどのレベルのものなのか、第三者評価を一回受けているというのが大きなポイントだと感じています。
 
freee 吉本様：
私共は現在3名体制でセキュリティチェック対応を行っています。
利用企業様からいただく回答依頼のディスパッチ／スケジュール管理、シート記入、レビュー、再レビュー／お客様から追加のお問い合わせがあった際の折衝、という流れをそれぞれ役割分担して対応しています。

 

 

私たちのセキュリティチェック体制の特徴としては、実際に作業に着手する前にディスパッチとスケジューリングを行うことで、ボリュームの大きいお客様や急ぎの商談などを踏まえた優先順位に合わせた調整を行っている点です。
また、セキュリティチェック対応のワークフローを、営業やサポートも普段のお客様対応で馴染みのあるSalesforceで構築しており、各案件のステータスを一望できるよう工夫しています。
 
また、私たちもAssuredのレポート共有機能を活用しており、導入前後の変化については、昨年の6月から今年の5月までで集計した結果がこちらになります。

 

 

昨年9月から、営業、サポート部門に対して、私たちCSIRTにセキュリティチェック対応依頼をする前に、まずはAssuredをお客様にご案内するようにお願いし、フィルターをかけるようにしました。
 
これにより、グラフでも分かるように9月からAssuredの利用数が非常に増え、全体の4割程度がAssuredのレポートによる回答となり、この比率は増え続けています。
会計システムという特性上、今年の1〜2月は確定申告の駆け込み需要で繁忙期に当たりますが、依頼数のピークを抑制することができ、その分Assuredの利用割合が伸びていることが分かります。
 
Assuredの利用によって我々の対応工数を減らせているだけでなく、チェックシート回答の返却までのリードタイムを短縮できているため、お客様への価値提供にも役立てられていると考えています。
 
セキュリティチェック対応の分析・振り返りとしては、個別対応のチェックシートもAssuredの回答マスタを流用することで、誰が担当しても同じ回答内容が記載できるようになり、現場での対応を効率化させることができました。
 
一方で未だに課題としてあるのは、商談の最終フェーズではじめて営業からCSIRTにセキュリティチェックシート依頼があり、明日中にくださいといったかたちで急な対応が必要になる場合です。こうなると、個別対応せざるを得ないことも多く、私たちからは、案件が空振りになっても良いので商談発生時にチェックシート依頼をしてもらうよう周知にあたっているところです。

 

 

ログラス 漣様：
エンバーポイントさま、freeeさまに伺いたいのですが、利用企業様に対してまずはAssuredのレポートを参照してもらうよう依頼する際に、利用企業様側からすると自社サービスとAssuredの2つのクラウドサービスを導入しなくてはいけないことになると思います。そこを乗り越えるためのアクションは何かありますか？
 
エンバーポイント 植松様：
まず、無償で提供できるという点です。
加えて、Assuredを利用できなかった場合の理由も聞くようにしていますが、別のサービスを導入しなくてはいけないというよりも、「個社フォーマットに合わない」という理由が多いようです。
 
freee 吉本様：
おっしゃる通り、Assuredにもサインアップしなくてはいけないという点に抵抗感をもつお客様もいらっしゃると思います。
当社では、エンバーポイントさま同様、公式ホームページにAssured評価レポートの閲覧リクエストフォームを設置しており、お客様にはそこから情報開示依頼をしていただくよう営業やサポート部門からご案内するようにしています。お客様から見れば、よくある資料請求フォームと同じように、必要事項を入力してダウンロードできるので、こうして少しでもハードルを下げる取り組みをしています。
 
freee 田上様：
それでもなお、「Assuredというサービスは信用していいのか？」と営業担当経由でお客様からお問い合わせをいただくこともありますが、第三者認証の規格に則って有資格者が評価しているということをAssuredの公式ホームページと共にご案内することで、ほとんどの場合ご納得いただけています。

 

司会：
続いては、セキュリティチェックシートに回答するなかで、ポジティブな観点での気付きやお考えについてお聞かせいただけますでしょうか。
 
セーフィー 川部様：
セキュリティ担当としてお客様の声を聞くことで、お客様の観点でどういうところを気にされているのかを知ることができるため、社内のセキュリティ施策を検討するうえで参考にしています。
 
ログラス 漣様：
川部さんがおっしゃった通り、セキュリティチェックはお客様が求めている水準やトレンドを知る機会だと捉えています。例えば今だとLLM（大規模言語モデル）など、時代を反映するものに対して置いていかれないように、我々としてどういったインフラやセキュリティを整えていかないといけないかを知る良いアンテナになっていると考えています。
 
司会：
LLMというキーワードが出たので、追加でお伺いさせてください。セキュリティチェックシート回答時にLLMを活用できないかという話が昨今話題になっていますが、今後の活用についてご所感はいかがでしょうか？
 
エンバーポイント 植松様：
AI自体への期待は非常に大きいのですが、学習のための情報をどう入れ込むかが一番の悩みです。
お客様からチェックシートをいただいた際に保護がかかっていてコピペすら出来ないということもよくあるなかで、それらを自分たちで入れていくのか。また、内容としては同じ質問だけど聞き方が異なる場合にどう同じ質問だと認識させるのか等、AIの育て方が難しいと感じており、出だしの工数をどうしようかというのが悩みです。どうしても泥臭い部分は当面残るかなというのが感想ですね。

 

エンバーポイント 山下様：
3社さまのコメントに私も100％同意です。
少し違った視点でお話しすると、当社含めここにいる皆さんはクラウドサービスを提供する事業者でもあり、利用する立場でもあります。
当社の従業員向けの環境は、オンプレサーバーの一切ないすべてクラウドサービスで構成されており、クラウドサービスは自社業務の効率化、サービス展開の付加価値を強力にするために導入をしています。そのうえで、安全な利用のための評価を行うためにあるものがセキュリティチェックシートであり、そこに時間をかけ過ぎてしまうと、回り回って、自社のビジネスのブレーキになりかねません。
 
また、クラウドサービスを提供する事業者としても、お客様により早くサービスを導入いただいたり、契約更新をいただきたいなか、ここに多大な工数をかけてしまうことが、自社の営業成績の足かせになっていないか？そういう存在になってはいけないなと感じています。
面倒くさいからやらないわけではなく、しっかりと安心・安全をご提供しながら効率よくやっていくかが重要だと思っています。
 
そのうえで、Assuredのように第三者機関として評価してくれるのは心強いツールですし、
先程のお話にもあった政府機関のお墨付きも一つだと思います。
 
さらには、Assuredのようなサービスが他にもいくつかあってもよいと思っていて、例えば企業の信用調査会社では帝国データバンク様や東京商工リサーチ様などがあるように、複数のプレイヤーがあって良いと感じていますし、何百社の個別対応をするよりは、仮にそういった企業が10社におさまるのであれば、その10社をとことん活用したいと思っています。

アーカイブ視聴はこちらから