【イベントレポート】

Assured導入企業様向け


クラウドセキュリティ評価の最前線と竹中工務店様のAssured活用術

 

2024年7月22日(火)、セキュリティ評価プラットフォーム「Assured」初となるユーザー会を渋谷オフィスにて実施しました。当日は様々な業界から約30名の情報システム部門の方々に全国からお集まりいただき、大盛況となりました。ご参加いただいた皆さまには心より御礼申し上げます。

 

本レポートでは、当日の様子をダイジェストでお伝えしてまいります。
 

プログラム

  • Assured代表 大森 厚志からの挨拶
  • セミナー「クラウドセキュリティ評価で見るべきポイントとは?」
    • Assuredセキュリティドメインエキスパート 植木 雄哉
  • パネルディスカッション「竹中工務店様のAssured活用術!セキュリティ評価工数を42%削減したやり方とは?」
    • 株式会社竹中工務店 デジタル室 デジタル企画グループ 鈴木 真徳 様
    • 株式会社アシュアード Assured事業部 セキュリティグループ 真藤 直観
    • 株式会社アシュアード Assured事業部 マーケットグロースグループ 三屋 宏祐
  • 懇親会

 

Assured マーケットグロースグループの斉藤から趣旨説明

Assured代表 大森からの挨拶

開会の挨拶として、Assuredの創業者であり代表の大森から、今から約2年半前にリリースしたAssured事業立ち上げの背景、事業づくりにかける想いについてお話しました。創業当初からAssuredにご期待いただいてきたお客様と、こうして初のユーザー会で顔を合わせられる感謝の気持ちをお伝えしました。

Assured 代表 大森からご挨拶

「クラウドセキュリティ評価で見るべきポイントとは?」
セキュリティドメインエキスパート・植木

Assuredのセキュリティドメインエキスパートとして、クラウドサービスのセキュリティ評価を担う植木からは、安心・安全なクラウドサービス利用のために確認すべき評価ポイントについて、実際に発生したSaaSにおけるインシデント事例や、Assured独自のデータに基づきお話しました。

 

一部抜粋してご紹介します。

 

・クラウドサービスの”重要度”を判定する方法

 

セキュリティリスク評価において、まず必要となることは「情報資産管理」です。どのクラウドサービスにどのような情報が格納されるかを管理台帳などで見える化し、有事の際の自社ビジネスへの影響度を「機密性」「完全性」「可用性」の観点で見積もることで、各クラウドサービスの重要度を判定することができます。Assuredのサービス台帳機能を活用することで、クラウドサービスにおける情報資産管理を省力化することも可能です。

 

・利用判定フロー/個別の判断基準の考え方

 

各クラウドサービスの重要度を踏まえた利用判定を行う際には、Assured上のスコアやリーガル要件、外部認証などの基本項目でスクリーニングを実施したうえで、個別の対策状況を確認していくことが推奨されます。具体的には、「預託データの取り扱い(機密性/完全性)」「サービスや預託データの継続利用(可用性)」の観点は特に重要であるものの、Assuredの調査結果では十分な対策ができていないサービスも一定数存在していることが明らかになっており、利用企業はこれらの対策状況をしっかり確認していく必要があります。

Assured セキュリティドメインエキスパートの植木によるセミナー

「竹中工務店様のAssured活用術!セキュリティ評価工数を42%削減したやり方とは?」

続いて、今回のメインコンテンツである、Assured利用企業の竹中工務店様をお呼びしたパネルディスカッションです。

竹中工務店様は、Assuredをご導入いただいてから、クラウドサービスのセキュリティ評価精度を高めると同時に42%の工数削減を実現されています。(詳しい活用事例はこちら

クラウドサービスの活用状況については、「デジタル変革により2030年に目指す姿」実現のため「建設デジタルプラットフォーム」をクラウド環境に構築するなかで、SaaSをはじめとしたクラウドサービスの活用を積極的に推進されています。
 

竹中工務店様の「建設デジタルプラットフォーム」全体像
竹中工務店様の「建設デジタルプラットフォーム」全体像

高いセキュリティ水準を維持しながら、こうしたデジタル活用を更に加速させていくため、Assuredを活用してリスク評価を実現されているのか、ディスカッションを通じてお話しいただきました。当日の内容を抜粋してご紹介します。

トークテーマ①
業界毎の特性に合わせる為にセキュリティ基準をどのように当てはめていくか?

鈴木様:

建設業ならではの特性として、大きく4つのポイントが挙げられます。

 

  • ITインフラに対して負荷の高い現場:屋外の建設現場では直射日光、振動、粉塵などに耐えられるITインフラが必要(ITインフラ自体少ない方が好ましい)
  • 作業従事者の変動:施工内容により現場の作業従事者が短期で変わる特性があり、一般的なID管理が難しい
  • 多数の、多様な、変化する、現場:1年間に全国で数百の現場が動き、建物の種類も多様ななか、ITインフラを固定的にしづらく、また、標準化が難しい
  • サプライチェーン:サプライチェーン中の多数の会社とデータを共有する場合が多いが、自社から遠いほどガバナンスが効きにくい

 

これらの特性から、できるだけ現場毎にITインフラを持ちたくないという背景を踏まえると、インターネットにつなげるだけで使えるSaaSは非常に有用だと考えています。そのうえで下記のようなセキュリティの方針を設けています。

 

  • 基本的にはSaaS利用を認める方向
  • 利用範囲や利用用途に応じた許可基準の水準設定
  • 「サービスの安全性」に対する責任はセキュリティ部門、「安全な利用の仕方」に対する責任は利用部門、と責任を分界
  • SaaS側の機能(多要素認証、IPアドレス制限など)を活用したアクセス制限の実施

 

真藤:

セキュリティ基準を設ける際に、業界の標準は取り入れられていますか?

 

鈴木様:

建設業としては、業界のセキュリティ基準というものが特段ありません。そのため、お客様の業界規制がある場合はそれに従い、その他は、NIST、CISのガイドラインなどをみながら、このセキュリティ機能はSaaSにあってほしい、といったかたちで基準をつくっています。

竹中工務店 デジタル室 デジタル企画グループ 鈴木 様

トークテーマ②
適切なセキュリティ対策の実現のために苦労した事、取り組まれた事例

鈴木様:

当社のSaaS審査フローは、申請受付→SaaS安全性評価→利用可否判断と大きく3つのステップで構成されています。

申請受付時に解消できない懸念事項が明らかな場合はその段階で利用不可と判断しています。一方、評価実績のあるSaaSを予め掲示することで、申請者および私たち審査部門の工数を減らすようにしています。さらに、SaaS利用に対する責任の所在を明記することで評価や利用後のトラブルにならないよう工夫しています。

SaaS安全性評価では、当社の評価基準とAssuredの評価を照らし合わせながら評価しています。様々なユースケースを想定し、許可する水準に差を設定することで、柔軟な審査ができるようにしています。

利用可否については、許可基準を満たしていないものを一律不可とはせず、利用部門側の事情も考慮し、許可をする場合もあります。例えばクラウドサービス事業者側で機能改善をコミットしていただけている場合は、そのコミットを前提に許可をすることもあります。特に建設業に特化したSaaSについては業界全体のDX推進のためにも一緒に盛り上げていきたいという気持ちもあり、安全に利用するための方法を模索するようにしています。

 

三屋:

Assuredをご導入いただき、従来のSaaS審査フローを切り替えていくにあたっては、どのようなプロセス・スケジュール感で進められていったのでしょうか?

鈴木様:
1年前にAssuredの利用を前提とした運用の刷新を決め、3ヶ月程度でAssuredのコンサルを受けながら評価基準のアップデートを行い、実際の運用を1ヶ月回してみて、これなら問題なく回ると判断し、結論を出したかたちです。

三屋:
評価基準のアップデートにあたり、特に譲れなかったポイントはありましたか?

鈴木様:
技術的な条件はいくつかありつつ、一番は「ユーザー(利用部門)に納得してもらうこと」が譲れないポイントでした。利用不可の判断をする際、利用部門と議論になることもあります。「なぜ許可できないか」「どうすれば許可できるか」をきちんと説明できる評価結果の精度を満たしているのがAssuredでした。

トークテーマ③
Assured導入前の課題と導入効果

鈴木様:
大きくは以下が挙げられます。

  • 以前のSaaS評価サービスは海外のサービスであったため、SaaS評価サービスの担当者との英語でのコミュニケーションで、微妙なニュアンスが伝わらず、再評価時に何度もやり取りが発生するなど多大な工数が発生していました。Assuredによって、関係者とのやり取りが非常に楽になりました。
  • SaaSの種類やユースケースが多様にあるなか、定めた評価基準をそのまま適用できないことが多い状況でした。Assuredのコンサルを受け、多様なケースを想定した基準を構築したことで改善につなげることができました。

 

三屋:
具体的にどのくらいの工数を削減できたのでしょうか?

 

鈴木様:
3か月間分の評価工数を比較したところ、1件あたり約4割の工数削減に繋がりました。
削減できた工数の大半はコミュニケーションにおける、言語の差異や認識齟齬の部分です。セキュリティの担当者がセキュリティ以外のところに時間をとられてしまっていた状況を大きく改善することができ、本来パフォーマンスを発揮してほしい仕事に集中してもらえるようになったことが大きな成果だと考えています。


真藤:
利用部門側に対してはどのようなメリットがありましたか?

鈴木様:
Assuredの評価レポートでは、評価結果がスコア化されているため、利用部門からSaaS事業者に対してフィードバックしやすいという点が挙げられます。
また、利用部門側も評価レポートの項目を確認することで、どのような観点で評価されているのかを理解してもらえるので、次回サービスを選ぶ際に何に気をつけて見たらよいか、という勘所が養われていっていると感じています。


トークテーマ④
クラウドリスク管理のあるべき姿

 

鈴木様:

SaaS利用の考え方、リスクに対する責任分界、SaaS審査基準、それぞれを明確化し、適切な管理から漏れるSaaSを最小化していくことがあるべき姿だと思っています。

セキュリティチームとして、増え続けるSaaSをひたすら評価し続けるだけでなく、サービスの統合や使い方の改善を提言していくことで、セキュリティリスクの低減だけでなく、コスト最適や利便性向上にもアプローチしていければと考えています。

 

最後に

最後に、鈴木様からAssuredへのご期待として「AssuredにはSaaSセキュリティのHubになってほしい」と大変光栄なお言葉をいただきました。

 

懇親会

 ユーザー会の締めくくりとして、懇親会を実施しました。
美味しいお食事とお酒を囲み、Assuredユーザーの皆さまで同じ職種ならではのお悩みや各社におけるAssuredの効果的な活用方法などを共有しながらざっくばらんに会話を楽しまれていました。今回は、企業様の業界毎にお席のグループ分けをしたことも、同様のお悩みを共有しやすく懇親を深められたと好評のお声をいただきました。

 

 

今回、Assuredとして初めてとなるユーザー会は大盛況で終えることができました。ご参加いただいた皆さまに改めて御礼申し上げます。
残念ながらご参加いただけなかった方も、次回以降の開催にぜひご期待いただけますと幸いです。

今後もAssuredをよろしくお願いします。