「取引先リスク」を丸ごと見える化 Visionalグループが挑む“第二の柱”とは？

[田中圭太郎，ITmedia]

　転職サイト「ビズリーチ」などを運営するVisionalグループが、サイバーセキュリティ事業を、HR事業に次ぐ「第二の柱」に据えようとしている。

　同グループでサイバーセキュリティ事業を展開するアシュアード（東京都渋谷区）は、新サービス「Assured企業評価」の提供を開始した。「Assured企業評価」は取引先経由で起きるサイバー被害を未然に防ぐ、同社によれば「日本初」のサービスだ。セキュリティ専門チームが取引先のリスクを客観的に評価し、データベース化することで、企業のセキュリティ担当者の調査や、評価にかかる業務負担を大幅に軽減できる。

　ITmedia ビジネスオンラインでは、ビジョナル代表取締役社長の南壮一郎氏と、アシュアード代表取締役社長の大森厚志氏に単独インタビューを実施。南氏はこれまでビズリーチや「社内版ビズリーチ」などによって展開してきたHR事業に続き、サイバーセキュリティ事業をVisionalグループの第二の柱にしていくと述べた。「Assured企業評価」を軸にしたサイバーセキュリティ事業の今後の戦略について、南氏と大森氏に聞く。

ビジョナル代表取締役社長の南壮一郎氏

Visionalグループが挑む“第2の柱”とは？　取引先のセキュリティを評価

　「われわれが掲げているのは『信頼で、未知を拓く。』という言葉です。IT、DX、AIなどいろいろなテクノロジーの活用が進み、また、外部環境としてサイバー攻撃というものがこれだけ激化している中、この社会全体があらためて問い直されています。さまざまな会社の『どういうサービスが安心安全なのか』といった不安を、われわれが払拭することによって、企業間、サービス間の信頼がつながる社会を作っていきたいと考えています」

　東京都内で6月11日に開かれた「Assured企業評価」の記者発表会で、アシュアード代表取締役社長の大森厚志氏は新事業への意気込みを語った。

　Visionalグループのアシュアードは、サイバーセキュリティ事業を担う。ソフトウェアの脆弱性を管理するクラウドサービス「yamory」を2019年にリリースして事業を開始した。2022年にはクラウドサービスのセキュリティを適切に評価するサービス「Assured」をリリース。売り上げは年平均200％以上で成長している。

　今回提供を始めた「Assured企業評価」は、取引先のセキュリティ調査を、調査依頼元企業の代わりにアシュアードが実施するもの。国内外のガイドラインを参考にした独自の質問票への回答をもとに、専門資格を保有するセキュリティ専門チームが、取引先企業のリスクを評価する。回答は「Assured」のデータベースをもとにしたプラットフォームに掲載され、回答した企業が情報を更新するとデータベースに反映される仕組みだ。

　このサービスによって、企業は取引先のセキュリティ対策状況を、正確かつ速やかに把握できる。また、従来は個別に取引先企業のセキュリティをチェックしていたセキュリティ担当者の業務負荷を、大幅に軽減することが可能だ。社会共通のセキュリティ評価指標が広がることで、企業はスムーズに取引判断ができるようになる。

アシュアード代表取締役社長の大森厚志氏

サイバーセキュリティ事業をグループ第二の柱に

　Visionalグループは、即戦力人材と企業をつなぐ転職サイト「ビズリーチ」を2009年から展開して急成長を遂げた。今年1月には社内スカウトで人材流出を防ぐ新サービス「社内版ビズリーチ by HRMOS（以下、社内版ビズリーチ）」の提供を開始するなど、HRテック企業として先頭を走っている。一方で、アシュアードでは新たな領域として、サイバーセキュリティ事業に取り組んできた。

　ビズリーチ創業者でビジョナル代表取締役社長の南壮一郎氏は、「社内版ビズリーチ」と「Assured企業評価」のリリースを、Visionalグループの「第二創業期」と表現する。さらに、サイバーセキュリティ事業をグループの第二の柱として広げていく考えを示している。その理由を次のように述べた。

　「世の中がDXされていく中で、利便性は高くなっていきます。しかし、便利になれば、その裏には必ずリスクがあります。データが外につながるわけですから、サイバーセキュリティにおけるリスクマネジメントはより重要になってきます。さらに、サイバーセキュリティの領域は、ある意味で防衛と同じです。経済安全保障的に考えれば、外資系企業には任せられない部分が必ずあるので、国産のサービスが必要でしょう。これらの背景から、私たちはサイバーセキュリティ事業を第二の柱にしていく考えに至りました」

　大森氏によると、「Assured企業評価」のサービス開発は2年ほど前から進められてきた。きっかけは、クラウドサービスのセキュリティ評価をする「Assured」の事業を進める中で、顧客が抱える課題に気付いたからだという。

　「Assuredはサービス開始から約3年で、150以上の金融機関をはじめ、上場企業を中心に1000社以上が導入しています。導入しているお客さまの声を聞く中で、個別に実施している取引先のセキュリティチェックに、第三者が調べるスキームが必要だということがかなり早い段階で分かってきました。Assuredのデータベースや専門人材を生かせるサービスが提供できないかと考えて生まれたのが、『Assured企業評価』です」

セキュリティ評価の「壮大な無駄」を減らす　特許も14件取得

　「Assured企業評価」が実現する課題解決の一つは、取引先のセキュリティチェックをめぐる無駄な作業を削減することだ。企業が新たな取引を開始する際には、取引先企業に対して、セキュリティチェックリストを送るのが一般的になっている。取引先企業は質問に答えて回答を送るものの、細かい点で打ち返しが生じて、やり取りが2往復、3往復することも珍しくない。この作業を南氏は「壮大な無駄」と指摘する。

　「セキュリティチェックリストを送って個別に確認することは、一定レベル以上の企業では必ず行われています。しかし、チェックリストを送る担当者は1社だけでなく、膨大な数の取引先に対して、チェックリストを送らなければなりません。しかも、十分な回答が得られるまで何度もやり取りをする。この作業をひたすらやらなければならないのは壮大な無駄ですよね」

　「一方で、取引先企業側も、チェックリストの内容はどの会社もほぼ重なるにもかかわらず、個別に対応する状況に困っていました。『Assured企業評価』では、取引先のセキュリティを自社でチェックするのではなく、私たちが代行します。もっと言えば、過去にリサーチしたデータがあれば、そのデータを渡すこともできます。信用調査会社のようなビジネスモデルに近いですね」

　アシュアードでは、調査したデータを単に共有するわけではない。セキュリティ専門チームが、収集した情報をもとに企業のセキュリティ対策状況について格付けをする。また、データを開示するかどうかを、開示する側の企業が選べる仕組みを導入した。この仕組みについて特許を取得していると大森氏が明かす。

　「セキュリティ情報は秘密の度合いが高い情報です。データベースを構築していく中で、誰でも簡単に見ることができてしまうと、企業としては困りますよね。そこで、情報を開示する側の企業が、この依頼元企業に対しては開示してもいいか、もしくは開示したくないかを選べる仕組みを入れました。こうした仕組みをはじめ、セキュリティ評価に関する特許を14件取得しています。信頼できる情報をどこよりも持っていることが私たちの強みですので、その情報をきちんと守れる仕組みを作ろうと、2020年頃から特許の取得を進めていました」

サイバーセキュリティ領域で今後も新規事業を

　もう一つの課題解決は、正確なセキュリティ評価を実行することで、取引先から侵入されてサイバー攻撃を受けるケースを防ぐことだ。大森氏は、国内のサイバー攻撃は取引先が原因になっている実態があると説明する。

　「サイバー攻撃による被害のトレンドは変化しています。以前は直接攻撃を受ける被害が中心でしたが、最新の調査では2件に1件は取引先経由で被害を受けていることが分かりました。また、私たちが5月に実施した独自調査では、大手企業様の64％が取引先企業を起因としたセキュリティ被害を受けたと答えています」

　経済産業省と独立行政法人情報処理推進機構が2月に発表した中小企業実態調査によると、約7割の企業が、組織的なセキュリティ体制が整備されていないと答えた。さらに、約6割の企業が、過去3期において情報セキュリティ対策の投資をしていないと回答している。こうした状況を受けて、経済産業省や金融庁がサイバーセキュリティに関するガイドラインを作成するなど、セキュリティ体制の整備は企業の最重要課題になっている。

　実際に起きた事案の一つに、病院から委託を受けている給食事業者がサイバー攻撃を受け、病院のシステムにも侵入されて、電子カルテシステムに障害が起きたケースがある。電子カルテは2カ月にわたって利用不能になり、一般診療や救急患者の受け入れなどができなくなった。このケースでは、給食事業者と病院それぞれのシステムがつながっていたのだ。

　「Assured企業評価」のサービスを提供する上で、現状では調査を依頼する側が大規模な企業で、調査を受ける側の多くが中小企業であることが予想される。大森氏は、将来的には中小企業のセキュリティ体制の整備を支援することも選択肢にあると述べた。

　「企業評価は、人間の体にたとえると健康診断と同じです。健康診断の結果を見れば、お医者さんでなくても、自分で自分の健康状態が分かりますよね。私たちの企業評価も、健康診断と同じように、みなさんが同じ尺度で状態を見て、周りと比べてどうなのかが簡単に分かる基盤を作っています。健康診断ができれば、次は治療なのか、手術なのか、薬を出すべきなのか。そこはまだ分かりませんが、現状を変えていきたいというのが根本的な思いです」

　「Assured企業評価」のサービス提供開始は、Visionalグループがサイバーセキュリティ事業に今後さらに注力することを示している。その舵取りを担う大森氏は、これからも新規事業を生み出していく考えを示した。

　「企業のサイバーセキュリティの状態を可視化するのは、スタートラインだと思っています。『Assured企業評価』はサイバーセキュリティ領域で3つ目の事業ですが、ここから5個、10個と新しい事業を作っていきたい。それだけ課題があふれているので、自分たちの解像度が高いのであれば、やらない理由はないと思っています」

　ビズリーチの創業から16年を経て、Visionalグループが第二の柱に据えたサイバーセキュリティ事業は、グループのビジネスを大きく変貌させようとしている。