なぜSaaSベンダーはセキュリティチェックシートの記入に悩む？

PR／ITmedia

PR

　SaaSの業務ツールは必要に応じてスピーディーに導入できるのがメリットだが、導入前にはセキュリティ面の懸念をしっかり確認しなければならない。自社のセキュリティポリシーを踏まえて「そのサービスを利用しても問題ないか」を判断するために、ユーザー企業がSaaSベンダーに「セキュリティチェックシート」の記入を依頼することは一般的なプロセスだ。

　SaaSベンダーもこの工程の重要性を理解しているだけに、膨大な作業を現場の頑張りで乗り越えてしまうことがよくある。SaaSベンダー側にセキュリティチェックシートの記入作業を引き受ける専任担当者がいるとは限らない。ユーザー企業から依頼があるたびに、分かる人が兼務で対処することがほとんどだろう。そうなると、時間と手間の負担が大きく、業務は属人化しがちだ。

　セキュリティチェックシートはユーザー企業がそれぞれの基準や重視するポイントを踏まえて作成するものだから、個社ごとに内容は異なる。そのためにベンダー側も回答作業を標準化するのが難しい。結果、SaaSベンダーとユーザー企業が何度もやりとりしながら、詳細を確認して埋めていくことになる。この手間を抜本的に減らす方法はないのだろうか。

「セキュリティ情報はクローズドにやりとりするもの」という誤解

アイティクラウドの平山詠子氏

　「日本ではセキュリティ情報を公開する習慣が定着しておらず、個別にやりとりするものと見なされがちです」。アイティクラウドの平山詠子氏（SaaSセキュアチェック事業部 部長）は、そう説明する。宣伝の意図で公的認証の取得状況を公開するサービスもあるが、ユーザー企業とチェックシートのやりとりで個別に伝えるベンダーの方が一般的だそうだ。しかし近年は大規模ユーザー企業を中心に、導入前にセキュリティチェックシートの確認を必須条件とするケースが増えつつあり「SaaSベンダーにとっては無視できない課題になっています」と平山氏は指摘する。

　SaaSベンダーの立場から見ると、セキュリティチェックシートの記入業務は受注のために必要で優先順位も高い。既存のデータシートや資料から回答できる項目ならまだ良いが、ドキュメントにまとまっていない情報を求められた場合は営業担当者がその都度情報を集めなければならない。「あの項目は認証技術のエンジニアに問い合わせ、この項目はデータ基盤のエンジニアに質問しないと……」などと社内のあちこちに催促することになる。「セキュリティチェックシートの標準的な回答を用意しているSaaSベンダーもありますが、そうでない所も珍しくありません。いつの間にか特定のベテランにノウハウがたまって社内に共有されない、人によって回答がまちまち、という属人化の課題もよく聞きます」（平山氏）

　一方で米国ITベンダーにとっては、セキュリティ情報の公開は一般的なものだ。「セキュリティ情報公開サービス『Whistic』では約1万4000社に及ぶSaaSベンダーのセキュリティ情報が公開されています。運営会社のWhistic社に話を聞くと、米国でももともとセキュリティ情報はクローズドなやりとりが中心でしたが、情報公開するベンダーが増え、今はむしろ情報を公開していないことがデメリットになるほどになったそうです。日本も同様の流れでトレンドが変化していくのではないかと考えています」と平山氏は話す。強固なセキュリティ技術をサービスの魅力と見なして情報公開に踏み切るベンダーが増えれば、競合ベンダーも追随せざるを得ないだろう。

「セキュリティ対策の精度や強度」が選定基準の中核になる時代

　マーケティングの観点からも、製品・サービスの強みとしてセキュリティ情報を公開するのが望ましい――と価値観が変わる日は遠くなさそうだ。米国では既に、ユーザー企業にとってSaaS選定の基準は「セキュリティ対策をしているか否か」ではなく、「何をどの程度対策しているのか」まで踏み込んで比較検討されるようになっている。「米国では、セキュリティ情報を開示していないサービスは危険だと認識され、比較検討の土台にも上がれないと言われています」と平山氏は説明する。日本でも厳格なセキュリティポリシーを持つユーザー企業の事例で、自社のセキュリティ基準に合致しなかったために、機能が良くても検討から外したという話はあるという。「セキュリティポリシーが十分に整っていないユーザー企業もまだまだいらっしゃいますが、それでも『セキュリティの情報を事前に確認したい』という意識は強くなっている印象です。セキュリティインシデントが発生したら、選定担当者の責任が問われることになりますから。何を根拠に大丈夫だと判断したのか証明できるようにしたい、というニーズは強いようです」（平山氏）

　リスクをゼロにはできなくても、検討対象のSaaSがどこまでの対策をしているのかを把握した上で比較し、ユーザー企業が納得した上で利用する状態が理想的だ。「各ベンダーが情報を開示し、ユーザーが比較検討することが当たり前になってほしいです」と平山氏は語る。このように情報が開かれた状態にあれば、健全な市場競争が生まれるからだ。「セキュリティ情報の公開が進んでいる米国では特に、セキュリティ対策の強化が製品の競争力につながる流れがあります。日本のSaaSが海外サービスと戦うには、セキュリティ強化と情報公開は避けられないでしょう」（平山氏）

　こうした課題を踏まえて、アイティクラウドが運営する法人向けIT製品のレビューサイト「ITreview」は、SaaSのセキュリティ情報を確認・比較できるサービス「ITreview SaaSセキュアチェック」を提供した。

ITreview SaaSセキュアチェックの画面イメージ（出典：アイティクラウド提供資料）《クリックで拡大》

標準的なデータシートでセキュリティ情報を比較検討、製品選びをより効率的に

　もともとITreviewは、IT製品の“選び手”に軸を置き、ユーザー企業の課題を解決し得る製品・サービスを見つける手助けをすることを目指している。価格やスペックだけでなく、「自分たちと似た課題を持つ法人ユーザーが、その課題を解決できたかどうか」を、ユーザーレビューを通じて知ることができる。

　「ITreviewは製品選定に確信を持ってもらうための仕組みです。ITreview SaaSセキュアチェックを通じて、選定時の根拠の一つにセキュリティ情報を加えていただけるようにした形ですね。価格、スペック、ユーザーレビュー、そしてセキュリティ情報が加われば、IT製品を選ぶのに十分な根拠がそろいます。SaaSベンダーの皆さまに情報を提供いただき、ユーザー企業がITreview SaaSセキュアチェックのフォーマットから幅広く比較検討できるようになれば、ベンダーにとっても『確度が高い見込み客』と出会う機会が増えるはずです」（平山氏）

　SaaSベンダーがITreview SaaSセキュアチェックに情報を公開することは、社内の情報を一定の型で整理するという点でもメリットがある。ベンダーは無償で情報を公開でき、登録の作業代行なども含めて費用はかからない。「必要な情報は、標準化されて誰でもアクセス可能な状態になるべきです。最終的には自社のWebサイトに公開するのが望ましい形ですが、その前段階としてITreview SaaSセキュアチェックに情報を公開いただくことで、散逸した情報を一元管理するきっかけになればと思います」と平山氏は語る。ITreview SaaSセキュアチェックの登録項目も、大多数のユーザー企業が記入を求める基本的な要素をある程度網羅してある。そのため、ユーザー企業から求められるセキュアチェックシートの完全な標準化は難しくても、記入の個別対応要素は登録情報でカバーでき、工数削減が期待できるという。

　この他、ITreview SaaSセキュアチェックの有償オプションとして、掲載した情報をもとにホワイトペーパーを制作するサービスもあり、手早く販促ツールを作りたいというベンダーのニーズに応えている。登録過程で情報を集約すれば、ベテランでなくても回答できる領域が整理され、受注から成約までの対応スピードにも差が出るはずだ。「ITreview SaaSセキュアチェックを通じて国産SaaSベンダーの情報公開を支援し、ビジネスを加速する存在でありたいと願っています」（平山氏）

セキュリティホワイトペーパーオプションの登録キャンペーン実施中

2025年3月までにITreview SaaSセキュアチェックに情報を掲載したSaaSベンダーを対象に、「セキュリティホワイトペーパーオプション」が無料になるキャンペーンを実施します（申し込み条件あり）。

申し込み条件

※注意：利用するコンテンツにより、有償プランの契約が必要な場合があります。

• 2025年3月までにITreview SaaSセキュアチェックへ掲載する企業
• 事例としてアイティクラウドが営業などの用途で情報を活用することをご了承いただける企業
• 作成に必要な製品ロゴや製品情報を提供いただける企業

お申し込みはこちらから