検索
Special

効率化が難しかった「セキュリティチェックシート」問題 SaaSベンダーの悩みを解消する秘策とは

[PR/ITmedia] PC用表示
Share
Tweet
LINE
Hatena
PR

 SaaSを導入する企業は、リスク評価の目的で「セキュリティチェックシート」の回答をベンダーに求めるのが一般的だ。SaaSベンダーもその意義や必要性は十分に理解しているが、回答をまとめる手間の多さに頭を抱えているのが実情だろう。「データや通信の暗号化はどのような技術を採用しているか」「ログイン時の多要素認証は何を組み合わせているか」など、確認項目は多岐にわたる。その上、内容や書式はユーザー企業のセキュリティ基準に応じてばらばらなので、記入を効率化することが難しい。

 日本のSaaSベンダーは、ユーザー企業とクローズドな状態でセキュリティチェックシートをやりとりするのが暗黙の了解となっている。一方で米国のSaaSベンダーは、自社サイトにセキュリティ情報を公開することが商習慣として定着している。アイティクラウドの平山詠子氏(人財戦略室 室長、SaaSセキュアチェック ディレクター)によれば、以前は米国でも「セキュリティ情報はクローズドなやりとりをするもの」という認識が主流だったが、情報公開するベンダーが増え、今はむしろ情報を公開していない企業は信頼されにくいという。

 ユーザー企業にとっては、製品を検討する際に必要な情報が誰でもアクセス可能で閲覧でき、横並びで比較できる環境がある方が、公平な判断をする助けになる。サイバー攻撃が高度化する中で、なるべくセキュリティ対策の強固なサービスを選びたいと考えるはずだ。こうした要望に応えるために、SaaSベンダーは「セキュリティチェックシートの記入が面倒」「セキュリティ情報を公開するか否か」という問題にどう向き合えばいいのか。マーケティングの観点もふまえて、効果的な情報公開の方法を探っていこう。

SaaSベンダーとユーザー企業、双方がコミュニケーションで消耗

平山詠子氏
アイティクラウドの平山詠子氏

 SaaSベンダーから見れば、ユーザー企業から依頼されたセキュリティチェックシートは「記入しなければ受注できない」ものであり、優先度は高い。それでもコミュニケーションの手間が多いために速やかな回答が難しいようだ。よくある悩みが「専任の担当者がおらず、回答を集めようとすると社内をたらい回しにされる」「セキュリティチェックシートの記入を待つ時間と手間に忙殺され、営業活動が進まない」などだ。営業担当者がユーザー企業から記入用のシートを受け取り、「この項目はAさんに依頼し、この不明点はBさんに聞き……」と地道な社内調整をするのは膨大な手間がかかる。「そもそも誰に聞けば答えられるのか分からない状態からスタートすることもよくあると聞きます。逆に『この人に聞けば全て答えられる』というベテランがいるケースもありますが、これは属人化のリスクとも言えます」(平山氏)

 平山氏は「業務の標準化と効率化を考える上では、ある程度の回答を網羅した『マスターデータ』を整えておくことが望ましい」と説く。しかし前述の通り、セキュリティチェックシートはユーザー企業ごとに内容が異なり、求められる回答の粒度もばらばらだ。一般的には各設問に対して「Yes/No/その他」で回答する形式となっている。「Yes」と回答できる設問ならいいが、問題は「No」の場合だ。

 パスワードの強度を確認する「12文字以上のパスワードを設定しているか」という設問があるとしよう。そのベンダーが提供するSaaSのパスワード設定は「8文字以上」という仕様だったとしたら、「仕様では8文字以上だが、英大文字小文字、数字、記号を組み合わせることで強度を確保している」という補足説明が許容されるかどうか、あるいは単に「No」となってしまうのか、などをユーザー企業と一つ一つ確認することになる。「単にYes/Noで答えきれない設問は、コミュニケーションで情報を補完するしかありません。SaaSベンダーとユーザー企業の双方にとって、このやりとりはかなりの負担になっています」(平山氏)

レビューサイトに情報を公開し、「個別のやりとり」を減らす

 この状況に風穴を開けるのが、アイティクラウドが運営するセキュリティ情報公開プラットフォーム「ITreview SaaSセキュアチェック」だ。これは法人向けIT製品のユーザーレビュープラットフォーム「ITreview」の派生サービスとして誕生した。SaaSベンダーから提供されたセキュリティ情報を、オープンかつ公平な形で公開し、ユーザー企業は必要なタイミングで気になるSaaSのセキュリティ情報を比較検討できる。

 ITreview SaaSセキュアチェックに登録された情報は、該当サービスのサマリーページに表示される。取得している認証情報の他、カテゴリごとの対策状況をレーダーチャートで視覚的に提示。ここから各詳細を閲覧できる構成となっているため、全体像を把握した上で気になるポイントを深掘りできる。

図1
ITreview SaaSセキュアチェックの画面イメージ(出典:アイティクラウド提供資料)《クリックで拡大》

 ITreview SaaSセキュアチェックのセキュリティ情報は、68項目を6カテゴリに分類して整理されている。この項目は、総務省や経済産業省などが作成した各種セキュリティガイドラインを集約して設計したものだ。不正データ対応、アクセス認証・制御のような技術要素の他、インシデント発生時の対応力につながる「管理体制整備」、第三者認証や認定の取得状況など、ユーザー企業がSaaS選定時に確認したいポイントがある程度網羅されている。「金融や医療のように厳格なセキュリティポリシーのある業界では、100項目以上の確認事項を精査することがあります。しかし一般的な企業で、そこまで厳格な確認を求められることはほとんどありません。当社のユーザー企業からも『セキュリティ要件を判断するための粒度としてちょうどいい。項目も妥当だ』とご評価いただいています」(平山氏)

SaaSベンダーの情報提供と登録手続きは無料

 SaaSベンダーが、自社サービスの情報をITreview SaaSセキュアチェックに登録する際の費用はかからない。情報登録の手続きを支援するオプションサービスも含めて無料だ。SaaSベンダーが情報を公開するまでのプロセスは下記のようになる。

 まずベンダーは、ITreview SaaSセキュアチェックの登録用シートに必要な情報を入力。その内容をITreview SaaSセキュアチェックが審査する。「審査と言っても、『この対策をしているならば、こちらの対策もしているのではないでしょうか?』のように、記載内容の矛盾や抜け漏れがないかを確認する工程です。ベンダーの回答内容に当社が手を加えることはなく、基本的にいただいた情報をそのまま公開する方針としています。登録後は半年に1回程度、情報更新の必要があるかどうかを当社からベンダーにリマインドし、内容が古くならないように管理しています」と平山氏は説明する。

 機密維持のために開示できない情報は、項目単位で「非公開」の設定にできる。「ユーザー企業とのクローズドなやりとりなら伝えられても、一般公開はできない情報もあります。そこは無理に公開いただく必要はありません。各社2〜3項目は非公開の情報があるものです。そのことはユーザー企業も理解されているようで、許容範囲内だと聞いています」(平山氏)

図2
セキュリティ情報の表示例。開示できない情報は非公開の設定ができる(出典:アイティクラウド提供資料)《クリックで拡大》

 「情報公開はしたいが、ITreview SaaSセキュアチェックのシートに記入する手間が負担」という声に応えて、記入を代行する無償オプションサービスも用意している。既に公開している資料やドキュメントなどをもとに転記する「マッピング作業」と、2時間のインタビューをもとにシート記入をする「入力代行作業」の2種類だ。「マッピング作業では、ベンダーが自社サイトなどで公開している情報や、社内のFAQ、過去にユーザー企業に提出したセキュリティチェックシートなどの情報から、当社のシートへ転記していきます。68項目のうち半分程度は既存のデータで埋められるでしょう。マッピングだけでは埋められなかった情報は、インタビューから入力代行するなど、2つのオプションを併用することも可能です」(平山氏)

 こうして公開したセキュリティ情報から有償でホワイトペーパーを制作するサービス「セキュリティホワイトペーパーオプション」も用意している。「登録したデータが、ユーザー企業に正しい情報を伝える販促資材に生まれ変わります。セキュリティ情報のように読み解きにくい領域を、分かりやすく整理して伝えるのは私たちが得意とするところです。営業活動で使いたい、という要望を多くいただいています」(平山氏)

 たとえ便利で高性能だとしても、セキュリティに懸念があるSaaSはユーザー企業からの信頼を失ってしまう。「自社のサービスはどの程度のセキュリティ対策をしているか」をユーザー企業に訴求することは、これからSaaSベンダーがマーケティングを考える際の大きな課題となるだろう。ユーザー企業にとっても、毎回クローズドなやりとりでセキュリティ情報を確認する方法は手間が大きく、時間もかかる。ITreview SaaSセキュアチェックで情報を参照できれば複数社の比較検討ができ、素早い判断の助けになる。

 「SaaSベンダーにとってセキュリティ情報を公開することは、信頼できる会社だというアピールにもつながります。セキュリティチェックシートのやりとりがSaaS導入の足かせになるのは、ユーザー企業とベンダーの双方にとって望ましくないはずです。私たちはITreview SaaSセキュアチェックを通して、導入プロセスの加速を支援していきたいと考えています」と平山氏は意気込みを見せる。

バナー

セキュリティホワイトペーパーオプションの登録キャンペーン実施中

2025年3月までにITreview SaaSセキュアチェックに情報を掲載したSaaSベンダーを対象に、「セキュリティホワイトペーパーオプション」が無料になるキャンペーンを実施します(申し込み条件あり)。

申し込み条件

※注意:利用するコンテンツにより、有償プランの契約が必要な場合があります。

  • 2025年3月までにITreview SaaSセキュアチェックへ掲載する企業
  • 事例としてアイティクラウドが営業などの用途で情報を活用することをご了承いただける企業
  • 作成に必要な製品ロゴや製品情報を提供いただける企業

お申し込みはこちらから

Copyright © ITmedia, Inc. All Rights Reserved.


提供:SB C&S株式会社、アイティクラウド株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2025年2月25日

ページトップに戻る