SaaSサービス利用顧客へのセキュアな環境の提供・社内エンジニアの技術力向上につながったサイバーセキュリティ診断。診断項目を厳選することで費用面の課題もクリア
Webマーケティング事業・クラウドセールステック事業
事業推進部 クラウド開発課 課長 山崎恭平様
- 主力サービスにおけるセキュリティ強化の必要性を感じていたものの、自社でのエキスパート人材の確保や効率的なリソース活用に課題
- 実施のきっかけは、上場による「注目度アップ」と「万一のリスク」両側面を想定した社内機運の高まりで診断を実施
- 希望予算内に収めるため、悪用リスクの高さ・診断が不可欠な機能や箇所を見極め、範囲を絞って実施
- 診断を実施したことで、サービス安全性の担保に加え、社内エンジニアのセキュリティに関する知見の広がりやスキルアップ効果も
WEBマーケティング支援と、クラウドセールステック事業を手掛けているジオコード様。当社の「サイバーセキュリティ診断(脆弱性診断)」を実施する前は、セキュリティ強化のため、第三者による脆弱性診断の必要性を感じながらも、実施に踏み切れずにいました。今回は事業推進部 クラウド開発課 課長 山崎恭平様に、実施に至るまでの経緯やサービスの品質などについてお聞きしました。当社からは、担当させていただいた ITソリューション営業本部 本部長 山中一樹も参加し、診断で心掛けたことや当社の強みを語ります。
「見やすさ・わかりやすさ」を追求したSaaSを開発
はじめに、貴社の事業内容を教えてください。
山崎様:当社はWEBマーケティング事業とクラウドセールステック事業の2本柱でサービスを提供しています。WEBマーケティング事業では自然検索から成約に至るまでのコンテンツ制作やSEO対策など一連の施策を担うほか、リスティング広告などのWEB広告制作を行っています。私が担当するクラウドセールステック事業では営業支援ツール『ネクストSFA』と、勤怠管理や交通費・経費精算ができる『ネクストICカード』を提供しています。2005年2月の創業以来、17期連続で増収を達成し、2020年11月に東京証券取引所JASDAQへ上場、現在は東証スタンダード市場に移行しています。
この度サイバーセキュリティ診断を提供させていただいた『ネクストSFA』は、どのような企業が利用していますか?
山崎様:業種は多種多様で、営業スタイルも新規営業やルート営業と幅広いお客様にご利用いただいています。これまで進捗をスプレッドシートで管理していたり、進捗管理を各自に任せていたりしていた中小企業様が多い印象です。
山中:当社も導入しているのですが、専任エンジニアがいなくても管理ができ、IT初心者でも使いやすいと思います。また何よりも価格が魅力的でした。社内でも「多機能なのにコストパフォーマンスが高い」、「直感的で分かりやすいUIで誰でも使いやすい」と評判です。
山崎様:ありがとうございます。当社のSaaSは「見やすさ・わかりやすさ」がテーマなので、そう言っていただけてうれしいです。
上場による注目度アップを考慮して診断実施へ
当社のサイバーセキュリティ診断を受ける前に、外部の企業による診断は実施されていましたか?
山崎様:実施は検討していたものの、タイミングを掴めずにいました。『ネクストSFA』の規模が拡大し、全てを診断すると費用が莫大になりますし、日頃の動作チェック等で問題が起こっていなかったことも踏み切れなかった一因です。現在正常に動作しているシステムにどれくらいの費用をかけるべきなのか、慎重になっていました。
例えば専任のセキュリティエンジニアを起用して内製化するなど、外注以外の方法も検討されていたのでしょうか?
山崎様:考えの一端はありましたが、検討には至りませんでした。セキュリティ全てをカバーできる人材が集まるか未知数でしたし、仮に集まったとしてもセキュリティチェックが終われば手が余る可能性が高いからです。それなら、外注するほうが賢明だと判断しました。
なかなかタイミングが掴めなかったとのことですが、実施するきっかけは何でしたか?
山崎様:追い風となったのは上場です。上場となると注目が集まりやすくなり、そこで万一のことが起きた場合、会社へのインパクトは大きくなります。想定できるリスクの一連を伝えたことで「このタイミングは外せない」という声が社内で高まりました。
とはいえ、上場前は予算組みが厳しく、確実に診断費用を組み込める機会を伺っていました。そこで的を絞ったのが新年度の予算枠です。弊社は2月決算なので、新年度の予算組みに照準を合わせました。
当社としても『ネクストSFA』はさらに伸ばしたいサービスでしたので、それに上場が後押しとなって実施に至ったという流れです。社内稟議もスムーズに進みました。
ユーザー目線の提案と豊富な実績が依頼の決め手に
AGESTにご相談いただいた経緯を教えてください。
山崎様:CSスタッフから「『ネクストSFA』の利用企業でサイバーセキュリティ診断をしているところがあるから、話を聞いてみては?」と言われたので、お話を伺うことにしました。
他社にもご相談されましたか?
山崎様:いえ、していません。診断を専門に行う企業についてそれほど知見がなかったこともありますが、診断対象である『ネクストSFA』を長きにわたりご利用いただいていることから、当サービスやツール・システムに対する理解度において他社よりもアドバンテージがあると思い、これらをご理解いただいている上でのプランニングに期待しました。実際に、ユーザー目線の提案かつ齟齬がない内容でした。多くの企業で実施されてきた実績にも安心でき、ご依頼することにしました。
山中:もちろん当社内で利用実績がないシステムでも診断は可能です。通常のご依頼ではシステムについて細部にわたってヒアリングさせていただきプランニングをしていくのですが、今回は営業側で馴染みのあるシステムだったこともあって、よりスムーズに進めることができました。
サイバーセキュリティ診断を実施する上で、特にご要望されたことは何でしたか?
山崎様:予算額が決まっていたのでそれ以内に収めていただくこと、そして必ずチェックしていただきたかったのがログイン周りです。この二つは譲れない条件でした。
山中:機能が相当数あるので、当社ではチェックが欠かせない機能を選別しました。サイバーセキュリティ診断の一番の目的は事故を未然に防ぐことです。診断チームと話し合って、ご要望だったログイン周りを含め悪用リスクが高いところをキャッチアップしてプランニングしました。
ご予算内に収めるために心掛けたのは作業工数の短縮です。診断サービスの特性として、エンジニアの作業時間が費用に直結しますので、いかに作業工数を減らしながら不可欠なチェックを網羅するかをご提案させていただきました。ただ単に作業工数を減らすだけでなく、ご納得いただける内容になるよう当社から能動的にご提案するのは、得意とするところです。
山崎様:診断内容を予算要望どおりにカスタマイズいただけたのでありがたかったです。スムーズに社内稟議が通ったことにも、一役買ってくれていると思います。
一目瞭然なレポートでタイムロスを軽減
サイバーセキュリティ診断はどれくらいの期間で行いましたか?
山中:実施したのは2021年の3月下旬から4月、報告書の提出までの期間を含めると約2週間です。実施中は始業・終業報告はもちろん、修正の緊急度が高いものは逐一ご報告していました。修正箇所を溜めてからご報告するとお客様のご負担になりますし、実施中にサイバー攻撃を受ける可能性が無いとは言い切れません。大切なシステムをお預かりしているからこそ迅速に対応するのは最低限の務めだと考えています。
山崎様:エラーが見つかるとすぐに速報メールをいただいて。その度にドキッとしましたが、すぐに修正できるので大変助かりました。スピードとコミュニケーションを大切にされているのが伝わってきましたね。
診断結果のレポートはいかがでしたか?
山崎様:動作ごとの事象を画面キャプチャ付きで解説してくれたので、とてもわかりやすかったです。おかげさまで再現対応の必要がなくすぐ修正できたので、エンジニアの工数も見積りやすかったです。
また、レポートを見れば全てがわかるので、タイムロスも防げました。普段の社内で行う報告はテキストのみ、フォーマットはある程度は決まっていますが個人差があり、動作を再現することもあるため、時間を費やすこともありました。そういう工数もカットできたし、社内への指示もしやすかったです。
得られたのは「安全性の担保」と「新たな視点」
今回、サイバーセキュリティ診断を受けたことによってポジティブな効果はありましたか?
山崎様:自分たちでは気付かなかったことがわかったので、エンジニアのスキルアップにもつながったと思います。「この脆弱性にはこういう対応をする」といった技術や応用を学べたのは大きいですね。普段開発しているだけでは知り得なかったことがわかり、知見が広がりました。
山中:開発とセキュリティでは見方が違いますよね。当社はセキュリティ観点で見るので微細なバグにも気付けるのが特長です。専門性の高い診断が強みだと自負しています。
山崎様:一つずつ丁寧にレポート書いていただいたので、質が高いと思いました。
また効果としてもう一つ挙げられるのが、営業チームやCSチームへの影響です。AGESTさんに診てもらったことで「自信を持って安心安全だといえるサービス」という気持ちがより高まったように思います。問い合わせでセキュリティについて聞かれることは少ないはずですが、仮に聞かれたとしても問題なく答えられるし、自信を持って勧められると思いますね。
サイバーセキュリティ診断を実施するタイミングや、推奨する実施ペースなどはあるのでしょうか。
山中:タイミングは企業によってさまざまですが、新規システムのリリース前や改修などの際に実施することもあります。実施ペースはシステムの規模によって異なりますが、多いところでは四半期に1回、半年に1回実施される企業様もいらっしゃいます。
サイバーセキュリティ診断はいわば「システムの健康診断」。当社では少なくとも1年に1回の実施を推奨しています。一度実施して問題なかったとしても、その状態がずっと続くとは限りません。システムを取り巻く環境や攻撃する側の手法も日々進化しているため、定期的に行っていただければと思います。
今後もサイバーセキュリティ診断を実施するご予定はございますか?
山崎様:『ネクストICカード』が新たなフェーズに入るので、よりセキュリティを強化するためにも実施を検討しています。
最後に、かつてのジオコード様のように、必要性は感じているけれど実施に踏み切れない企業に向けてメッセージをいただけますでしょうか。
山崎様:実施に向けて社内で動くには「起こりうるリスク」だけでなく、「そのリスクによってどんな問題が起こるか」まで伝えることが大切だと思います。「もしこれが起こった場合、自社にはこういうインパクトがある」とイメージさせるように伝えると説得力が増すので、伝える際にはそのあたりを意識していただければと思いますね。
サイバーセキュリティ診断を実施したことで、サービスの安全性を担保できたのはもちろん、システム開発・保守どちらも新たな視点で見られるようになりました。今回の診断で学んだ技術を活かして、より良いサービスをご提供できるよう一層努めていきます。
