発達障がい者向け求人サイトで、更改部分にチェック箇所を絞った年4回のサイバーセキュリティ診断で、コストを抑えながら信頼性を担保

発達障がいに特化して、就労支援や人材紹介などを行っているKaien（カイエン）様。発達障がい者/精神障がい者を積極採用する求人情報サイト「マイナーリーグ」と、スキル習得と生活記録総合支援アプリ「ミッテル」の運営において、当社の「サイバーセキュリティ診断」を年に4回、定期的にご利用いただいています。今回は、情報管理事務局の山本直孝様、近藤唯史様に、ご依頼いただいた経緯やサービスの品質、今後の展望等について伺いました。

発達障がい特有の性質を強みとして際立たせ、自立や就職につなげる

はじめに、貴社の事業内容を教えてください。

近藤様：2009年の創業以来、発達障がい者が強み・特性を活かした仕事に就き、活躍することを応援しています。大人の就労移行支援から、子どもの教育支援、大学生向けの就活支援など、全国18ヵ所の事業所とフランチャイズパートナー約40社でサービス提供を行うほか、人材紹介や求人サイトも運営しています。

当社のサイバーセキュリティ診断をご利用いただいている求人サイト「マイナーリーグ」と支援アプリ「ミッテル」のご紹介をお願いします。

山本様：「マイナーリーグ」は2018年より運営している障がい者雇用に特化した求人サイトで、精神・発達障がいの雇用実績があり、積極的に採用を継続したいと考えている企業ばかりで、求職者の強みや専門性を活かせる求人が多いのが特徴です。また、ミスの許容度などの配慮事項が各求人に明記されており、求職者が希望する配慮事項とのマッチング度をみて応募が可能です。

「ミッテル」は、発達障がいの当事者が日々の生活記録、自立・就職に至るスキル獲得、家族や支援者との連絡などを行える総合支援アプリで、2021年にリリースしました。体調管理を医療機関や勤務先の上司などと情報共有できたり、自立や就職に役立つ知識を数百の動画コンテンツでいつでも学べるのが特徴です。

ツールによる一括診断から、ポイントを絞ってコストを抑えたエンジニアによる診断へ

当社のサイバーセキュリティ診断をご利用いただく前はどのような状況でしたか？

近藤様：サービスで取り扱う情報には療育や医療に関する個人情報が含まれますので、外部漏洩などは絶対に許されません。また、行政による指定事業なので各種報告義務もあります。何かインシデントがあれば、それまでの信頼が一瞬で失われかねませんので、半年ごとの全社研修でも情報の取り扱いを学ぶなど、会社としてセキュリティを重視してきました。

これまで「マイナーリーグ」ではツールによる一括診断タイプのサービスを利用していました。システム開発会社からのアドバイスで決めたのですが、運用していく中でサイトの改修や機能追加を頻繁に行っているため、エンジニアによる診断について調べてみたのです。

エンジニアによる診断サービスもいろいろありますが、AGEST社に相談された経緯を教えてください。

近藤様：やはりツール診断よりコストがかかるので困っていたところ、障がい者雇用についてご相談を受けていたデジタルハーツ社より、グループ会社であるAGEST社の紹介がありました。AGEST社ではエンジニア教育と診断を自社で対応とすることで大手ベンダーの約6～7割という低コストでの提案をいただき、「ミッテル」のリリースに合わせて2021年の年末に、診断を実施してもらいました。

ニーズに合わせ、年4回のチケット制で診断を継続的に実施

当社のサイバーセキュリティ診断を利用されてみて、いかがでしたか？

山本様：やはり専門知識を持つエンジニアによる診断だと、細かく丁寧に見てもらえるので安心でした。特に「ミッテル」は関係者と情報を共有できるのが特徴なので、実際にエンジニアに見ていただきアドバイスや対応方法も合わせて提案いただきスムーズに課題を解消することができたのはありがたかったです。

現在は、年4回のサイバーセキュリティ診断を契約されていますが、そうされた経緯を教えてください。

山本様：「ミッテル」リリースの翌年も年末に1回の診断を予定していましたが、「マイナーリーグ」では小さいものだと2週間に一度は改修を行っており、更改時にも何度か診断をしてもらっていました。
そのような中AGEST社から、診断の都度の発生する契約手続きなどの軽減、予算管理や調整のしやすさ、継続的なサポート品質の向上など両社間でスムーズな運用を行うための年契約のチケット制を提案されたので、ある程度の更改箇所が溜まるタイミングを考え、年4回の診断を行うこととしました。

近藤様：年4回なので、結果的に3ヵ月ごとくらいのペースで定期的に実施しています。
１～2年に1回の診断で多くのポイントを見るよりも、短い周期で診断することで、自分たちが改修した部分に問題がなかったかを時間を置かずに確認できるので安心ですね。

診断のスケジュールも固定ではなく、1ヶ月くらい前にAGEST社から声をかけてくれますので、余裕を持って診断日程を設定しています。

顧客の中で最も要望の高いセキュリティレベルに応え、信頼を獲得

診断結果のレポートの内容についてはいかがですか？

近藤様：分かりやすいですし、対応方法も具体的で迷うことがありません。そもそもセキュリティ対策というのは限りがないもので、どこまでやるかの判断が難しいと感じています。
その点、AGEST社のレポートでは、それぞれの対応方法について実際のリスクや影響度がどれくらいあるかなど、判断材料が提示されるので意思決定がしやすいです。
たとえば、ある脆弱性を突破するにはいろいろな手順を踏む必要があるようなレアなケースで、かなりの工数をかけて対応した場合に担保される堅牢性とのバランスなどで、今その対策をやるかどうかを考えられます。

そのほか、定期的に当社のサイバーセキュリティ診断を受けていることでの成果や効果はありますか？

山本様：そもそも年4回という頻度は、取引先の中でも外資系企業など、コンプライアンスを非常に重視されるお客様からの要望を基準としています。そのように高いレベルの要望に応えることで、他のお客様にとっても当社サービスへの信頼や安心につながっていると思います。
実際に、そのレベルのサイバーセキュリティ対策を行っていたことで先方企業の要件を満たし、受注に至った例もあります。

近藤様：サイバーセキュリティ対策は、手厚く行うに越したことはない一方で、コストは無尽蔵にかけられるわけではありません。当社では、診断を実施する回数は多くてもそこでチェックする箇所を絞り、改修した部分を中心に診断してもらうことでコストを抑制できています。

以前のツール診断よりは全体的なコストはかかっていますが、エンジニアにより細やかに行ってもらえていることを考えると費用対効果には満足しています。

診断時のアドバイスをふまえ、改修もセキュリティをより意識するように

貴社のサイバーセキュリティ対策について、今後の展望をお聞かせください。

近藤様：改修をする際に、それまでのサイバーセキュリティ診断でのアドバイスをもとに、留意すべき点を意識できるようになりました。

また、AGEST社では修正対応した脆弱性について再診断を行ってくれます。自分たちで行った修正に問題がなかったかがその時点で分かるので安心ですね。こうしたプロセスを重ねていくことで、システム開発の技術や精度も向上していると思います。

山本様：そもそもサイバーセキュリティの専門人材を雇用するのは、中小企業には難しいこと。ですから、AGEST社のような専門家集団に依頼をして、ポイントポイントで必要な部分をチェックしてもらい、その状況を当社の担当者2人が理解しているという現在の体制が、良いバランスだと思っています。診断の回数や箇所についてもニーズに応えてもらっていますので、今後も当社の事業展開と合わせて色々とAGEST社に相談していきたいです。

関連する事例

ソーバル株式会社

技術と経験に基づく適切なテスト設計・実施が求められるアジャイルテストをプロに依頼。開発者が本来業務に専念でき、トータルで品質向上を実現

株式会社デザインネットワーク

先進AI×Webサービス事業立ち上げに、不正アクセスの不安。サイバーセキュリティ診断で得たのは、セキュリティ対策に対する幅広い視野

LINEヤフー株式会社

ITトップ企業のQA課題を先進的コンサルで支援。ミューテーションテストによって品質を可視化、開発チーム内でのシフトレフト志向が定着。