クラウド会計ソフトやクラウド人事労務などを提供するfreeeでは、秘匿性の高い情報を取り扱っていることに加えて、上場企業としても、高い水準のガバナンス体制を構築しています。自社サービスはもちろんのこと、社内業務におけるセキュリティ対策も徹底するためCSIRTを含むセキュリティ専任組織を創業初期から組成しています。この度、社内で増加を続けるクラウド利用に対し、リスク評価を適切かつ効率的に行ったうえで、より安心安全なクラウド利用の推進のためAssuredの導入を決定いただきました。
導入に際し、freeeで全社のセキュリティ対策を担うCSIRTチーム 吉本 真一様にAssuredのご導入に至った背景をお聞きしました。
-
この度はAssuredをご導入いただき誠にありがとうございます。まず、freee様の現在のセキュリティ対策、およびクラウド活用の現状について教えて下さい。
吉本氏:
全国約33万のスモールビジネスのバックオフィス業務を支えるfreeeは、社内外の情報の取扱いに創業時から細心の注意を払ってきました。金融機関と同等レベルのセキュリティを構築するため、国際的な認証の取得などの取り組みもしています。
組織体制としては、CISO(Chief Information Security Officer / 最高情報セキュリティ責任者)を早い段階から設置し、データのセキュリティ・安定性・機密性を重視してきました。更に、CSIRT・PSIRTというセキュリティ専任組織を設置し、職種に関わらず従業員全員が参加するセキュリティ障害訓練などを定期的に実施しています。
クラウド活用に関しては、当社は、クラウドサービスをお客様に提供する事業者であると同時に、自社内においても様々なクラウドサービスを積極的に活用しています。社内のクラウド活用においては、セキュリティの安全面を徹底するため、セキュリティ専任組織にてリスク評価を行ってきました。
-
そうしたリスク評価業務において、どのような課題感をお持ちだったのでしょうか?
吉本氏:
安全面を担保すると同時に、急成長を続ける事業のスピードにも対応していかなくてはいけません。サービス導入を迅速に進めるため、評価項目を重要性が高く優先度の高いものに絞り、スピーディーな審査が出来るように取り組んできました。
そんな中、2022年4月に新たなCISOに、メガベンチャーでセキュリティ部門立ち上げ等に貢献してきた茂岩 祐樹が就任したこともきっかけに、より一層のセキュリティ体制強化に向けた取り組みを進めています。クラウド活用においても、社内で利用するサービスが増えてきたこともあり、評価品質の向上を図っていくことになりました。
その一方で、評価品質を高めるためには、更なる工数が発生し、専門的なノウハウも必要となります。これを仕組みで解決できるものはないかと探していたところ、Assuredを知りました。
-
そのなかで、Assuredに感じたメリットをお聞かせください。
吉本氏:
1つ目に、専門家による第三者評価を得られるため、評価の品質向上を実現できること です。クラウドサービスのリスク評価を適切に行うには、様々な観点における専門知識が必要です。例えば、ソフトウェアの場合、ドライバーの技術背景の確認などコードによる技術的解釈が可能ですが、SaaSなどのクラウドサービスにおいては、データの扱いに関わる法的な解釈が必要になり、これが非常に難しいのです。データにまつわる法律の理解や解釈の範疇が人によって異なるため、属人的な評価に頼らざるを得なくなってしまいます。また、こうした法律やガイドラインは、社会情勢に合わせて随時改訂されます。それらを全てキャッチアップし、評価に組み入れていくことは困難でした。Assuredを活用することで、専門家による中立的な第三者評価情報を得られ、また最新の状況に合わせて情報更新がされるため、評価基準の統一及び品質向上に繋げられることに魅力を感じました。
2つ目に、工数削減により、より本質的なセキュリティ対策に時間を割ける ということです。網羅性や評価品質を高めようとすると、専門知識の有無に関わらず、担当者の工数負担が重くのしかかります。当社はIT企業でもあることから、社員が利用したいと思う外部サービスも多く、このサービスを利用したいという申請は年間400件程度に登ります。これらを一つ一つ審査し、各サービスの日々の更新情報を追っていくには膨大な工数が発生します。この評価業務をAssuredのプラットフォーム上で完結することで、大幅な工数削減に繋がるとともに、その時間を他の施策に割くことで、より高いレベルでのセキュリティ対策を実現できると感じました。
3つ目に、リスク評価基準の統一化を目指したいというAssuredの世界観に共感 したことです。
現状、クラウドサービスにおけるリスク評価に統一化された基準はありません。そのため、各社が独自にリスク評価を行い、属人的な判断をせざるを得ません。そうした評価プロセスは非効率でクラウド活用推進の足かせにもなっています。Assuredがプラットフォーム上で世の中のクラウドサービスのリスク評価情報を集約することで、評価基準を統一化させていくことが可能だと思いますし、それにより、クラウドを利用する企業、提供する事業者にとって、大きなメリットになると期待しています。
-
そのようにご期待いただけて大変光栄です。引き続き、社会全体でのクラウド活用促進の一助となれるよう精進して参ります。
【freee株式会社について】
freeeは「スモールビジネスを、世界の主役に。」というミッションのもと、だれもが自由に経営できる統合型経営プラットフォームを実現します。日本発のSaaS型クラウドサービスとして、パートナーや金融機関と連携することでオープンなプラットフォームを構築し、「マジ価値」を提供し続けます。
【クラウドリスク評価「Assured(アシュアード)」について】
Assuredは、国内外のクラウドリスク評価情報を一元化したデータベースです。セキュリティの専門資格を保有するリスク評価チームが、主要なセキュリティガイドラインやフレームワークに基づき調査した最新のセキュリティリスク評価情報を提供します。各社が独自で行ってきたクラウドリスク評価業務を効率化するとともに、シャドーITの検知、利用サービス管理により、リスクの把握から評価、管理の運用をサポートし、企業の安全なクラウド活用を実現します。
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。