ブログ|NRIセキュア

事業責任者が語る「Secure SketCH」の価値|セキュリティ評価のデジタル革命

作成者: 足立 道拡|2021/10/12

2018年4月25日にローンチした Secure SketCH。多数の会員企業に支えていただき、セキュリティ評価SaaSとして、4年目を迎えることができました。


これまで Secure SketCH を続けてこれたのは、Secure SketCH に関わるすべてのステークホルダーの皆さまと、日々の業務で培った専門性やお客様視点での気づきを Secure SketCH にフィードバックし、応援し続けてくれたNRIセキュアおよびパートナー企業の仲間がいたからこそ。

本ブログでは、Secure SketCH を使っていただいている人、Secure SketCH を作ってきた人、すべての人に心からの感謝を込めて、Secure SketCH が大切にしているパーパス・ミッション・ビジョンと、Secure SketCHのこれからを書いてみます。

 

 

 

企業が抱えるセキュリティの課題とは?

昨今の企業におけるセキュリティの要点をまとめてみます。

  1. 日本でデジタル革命(DX)が進展、これはメガトレンド(10年続く)になりうる

  2. ニューノーマルの文脈で、テレワークが働き方の主流になっている

  3. ランサムウェアやサプライチェーン攻撃によるインシデント被害が後を絶たない

 

サイバーリスクに着目すると「狙われる企業」と「狙う攻撃者」の関係性や問題点が見えてきます。

 

企業では、デジタル革命(DX)やテレワークが急速に進んだことで、企業内の情報資産やITをインターネットを経由して利用しています。これは、企業にとってインターネットに接する境界が広がったことを意味します。

 

一方で、近年では「Attack Surface」いうセキュリティ用語が注目されています。攻撃者にとって、この広がりはサイバー攻撃がしやすくなることを意味します。また、攻撃者はサイバー攻撃を成功させるために、組織的に繋がり、サイバー攻撃をプラットフォーム化しています。

 

Secure SketCH チームは、これまで多くのユーザーの声を聞いてきました。

その結果、企業のセキュリティ担当者が抱えている課題が、3つあることに気づきました。

  • 1.「サイバー攻撃の高度化」→ 現状のセキュリティ対策のままで防げるのか
  • 2.「新聞・TVのセキュリティ事故報道」→ 経営層から ”ウチは大丈夫か?” と問われる
  • 3.「規制・基準のアップデート」→ 複数の新しい要求事項を把握し、更新し続ける苦労

 

多くの企業は類似したセキュリティの課題に悩んでいますが、その一方で各社ごとに個別のセキュリティ対策をしているのが実態です。

 

具体的には、下記のようなセキュリティ業務を、各社ごとに個別実施しているケースが多く見受けられます。

 

  • 【課題1】先人から受け継がれてきた自社セキュリティ評価基準を部分的にアップデート
  • 【課題2】経営者に問われるたびに、セキュリティ関連レポートの内容を都度アレンジ
  • 【課題3】ガイドラインがアップデートされるたびに、既存チェックシートと再マッピング

 

一方で、サイバー攻撃者は攻撃者同士のエコシステムを通じて、グローバルでつながり、より効率的な攻撃手法や新しい脆弱性情報を共有することで、攻撃の成功確率を高めています。すなわち、サイバー攻撃者のROIは、日々アップデートされています。

 

日本全体でセキュリティ人材が慢性的に不足している現代において、このような状況は不効率だと考えています。

Secure SketCH がもたらす価値

Secure SketCH は、企業のセキュリティ担当者に価値ある効率性をもたらします。

 

 

 

Secure SketCH は、企業のセキュリティ担当者にとって頼れる右腕・仮想参謀のような位置づけで、セキュリティ評価のすべてをWebで実現できます。

1.Webで75個の設問に回答するだけで、セキュリティ評価を手軽に開始

2.自動で集計して現状を数値で見える化(スコア、ランク、偏差値など)

3.問題点だけでなく、改善案をベストプラクティスとして提示

 

また、企業のセキュリティ対策の現場でよく見られる個別課題を、具体的な解決に導きます。

 

  • 【課題1】先人から受け継がれてきた自社セキュリティ評価基準を部分的にアップデート
  •   ↓
  • 【解決1】Secure SketCH の標準設問セットを活用すれば最新のチェックが可能に

【Secure SketCH】評価について

 

 

  • 【課題2】経営者に問われるたびに、セキュリティ関連レポートの内容を都度アレンジ
  •   ↓
  • 【解決2】Secure SketCH の評価画面やレポート機能を活用してスマートに報告

【Secure SketCH】レポート出力について

 

 

  • 【課題3】ガイドラインがアップデートされるたびに、既存チェックシートと再マッピング
  •   ↓
  • 【解決3】主要なガイドラインの要点把握や更新対応を Secure SketCH に任せる

【Secure SketCH】ガイドラインチェックについて

 

企業内新規事業としての Secure SketCH

Secure SketCHの前身となる企画は、2016年にNRIセキュア社の企業内新規事業の1つとしてスタートしました。

Secure SketCH の出発地点

当時、Secure SketCH の初期企画・構想をつくっていた4人の創業メンバーは、共通の課題意識を持っていました。

 

 

 

それは、「セキュリティをもっと簡単に・わかりやすいものにしたい」という挑戦でした。

高度なセキュリティの専門性を持っている人だけでなく、これからセキュリティ対策を始めたい人、まだセキュリティに自信がない人にも、気軽かつ簡単に、長く使ってもらえる。

 

そんなセキュリティ評価サービスを創り出したいと願っていました。まだ、Secure SketCH という名前も、サービスコンセプトさえもなかった頃のお話です。

セキュリティ評価SaaSという解決策

創業メンバーは、いずれもセキュリティコンサルタントが出自で、かつ企業における情報セキュリティ実態調査(NRI Secure Insight)を2013年から担当してきたメンバーでした。

 

これまでに、多くの企業のセキュリティ評価をコンサルティング支援してきた強みを活かし、セキュリティ専門家として培ったナレッジ・経験・魂を詰め込んだセキュリティ評価SaaSという解決策にたどり着きました。

 

 

 

 

Secure SketCHの構想段階において、もっとも拘った点は、セキュリティをシンプルなものにしたいという想いでした。

 

初代Webデザイナーの方に、そんな想いをストレートにぶつけたところ「すっきり・中立・信頼」というデザインコンセプトに基づいたプロトタイプの提示があり、そこから見る人を選ばない、わかりやすいユーザーインターフェースにたどり着きました。

 

【セキュリティ評価Web】Secure SketCH - セキュリティ対策実行支援プラットフォーム 

 

Secure SketCH カルチャー

ここからは、普段はお伝えする機会がないSecure SketCH の内側のプロセスを紹介します。

 

まずは、Secure SketCH チームが大切にしているカルチャーの話です。

Secure SketCH パーパス(Purpose)| 提供目的

組織や距離の壁を超えて、共に助け合える、セキュリティ前提社会の実現

なんのためにセキュリティ評価SaaSを提供するのか?、なぜそれをやっているのか?

 

そんな Why に対して、Secure SketCH チームが導き出したパーパスは、我々の事業の根幹です。

 

  • 1.「サイバー攻撃の高度化」→ 現状のセキュリティ対策のままで防げるのか
  • 2.「新聞・TVのセキュリティ事故報道」→ 経営層から ”ウチは大丈夫か?” という問い
  • 3.「規制・基準のアップデート」→ 複数の新しい要求事項を把握し、更新し続ける苦労

 

多くの企業は、類似したセキュリティ課題に悩まされています。

 

これらの課題を踏まえて、Secure SketCH は、企業のセキュリティ担当者の自助・共助・公助を支援するプラットフォームとして、「企業間の壁」や「企業の立地による距離の壁」を超えた価値提供を目指しています。

 

そして、セキュリティ担当者の業務生産性のさらなる向上にも寄与していきます。

 

自分たちの掲げた、言うは易く・行うは難しい

 組織や距離の壁を超えて、共に助け合える、セキュリティ前提社会の実現

というパーパスは、Secure SketCH というプラットフォームを提供し続けることで、具体的な形・結果にできると信じています。

Secure SketCH  ミッション・ビジョン・バリュー

Secure SketCHは、日本だけでなく、世界に通用するセキュリティプラットフォームを創ることを目指してきました。

 

しかしながら、新規事業をゼロイチに変えていく過程は、想定外の困難と苦労の連続でした。

自分たちが迷った時に、自らを律する・勇気づける・覚悟を再確認するための言葉が必要でした。

 

そこで、Secure SketCH チームが大切にすべきMVV(Mission, Vision, Value)を作りました。

 

 

そもそも新規事業とは不確実性と向き合い続けることが大前提。とくに、Secure SketCHのような新しいSaaSをゼロから作り、顧客を創造するところから始まる場合は、尚更のことでした。

 

会社や専門性が異なる人たちが、Secure SketCH をより良いプロダクトをするために、ワンチームになる。そのような環境に、化学反応と融和をもたらすためには、各自の違いや強みを認め合った上で、プロダクトとしてのまとまりをつけていく必要があります。

 

常にギリギリや難しい意志決定をする機会が多いからこそ、より良いプロダクトを提供するために、チームとしての約束事や価値観を整えておくことが大事だと信じています。

 

その姿勢は、これからも変わりません。これからも、Secure SketCH会員の声に真摯に向き合いながら、(拘りを持ちつつも)必要に応じてパーパスやMVVをアップデートし続けます。

Secure SketCH チーム

つぎは、Secure SketCH の特長でもある多様性にあふれるチームについて書きます。

 

最新のチーム構成からも分かる通り、内製アジャイル開発のSaaS事業では、セールス、マーケティング、デザイン、BI、アジャイル開発、SRE(Site Reliability Engineering)など、多様かつ異なる専門性が同時に求められます。

 

Secure SketCHは、企業内新規事業として始まりましたが、当時のメンバーはいずれも新規事業立上げの経験やSaaSプロダクトの企画・運営実績はありませんでした。

『餅は餅屋』 何事においても、それぞれの専門家に任せるのが一番良いということ

そこで、Secure SketCH チームは「餅は餅屋」の理論で、社内・社外を問わず、その道のプロと呼ばれる専門家と柔軟かつオープンにコラボし、同じ志とカルチャーを共有する一つのチームになることで、足りない専門性を補いつつ、チームの多様化と学習・成長を継続してきました。

 

セキュリティ評価は、セキュリティ専門家の得意技。その方法論やナレッジをSaaSにすることで多くの企業にセキュリティ評価を体験してもらいたいというのが、Secure SketCH の着想の出発点でした。これも「餅は餅屋」の一つの実践です。

新規事業立上げ&アジャイル開発のパートナー

新規事業の立ち上げに際して、ソニックガーデン社(SG)と出会うことがなければ、Secure SketCHは、この世にリリースされることはありませんでした。これは断言できます。


SGの豊富な経験と実績に裏打ちされたゼロイチを具現化する力と新規事業の芯となるコンセプトや差別化要素を導出する力に、なんども助けられました。

ソニックガーデン社との具体的な取り組みは、以下の事例をご覧ください。

 

【お客様事例】企業のセキュリティ対策を劇的に変えるSecure SketCH(セキュアスケッチ)

 

デザインの組織文化への浸透を促進するパートナー

Secure SketCH にエンタープライズの顧客が増え、それにともなって複雑な機能も増えていく過程で、デザイン面の課題が顕在化しました。

 

ユーザーフレンドリーで、分かりやすいUI/UXを取り戻すという観点で、株式会社ルート(root Inc.)との出会いは画期的でした。


ルート社の標準化された方法論と豊富な経験に裏打ちされた再現性の高いデザインを組織文化として浸透させていく力のおかげで、Secure SketCH は再びデザインの重要性に気づき、プロダクトの強みを再認識することができました。

株式会社ルートとの具体的な取り組みは、以下の事例をご覧ください。

 

PdMやエンジニアもデザインを創る組織文化へ。「Secure SketCH」の事業拡大をプロセス改善とデザイン制作の二面から支援

 

 

なお、現在Secure SketCH チームでは、現在同じ志を持って、Secure SketCHのさらなる事業成長や拡大を支援してくれる仲間を増やすべく、積極採用中です。

 

Secure SketCHというプロダクトや多様性にあふれる組織のカルチャー・MVVに共感してくださる方は、是非とも下記Webサイトから、ご連絡ください。

 

NRIセキュア - 新卒採用とキャリア採用について

これからの Secure SketCH

今後のSecure SketCH は、企業のセキュリティ業務におけるデジタル革命(DX)を牽引するSaaSを目指していきます。

 

日本企業のセキュリティ評価業務には、3つの現状課題があります。

  • 【人材】セキュリティ人材の慢性的な不足、後継者の不足、採用ハードルの高さ
  • 【業務】Excelを駆使したマニュアルオペレーション中心の業務(重い、辛い、苦しい)
  • 【時間】回答の収集や分析で手一杯、セキュリティ対策の見直し・更新に時間を使えない

セキュリティ評価 × DX = Secure SketCH

日本企業が抱える現状のセキュリティ課題をふまえて、Secure SketCH は3つの階層におけるデジタル革命に貢献できると考えています。

 

DX 1.0 な視点では、セキュリティ評価業務の脱Excelを通して、セキュリティ担当者の業務をより効率的かつ効果的なものにしていきたい。

 

DX 2.0 な視点では、SaaSというビジネスモデルの特性を活かして、企業におけるセキュリティ評価を一過性の業務から、無理なく継続できる取り組みへシフトしていきたい。

 

DX 3.0 な視点では、セキュリティインシデントの発生で悲しむ・苦しむ人を無くす/少なくするために、未然の大切な一歩として、セキュリティ評価をあらゆる日本企業にとって、自然かつ当たり前の文化・習慣にしていきたい。

 

このような視点を常に持ち、実践し続けることで、Secure SketCHのパーパスを実現していきます。

Secure SketCH → セキュリティ担当者を笑顔に

さいごは、Secure SketCH がもたらしたい好循環についてです。

 

企業におけるセキュリティ担当者は、とても重要かつ大変な立場で、価値ある仕事をしています。

その一方で、その存在意義が認められず、達成感を感じることも難しいため、損な役回りと思われるケースもあります。

  1. サイバー攻撃を止めて当然、でも感謝されない
  2. サイバー攻撃が顕在化すると、非難され、後対応に奔走する
  3. あらゆるステークホルダーからのセキュリティの質問・疑問に対応し続ける
  4. どれだけセキュリティの重要性を伝えても、セキュリティ予算がつかない・増えない
  5. セキュリティ人材は不足しているのに、セキュリティ対策の守備範囲は広がっている

 

このような状況が続けば、企業においてセキュリティ業務を担当したい人は増えません。また、これからセキュリティ人材になろうとする人の志やモチベーションへの阻害要因にもなります。

 

それでは、慢性的なセキュリティ人材不足という課題は解決されず、Secure SketCHのパーパスである組織や距離の壁を超えて、共に助け合える、セキュリティ前提社会の実現

は、絵に描いた餅になってしまいます。

 

このような負のサイクルを打開するためには、持続可能な仕組み・仕掛けが必要です。

 

セキュリティ担当者の善意や個人のやる気だけに依存するのではなく、合理的かつ魅力的な好循環サイクルを作ることで、セキュリティ担当者のステータスを高めていく、その先にこそパーパスの実現があると考えています。

 

上記は、日本のセキュリティ業界を好循環サイクルにもたらすための青写真です。

 

Secure SketCH という、セキュリティ担当者にとって持続可能なセキュリティ評価の仕組みを提供し続けることで、そこから恩恵を受ける人を一人でも多く増やしていくことで、セキュリティ業界全般に理想的な好循環をもたらすことができると信じています。

 

これからも Secure SketCH をつうじて、「人に優しいセキュリティ評価のデジタル革命(DX)を推進していきます。今後とも、Secure SketCH および NRIセキュアグループへのご愛顧のほど、よろしくお願い申し上げます。