無料セキュリティコンサルになるSecure SketCHのスゴさ【無理やりセキュリティ担当に任命された私の救世主】

こんにちは！
情シス支援サービス「シスクル」を提供しているDXER株式会社でコーポレート担当をしているササキです。

今回は、セキュリティ対策の一環で実施した「SecureSketCH導入」について実施内容とその振り返りについて書いてみました！

「セキュリティの知識なんて全然ないのに、情シス担当がまだいないから自分がどうにかしないといけない」そんなコーポレート担当の方々へ参考になれば嬉しいです！

※本noteはSecure SketCHのPRやアフィリエイトではございません。純粋に使ってみてよかったので紹介させていただいております！

それでは早速いってみましょー！

■Secure SketCHを使ってみた

弊社は、セキュリティ対策をしなければならないことは漠然と理解しているものの、何をどうすれば良いのかが全く分からないところからスタートしました。

・シード期でまだ情シス担当者はいない
・IPOを目指すためにセキュリティ対策はしないといけない
・とりあえずコーポレート担当が対応しないといけない

という様な状況は、結構あるのかな〜と思っています。

この状況を解決するためには、次の3つの選択肢がありました。

①なんとか自力でやる
②専門家人材を入れる
③ツールを入れる

リソースと予算を考慮した結果、弊社では③ツールを入れるで解決を目指すことにしました。

①なんとか自力でやる
⇨ 自社リソースの限界があるので不可能
②専門家人材を入れる
⇨ 予算がない+最適な人材を見つけるのが難しいので却下
③ツールを入れる
⇨ リソースと予算のバランスが良さそう

そして、今回は無料で利用できるSecure SketCHを導入するに至ったのです！

■今の自社のセキュリティ水準が可視化された

Secure SketCHに登録すると、セキュリティの対策状況に関する質問に回答できるようになり、回答後その場で診断結果が表示されます。

診断結果は得点や偏差値で示されるので、自社のセキュリティ対策状況がどれくらいヤバいのかが直感的に分かるようになっているのが特徴的です。

本当は嫌ですが、弊社のSecure SketCHの診断結果を公開します…。

この評価だけでは具体的に何が問題なのかは分かりませんが、「早期に対策の徹底を図りましょう。」言われていますし、とにかくヤバいことだけは分かりますよね。笑

「最低限対応すべきもの」が分かった

Secure SketCHは診断結果が出ると、3つのレベルに分けて何をどのように対策すべきか教えてくれます。

「すぐ対応しましょう」のマークが付いたものは、最低限対応すべきものとしてタスク化し対応を進めました。

セキュリティ対策における「最低限」も分からない状況だったので、無料でここまでできるのはとってもありがたかったです…！

「何をいつ対応するか」を決めた

「対応しましょう」のマークが付いたものは、リソースや予算の関係ですぐには対応できないものが多くあります。

しかし、このまま放置していると可視化した意味がないので、「いつ対応するか」を決めておくことにしました。
具体的には、「社員数が◯人以上になったら」や「取引企業数が◯社以上になったら」というように、会社のフェーズ等を基準としました。

現時点で対応していないことには変わりはありませんが、いつやるかを明示的に決めることで「なんとなくできてない感・追いついていない感」は解決することができ、メンタル的に健全化されたことが大きいです。

一方、「対応しましょう」のマークが付いたものが大半を占めるので、その中での優先度を決めるのが難しく、自社最適解を出せているのか不安が残りました…。

■セキュリティ対策の在るべき状態が分かった

Secure SketCHは、セキュリティ対策を4つのカテゴリに分類し、それぞれのカテゴリの対策状況の評価が示されるようになっています。

その上で、各カテゴリのベストプラクティスが示されるので、現状を棚卸しすることで理想とのギャップと具体的に対応すべきことが見えてきます。

実際にこの評価を受けて具体的な対策として実施したのが、以前noteにした「アカウント管理」です。
▶︎シード期のスタートアップが社内SaaSアカウント管理を始めたけど早速ワークしなかったです。

具体的なタスクは見えきらない

このようにセキュリティ対策の全体像やベストプラクティスを示唆してくれるSecure SketCHですが、具体的なタスクまでは分からないという難点もあります。

このベストプラクティスを自社に落とし込むために、具体的にどのようなツールを使って・どのような運用をしていく、というような部分の構築は、自力で行わなければなりません。

また、タスクが完了したとしても、果たして本当にセキュリティ対策の面で「完了」の状態になっているのか不安が残りました。そう考えるとやはり専門家からのアドバイスも必要かという気持ちにもなりますね。

とはいえ、手がかりもない状態から随分と解像度が高まることに間違いはないので、どこから手をつけたらいいか分からない方にはおすすめできるツールです！

■セキュリティ対策運用のコツ

Secure SketCHを活用しながらセキュリティ対策を進めていくにあたってコツがあります。それは、経営陣などの意思決定者を巻き込んでプロジェクトを進めることです。

弊社では、経営陣を巻き込んでセキュリティ対策プロジェクトを発起し、MTGにも参加してもらいながら進めていきました。結果、各所の説得や細かな調整が不要になったため、かなりスムーズに進められた印象があります。

もう少し大きな組織だと、従業員への周知や依頼に工数がかかったり、会社の大切なリソースをセキュリティ対策に使うこと自体にネガティブな反応を示されることもあると思います。

そういう場合は特に、経営や組織運営にコミットしている立場の理解が大切だと思いました。

■Secure SketCHは何が課題か分からないレベルの状況から脱却できる

今回の学びは、「セキュリティ対策を自力でやり切るのは難しい」ということです。

正しいセキュリティ対策を実施するためには、

①セキュリティ対策のゴールを設定
②現状の分析
③ゴールとのギャップを埋めるロードマップを策定

が必要です。
今回導入したSecure SketCHは、「②現状の分析」の役割を担うことができると言えるでしょう！使えばすべて解決するわけではありませんが、少なくとも手がかりを見つけることはできると思います。

①セキュリティ対策のゴールを設定
⇨ 自社最適解を見いだせない
②現状の分析
⇨ ベストプラクティスとの比較はできる
③ゴールとのギャップを埋めるロードマップを策定
⇨ 具体的なタスクは見えきらない

弊社の場合は、現在の運用だけでは正しいセキュリティ対策が実施できないと判断したため、今後は専門家人材に入っていただき、より具体的な対策を進めていく予定です。その人材を探し、業務依頼するための基礎知識を身につける意味でも、全体像を教えてくれるツールの存在にとても助けられました。

Secure SketCHを導入したことで、「何をどうすれば良いのかが全く分からない」という状況からは脱却できたため、セキュリティ対策の第一歩として利用するにはぴったりのツールだと思います！ぜひみなさんも一度お試しください！

■「情シスが来る」サービスを作りました！

弊社DXER株式会社は、企業を後押しする情シスに変革させるサービス「シスクル」を2021年7月14日（水）よりサービス開始いたしました！

「シスクル」は、ひとり情シスの悩みを情シス専門人材のシェアによって解決するサービスです。「情シスが来る」ので「シスクル」です。

情シス人材でお困りの方がいらっしゃいましたら、ぜひご活用ください！
詳しい情報は下記よりご覧いただけます。

企業を後押しする情シスに変革させるサービス「シスクル」

Twitterもあります

日々のコーポレート業務で得た気づきを発信してきたいと思います。
興味を持っていただける方はぜひフォローしてみてください！