約20年変わらない「文系のセキュリティ」の景色をアップデートする、SecureNaviの挑戦
こんにちは、SecureNavi株式会社 代表取締役CEO の井崎です。SecureNavi株式会社として初のアドベントカレンダーの取り組みで、記念すべき1日目を担当することになりました!
本日から25日間にわたり、SecureNaviのメンバーが多種多様なコンテンツをお届けしますが、初回を飾るこの記事では「今後の日本の文系のセキュリティ」という、至って真面目な内容をお届けしようと思います。
私たちが「文系のセキュリティ」領域に取り組む理由
突然ですが、みなさんは、セキュリティと聞いてどのようなイメージを持ちますか?ウイルス対策ソフトやファイアウォールなどといったツールをイメージする方が多いのではないでしょうか?何やら難しそうな領域に見えます。こういった多くの方が想起するような技術力が求められるセキュリティ領域を、私たちは「理系のセキュリティ」と呼んでいます。
一方で、セキュリティに重要なのは「技術」「ツール」だけではありません。例えば、社内規程、セキュリティ体制の整備、リスクアセスメント、教育、内部監査、第三者認証、インシデント対応など、組織における非技術的なセキュリティ領域が存在しています。組織としてセキュリティに取り組むうえで、この領域を忘れる事はできません。この領域を私たちは「文系のセキュリティ」と呼んでいます。
この領域ですが、アメリカでは「セキュリティガバナンス」「セキュリティコンプライアンス」といった呼称で呼ばれています。日本では「ガバナンス」「コンプライアンス」という言葉は馴染みがない、もしくは原義と比較して狭義的な意味で使われることが多いため、あえて造語である「文系のセキュリティ」という言葉を利用しています。
なぜ私たちが「文系のセキュリティ」領域に着目しているのか。それは、この領域が時代の進化に対し、大きく遅れていると考えているからです。技術の進化に伴い、理系のセキュリティ領域は大きく進化しました。20年前のウイルス対策ソフトでは、今日のモダンな脅威に対応することはできません。
しかし、文系のセキュリティは20年間ほとんど進化していないように見受けられます。20年前から、社内規程はWordで、様々な記録や台帳はExcelで管理されてきました。内部監査の多くの手続きは手動で自動化されておらず、リスクアセスメントは巨大なExcelマクロの前に数字あそびに終始してしまう。この景色は20年前から変わりません。私たちは、この文系のセキュリティの景色を大きくアップデートしていきたいと考えています。
日本の約5年先を行く、アメリカのセキュリティコンプライアンス
上述のような、日本の情報セキュリティ(特に「文系のセキュリティ」)に対する状況や意識は、アメリカと比べて5年程度遅れていると考えています。未来の景色を語るために、先を行くアメリカのトレンドを見ていきましょう。ここからは「文系のセキュリティ」ではなく「セキュリティコンプライアンス」という言葉を使います。
アメリカのセキュリティコンプライアンス市場を語るうえで欠かせないのは、VantaとDrataの2社です。それぞれ2017年と2020年に創業されたスタートアップ企業で、いずれもユニコーン企業として評価されています。これらの2社の展開を考察することで、文系のセキュリティの未来を覗いてみましょう。
信頼と収益
まず、彼らのマーケティングに着目すると、日本のセキュリティ企業には見られない特徴が見られます。それは「Trust」という言葉が多用されていることです。彼らの特徴は、セキュリティへの取り組みは企業の信頼の獲得のためであり、信頼を獲得することで売上や収益を向上させることができると主張します。
その証拠として、例えば、Vantaのプロダクトのダッシュボードには「Total revenue influenced」(収益への影響の合計)というグラフがあり、セキュリティの取り組みによる企業の収益への影響額を、実際の金額として数値化しています。
日本では「セキュリティの取り組みはコストか投資か」という議論が度々行われます。VantaやDrataが提供する世界観においては、これらの議論は机上の空論ではなく、明確に数字として示されます。これにより、自社のセキュリティの取り組みが、顧客からの信頼(Trust)を構築し、その結果として売上や収益につながる世界を実現しています。
APIを中心としたエコシステムの構築
これらの2社は、もともとSOC2の自動化ツールを提供することから事業を開始しました。SOC2とは、語弊を恐れずにシンプルに言うと、日本で言う「ISMS」のようなもので、アメリカで一般的に利用されてるセキュリティの基準です。
この基準に対応するために、VantaやDrataでは、Word/ExcelではなくAPIを活用します。社内で利用している様々なシステム(例えば、人事システム、オフィススイート、会計システム、開発システムなど)と連携することで、データを収集し、自動的に準拠状況を可視化し、そのギャップを明確にできます。
このことがよく分かる体験として、Vantaのサービス開始時のオンボーディングプロセスがあります。アカウントを発行すると、サービス利用の第一歩目として「各種サービスとの連携をしましょう」から始まるのです。
日本の伝統的な「セキュリティ基準への準拠コンサルティング」は、プロジェクトの開始時の第一歩として、コンサルタントを雇用し、担当者の紹介や、Excelを用いた支援スケジュールの作成が行われますから、取り組みのベクトルが大きく違う事がわかります。
セキュリティデータをコアとしたコンパウンドな展開
最後に紹介したい特徴は、データを基とした、コンパウンド的な事業展開を行っていることです。現在、VantaやDrataは、サプライチェーンの管理、トラストセンター、セキュリティアンケート自動回答、GRCツールなどの多角的なサービスを提供しています。これらの元となるデータは、すべて共通です。
現在、日本の多くの企業においては、セキュリティのデータがサイロ化されてるのが現状です。例えば、外部審査の資料はセキュリティ担当者が保有しており、最新の規程は総務部が保有しており、経営リスクの分析資料は取締役会が保有しており、お客様へのセキュリティの説明資料は営業部が保有しており、リード管理のためのプライバシーポリシーはマーケティング部が保有している、といった状態が多く見られます。これらのサイロ化されたデータを統合管理することで、効率の良いセキュリティコンプライアンス体制を構築することができます。
日本のセキュリティコンプライアンスが進まない3つの要因
以上、アメリカにおけるセキュリティ・コンプライアンスの現状を、VantaとDrataの2社の展開から読み解いてみました。ところで、なぜ日本はこのような取り組みが進んでいないのでしょうか?その理由は大きく3つあると考えています。
1. 人材の不足
セキュリティコンプライアンス自動化のソフトウェアを展開するためには、2つの知見が必要です。1つ目はセキュリティに関する専門的な知識です。様々な規制に関する知見や、最新の情報セキュリティに関する総合的な知見が必要となります。ただでさえセキュリティ人材は不足していると言われており、人材獲得競争が進む中、これらの人材を獲得する難易度は非常に高いです。
そして2つ目は、SaaSビジネスの知見です。これらは一般的に言えることではありますが、事業成長においては、顧客中心のリーンな製品開発、サブスクリプションベースの収益モデルとKPI管理、LTVを重視したCSの考え方、データドリブンなプロダクトマネジメント、マルチテナントアーキテクチャの検討などが必要となります。日本では、文系のセキュリティは伝統的に「コンサルタント」が担っており、彼らはコンサルティングとしてスポット収益を上げるビジネスモデルとなっていることが多く、この領域全体において、特に後者に関する知見が十分ではない状態が続いています。
2. コンサルタント信仰
また、前述したセキュリティ人材の不足からも推定できるように、ユーザー企業におけるセキュリティ担当者が不足している状況もあります。そのため、自社のリソースのみでセキュリティを維持することができず、外部ベンダーやコンサルタントに依頼(ときには丸投げ)の構造になることがあります。本来であれば、専門的な知識や支援を行い、ユーザー企業のセキュリティレベルを上げるためのコンサルタントが、単なる作業代行により収益を上げている状況も見受けられます。
あるコンサルタント出身の業界関係者からは「自分たちがコンサルしすぎると、ユーザー企業が自分たちで取り組めるようになっちゃうから、来年も依頼してもらえるようにほどほどに支援する」といった話を聞くことがありました。スポット売上を重視する従来のビジネスモデルの不適切な点が露呈しているように感じます。この、持ちつ持たれつの現状がある以上、ユーザー企業が主体的にセキュリティの取り組み改善をしていくことが難しい状況が見受けられます。
3. 事業内容との親和性
セキュリティといえば守りのイメージが強く、攻めの「DX」や「イノベーション」とは対局の存在として語られることがあります。また、セキュリティ担当者は一般的に「インシデントを未然に防ぐ」ことが業務における主目的となり、どうしても現状維持のインセンティブが働きやすい構造です。そのため、セキュリティ担当者は保守的な方が多く、攻めの指向性をお持ちの方は少ない印象です。これにより、堅牢なセキュリティが今まで維持されてきたことは事実です。ただ、その一方でイノベーションが生まれにくい業界文化になっていることは否めないのではないかと考えています。
SecureNaviの「これまで」と「これから」
このような、日本におけるセキュリティコンプライアンスの進化のための課題をクリアするため、SecureNaviでは様々な取り組みを進めてきました。そして今後も進めていく予定です。そんなSecureNaviのこれまでとこれからを紹介します。
「これまで」
SecureNaviは、日本でもアメリカと同様の「文系のセキュリティのDX」の波を起こすべく、2020年に創業して、今まで事業を展開してきました。現在、弊社のサービスの導入社数は継続的に伸びており、業界の中でも一定の知名度を獲得することができています。特に、ISMSとPマークの2領域においては「SecureNaviが登場する2020年を境に、大きく業界の潮目が変わった」と自負しています。
業界の内部からも、「もうこの領域はSecureNaviが最先端だね」といった声を伺うことが多くなりました。ただ一方で、数字を客観的に観察すると、まだマーケットシェアの10%も取れていません。キャズムを超えているかと言われると、まだ微妙なラインです。
そんな中、2024年は様々なことに取り組んできました。
ピッチ登壇
2月には、ICCサミット FUKUOKA 2024の「Digital Transformation(DX) CATAPULT」に登壇しました。昨年の IVS、B Dash Camp に続くピッチ登壇となり、スタートアップ関係者をはじめ、多くの皆様から注目をいただくことができました。
機能改修
事業面では、2月にセキュリティチェックシート回答機能をリリースしました。現在でもAIを活用した機能改善がどんどんと進んでいます。
ガイドライン対応範囲の拡大
また、ISMS・Pマーク以外のガイドライン対応もどんどん進んでいます。3月には「ISMAP」に、4月には自動車業界のデファクトスタンダードでもある「自工会/部工会・サイバーセキュリティガイドライン」に対応しました。
アライアンス締結
多くのパートナー様にも恵まれました。6月には株式会社マクニカ様とパートナー契約を締結し、9月には、SB C&S株式会社様とのアライアンスを締結しました。弊社一社だけでは実現できない価値提供に向けた取り組みを、引き続き行っています。
FTR認定取得
自社プロダクトのセキュリティにも力を入れており、10月には社内のエンジニアの多大な尽力があり、AWS FTR認定を取得することができました。
従業員数は足元で70名を超え、国内スタートアップでも有数の社員数増加率となりました。創業から5年目。多くの信頼できる仲間と一緒に、今後も業界をアップデートしていきたいと考えています。
「これから」
キャズムを超えるためには、さらなる工夫が必要です。まだ外部には言えない情報も多いですが、この業界で数少ないスタートアップとして、新しいことにドンドン取り組んでいきたいと思っています。現在も社内では、ワクワクする様々な企画や新規事業が同時並行的に立ち上がっています。
SecureNaviの面白いところは、スタートアップでありながら、既存事業のグロースの勢いと、新規事業の立ち上げの泥臭いところを両取りできるということです。目指すべきビジョンはとても大きく、目標とする数字はとても高いです。正直なところ、とても辛く、厳しい一面もある仕事ですが、ただその分、とてもやりがいがお約束できる仕事です。ぜひ、興味のある方はお気軽にコンタクトいただければと思います!
本日から始まる「SecureNavi Advent Calendar 2024」では、そんなSecureNaviの社内の様子が少しでも伝わればと思います。これ以降の記事も、ぜひご覧いただければと思います!
明日12/2の記事は、基盤開発部の勝山さんの記事「AWS FTR認定への取り組み方です」🎄
■採用情報
■カジュアル面談一覧
■募集ポジション一覧