インタビュー

企業のセキュリティ対策を劇的に変えるSecure SketCH(セキュアスケッチ)[前編]

今回お客様事例で紹介する、NRIセキュアテクノロジーズ株式会社Secure SketCH(セキュアスケッチは、企業のサイバーセキュリティ対策のチェックと実行支援を行うプラットフォームです。

サイバーセキュリティ対策とは、コンピューターウイルスなどのマルウェアの侵入や不正アクセス、個人情報の漏洩などを、システムの導入や管理体制を整えることで防ぐ活動をいいます。

あらゆるサービスやシステムがインターネットでつながる今、企業はサイバーセキュリティ対策が欠かせません。しかし、セキュリティ人材と呼ばれる専門家の不足もあり、企業のセキュリティ対策は遅れているのが実情です。

そのような状況に対してSecure SketCHは、どんな人でもセキュリティ対策ができる世界を描きます。企業のセキュリティ対策状況を可視化するだけでなく、対策目標のプランニングとその実行をサポートし、セキュリティ対策を効率化するのです。

Secure SketCHのプロジェクトを担当する、足立道拡さんと川﨑聡太さん、そしてソニックガーデンのプログラマ、大野 浩誠、遠藤 大介の4人に、セキュアスケッチの開発エピソードを聞きました。

インタビューにご参加いただいた皆さん

  • NRIセキュアテクノロジーズ株式会社 部長 GRCデジタルプラットフォーム部・足立道拡さん
  • NRIセキュアテクノロジーズ株式会社 プロダクトマネージャー GRCデジタルプラットフォーム部 兼DevSecOps事業部 川﨑聡太さん
  • ソニックガーデン プログラマ 大野 浩誠
  • ソニックガーデン プログラマ 遠藤 大介

目次

    企業のセキュリティ対策を効率的に導くSecure SketCH

    ──まずは、Secure SketCH(セキュアスケッチ)について教えてください。

    NRIセキュアテクノロジーズ株式会社 部長 GRCデジタルプラットフォーム部・足立道拡さん

    足立の顔足立
    Secure SketCHは、企業のセキュリティ対策にまつわるすべての取り組みを、オンラインで支援するプラットフォームです。

    特徴は大きく2つあります。1つ目は自社のセキュリティ対策の状況が可視化されることです。
    セキュリティの専門家が考えた約80問の設問に答えると、自社のセキュリティ対策が国内企業約2,000社のうち、どのポジションにいるかを見ることができます。

    Secure SketCHのダッシュボード画面

    足立の顔足立
    2つ目の特徴は、自社に最適なセキュリティ対策の実行と管理ができることです。Secure SketCHがプランニングした、セキュリティ対策のロードマップにそって対策を行うと、効率的にセキュリティ対策を向上していくことができます。いわばSecure SketCHは、セキュリティ対策の羅針盤のような存在なんです。

    NRIセキュアテクノロジーズ株式会社 プロダクトマネージャー GRCデジタルプラットフォーム部 兼DevSecOps事業部 川﨑聡太さん

    川﨑の顔川﨑
    セキュリティ対策は、いまや経営課題となっています。しかし、専門性の高いセキュリティ人材が足りず、「具体的にどうやったら良いのかがわからない」という課題がビジネス社会全体にあるのです。

    そこでSecure SketCHは、最新のセキュリティトレンドや脅威の傾向に合わせた設問や情報を発信し、その企業にあったセキュリティ対策を提案しています。大企業を中心に、中小企業やスタートアップと幅広い企業にご利用いただいてます。
    大野の顔大野
    僕もプログラマとして、セキュリティ関連の情報は抑えていますが、テクノロジーが進化すればするほど、それにともなうセキュリティリスクが高くなり、対策方法も変わります。Secure SketCHは、つねに信頼性の高い情報を更新し、リスクへのケアを重視しているのがポイントですね。

    Secure SketCHのメインプログラマ、ソニックガーデンの大野 浩誠

    ──Secure SketCHのプロジェクトが立ち上がったのは、2016年とうかがいました。どのようなきっかけがあったのでしょうか。

    足立の顔足立
    当時の私たちは、2つの課題を持っていました。それは、メイン事業の1つであるお客様のセキュリティ対策支援(コンサルティング)と、社内業務の効率化です。セキュリティ対策への関心が高まる中、年々お客様からの支援依頼の数が増えていたのですが、対人での対応が必要なこともあり、ご相談をいただいてもすぐに対応できない状況が続いていました。
    川﨑の顔川﨑
    お客様と契約を交わしてからヒアリングなどを行い、セキュリティチェックのレポートを送るまでの、はじめのステップで、長いときには3か月以上お待ちいただくこともありました。お客様が困っているのに、すぐに対応できないジレンマが積み重なっていましたね。
    遠藤の顔遠藤
    お客様もNRIセキュアさんも、セキュリティチェックがゴールではなく、その先のセキュリティ対策に取り組みたい。でもそこに、リソースの課題があったんです。

    Secure SketCHのインフラまわりを担当する、ソニックガーデンの遠藤 大介

    足立の顔足立
    またセキュリティは、自助だけでなく共助していく考えが大切です。共通点が多いセキュリティ対策のノウハウを共有することで効率化し、お客様の本来の業務に時間を使っていただく支援をしたいと考えていました。そこで、社内の新規事業としてSecure SketCHのプロジェクトがスタートしたのです。

    「お客様の課題はなんでしょう?」の問いかけに、視点が切り替わった

    ──では、ソニックガーデンに開発を依頼された理由を教えてください。

    川﨑の顔川﨑
    1から作る新規事業ですから、スモールスタートで検証を重ねていく、アジャイル開発が適しているのではと考えていました。そんなとき、倉貫さん(ソニックガーデン代表取締役社長・倉貫 義人)の『「納品」をなくせばうまくいく』に出会ったんです。開発にまつわる問題に対する、シンプルな言葉で力強いメッセージが印象的でした。

    また、NRIセキュアも働き方改革を進めていたので、ソニックガーデンの完全フルリモートワークという体制にも興味があったのです。
    遠藤の顔遠藤
    ソニックガーデンでは、はじめに数回の無料相談期間を設け、お客様の課題をうかがい、ソニックガーデンがご支援できるかどうかを話し合います。NRIセキュアさんは、なかなか開発に入れませんでしたね。
    足立の顔足立
    そうなんです。今でも忘れられない、痛烈な体験です。当時の私は頭から爪の先までコンサルタントでしたので、理論が先行してしまいがちでした。何をするにもドキュメントにまとめようと頭でっかちになり、自分たちのコアバリューを見つけることに時間がかかったんです。

    相談に乗っていただいたソニックガーデンの藤原さんと岩崎さん(※)から、初回のウェブ会議で「コンサルティング業務を効率化したいのは、NRIセキュアの課題です。お客様が困っていることは、どんなことでしょう?」と核心を突く質問をいただくほどでした。

    ※ソニックガーデン代表取締役副社長 COOの藤原 士朗と取締役 経営企画室長の岩崎 奈緒己

    大野の顔大野
    ソニックガーデンの「納品のない受託開発」は、お客様のビジネスにとって本当に必要な機能を、必要な順番で開発し続けていくというスタイルです。そのため、はじめのコアバリューの定義は、とても大事なんですよね。

    川﨑の顔川﨑
    振り返ってみると、僕らはそのとき、「新規事業を早く立ち上げなければ」という焦りがありました。自分たちの課題を伝えて、早く開発をしたいと躍起になっていたんです。藤原さんは、僕らの先にいるお客様のことを考えた質問をしてくださったのだと思います。

    さらに「NRIセキュアが持っている一番の価値は、セキュリティ対策に関する大量のデータです。それにフォーカスしたプラットフォームを開発するのであれば、ソニックガーデンが支援する意味があります」と言われ、Secure SketCHの本質に気づけたんですよ。
    足立の顔足立
    コンサルティングにおける、お客様との関係性は、基本的に1対1です。対面のお客様が抱える課題の解決が最優先で、つねに多忙を極めますから、多くのお客様や関連する業界、ひいては社会に対してサービスを届けることの優先度は、下げざるを得ません。

    でもSecure SketCHは、セキュリティ対策に困っている多くのお客様を、効率的に支援できるポテンシャルを持つことに気づきました。

    結果的に、Secure SketCHで1番支持をいただいている要素は、データプラットフォームであることです。もし自分たちがやりたいことを一方的に押し通したり、ソニックガーデンさんから質問をいただいていなかったら、今のSecure SketCHはなかったと思います。

    お客様視点で考え、アウトプットのわかりやすさを重視

    ──続いて、開発に関してうかがいます。Secure SketCHのようなプラットフォームは前例が少ないですが、どのように開発されたのでしょうか。

    大野の顔大野
    Secure SketCHは、まずダッシュボードのデザインから入っています。ソニックガーデンの場合、いつもは開発をしながら平行してデザインを作っているので、珍しいケースです。
    足立の顔足立
    お客様のペイン(課題や困っていること)をリスト化したとき、やはり「セキュリティ対策は難しい領域だ」ということを再確認しました。セキュリティ対策は大切ですが、お客様にとってはわかりづらく、決して“楽しい仕事”ではないんですよ。

    だから、お客様である企業のセキュリティ担当者の視点で考えたとき、Secure SketCHはビジュアルでわかりやすさを表現することが、大切ではないかと考えました。
    川﨑の顔川﨑
    そもそも、企業にセキュリティ人材の配置が少ない上に、経営層もITやセキュリティに詳しいわけではありません。そういった環境では、セキュリティ対策に関するレポートをすることさえ大変なのです。ですから、セキュリティ対策の状況を偏差値やスコアなどのビジュアルで見せていこうと考えました。
    遠藤の顔遠藤
    お客様視点で「1番解決したいこと」を考え、アウトプットを重視したんですね。
    足立の顔足立
    デザイナーの方が、Secure SketCHに対して「すっきり」「中立」「信頼」という3つのキーワードを出してくださいました。その中の「すっきり」を重視した画面イメージから作りはじめています。
    大野の顔大野
    ダッシュボードに限らず、Secure SketCHはお客様がセキュリティ対策になじめるよう、全体的に数値化とビジュアルを意識しています。たとえば、提案されたセキュリティ対策を実行すると、どのくらいスコアが上がるかなどの対策効果も分かるんです。
    川﨑の顔川﨑
    経営層から「セキュリティ対策どうなってる?」というとっさの質問にも、すぐに答えられるようになっています。現状把握だけでなく、報告書の作成のプロセスも短縮化できました。
    足立の顔足立
    お客様からは、「対応の前後や進捗の状況がわかりやすいため、経営層にレポートしやすくなった」「偏差値によって、自社の現状を客観的に把握できるようになった」と、フィードバックをいただいています。

    セキュリティ対策は、必ずしもワクワクする業務ではありません。でもSecure SketCHは、フィットネストレーニングのように、課題と目標とするゴールを設定し、そこまでの進捗を可視化することで、モチベーションをあげることができています。

    セキュリティ担当者の実務のPDCA管理と、モチベーション維持の両方を支援する。これが、他のセキュリティ対策ツールと違うところであり、Secure SketCHのコアバリューです。

    後編:柔軟な考え方が、Secure SketCH(セキュアスケッチ)の可能性を広げる|NRIセキュアテクノロジーズ株式会社]

    インタビュアー/ライティング:マチコマキ
    広告営業&WEBディレクター出身のビジネスライター。専門は、BtoBプロダクトの導入事例や、広告、デジタルマーケティング。オウンドメディア編集長業務、コンテンツマーケティング支援やUXライティングなど、文章にまつわる仕事に幅広く関わる。ポートフォリオはこちらをご参考ください。

    この記事を共有する