セーフィーのサイバーセキュリティ戦略の作り方

はじめに

こんにちは！セーフィー株式会社でサイバーセキュリティを担当している金原です。

セーフィーは「映像から未来をつくる」というビジョンのもと、クラウド録画サービスを提供しています。私たちのサービスは、防犯・見守りに留まらず、業務効率化や現場DXなど、様々なシーンで社会の「安心安全」を支えています。

この「安心安全」を実現する上で、サイバーセキュリティは極めて重要な要素です。お客様の大切な映像データを守り、サービスを安定して提供し続けることは、私たちの事業の根幹を成すものです。そして、単に守るだけでなく、セキュリティを競争優位性に繋げていくことも目指しています。

そのために、私たちはセキュリティ戦略を策定し、全社で取り組んでいます。

今回の記事では、私たちがどのようにセキュリティ戦略を考え、構築しているのか、その全体像をご紹介します。この記事が、セーフィーのセキュリティへの取り組みに興味を持ってくださる方や、同じようにセキュリティ戦略の策定に取り組む企業の担当者の方にとって、少しでも参考になれば幸いです。

はじめに
なぜセキュリティに「戦略」が必要なのか？
私たちが考える「戦略」とは？
セーフィーのセキュリティ戦略のコンセプトとゴール
戦略を形にする「打ち手」
戦略を推進する「ストーリー」とは？
今後の展望と仲間募集
おわりに

なぜセキュリティに「戦略」が必要なのか？

まず「セキュリティ対策」と聞くと、ファイアウォールの導入、脆弱性診断、従業員教育など、具体的な施策を思い浮かべる方が多いかもしれません。もちろん、それらは非常に重要です。

しかし、セキュリティの世界は広大で、やるべきことは無数にあります。技術は日々進化し、脅威の手法も巧妙化しています。限られたリソースの中で、場当たり的に対策を進めていては、本当に重要な課題に対処できなかったり、対策の効果が薄れたりする可能性があります。

どこに向かうのか（ゴール）、なぜそこに向かうのか（目的）、そして、どのような道筋で進むのか（計画）。これらを明確にする「戦略」がなければ、迷子になってしまいます。

だからこそ、私たちはまず立ち止まり、腰を据えて「セキュリティ戦略」を考えることから始めました。

では、私たちは「戦略」をどのように捉えているのでしょうか？

私たちが考える「戦略」とは？

一般的に、戦略とは「目標達成のための中長期的な計画や方針」を指しますが、私たちは楠木建先生の著書『ストーリーとしての競争戦略』の考え方を参考に、戦略を「人を動かすストーリー」として捉えています。（事業戦略の本ですが、考え方は様々な戦略に応用できるものです）

出典：Amazon https://www.amazon.co.jp/ストーリーとしての競争戦略-―優れた戦略の条件-Hitotsubashi-Business-Review/dp/4492532706（2025年4月9日アクセス）

この本では、優れた戦略には、顧客や従業員の心を動かすような「面白いストーリー」が必要だと説かれています。なぜなら、戦略を実行するのは「人」だからです。どれだけ立派な計画も、実行するメンバーが共感し、ワクワクできなければ、絵に描いた餅になってしまいます。

この考え方に基づき、私たちは以下のステップで戦略ストーリーを練り上げました。

徹底的に自分たちに向き合う

まずは自分自身に「何を成し遂げたいのか」「どんな状態が理想か」を内省して問いかけ、そのあとじっくり腰を据えてチームメンバーと対話を重ねました。
コンセプト（目的）を磨く

対話を通じて、「これだ！」と確信が持てる戦略の核となるコンセプト（目的）を考え抜きました。
ゴール（競争優位）を設定する

コンセプトの先に、どのようなビジネス上の価値（ゴール）を実現したいのかを明確にしました。
ストーリーで繋ぐ

コンセプトとゴールを、具体的なアクションプラン（打ち手）を含んだ、誰もが情景を思い描けるような一連のストーリーとして紡ぎました。

セーフィーのセキュリティ戦略のコンセプトとゴール

こうして生まれたセーフィーのセキュリティ戦略のコンセプト（目的）は、

「バランスの取れた本当の意味での高セキュリティの実現」

です。

ここで言う「バランス」とは、「生産性を落とさず、柔軟に現場にセキュリティを適用すること」を意味します。セキュリティを強化するあまり、開発スピードが落ちたり、従業員の業務が煩雑になったりしては本末転倒です。事業の成長を加速させつつ、セキュリティレベルも高めていく。この両立こそが、私たちが目指す「バランス」です。

そして、このコンセプトが目指すゴールは以下の2つです。（2つ作っちゃいました）

セキュリティを事業戦略上の重要な差別化要素にする
セキュリティの専門家でなくてもセキュリティを向上させることができる文化を作る

単に「守る」だけでなく、セキュリティの高さを顧客への提供価値や信頼に繋げ、全従業員が当たり前のようにセキュリティを意識し、実践できる。そんな状態を目指しています。

戦略を形にする「打ち手」

コンセプトとゴールを実現するための具体的な打ち手（アクションプラン）の中心となるのが、「セーフィー版セキュリティ成熟度モデル」の構築と運用です。

セーフィー版セキュリティ成熟度モデルの概要図は以下になります。このモデルは、大きく以下の2つの領域に適用されます。（図中のLevelは、サンプル値です）

1.コーポレートセキュリティ: 従業員や社内システム、オフィス環境など、企業全体のセキュリティ。NIST CSF をベースにしています。

2.プロダクトセキュリティ: お客様に提供するセーフィーのサービス自体のセキュリティ。OWASP SAMM をベースにしています。

セキュリティ対策には、NIST CSF や OWASP SAMM など、世界的に参照されている優れたフレームワークが存在します。私たちはこれらのフレームワークを積極的に活用しています。

しかし、これらのモデルをそのまま導入するだけでは、セーフィーのカルチャーやビジネスドメイン、開発プロセスに完全にフィットするとは限りません。そこで、これらの一般的なモデルをベースにしつつ、セーフィーの実情に合わせてカスタマイズ（セーフィー化）し、独自の解釈を加えた「セーフィー版セキュリティ成熟度モデル」を作成・運用しています。（概要図には、大枠のカテゴリしか記載がありませんが、実際にはカテゴリの中で、何をやるかをカスタマイズしている形になります。今回は説明しません。）

さらに、各カテゴリの施策の優先度付けには「The Sliding Scale of Cyber Security」という考え方を導入し、「Architecture（設計思想・基盤）」から段階的に強化していくアプローチを取っています。

各施策の進捗状況は、私たちが定義した成熟度レベル (Level 0〜4)で可視化し、継続的な改善を促しています。例えば、「Level 1: 方針やルールが文書化されている」状態から、「Level 3: チームで自律的に運用されている」状態へ、そして最終的には「Level 4: 継続的な改善が回っている」状態を目指します。

戦略を推進する「ストーリー」とは？

コンセプト、ゴール、打ち手。これらを繋ぐことで、私たちを突き動かす「ストーリー」になります。ストーリーの核心は、先ほど説明した「セーフィー版セキュリティ成熟度モデル」と、全社一丸となって、安心安全な未来を作り上げていくという「組織文化」です。

セキュリティは、特定の部署や担当者だけのものではありません。セキュリティはみんなの仕事です。開発、運用、営業、管理部門など、すべての社員が当事者意識を持ち、それぞれの立場でセキュリティ向上に貢献できる文化を醸成すること。セキュリティを向上しつつも、生産性を維持してお客様に価値を届けていくこと。そのための仕組み（メカニズム）があること。

このような組織文化を踏まえ、コンセプトとゴールを結んだ戦略ストーリーが以下のような形になります。（簡単化のために、抽象度を上げています。本当はもっと細かい打ち手があります）

このストーリーに共感し、共に汗を流してくれる仲間がいるからこそ、戦略は前に進みます。今はまだきれいなストーリーにはなっていませんが、戦略自体も定期的に見直すことで徐々に筋のいいストーリーに仕上げていく予定です。

（ストーリーの中の詳細な打ち手や、具体的な取り組み状況については、また別の記事でご紹介できればと思います！）

今後の展望と仲間募集

セーフィーのセキュリティ戦略はまだ始まったばかりです。中期的なロードマップに基づき、コーポレート・プロダクト両面で様々な施策を計画・実行しています。

例えば、

コーポレートセキュリティ: サプライチェーンリスク管理の強化、全社的な脆弱性管理プロセスの確立、ゼロトラストに基づいたアクセス管理の導入など
プロダクトセキュリティ: 脅威モデリングに基づくセキュリティ要件の定義、セキュア開発トレーニングの実施、SAST/DAST/ペネトレーションテストの強化など

これらの取り組みを加速させ、より高いレベルのセキュリティを実現するためには、新たな仲間の力が必要です。

セーフィーでは、セキュリティエンジニアをはじめ、様々なポジションでエンジニアを積極的に募集しています！