アーカイブ動画

セキュリティ実務者が直面する"構造的な壁"とは？

株式会社アシュアード
Assured事業部
ドメインエキスパート
植木 雄哉（うえき・ゆうや）氏

まず登壇したのは、植木 雄哉氏。セキュリティ実務者が日々直面する「構造的な壁」の正体と、それを乗り越えるための思考転換について詳しく解説した。

植木氏は、冒頭で株式会社アシュアードについて紹介した。同社は「ビズリーチ」を創業事業とするVisionalのグループ会社で、主にサイバーセキュリティ領域を司る。クラウドサービスのセキュリティ評価を行う「Assured（アシュアード）」と、取引先企業のセキュリティ評価を行う「Assured企業評価」、そして脆弱性管理クラウドの「yamory（ヤモリー）」の3サービスを展開しており、Assuredにおいてはサービス開始から約3年で1万件以上のクラウドサービスのセキュリティ調査を実施、1000社以上の企業に利用されている。

深刻化するサードパーティリスクと業界の現状

まず植木氏が問題提起したのは、サードパーティ起因のセキュリティインシデントの深刻化だ。実例として、レンズメーカーがランサムウェアに感染し、眼鏡チェーン企業において顧客への納品が遅延する事態が発生したことを紹介。「セキュリティリスクは情報漏洩だけでなく、ビジネス継続に直結する問題となっている」と語り、それこそが同社が「サードパーティ」のセキュリティ評価に取り組む意義であることを強調した。

実際に同社が実施した従業員1000名以上の大手企業へのアンケート調査では、驚くべき実態が明らかになった。4社に1社が取引先起因のマルウェア感染を経験し、実に64%の企業が取引先起因でなんらかの情報漏洩や漏洩可能性のある事案を経験していることが伺えたのだ。

攻撃者の合理的思考が生み出す「狙いやすいターゲット」

植木氏は攻撃者（悪意のハッカー）の視点から、なぜサードパーティが狙われるのかを分析する。

「攻撃者も我々と同じビジネス的思考を持っている。たとえば機密情報を盗む、システムを破壊する、金銭的利益を得る、政治的主張をするなどの目的を”報酬”だと捉えたときに、攻撃のコストやリスクに対して報酬が見合うかを合理的に判断している」

大手企業はそういったサイバー攻撃に対するセキュリティ対策が充実しており、攻撃する合理性が低い」。一方、委託先企業は規模が小さく、セキュリティ管理水準が相対的に低い傾向がある。さらに一つの委託先が複数の企業と取引しており、攻撃者にとって「一度で二度も三度も美味しい」状況を提供してしまっているのが現状だという。

既存のサードパーティリスク管理とチェックシートの普及

こうしたリスクに対し、委託企業も手をこまねいているわけではない。NIST（米国国立標準技術研究所）が発行するサプライチェーンリスク管理に関するガイドラインの内容に代表されるような、サードパーティリスク管理の仕組みを構築している企業が多いと植木氏は説明する。

基本的には、サードパーティを洗い出して重要度を決定し、とくに重要な委託先やクラウドサービスに対してリスク評価を実施。評価結果を踏まえて、リスクを受容・回避・軽減・転嫁するかを判断し、適切な対応策を講じるというプロセスが主流である。この過程で重要な役割を果たすのが、セキュリティチェックシートである。

チェックシートが生み出す「構造的な壁」の正体

しかし、この一般的なアプローチには深刻な構造的問題が潜んでいると植木氏は指摘する。問題の根源は、チェックシートそのものの性質にある。

植木氏はIPA（独立行政法人 情報処理推進機構）の調査事例を引用し、セキュリティ情報が「公開されていて誰でも確認しやすい情報」と「問い合わせないと確認できない情報」にわかれることを説明した。外部認証の取得状況や個人情報の利用目的などは利用規約やプライバシーポリシーで確認できるが、ランサムウェア対策の詳細──マルウェア対策ソフトの導入状況、バックアップの取得状況、ネットワーク監視の実施状況など──は「利用者による積極的な収集が必要」とされている。

この現実が生み出すのは、大量のチェックシートが乱立する状況だ。大手企業では、クラウドサービスだけで500〜600社、委託先を含めると1000社を超えるケースもあるそうだ。しかも、チェックシートは継続的なアップデートや回答内容の妥当性確認など、膨大な後工程も伴う。

植木氏が指摘する構造的問題とは、個別最適化のパラドックスだ。

「各社が個別にリスク管理上の最適化を行っているが、ここに構造的な問題が潜んでいる。一社一社個別にどれだけ頑張っても抜本的な改善が難しい」

各社が自社のリスク管理を完璧に最適化すればするほど、業界全体では非効率が拡大していく。この結果、実務担当者は「日々チェックシートに追われ、他にも業務があるなかで苦しみを抱えている」状況に置かれているのだ。

思考転換による解決策：プラットフォーム化がもたらす全体最適

植木氏が提示する解決策の核心は、思考の根本的な転換だという。個別最適化されたチェックシート業務を、プラットフォーム化によって全体最適に変える。同社のサービスモデルでは、同社が第三者として企業間に立ち、統一的な評価基準と仕組みを提供することで、「100社100様」の状況からの脱却を目指している。

「このような思考や視点の切り替えは、皆さんのほかの業務においても活かせるポイントが複数ある」と植木氏は語り、セキュリティ分野に留まらない応用可能性を示唆した。

コンサル/監査法人/事業会社出身者のキャリア転機

つづいて、Assuredのドメインエキスパート3名が登壇。コンサルティング、監査法人、事業会社という異なるバックグラウンドを持つ彼らが、「思考を転換して」なぜセキュリティ評価プラットフォームという新しいビジネスモデルに魅力を感じたのか、そのキャリア転機の背景が明かされた。

株式会社アシュアード
Assured事業部
ドメインエキスパート
植木 雄哉（うえき・ゆうや）氏

株式会社アシュアード
Assured事業部
ドメインエキスパート
松本 昂之（まつもと・たかゆき ）氏

株式会社アシュアード
Assured事業部
ドメインエキスパート
芦田 拓（あしだ・たく）氏

⚫︎植木氏：大手SIerからコンサルへ、そして「社会への価値還元」を求めてAssuredへ

植木氏：私は1社目は株式会社NTTデータにおりまして、官公庁、金融、流通、製薬など多業種多業界向けにOAインフラ・セキュリティ領域のコンサルや開発支援（PM）を担当していました。2社目はKPMGコンサルティング株式会社で、マネージャーとして金融業界向けに同じくセキュリティ領域のコンサルを実施していました。現在はAssuredでビジネスサイドのドメインエキスパートとしてサービス開発や情報発信、営業支援、コンサル等の業務を担当しています。

もともと大学で宇宙物理学を専攻していたこともあり、アインシュタインの「人の価値はその人が得たものではなく、その人が与えたもので測られる」という言葉が座右の銘になっています。

SIやコンサルは各クライアントに対して深く入っていくプロセスであり、お客様にとって非常に有益で重要なビジネスモデルだと思います。一方で、セキュリティ評価領域においては（セキュリティチェックシートに代表されるように）金太郎飴のような画一的な要素も多分に含まれており、元よりこの部分に課題感を持っていました。

そんななかで「Assured」を知り、共通的に各企業が同じセキュリティ評価をやるのであれば、全体最適化されたプラットフォームでセキュリティ評価を行った方が業界のためになると考え、転職に踏み切りました。これは、私個人として「より多くの方に自分の価値を還元させていただきたい」という価値観にも当てはまるものでした。

⚫︎芦田氏：監査法人での「個別最適」への疑問から「全体最適」に転換

芦田氏：私は新卒で株式会社日本総合研究所に入社し、クレジットカード業務の基幹系システムや、オーソリゼーションを担当していました。その後、有限責任監査法人トーマツに転職し、大手金融機関様のUS-SOX基準のシステム監査を担当しました。具体的には特定のシステムや業務プロセスをより細かく見て、そこにリスクがある状況かどうかを判断する業務を行っておりました。

個社向けのリスク評価のプロセス自体は、リスクをより丁寧にかつ正しく把握するプロセスとして非常に重要だとは思っていましたが、Assuredのプラットフォームとして情報が蓄積されていく価値観に共感して、植木と同じタイミングで入社したという経緯です。

技術の観点ではありませんが、Assuredの事業部自体が、メンバーの一体感や相互理解を非常に大切にする組織だと感じます。そこにも魅力を感じ、ここでより知識や経験を積んでいきたい、という思いに至ったのが転職の背景です。

⚫︎松本氏：事業会社でのチェックシート業務の苦しみから解決策を求めて

松本氏：私は2人とはちょっと経歴が違っていまして、事業会社出身です。新卒で株式会社ワークスアプリケーションズに入社し、開発組織のなかで開発プロセスの整備や改善、ツールの管理ルールなどを開発者と一緒に頭を悩ませながら整備していました。

2社目の株式会社Works Human Intelligenceでは、内部統制やSOC2、ISO27001などのセキュリティ認証や監査の対応プロジェクトを担当していました。この業務の一環で、複数の製品のセキュリティチェックシート回答対応や、他のメンバーが回答したもののレビューを担当していました。

植木が先に構造的問題として指摘した通りですが、担当者としてセキュリティチェックシートに対応していると、どうしても自分たちの業務を効率化する、という思想になっていきます。回答手続きの合理化や、レビュー体制の整備などの施策は、できる限りで実施していました。ただ、結局一社・現時点で最適化しても、日進月歩で新しいフォーマットが生まれます。本質的には後追いでしか対応ができないことに気づきました。

そういったなかでAssuredのサービスを偶然知り、まさにこの業務を標準化しようとしている「すばらしいサービスがあるんだ」と衝撃を受けました。これが最大の入社理由です。

【パネルディスカッション】“構造を変える仕組みづくり”に重要な視点

次に、構造を変える仕組みづくりの実践について、3つのテーマに沿ってパネルディスカッション形式で議論が展開された。第三者として企業間に立つプラットフォーマーならではの視点や、スケールするサービスモデルの構築、さらには業界標準となる評価基準づくりの難しさとおもしろさが語られた。

⚫︎ユーザ／プロバイダーとの関係構築：第三者性と中立性の追求

植木氏：「第三者」かつ「プラットフォーム」ならではの思考が重要だと考えています。ユーザー企業様やプロバイダー企業様が各企業の視点で物事を捉えるのと、第三者的に間に入って捉えるという点での違いが存在します。

従来のコンサルティングでは個別最適を突き詰めていくアプローチが中心でしたが、第三者評価プラットフォームとしては、「それが本当に社会全体として標準化できるのか」という視点が必要になります。もちろんどちらが良い、悪いの話ではなく、客観的に見てこの視点の違いが、一般的なコンサルティングとAssuredのコンサルティングの大きな違いなのではないでしょうか。

松本氏：プラットフォーム事業者として、第三者性には非常に気を遣っています。Assuredのサービスは、ユーザー企業様とプロバイダー企業様の双方にご利用いただくため、それぞれの要望を満たし、使いやすさを両立させる必要があります。そのため機能開発の際も、常に両者の視点を持つようにしていますね。

植木氏：第三者プラットフォームとしてビジネスに関わる上で、個人的に面白さを感じていることの一つは、ステークホルダーの幅広さです。ユーザー企業様・プロバイダー企業様だけでなく、コンサル企業様やSI企業様、ディストリビューター様も関わってきます。彼らはユーザーにもプロバイダーにもなり得る存在ですし、共にビジネスを拡大していくためのパートナーとしての側面もあります。

実際にユーザー会を開催して参加してみると、非常に興味深い発見があります。セキュリティ担当者の皆様が集まると、立場の違いによって活発な議論が生まれるんです。ユーザー企業様とプロバイダー企業様では、同じセキュリティ評価というテーマでも、見る視点や課題感が大きく異なることを実感しています。

芦田氏：プロバイダー企業様は、多種多様なチェックシートへの回答で非常にご苦労されているイメージです。各社で質問の表現やニュアンスが異なりますし、質問の意図がわからないケースもあります。また、チェックシート回答が営業プロセスに組み込まれているため、回答内容にも相当気を遣われているようです。ユーザー会を通して第三者としてさまざまな企業様とお話しでき「そういう視点もあったのか」と、新たな気づきがありましたね。

松本氏：プロバイダー企業様には共通する課題がありますよね。チェックシート回答プロセスの工数負荷、自社サービスとマッチしない質問への対応の難しさ、そしてこの業務が経営から見てコストセンターと捉えられがちで、十分なリソースを確保しにくい……などの問題です。

私自身も事業会社時代に同様の課題を経験しているため、プロバイダー企業の皆様と課題感を共有できていると感じます。従来、この業務に特化した横連携の場はほとんどなかったため、Assuredのプロバイダー企業様向けイベントはその貴重な機会を提供できていると自負しています。

⚫︎「1万件」のセキュリティ評価を実現するサービスモデル：ナレッジの蓄積と活用

芦田氏：Assuredの評価プロセスは、まずプロバイダー企業様に評価項目への回答をいただき、その後、私たちが技術的観点や公開情報、回答間の整合性を確認します。必要に応じてプロバイダー企業様に再確認を行い、最終的に正確な情報をユーザー企業様に納品しています。

このプロセスを1万件実施した結果がデータベースに保存されている状況です。このナレッジ蓄積には2つの大きなメリットがあります。1つ目は、統計データとしての価値です。「多要素認証に対応しているサービスの割合」「データ暗号化を実施しているサービスの割合」など、業界全体のセキュリティ対応状況を数値化できています。

2つ目は、我々の評価プロセス自体の改善効果です。従来の1対1の評価では、得られた知見は当事者間でしか活用できませんでした。しかしプラットフォーム型では、評価プロセスの課題やリスクを日々の業務で発見し、それを改善に活かせます。改善された情報がさらなる改善につながる、良いPDCAサイクルが実現できていると思います。

植木氏：ユーザー企業様・プロバイダー企業様への価値還元として、蓄積されたデータベースの活用は重要ですよね。一方で同時に、市場啓蒙も非常に重要な役割だと考えています。

たとえば、蓄積されたデータを統計化して「多要素認証に対応しているサービスの割合」「マルウェア対策を実施しているサービスの割合」などを公開することで、業界全体のセキュリティ状況を可視化できます。このようなデータベース型サービスならではの市場への情報発信も、重要な価値提供なのではないでしょうか。

松本氏：マルチチャネルでデータが蓄積されることの価値は非常に大きいと感じています。従来の1対1のやり取りでは、蓄積された知見は関係者にしか共有されません。

Assuredでは、特定の業界向けのサービスや、ある企業サイズに特化したようなサービスも数多く評価しています。多数の評価情報を集約することで、1つのユーザー企業の視点よりもはるかに多くの評価経験を蓄積できます。評価の仕組みや基準をよりユニバーサルなものに改良していけるので、それがデータベース型サービスとしての大きな意義だと考えていますね。

⚫︎業界標準を目指すセキュリティ評価項目づくり：「ちょうどよいバランス」の追求

松本氏：一般的には、各社が自社の経験や保有するアセットに応じて、業界のガイドラインから必要な項目を選択してチェックシートを作成しています。その際はISOやNISTなどのグローバル基準、日本の行政機関が発行するガイドライン、業界固有の基準などを参考にするのが主流かな、と思います。

Assuredでも基本的な構造は同様ですが、大きな違いがあります。それは、ユーザー企業様とプロバイダー企業様の双方と対面していることです。双方からの要望、気づき、注意点を収集できるため、より普遍的な評価項目を設計できます。片方の視点だけでは見えない課題や重要度を、両面の視点から理解できることが大きなアドバンテージだと思います。

また幅広い企業様との接点を通じて、従来のガイドラインでは取り込まれるのに時間がかかる最新の脅威やトレンドもリアルタイムで把握できることも特徴です。

植木氏：ユーザー企業様とプロバイダー企業様の関係性を理解した「”ちょうどよい”評価項目設計」が最も重要なポイントだと考えています。

ユーザー企業様の立場では、1万問でも2万問でも質問して完璧にリスクを把握したいと考えます。しかしプロバイダー企業様側のリソースも有限であり、現実的な実効性はありません。。1対1の関係では個別最適化が進みがちですが、より多くの企業様に対応してもらうために、質問数を一定程度に抑制するバランス感覚が必要です。このバランスが、業界全体で最も価値を発揮できるポイントだと感じていますね。

芦田氏：私の目線から見ると、松本はとくに「回答しやすさ」を重視していると思います。正しい回答をいただくことで正しいリスク評価ができるという考えから、どうすれば正しい回答を引き出せるかを常に考えています。

【Q&Aセッション】

Q&Aセッションでは、Assuredのドメインエキスパート3名がイベント参加者から投げかけられた質問に回答した。

Q. 競合はあるか

植木氏：広義にはリスクレーティングサービスが競合として存在しますが、外から見える情報を評価する、アンケートに回答してもらうなど、そこの効率化が重視されているサービスが多いのが現状です。

一方で我々のサービスのように、第三者のセキュリティ評価チームが回答内容の正確性を確認し、クライアントに納品できるレベルまで品質を高めて評価コメントを提供するビジネスは、現在のところ唯一の取り組みです。効率化にとどまらず、業界構造そのものを変える仕組みづくりが私たちの特徴だと考えています。

Q. 現場メンバーとサービス方針について話し合っているか。決定プロセスを教えてほしい

松本氏：チェックシートのコンテンツ決定は、必ず複数のメンバーで内容を確認し、わかりやすさ、世の中のリスク項目の適切な反映、選択肢の妥当性などを検証してからリリースしています。ただし、「ちょうどよさ」を測るのは非常に難しく、チーム全体で継続的に議論を重ねているところです。

Q. 求める人材とカルチャーづくりの取り組みについて教えてほしい

植木氏：カルチャー形成には意識的に取り組んでいますね。とくにセキュリティメンバーについては「自律自走」を重視しています。まだ創業3年余りの会社なので、各メンバーが「この会社で何をすべきか」を主体的に考え、マネジメント層と意見交換しながら実装していく姿勢が必要です。

根本的には、業界構造を変えたいという強い課題意識と、何を変えていきたいかという明確な目標を持ち、それを自律的に推進できるスキルセットとマインドセットを持ったメンバーが集まっていると思います。業界の物差しになっていく、という使命感を共有できる方にはぜひ入社してほしいです。

文＝宮口 佑香（パーソルイノベーション）

※所属組織および取材内容は2025年7月時点の情報です。

Assured サービス情報
https://assured.jp/

Assured 採用情報
https://careers.assured.jp/

アシュアード社 note
https://note.com/assuredjp