ファイントゥデイ、SaaSのセキュリティ評価を自動化　現場の自律的な運用体制を構築

　ファイントゥデイは、SaaSのリスク評価から継続管理までを効率化するため、Conoris Technologiesが提供するクラウドサービスリスク評価・運用管理サービス「Conoris」を採用した。3月31日、Conoris Technologiesが発表した。Excelを用いた従来の手作業による管理から脱却し、セキュリティ評価の精度向上と工数削減を図る。現場主導で継続的な確認作業を進められる仕組みを整え、ガバナンス体制の強化につなげる。

　ファイントゥデイは、資生堂のパーソナルケア事業が独立して2021年に創業した日用品メーカーである。レガシーな資産を持たない「クラウドネイティブ」な環境を特徴としており、ゼロトラストモデルに準じたインフラ構築を進めてきた。セキュリティ体制は2名の少数精鋭で担っており、システム導入数が急増する中で、いかに工数を抑えて省力化・効率化を図るかが重要な課題となっていた。

　従来、同社ではExcelを用いてリスク評価を行っていたが、複数の課題に直面していた。ベンダーの回答形式が自由記述であったため内容にバラつきが生じ、評価が形骸化していたほか、手作業によるチェック工数の増大も限界を迎えていた。また、最新のセキュリティトレンドに合わせた設問の更新がタイムリーにできず、評価の質の維持に苦慮していた。

　Conorisの選定にあたっては、変化の激しいセキュリティトレンドに合わせて設問を柔軟かつ定期的にアップデートできる点を重視した。また、同社独自のゼロトラスト環境に即した設問を用意できるカスタマイズ性の高さや、サービス利用の継続確認といった「棚卸」を自動化できる仕組みも評価のポイントとなった。導入に際しては、単なるツール導入にとどまらず、判断基準の明確化に向けたコンサルティング支援を受けたことで、実効性のある管理体制を構築できた。

　導入後の成果として、セキュリティ担当が個別の案件に細かく介入することなく、現場が自律的に対応できる体制が整った。四半期に一度の定期チェックを含め、現場主導で改善サイクルを回せるようになった。また、経済産業省のガイドラインに基づいたクラウドサービスの適合性評価への対応も実現。SaaSの責任共有モデルにおいてユーザー側が負うべき責務を、利用申請フローを通じて適切に遂行できる状態を確立している。

　今後は、AIなどの最新技術の活用や、時代に即した設問の最適化を進める計画だ。セキュリティ担当者が介在せずとも、システムを通じて利用ユーザー自身がリスクを正しく理解し、自律的に判断できる仕組みの構築を目指す。

　ファイントゥデイIT本部BITA4部マネージャーの堤悠亮氏は、「外部環境の変化によりシステムに求める要件も変動するが、Conorisの変動への対応力に価値を感じている。システムを導入して終わりにせず、何をしたいのかというプロセス化を徹底し、自社のプロセスに組み込むことで、単なる管理ツール以上の強力な武器になる」と述べている。

ニュースリリース