追加投資|YESOD:SaaS時代の統合ID管理
DNX Ventures(以下、DNX)は、株式会社イエソド(以下、YESOD)の総額約6億円のシリーズAラウンドに、リード投資家として追加出資させていただきました。本ラウンドは、既存投資家のANRIと新規投資家のセコム株式会社との共同出資です。
YESODは、「企業の人・組織・情報にまつわる非効率をなくす」というミッションのもとに、統合ID管理プラットフォーム「YESOD」を提供するSaaSスタートアップです。企業におけるSaaSの普及が進むにつれて、利用中の各SaaSのアクセス権を、従業員一人一人に適切に付与、管理し続ける事が求められています。DNXは2020年のプレシリーズAラウンドの投資以来、YESODへの支援を続けてきましたが、人・組織・情報管理の負担が大きく高度な要件が求められるエンタープライズ顧客に対して、YESODがプロダクトを磨き込み、数々のプロジェクトを丁寧に成功に導く様子を見てきました。
本稿では、SaaS時代の統合ID管理の潮流、「YESOD」のバリュー、DNXが投資家として追加投資に至った背景について触れてみたいと思います。
SaaSのID管理はなぜ必要? 増加するセキュリティリスク
企業の情報システムのクラウド化が進むにつれて、パッケージ化された限られた数のソフトウェアの利用から、用途に応じて多くのSaaSを組み合わせた利用へと移行しており、1社あたりのSaaS平均利用数が89種類というOkta社の調査レポートもあります(※1)。また、SaaSはその利用し易さから、IT部門が把握することなく事業部門がSaaSの利用を始めてしまうケース(シャドーIT問題)や、事業部門にSaaSの管理運用を任せる方針の会社もあり、社内のSaaS利用の完全な実態把握が困難になる状況も考えられます。
ユーザーである従業員のID/アクセス権は、SaaS毎に付与されるため、組織の拡大と利用SaaS数の増加とともに、ID/アクセス権管理の負荷は指数関数的に大きくなります。ID/アクセス権の管理が滞った場合、例えば退職者に経営情報や顧客情報へのアクセス権を付与したままでは、重大な情報漏えいなどのセキュリティ、コンプライアンスのリスクとなる可能性があります。
※1 Okta Customer Identity Cloud for SaaS Apps Explained 9th Nov 2022
ID/アクセス権管理の難しさ
従業員の役割や立場によって、同じSaaSでもアクセス権限のレベルは異なります。人事管理SaaS一つとっても、一般社員は自分の情報が見えるだけ、マネージャーは部下の情報の参照権限、人事担当者は参照権限に加えて編集権限、さらには一部の労務担当者にはマイナンバー等の機微情報へのアクセス権が付与されるでしょう。また、社員に限らず、社労士等の社外協力者にも一定のアクセス権を付与する事もあるかもしれません。
入退社や人事異動、昇降格、社外協力者への契約状況を反映して、タイムリーに適切にアクセス権を付与/剥奪するオペレーションが、情報システム管理者に求められます。同様の論点が利用中のSaaS毎に発生します。人数が多く組織も複雑で、定期的に人事異動があるエンタープライズ企業における業務負荷は、想像するだけでも頭を抱えてしまいそうです。
このような課題に対して、デジタルIDのライフサイクルを管理し、複数のシステムのユーザーやアクセス権を管理するツールは IGA Software (Identity Governance and Administration) と呼ばれており、SaaS時代のセキュリティ実現に向けて、必要性が高まっていくものと思われます。(※2)
※2 Identity Governance and Administration Reviews and Ratings
「YESOD」が解決すること
IGAの要諦は「誰に・どのサービスを・どんな権限で・利用してもらうか」です。そのために、エンタープライズ企業の動的な組織情報を集めて、個々人のアクセス権のあるべき状態を整理する必要があります。「YESODディレクトリーサービス」を活用する事で、各所に散らばった従業員・組織情報を集約し、時系列に整理された統合マスターデータベースとして管理することが出来ます。さらに、「YESODアカウントコントロール」により、複雑なアクセス権の運用のポリシー・ルールを定めることで、入退社や人事異動、役割変更などマスターデータベース上の社員の属性変更が発生する際に、未来に予定するアクセス権の変更を予約、自動化することが出来ます。また、「誰が・どのサービスを・どんな権限で・利用しているか」を可視化・記録することで、運用のポリシー・ルールに対する違反状況を棚卸して検知することが出来ます。
今回の投資によせて
DNXが、今回のシリーズAというコア投資を決定した理由は、主に以下の3点です。
1.プロダクトの成熟
これまでも、いわゆるHRパッケージ製品などの一つのモジュールとしての人事マスターなどの製品はありました。しかしながら、人・組織にまつわるあらゆる情報を集約し、人事統合マスターとして価値発揮出来るレベルまでプロダクトを高めることは容易ではありません。YESODでは、初代の「CTO of the year」にも輝いた技術力と、事業会社での課題の原体験を併せ持つ竹内CEOが、裏側のデータを丁寧にデザインし、スケーラブルかつ、顧客ペインに対してストレートなプロダクト作りをしてきました。今後もプロダクトの進化は続きますが、エンタープライズ企業も安心して活用いただけるような、模範的かつ正統なプロダクトの成熟を示してくれるよう、期待を深めております。
2.エンタープライズ顧客のプロジェクト成功
プレシリーズAラウンド以来、深いペインを有する数千名規模のエンタープライズ企業や、将来のエンタープライズ企業候補と考えられる名だたる急成長中のスタートアップ企業から次々に受注してきました。導入プロジェクトも着実に進め、ユーザーから高い評価を受けるだけでなく、プロダクト活用の深化やアップセル機会など、YESODがIGAプロダクトの作り手としてだけでなく、ユーザーに確かな解決を届けて信頼を勝ち取れる、エンタープライズ向けのビジネスのケイパビリティを有している様子を頼もしく見てきました。
3.本格的なスケールフェーズ
これまでは、リーンな組織体制で、絞り込んだ初期顧客とのプロジェクトを通じてプロダクトの仮説検証を行ってきました。そして、YESODのミッションとチームに惹かれた、スタートアップ経験者や外資系SaaS経験者など、個性的で士気の高いメンバーが続々と参画しており、お互いの強みを発揮しながら他を補完するYESODらしいコラボレーションの姿を見せてくれました。いよいよ、本格的にプロダクトの認知を高め、多くの潜在顧客にソリューションを拡げるモードに突入したと思っております。
代表竹内さんのコメント
我々イエソドは、設立当初より人・組織の管理を最重要視し、時系列かつ正規化されたマスタデータベースを企業内で構築した上で、業務効率化およびシステムのアカウント・アクセス権管理に繋げていくべきだと理念を掲げてプロダクトを開発しています。
一般的には、SaaSを含む「システムアクセス権の管理」においてIDという略語が使われますが、システムのアクセス識別子を表すIdentifierと、人・組織・グループの存在を表すIdentityを正しく区別して使用する必要があります。IGA(Identity Governance and Administration)は名前が示すとおり、Identityの管理を重要視しています。
現在まで、数千人規模のホールディング体制を取る企業様に寄り添う形で開発をつづけ、グループ企業内の人・組織の正確な履歴管理を自信を持ってお客様に提供できるところまでプロダクトを詰めきることができました。
また、その延長として、エンタープライズ企業様での利用に耐えうる、システムアクセス権管理機能を今冬より提供いたします。
根気が必要な領域にご理解いただき、前回ラウンドより継続しお付き合いいただきました、DNX Ventures様、ANRI様とともに、セコム様にもご参加いただけましたこと心より感謝申し上げます。お客様の業務効率化とコンプライアンス・セキュリティ管理を両立させるプロダクトとして、YESODを多くのお客様に認知いただき利用いただけるよう最善を尽くしてまいります。
ーー株式会社イエソド 代表取締役 竹内秀行
多くのSaaSプラットフォームを使用する企業は、従業員従業員のIDとアクセス権管理の負担が増大し、これに伴うコンプライアンス及びセキュリティリスクが生じる可能性に直面しています。SaaSの普及に伴って、ID管理を提供する会社は増えてきており、中でも、エンタープライズ企業向けの解決策として王道とも言えるIGAへの挑戦は、とてもYESODらしく感じられ、社会的な意義や顧客企業の生産性へのインパクトも非常に大きいものと考えております。多くのエンタープライズ企業が、YESODによって力強く変革してくれることを期待し、私達DNXも支援を続けて参ります。
(文:中野智裕)
この記事が気に入ったらサポートをしてみませんか?