SaaS導入時の業務負荷軽減。「クラウドサービスセキュリティチェックDB」でできること

こんにちは、マネーフォワードｉ 代表の今井です。

SaaS/ツールの導入時にやらなくてはいけない、セキュリティチェック。
ガバナンス、セキュリティの観点では大事なことですが、私も何度となく自部門にツールを導入してきたので、「わかっちゃいるけど結構面倒」と思いながらこなしてきました。

この面倒さを少しでも軽減できないか・・・

ということでこの度マネーフォワードｉは、SaaSの導入時に、セキュリティチェックや法務確認に役立つ「クラウドサービスセキュリティチェックDB」を無料公開しました。

Admina by Money Forward

ここでは

• SaaS導入時のセキュリティチェックの大変さ

• このサービスを提供しようと思ったきっかけ

• セキュリティDBでできること

についてご紹介します。

セキュリティチェックの地味な大変さ

これまで当社が提供する『マネーフォワード Admina』（クラウド・SaaS管理プラットフォーム）のお客様と接する中で、様々な企業のSaaS/ツールの導入プロセスを見てきました。

導入プロセスは、主に2パターンに分けられます。

二つのセキュリティチェックプロセス

重いプロセス
会社で決まったプロセスがあり、セキュリティチェックなどをしっかりやる。主に大企業で実施されていて、重要な情報を扱うサービスが対象のことが多く、それ専用のサービスも世の中にあります。

軽いプロセス
例えば部署利用であったり、重要なデータが入らない、トライアルをする段階といったシーンでの簡易なチェック。
また、IT企業だと重厚なセキュリティチェックシートがないことが多く、ポイントを押さえて簡易に調べていたりします。

重いプロセスだけをやっている企業は実はそれほど多くなく、導入予定のサービスによって二つを使い分けている場合と、軽いプロセスしか存在しない場合のどちらかが多いです。

軽いプロセスすら存在しない、というケースも結構あります。

今回注目するのは軽いプロセスを実行する場合の課題です。
関係者は以下の3人で、それぞれ確認したい観点と、その情報が得られる場所があります。

• 導入担当者

• IT担当者

• 法務担当者

軽いプロセスのそれぞれの思惑

軽いプロセスでは、確認依頼する前に10項目程度の確認フォーマットが決まっていることが多く、Webサイトを見たり、ベンダーに問い合わせたりして、フォーマットを埋めます。その後、その情報をもとにIT担当者と法務担当者それぞれに確認を依頼します。スタートアップの企業では、IT部門が情報収集から代わりにやっていたりもします。

この情報収集の作業は、調べればもちろんわかる情報ですが結構手間だったりします。
導入担当者のリテラシーが低い場合だと、「SAMLって何？」といったところから調べないといけないですし、受ける側のIT担当者もAIツール利用など依頼件数が爆増したことで、確認が大変になっています。

Webサイトの作りは各社によって様々なので、サービスのLPに情報があったり、コーポレートサイトに情報があったり、サポートサイトに載っていたりと様々で、ひたすら検索を繰り返す必要があります。

海外のツールの場合は英語表記のため、そもそも目的の情報までたどり着くのも難しかったりします。

サービスリリースのきっかけ

当社で運営しているコミュニティにおいて、セキュリティ関連情報をまとめたスプレッドシートを提供する、という取り組みがありました。こちらがとても好評で、喜んでいただけました。

コミュニティ参加者に提供していました

その流れから『マネーフォワード Admina』内においても規約のリンクや認証情報にアクセスできるようになってます。

コンプライアンス対応 | マネーフォワード Admina

Admina内で確認可能

今回、これをもう一段進めて、データベースを公開することにしました。

セキュリティDBでできること

基本的な情報を網羅したリンク集になっています。『マネーフォワード Admina』のアカウント作成不要、無料でご利用いただけます。

このリンクを共有して依頼するだけで、まずは情報源を探す、という手間を無くすことができます。

Admina by Money Forward

導入担当者、IT担当者、法務担当者のそれぞれがこのデータベースを使って業務負荷が下がり、ひいてはSaaS/ツールの導入と活用がもっと進めば良いな、というのが狙いの一つ。

もう一つは現在セキュリティチェックを行なっていない企業においても、まずはここを確認することから始めてみる、という最初の一歩になればいいなと考えています。

現時点でおよそ700のSaaS/ツールしか収録してないので、探して見つからなくてがっかり、ということもあると思います。
そんな時のために、調査リクエストを受け付けていますので、ぜひフォームからリクエストください。
調査してWebに反映後、ご連絡します。

また、なるべく情報の正確性や鮮度にも気をつけていますが、どうしても情報が欠けている、古くなっているということがあると思います。
見つけた際にはぜひ問い合わせからご連絡ください。

少しでも導入の手続きがラクになり、SaaS/ツールの活用が進むように、ぜひこのデータベースを育てるのに、力を貸していただければと思います。

クラウド管理でリスク削減。SaaS管理ツール | マネーフォワード Admina