SecureNaviが目指す未来 - DX時代のISMSと情報セキュリティ

こんにちは、SecureNaviの井崎です。

先日、ISMSオートメーションツール「SecureNavi」をリリースし、おかげさまで多くの方からお問い合わせを頂いております。少しでもISMSの自動化、効率化に貢献できるよう、今後もお客様の声を大切に、進化を続けてまいります!

リリースから一定期間たったということで、今回はSecureNaviの目指すところや方向性について書いてみたいと思います。決意表明です。SecureNaviは、単なるISMS自動化ツールに閉じるつもりは一切ありません。やるぞー!

DXにより「情報セキュリティリスク管理」の重要性が増す

DXと叫ばれて久しい今日この頃ですが、企業が取り扱う情報のデジタル化や、IT環境の変化は、企業の規模や業種を問わず、確実にその勢いを増しています。経産省のDXレポートでは、「既存システム(事業部門ごとに構築された複雑化・ブラックボックス化したシステム)が抱えている様々な問題点を解消できないと、DX推進どころか、2025年には最大12兆円の経済損失が発生する」といった、いわゆる「2025年の崖」問題が提起されており、今後多くの従来型システムが刷新されていくものと思われます。そこで問題になってくるのが「情報セキュリティリスクの管理」だと考えています。

DXの推進により、今まで活用できていなかった様々なデータが利用可能になり、会社の事業や経営において意味を持つようになるでしょう。また、物理的にも、ネットワーク的にも、企業の内部で保管されていたデータが、クラウド化により企業の外で処理・保存されるケースも増えるでしょう。このような「管理すべき情報の増加」「情報の処理・保存場所の多様化」に伴い、企業の情報セキュリティリスクの管理は、今よりも複雑性と重要性が増してくると考えられます。

しかも、このDXによる変化は「素早い」です。DXを推進し、デジタル競争の勝者になるためには、同業他社はもちろん、全く新しいビジネスモデルでいきなり攻め込んでくる、いわゆる「Disruptor」にも負けない体制が求められるので、早さはDX推進において重要な鍵になります。

さて、「素早いスピードで、管理すべき情報が増加し、その情報の処理・保存場所も多様化する」という状態が実現すると、当然社内は、未知の情報セキュリティリスクだらけになります。そうなると、それらのリスクを管理する必要性が生まれますが、社内のIT部門が、従来の慣習に従って、年に1回、Excelで作成されたリスク一覧表やリスク管理シートを見直すだけでは、十分なリスク対応を行うことは難しいでしょう。早さには対応できませんし、「人×Excel」の管理だと、抜け漏れや属人化、メンテナンス不足、編集の面倒さ、バージョン管理の煩雑さ、データの要約やビジュアル化が面倒、といった問題が起こりがちです。

情報セキュリティリスクが溢れているのに、それらが社内で看過されると、やがて「情報セキュリティ事故」という形で顕在化し、DX推進を進めていた企業に地獄がもたらされる可能性があります。このような事態を避けるためには、少なくとも以下の条件を満たす情報セキュリティリスク管理ツールが必要だと考えています。当然、これ以外の条件もあると思いますが、すぐに思い浮かぶものを書いてみました。

・企業の状況に合わせて、最新のリスクが確認できること
・リスクを経営陣にわかりやすく説明でき、意思決定を促すことができること
・サプライチェーン上(例えば、委託先やクラウドサービス)のリスクにも対応できること

SecureNaviは、少なくとも、上記に対応できるツールにしていきたいと思っています。「DXによるセキュリティリスクに対応」と謳っているセキュリティ製品もいくつか見受けられますが、それらの多くは「DXにより発生する大量のリスクのうち、特定の一部のリスク対応する製品」であることがほとんどのように見えます。そうではなく、DXに伴い発生する自社のリスクには何があって、どのリスクの優先度が高く、リスクに対してどのように対応していくべきかを包括的に管理・検討できる製品は、まだ多くないようです。

リスク管理におけるCRMツールになる

この「大量に発生するリスクを管理する」という動きは、個人的にはCRM(あるいはSFA)の誕生と重ねられると思っています。今まで、リードや顧客は、担当者の頭の中や、あるいはExcelなどで管理していたものを、CRMツールを利用することで、細かい情報を登録・確認でき、案件を漏れなく管理することができます。情報がリアルタイムで一括管理されることで、業務効率も改善しますし、確実な情報をマネージャーや経営層に伝えることで、意思決定の精度を上げることができます。それ以外にも、ツールで管理することにより享受できるメリットは多くあります。

SecureNaviは、上記のようなメリットを、情報セキュリティの領域でも享受できる「情報セキュリティリスクのCRM」を目指しています。様々な情報セキュリティリスクをリアルタイムで漏れなく一元管理することで、セキュリティ担当者の業務改善はもちろん、経営の意思決定の精度向上や、もちろんインシデントの発生を未然に防げるツールにしていきたいです。

ISMS構築や、ISMS認証の取得に取り組まれている会社様は、いわゆるアーリーアダプターだと思っています。まずはこのようなアーリーアダプターの皆様にご活用いただき、様々な意見をお伺いしながら、ある程度プロダクトが市場にフィットしたところで、対象領域を広げていければと思っています。

そして、願わくば、同じような課題意識をもつ会社や、ここで述べたツールを提供するセキュリティベンダーが増えてほしいと思っていますし、それにより、情報セキュリティリスク管理ツールが社会的に認められ、今の「情報セキュリティコンサルティング市場」に負けない、大きな市場になればいいなと思っています。というのも、社内のリスクを洗い出し、評価するというのは、まだ情報セキュリティコンサルタント(つまり「人」)が専有している領域ですが、こんな時代ですので、きっとソフトウェアを使って、完全代替とまでは行かないものの、多くの部分をサポートできるはずです。そして、それによって、より効率の良い、本質的なセキュリティリスク管理が実現できると考えています。やるぞー!

終わりに

ということで、SecureNaviでは、一緒に事業を動かしてくれるメンバーを募集しています。プロダクト側(エンジニア、デザイナー)も、顧客側(マーケター、セールス、事業開発)も、全てが足りていないので、明確なジョブディスクリプションは無いのですが、もし興味がある方は気軽にTwitterでDMいただければ嬉しいです!

製品の詳細に興味を持っていただいた方は、こちらもご覧ください!


この記事が気に入ったら、サポートをしてみませんか?
気軽にクリエイターの支援と、記事のオススメができます!
8
ISMSオートメーションツール「SecureNavi」を開発・提供しています。 https://secure-navi.jp/