読み込み中...
投稿日
更新日
インサイドセールス トレイル
もくじ
- ステージ・ゲートプロセス
- 事業が目指していることは何か
- 事業がどんな体制で進んでいるか
- トレイルがどのフェーズからスタートしているか
- インサイドセールス トレイル001
- SaaS利用時のセキュリティチェック(1)
- 目標を達成するために取り組んだこと
- セキュリティルールの理解
- 対応の方針づけ
- 今回のイテレーションでの学び
- インサイドセールス トレイル002
- SaaS利用時のセキュリティチェック(2)
- SaaS事業者
- 品質監理部門
- 今回のイテレーションでの学び
- インサイドセールス トレイル003
- SaaS利用時のセキュリティチェック(3)
- クラウド利用時のセキュリティ対策
- 今回のイテレーションでの学び
- インサイドセールス トレイル004
- SaaS利用のためのリスク対策
- 決裁取得の流れ
- 今回のイテレーションでの学び
- インサイドセールス トレイル005
- プロダクトオーナーとUX/UIデザイナーとエンジニアとの協調
- 起こったこと
- 結果
- 学び
- UX/UIデザイナーの役割とは?
- いつ協調するべきでしょうか?
- どういったプロセスを取ればよかったのでしょうか?
インサイドセールス トレイル004
SaaS利用のためのリスク対策
「他社サービスを利用する」サービスを立ち上げるにあたり、他社サービスを利用する部分のセキュリティ品質を担保するための活動を記述してきました。
一方で今回の「他社サービス」の利用は社内の規則に沿ったものではありません。 具体的には、弊社では基本的にISMSに対応したサービスを利用することになっていますが、今回の対象SaaSはISMSの国際規格であるISO/IEC 27001等の認証を未取得でした。
一方で、今回のSaaS事業者はサービスを立ち上げる上での必須のパートナーです。 そこで、SaaSを利用するための適切なリスク対策を制定し、それを会社に認めてもらう(決裁を取得する)アクションを行いました。
この決裁取得の手続き自体は過去にTomory事業でも行ったものになります。 前回トレイルの学びにもあったように、新規事業を開発する上では技術だけでなく、法律を含めた規則への理解が必要なことを痛感します。
決裁取得の流れ
Tomory事業のトレイルでも記述した通り、当該の決裁を取得するためには以下の流れを踏みます。
- 社内ルールから外れる内容の洗い出し
- セキュリティを担保するための対策立案(必要に応じてコンプライアンス担当部署と方針検討)
- コンプライアンス担当部署への事前審査
- 決裁起案
1の「社内ルールから外れる」点については、上述の通り対象となるSaaSがISMSの認証を取得していない点となります。 これを受けて、今回のSaaSを利用することによって内在するリスクを分析し、それに対する対策を検討しました。
リスク分析には様々な方法が存在しますが、今回は以下のようにしてリスクを分析しました。
- SaaSに預ける情報資産が何かを決定する
- 情報資産の機密性、完全性、可用性が損なわれた場合の影響を評価する
- 当該の資産を毀損する脅威が何か、その脅威がどれほどのものかを洗い出す
- 脅威に対してどのように対応するか(原因を除去するのか、影響を緩和させるのか、受容するのか等)を考える
具体的にどのようなリスクを特定したのかは公開できませんが、いくつか例を挙げると、 以下のようなものがあります。
- アカウントを不正利用されることによるSaaSの悪用
- 内部犯による情報漏洩
もちろんこれらのリスクが防ぐべきものであることは当然ですが、預ける情報資産の性質を含めたリスク分析を通し、 今回のSaaS利用において内在するリスクは大きくないと判断しました。
そして、その内容についてはコンプライアンス担当部署にも確認をとり、大筋の認識が合っていることを確認できました。
上記で分析した脅威に対する具体的な対策を検討します。
こうした脅威に対する対策は、必ずしも技術的な対策に留まりません。もちろん、システム的に脅威を防ぐことができれば良いですが、人が関わる以上は完全な防御策が不可能な場合もありますし、その防御策に著しく大きなコストがかかるケースもあります。 このため、契約や誓約書による悪用の抑止、事業としての管理ルールの策定といった人的なものも含めて対策を立案しました。
これをドキュメント化し、次の担当部署への事前審査に進みます。
コンプライアンス担当部署へリスク対策に対する事前審査を依頼し、預かる情報資産に照らしてリスク対策は妥当と判断いただきました。これで決裁を取得する準備は完了です。
決裁起案は過去にTomory事業でも行ったものであり、それほどトラブルなく進みました。 唯一悩んだのは、決裁フローが部署で定義されている一方で、新規事業を開発する我々は部署を横断して動いているという点のミスマッチでしょうか。 ただ、その点についても既存の決裁フローを応用して解決でき、無事にSaaS利用の決裁を取得しました。
今回のイテレーションでの学び
リスクに関して言えば、やはりバランスの取れた対策が必要ということです。
以前の本事業のトレイルで以下を学んでいました。
まずはエンジニアリングチームにてチェック内容を読み込みながら、個々のチェック項目に対する方針策定を開始しました。 その過程でわかったことは、チェックリスト、およびその上位文書となる会社のセキュリティ規則には、リスクに見合った対応を自ら選択できる余地が元々考慮されていることです。
今回のリスク対策についても、コストをかければいくらでも対策を高度化する余地はありました。 しかし、新規事業開発においても当然コストは限られています。
有限のコストの中でリスク対策にどれだけのコストを割り振るのかは難しい問題であり、事業的にはサービスの魅力や品質へコストを振り向けたいですし、一方でお客様の情報を守る当たり前品質も重視しなければなりません。 これを自分たちの考えだけでなく、社内で専門家である第三者(今回はコンプライアンス担当部署)に確認してもらえるのは、大企業での事業開発の強みであろうと感じました。
