- インタビュー
2024年06月19日
ISMSのオートメーションツールを提供! - SecureNavi
- SecureNavi株式会社
久高 拓海 - COO
2024年6月7日、KDDI ∞ Laboの月次全体会において、スタートアップ6社が大企業に向けてピッチを行いました。登壇されたスタートアップにMUGENLABO Magazine編集部のめぇ〜ちゃんがインタビューをしたので皆様にお届けいたします。
5社目はSecureNaviです。セキュリティ認証オートメーションツール「SecureNavi」を開発するスタートアップです。今回は、SecureNaviのCOO 久高 拓海氏にお話を伺いました。
- めぇ〜ちゃん
- SecureNavi株式会社は、ISMS認証やPマークなどの認証やセキュリティ規制、ひいては情報セキュリティマネジメントにおける取り組みを効率化し、組織の情報セキュリティレベルを向上させるクラウドサービス「SecureNavi」「SecureNavi Pro」を提供しています!
COOの久高氏に伺いました
何をしている会社ですか?
久高:当社は、当社が掲げるビジョン「悲報をなくす」の実現を目指し、情報セキュリティ認証や規制、ガイドラインへの準拠、社内の情報セキュリティ規程の整備・運用、監査や審査への対応などといった「文系のセキュリティ」分野でSaaSサービスの提供を行っています。
当社サービスを利用することで、スタートアップやベンチャー企業の皆様は、大手企業や自治体との取引の際に求められるISMSやPマークといった情報セキュリティ認証の取得・維持を効率的に行うことができます。大企業の皆様に関しては、大量のセキュリティ規制の管理、台帳の管理を効率よく行うことができます。
また、セキュリティの規制は多くの場合業界ごとに存在しています。例えば、自動車業界には自動車業界固有のセキュリティ規制(自工会ガイドライン、TISAXなど)があり、医療業界には医療業界固有のセキュリティ規制(3省2ガイドライン、HIPAAなど)、金融業界には金融業界固有のセキュリティ規制(FISC、PCI-DSS など)があります。私たちの製品は、これらを統合的に管理することができます。
従来のようなWordやExcelによるアナログな運用を削減し、無駄のない必要最低限の工数・リソースでの取り組みが可能になり、担当者の生産性を向上させるとともに、自社に最適かつ形骸化しない情報セキュリティ体制の構築を実現します。
サービスイメージ
なぜこの会社を立ち上げたのですか?
久高:ISMS認証やPマークなどの認証を始め、多くの企業では情報セキュリティマネジメント業務にWordやExcelを利用しています。WordやExcelを利用した管理は、誰でも親しみやすい反面、多くのデメリットがあります。「バージョン管理が面倒...」「承認作業が面倒...」「上書きされる可能性がある...」「レイアウトが崩れる...」「複数人での作業が難しい...」「引き継ぎが大変...」などなど、あげるとキリがありません。これらのデメリットは当たり前です。なぜなら、 Wordは文書作成ツール、Excel は表計算ツールであり、情報セキュリティマネジメント用のツールではないからです。また、ISMS認証やPマークなどのセキュリティ認証の運用を続けていくと、文書ファイルの数は雪だるま式に増えていき、過去のものを含めると数百個を超えるケースも多くあり、効率的かつ本質的な運用が難しい現状があります。
当社は、このような情報セキュリティマネジメントの課題をSaaS製品で解決したい、という想いで創業しました。今後も、情報セキュリティ担当者の業務を効率化し、組織の情報セキュリティにおけるマネジメントが本質的にできるプロダクトを提供し、「悲報をなくす」の実現を目指していきます。
参考記事:https://www.wantedly.com/companies/securenavi/post_articles/313433
これからの目標はありますか?
久高:私たちは、自分たちの会社を「文系のセキュリティをDXする会社である」と紹介しています。「文系のセキュリティ」とは、ウィルス対策やファイアウォール、脆弱性診断などの高度な技術力が必要な、いわゆる「理系のセキュリティ」分野と対比させるための用語です。文系のセキュリティには、社内規程の管理・リスクアセスメント・監査・第三者認証などといった要素が含まれます。
サイバーセキュリティの技術の発展により、理系のセキュリティ領域はここ数十年で大きく発展しました。しかし、文系のセキュリティ領域は引き続きアナログな状態が続いています。社内規程をWordで作り、各種セキュリティ台帳はExcelで作り、監査は年に一回のアナログな手法で行われ、ISMSやPマークなどの第三者認証はそれを維持することが目的となって形骸化している、こんな状態が数十年に渡り続いており、改善の見込みがないようにも見えます。
また、いわゆる「理系のセキュリティ」がしっかりしていれば、情報セキュリティ的に問題がないのでは?と考える人もいるかも知れません。確かに、一見技術的に高度なセキュリティ対策が張り巡らされていれば、情報漏洩をはじめとしたセキュリティ事故は発生しないように見えます。
しかし、世の中の多くのセキュリティ事故は、高度なセキュリティ対策が実施できていないことでは無く、むしろ社内規程に定められているようなありきたりなセキュリティ対策が適切に実施されていなかったことにあります。
2023年11月、NTT西日本の子会社からの情報漏洩が話題となりましたが、この事例でも高度なセキュリティ対策が実施されていなかったことではなく、社内規程への違反であったことが日経新聞の取材でわかっています。
このように、世の中の多くのセキュリティ事故は、社内のセキュリティ体制のガバナンス不全、いうなれば「文系のセキュリティ」が適切に機能していないことによるものだと考えることもできそうです。私たちは「ここ最近、著しい進化が見られない文系のセキュリティ領域をアップデートすれば、世の中の様々なセキュリティ事故は防げる」と考えています。
私たちは、ここ数十年、進化から取り残された社内規程の管理・リスクアセスメント・監査・第三者認証などのアナログな「文系のセキュリティ領域」をDXすることに取り組んでいきます。
参考記事:https://note.com/secure_navi/n/n9a1e7254adef
最後に一言お願いします
久高:当社はここ数十年、進化から取り残された社内規程の管理・リスクアセスメント・監査・第三者認証などの、アナログな「文系のセキュリティ領域」をDXすることで、ビジョンである「悲報をなくす」の実現を目指しています。一方で、当社だけの力では大きな変化を生むのは非常に時間がかかります。テクノロジーの進化により、情報セキュリティの重要度が高まっていく中でさえ取り残されている「文系のセキュリティ領域」におけるDXのお力を貸していただけませんか?共創パートナーの皆さまとお話できることを楽しみにしています!ぜひ、よろしくお願いいたします!
- めぇ〜ちゃん
- クラウド上でISMSを一元管理できるのはとっても便利ですね!それでは次回もお楽しみに!
関連リンク
関連記事
インタビューの記事
-
ディープテックスタートアップの超新星! - OptQC
2024年10月30日
-
データセンターの 消費電力を50%削減! - TopoLogic
2024年10月29日