ビジョナルとグループ企業のアシュアードは6月11日、企業向けセキュリティ第三者評価サービス「Assured企業評価」の提供を開始すると発表した。ビジョナル 代表取締役社長の南壮一郎氏は、「サイバーセキュリティを第2の事業の柱にしたい」と語った。
ビジョナル 代表取締役社長の南壮一郎氏(左)とアシュアード 代表取締役社長の大森厚志氏
ビジョナルは、グループ各社で人材採用支援サービス「ビズリーチ」や人材活用サービス「HRMOS」などを手掛け、新規事業領域の1つとしてアシュアードが脆弱(ぜいじゃく)性管理のクラウドサービス「yamory」とクラウドセキュリティ評価サービス「Assured」を提供している。
今回のAssured企業評価は、アシュアードが第三者機関として、マルウェア対策やシステム監視、インシデント対応計画・体制、リモートアクセス、オフィスやデータセンターの防犯対策、従業員教育など企業のセキュリティ対策状況を約200項目にわたり評価する。
評価結果報告のイメージ(発表会資料より)
利用企業は、取引先企業などの評価対象先をアシュアードに申請し、アシュアードは評価対象先に対応を要請する。評価対象先では、アシュアードを通じた要請内容を踏まえ対応の可否や、回答可能な内容や項目などを選択できる。利用企業とアシュアード、評価対象先との間のやりとりについては機密性を担保し、アシュアードではそのための仕組みなどに関する14件の特許を取得している。
「Assured企業評価」サービスの概要(発表会資料より)
また、アシュアードでは評価実績をデータベースとしても蓄積し、プラットフォームサービスとしても提供する。さまざまな企業のセキュリティ対策状況を集約、継続的に更新することで常に最新の情報を迅速に提供できるほか、例えば、既に評価情報がある企業について新規の取り引きを検討する企業がセキュリティ状況を把握したい場合に、評価情報がある企業の同意を得て、アシュアードが客観的に評価している状況を迅速に把握できるという。
「Assured企業評価」プラットフォームサービスのイメージ(発表会資料より)
同日発表会に登壇したビジョナルの南氏は、「われわれは、社会で生じる新たな課題に対応する事業を作り続けることをミッションにしている。国内ではサイバー攻撃が増え続け、重要インフラへの攻撃が事業停止などのリスクとなり、省庁が各種のサイバーセキュリティ指針を整備している。サイバーセキュリティは企業の最重要課題になっている」と述べた。
南氏によれば、ビズリーチやHRMOSなどでは機密性の高い人材情報をクラウドサービスで取り扱うため、利用企業などから各種サービスに対するセキュリティの取り組みなどについて日常的に問い合わせを受けている。また、2019年から提供するyamory、2022年から提供するAssuredは、各種サービスのプロダクトとしての安全性を確保するために実施しているセキュリティ対策の知見や経験をベースにサービス化したもので、これらサイバーセキュリティ事業の年平均売上高が200%以上の成長を続けているという。
南氏は、新規事業と位置付けるサイバーセキュリティが2019年から高い成長率を続け、事業に携わる人材も100人を超える規模となったことから、今回のAssured企業評価の提供開始のタイミングで、サイバーセキュリティ事業をビズリーチやHRMOSなどの人材事業に次ぐ同社グループの第2の柱にしていくと宣言。同氏は「10年後にHRテックではなくサイバーセキュリティと認識されることを目指したい」と意気込みを語った。
アシュアード 代表取締役社長の大森厚志氏は、企業の信用評価では第三者による評価サービスの利用が定着しているものの、サイバーセキュリティの企業評価は個社ごとに都度実施している現状があると指摘する。
一般的にサイバーセキュリティに関する評価は、依頼元企業から依頼先企業に対し、規則やポリシー、ルール、組織体制、導入している対策技術といった項目についてヒアリングなどを行う。ただ、手作業となっている場合が多く、依頼元と依頼先の双方の担当者にとって業務上の負荷が高く、属人化して客観性に欠けた評価結果となることも少なくない。取り組みが不十分と評価された場合、特にリソースに制約のある中小企業では、改善などの取り組みを進めづらいといった実情がある。
大森氏によれば、2022年から提供するAssuredサービスは、150以上の金融機関など上場企業を中心に1000社以上が利用し、1万件以上の評価を実施している。第三者機関として同社の専門家がクラウドサービスの安全性を正確に評価する実績を重ねたことで、客観的な評価方法や効率的な評価工数などを確立。標準的な指標として安全なクラウド利用の促進に貢献しているとした。
クラウドセキュリティ評価サービス「Assured」の導入実績(発表会資料より)
昨今では、企業で発生したセキュリティインシデントの影響が取引先などにも波及して被害が拡大するサプライチェーンのサイバーセキュリティリスクが顕在化するケースが増えている。アシュアードが5月に実施した従業員1000人以上の企業の情報システム/セキュリティ担当者300人への独自調査でも、取引先企業を起因とするセキュリティ被害経験が64%に上った。
今回のAssured企業評価では、既にニッセイ・ウェルス生命保険や伊予銀行(松山市)が先行導入し、取引先のセキュリティ評価業務の負荷軽減や効率化、評価の客観性向上、説得力のあるコミュニケーションの実現といった効果が出ているという。大森氏は、同サービスの提供価値を、正確で迅速なセキュリティ状況の把握、担当者の大幅な負荷軽減、共通した評価指標による円滑な判断とし、今回のサービスを通じて「社会全体のセキュリティ水準を底上げしていきたい」と抱負を語った。
ビジョナルグループとしてのサイバーセキュリティ事業の方向性について南氏は、「サイバーセキュリティ領域の中にもさまざまな課題が存在している。課題に対応する事業を作り続けるというミッションの通り、日本企業がサイバーセキュリティ領域で直面しているさまざまな課題へ網羅的に対応し、合併・買収(M&A)を含め多様な形でこの事業を成長させていきたい」と述べた。
