セキュリティサービス「Securify」を提供するスリーシェイクが、情報セキュリティ教育クラウド「セキュリオ」を提供するLRM株式会社様をお招きして、プロダクト開発の背景や、セキュリティに対する想いと取り組みについて語り合いました。

▼プロフィール

「セキュリティ教育を」ユーザーの声が導いた方向転換

手塚：本日はよろしくお願いします。
実は、LRMさんの「セキュリオ」の立ち上がりと、スリーシェイクのプロダクト「Securify」の立ち上がりには、似た背景があると思っていたんです。

LRMさんは、もともとISMSのコンサルティングをされていて、その後、コンサルで培ったノウハウをサービスに落とし込んでいったと思います。
私たちも同じように、最初は人による脆弱性診断を行っていましたが、その診断をツール化したんですね。この辺りが共通しているなと思っていました。

岩本：確かに、そのプロセスは共通していますね。

手塚：ただ、「セキュリオ」のような独自のアプローチを持つサービスは、市場ではあまり見かけませんよね？

坪井：そうですね。教育や人のセキュリティにフォーカスしたサービスは少ないですね。
従来のセキュリティツールは管理者が管理画面にアクセスするだけで、従業員自身が自分の状況を把握するためのマイページはありませんでした。

私たちのコンセプトは「従業員自身が自分の状況に気づけるようにしよう」と言うところで、そこは独自かなと思いますね。

鈴木：以前は、ISMSの認証やプライバシーマークなどの認証資格を運用するためのSaaSを提供していたと思いますが、セキュリティ教育への転換にはどのような理由があったのでしょうか？

坪井：2点ありまして、まず、最も重要だったのはユーザーの声ですね。
社内でN1（一人にフォーカスした抽出データ）を非常に重視していて、プロダクト会議やビジネス会議でユーザーのニーズを説明してもらうようにしたんです。
N1を集めていくと、共通の課題が見えてくるんですよね。結果、ユーザーの利用率と改善要望が圧倒的にセキュリティ教育にあったんです。

もう1つは、3カ月から半年ほどかけてマーケット調査を行って仮説立てをした結果、セキュリティ教育市場が成長の可能性が高く、フォーカスすべきなのはセキュリティ教育のマーケットだろうと判断しました。

手塚：私たちもSecurifyの開発においてユーザーのニーズやペインを重視していますので、とても共感します。
そのユーザーのニーズは、具体的にどのようにプロダクトに落とし込んでいますか？

岩本：ユーザーのニーズを反映するために、開発側のスプリントレビューに、ビジネスサイドも全員が参加してレビューを行っているんです。
カスタマーサクセスからのフィードバックでリリースが止まることもあって、当初はエンジニアが嫌がることもあったんですが、よくよく考えれば、それはユーザーの価値提供において正しい道を歩んでいるなと、最近は全員が納得し始めているんですよ。

手塚：全員参加のスプリントレビューは珍しい取り組みですね。
全員が納得し始めているというのが、チームの一体感が高まっていることを感じます。

誰もが使える本質的なセキュリティ対策で全てのユーザーを守りたい

――セキュリティプロダクトを開発・提供する上で、 マインドセットや意識していることはありますか？

岩本：セキュリティは専門知識やスキルを必要とする分野なので、様々なバックグラウンドを持つユーザーに対して、どのように使いやすい体験を提供するかはとても気にしていますね。

坪井：セキュリティは難しい領域なので、だからこそ、誰でも簡単に使える製品を提供しないと、多くのユーザーが守られないままになってしまうんですよね。
私は、簡単に使えて、かつ本質的なセキュリティ対策をできるという点を心掛けています。

鈴木：今のお話にとても共感しました。
ユーザーは診断やセキュリティに関する深い知識を持っているわけではないので、「Securify 」の開発において、いかに前提知識をそぎ落として、誰でも使えるかたちにするかを考えてきましたし、今もその点を意識してプロダクトを作っています。

坪井：私たちは「Securify」のユーザーでもあるんですが、「Securify」は誰でも使いやすいというイメージがあります。
他社の自動化ツールは専門的な知識が必要ですが、「Securify」は誰でも簡単に使えるように洗練されてるなと思っていました。

鈴木：そこはかなり議論を尽くしたところなので、とても嬉しいお言葉です！
ありがとうございます。

鈴木：セキュリティプロダクトを提供する上での私のマインドセットは、セキュリティにおいて倫理感が重要だと考えています。
攻撃手段を理解しつつ、それを武器にすることも当然できるんですが、倫理観を持って、その武器を変な方向に使わないようにするというのが大事だと思っていますね。
あと、脆弱性診断の結果だけでなく、それが本当にユーザーのペインを解決するかは常に考えるようにしています。

手塚：私は、セキュリティ対策の本質をつくことを意識しています。
セキュリティ対策は継続的に運用する必要があるので、年に1回報告するだけではなくて、残りの364日をどうするかが重要だと考えています。
そこを解決していかないと、本質的なセキュリティ対策の実現は難しいのかなと思っているんですね。
まだまだ課題はありますが、本質をついたサービスや機能開発は意識している点ですね。

セキュリティ対策の未来を考える

――今後の展望についてお聞かせください。

岩本：どのように行動変容を起こすかという点を重要視しているので、例えば、標的型メール訓練に引っかかったユーザーが、なぜ引っかかったのかを理解して、その後の学習に繋げることで行動変容を促すような一連の流れを構築できればと考えています。

一方で、全てを自動化してブラックボックス化すると、管理者が自動化を信用できなくなることもあると思うんです。
システムがしっかり機能していることを管理者に示して信頼を得ることも重要なので、そのバランスを取りながら進めていきたいですね。

坪井：LRMの企業ミッション「Security Diet®（セキュリティダイエット）」は、セキュリティと情報の利便性を両立させるという意味なんですね。
セキュリティ対策を強化しつつ、情報の価値を最大限に活用することを目指しています。

また、多くのツールは導入初年度のみを考えていますが、私たちはユーザーやエンジニアの視点を取り入れて、初年度だけでなく2年目、3年目も一貫して使いやすく、継続的に利用できるツールを提供していきたいですね。

鈴木：ユーザーのペインとして、さまざまなセキュリティサービスが乱立していて個別に導入と運用をしなければいけなく、横串でデータを見ることや管理ができないことがあります。
「Securify」が、セキュリティのデータベースとして機能することで、各セキュリティサービスを統括できるプラットフォームへと進化させていきたいと考えています。

手塚：意気込みとしては、ユーザー目線やユーザーのペインと、先ほどお話した本質をつくというところを忘れずにプロダクト開発に挑んでいきたいと思います！

――坪井さん、岩本さん、本日はありがとうございました！

おわりに

LRM様が開発・提供する「セキュリオ」と、スリーシェイクが開発・提供するセキュリティサービス「Securify」の今後の発展にもぜひご注目ください。

最後まで読んでいただきありがとうございました。