見出し画像

全てのユーザーに本質的なセキュリティ対策を届けたい

セキュリティサービス「Securify」を提供するスリーシェイクが、情報セキュリティ教育クラウド「セキュリオ」を提供するLRM株式会社様をお招きして、プロダクト開発の背景や、セキュリティに対する想いと取り組みについて語り合いました。

▼プロフィール

坪井 暁人 / LRM株式会社 取締役 CTO 
東京大学工学部機械工学科卒業後、新卒で株式会社ディー・エヌ・エーに入社。その後、株式会社ネクストシップを設立し、SEOコンサルティングやシステム開発を行う。2018年1月より、スタートアップを共同創業し、CTOとして修理特化の予約サイトを開発・運営。2019年9月、LRMにエンジニアとして入社し、2021年8月CTOに就任。現在はCTOとセキュリオ部事業責任者を担当。

岩本 信太郎 / LRM株式会社 セキュリオ部 部長 プロダクトマネージャー
調剤薬局、健康支援情報提供、eスポーツ、HRTech業界でプロダクトマネジメントを担当。2社で15年にわたり個人情報保護責任者を経験。現在はLRM株式会社に所属し、セキュリオ部のプロダクトマネージャーとして、情報セキュリティ教育クラウド「セキュリオ」の開発と改善を推進。

手塚 卓也 / 株式会社スリーシェイク Incubation事業部 事業部長
新卒でITベンチャー企業にインフラエンジニアとして入社。自治体やデータベースマーケティング会社でのインフラ設計/構築/運用を主に経験し、2018年10月にスリーシェイクに転職。SRE支援を行うSreake(スリーク)事業部のエンジニア、事業部長を経て、現在は、Reckoner(レコナー)、Securify(セキュリファイ)の事業拡大を担うIncubation事業部を統括。

鈴木 雄大 / 株式会社スリーシェイク Incubation事業部 Securifyチーム マネージャー プロダクトマネージャー
新卒で独立系SIerに入社し、アプリケーションの開発のほか、PLとしてプロジェクトやメンバーマネジメントに携わる。2021年、スリーシェイクへ入社。現在は、セキュリティサービス「Securify(セキュリファイ)」のプロダクトマネージャーとして事業拡大を牽引。



「セキュリティ教育を」ユーザーの声が導いた方向転換

手塚:本日はよろしくお願いします。
実は、LRMさんの「セキュリオ」の立ち上がりと、スリーシェイクのプロダクト「Securify」の立ち上がりには、似た背景があると思っていたんです。

LRMさんは、もともとISMSのコンサルティングをされていて、その後、コンサルで培ったノウハウをサービスに落とし込んでいったと思います。
私たちも同じように、最初は人による脆弱性診断を行っていましたが、その診断をツール化したんですね。この辺りが共通しているなと思っていました。

岩本:確かに、そのプロセスは共通していますね。

手塚:ただ、「セキュリオ」のような独自のアプローチを持つサービスは、市場ではあまり見かけませんよね?

坪井:そうですね。教育や人のセキュリティにフォーカスしたサービスは少ないですね。
従来のセキュリティツールは管理者が管理画面にアクセスするだけで、従業員自身が自分の状況を把握するためのマイページはありませんでした。

私たちのコンセプトは「従業員自身が自分の状況に気づけるようにしよう」と言うところで、そこは独自かなと思いますね。

—LRM様が提供する「セキュリオ」概要———
セキュリオは、セキュリティ教育を自動でかんたんに実施できるサービスです。「標的型攻撃メール訓練」「eラーニング」「セキュリティアウェアネス」の3つのサイクルを回すことで、従業員のセキュリティ教育を効果的に取り組むことができます。
https://www.lrm.jp/seculio/

鈴木:以前は、ISMSの認証やプライバシーマークなどの認証資格を運用するためのSaaSを提供していたと思いますが、セキュリティ教育への転換にはどのような理由があったのでしょうか?

坪井:2点ありまして、まず、最も重要だったのはユーザーの声ですね。
社内でN1(一人にフォーカスした抽出データ)を非常に重視していて、プロダクト会議やビジネス会議でユーザーのニーズを説明してもらうようにしたんです。
N1を集めていくと、共通の課題が見えてくるんですよね。結果、ユーザーの利用率と改善要望が圧倒的にセキュリティ教育にあったんです。

もう1つは、3カ月から半年ほどかけてマーケット調査を行って仮説立てをした結果、セキュリティ教育市場が成長の可能性が高く、フォーカスすべきなのはセキュリティ教育のマーケットだろうと判断しました。

(左から LRM株式会社 取締役 CTO 坪井 暁人氏 、セキュリオ部 部長 プロダクトマネージャー 岩本 信太郎氏)

手塚:私たちもSecurifyの開発においてユーザーのニーズやペインを重視していますので、とても共感します。
そのユーザーのニーズは、具体的にどのようにプロダクトに落とし込んでいますか?

岩本:ユーザーのニーズを反映するために、開発側のスプリントレビューに、ビジネスサイドも全員が参加してレビューを行っているんです。
カスタマーサクセスからのフィードバックでリリースが止まることもあって、当初はエンジニアが嫌がることもあったんですが、よくよく考えれば、それはユーザーの価値提供において正しい道を歩んでいるなと、最近は全員が納得し始めているんですよ。

手塚:全員参加のスプリントレビューは珍しい取り組みですね。
全員が納得し始めているというのが、チームの一体感が高まっていることを感じます。

誰もが使える本質的なセキュリティ対策で全てのユーザーを守りたい

――セキュリティプロダクトを開発・提供する上で、 マインドセットや意識していることはありますか?

岩本:セキュリティは専門知識やスキルを必要とする分野なので、様々なバックグラウンドを持つユーザーに対して、どのように使いやすい体験を提供するかはとても気にしていますね。

坪井:セキュリティは難しい領域なので、だからこそ、誰でも簡単に使える製品を提供しないと、多くのユーザーが守られないままになってしまうんですよね。
私は、簡単に使えて、かつ本質的なセキュリティ対策をできるという点を心掛けています。

鈴木:今のお話にとても共感しました。
ユーザーは診断やセキュリティに関する深い知識を持っているわけではないので、「Securify 」の開発において、いかに前提知識をそぎ落として、誰でも使えるかたちにするかを考えてきましたし、今もその点を意識してプロダクトを作っています。

(左から 株式会社スリーシェイク Incubation事業部 Securifyチーム マネージャー 鈴木雄大 、Incubation事業部 事業部長 手塚卓也)

坪井:私たちは「Securify」のユーザーでもあるんですが、「Securify」は誰でも使いやすいというイメージがあります。
他社の自動化ツールは専門的な知識が必要ですが、「Securify」は誰でも簡単に使えるように洗練されてるなと思っていました。

鈴木:そこはかなり議論を尽くしたところなので、とても嬉しいお言葉です!
ありがとうございます。

—スリーシェイクが提供する「Securify」概要——
Securify(セキュリファイ)は、セキュリティ領域の多様な課題に対応する統合ソリューションです。
「Securify WordPress診断」、「Securify Webアプリケーション診断」、「Securify SaaS診断」の3つの機能をご提供しています。
https://www.securify.jp/

鈴木:セキュリティプロダクトを提供する上での私のマインドセットは、セキュリティにおいて倫理感が重要だと考えています。
攻撃手段を理解しつつ、それを武器にすることも当然できるんですが、倫理観を持って、その武器を変な方向に使わないようにするというのが大事だと思っていますね。
あと、脆弱性診断の結果だけでなく、それが本当にユーザーのペインを解決するかは常に考えるようにしています。

手塚:私は、セキュリティ対策の本質をつくことを意識しています。
セキュリティ対策は継続的に運用する必要があるので、年に1回報告するだけではなくて、残りの364日をどうするかが重要だと考えています。
そこを解決していかないと、本質的なセキュリティ対策の実現は難しいのかなと思っているんですね。
まだまだ課題はありますが、本質をついたサービスや機能開発は意識している点ですね。

セキュリティ対策の未来を考える

――今後の展望についてお聞かせください。

岩本:どのように行動変容を起こすかという点を重要視しているので、例えば、標的型メール訓練に引っかかったユーザーが、なぜ引っかかったのかを理解して、その後の学習に繋げることで行動変容を促すような一連の流れを構築できればと考えています。

一方で、全てを自動化してブラックボックス化すると、管理者が自動化を信用できなくなることもあると思うんです。
システムがしっかり機能していることを管理者に示して信頼を得ることも重要なので、そのバランスを取りながら進めていきたいですね。

坪井:LRMの企業ミッション「Security Diet®(セキュリティダイエット)」は、セキュリティと情報の利便性を両立させるという意味なんですね。
セキュリティ対策を強化しつつ、情報の価値を最大限に活用することを目指しています。

また、多くのツールは導入初年度のみを考えていますが、私たちはユーザーやエンジニアの視点を取り入れて、初年度だけでなく2年目、3年目も一貫して使いやすく、継続的に利用できるツールを提供していきたいですね。

鈴木:ユーザーのペインとして、さまざまなセキュリティサービスが乱立していて個別に導入と運用をしなければいけなく、横串でデータを見ることや管理ができないことがあります。
「Securify」が、セキュリティのデータベースとして機能することで、各セキュリティサービスを統括できるプラットフォームへと進化させていきたいと考えています。

手塚:意気込みとしては、ユーザー目線やユーザーのペインと、先ほどお話した本質をつくというところを忘れずにプロダクト開発に挑んでいきたいと思います!

――坪井さん、岩本さん、本日はありがとうございました!

おわりに

LRM様が開発・提供する「セキュリオ」と、スリーシェイクが開発・提供するセキュリティサービス「Securify」の今後の発展にもぜひご注目ください。

最後まで読んでいただきありがとうございました。