ゼロトラストセキュリティを推進する中で、社外との情報のやり取りであるメールセキュリティに着目。HENNGE Oneにより毎月数千件のメールリスク抑止に成功。
つなげることで、人がもっと自由になれることを目指している株式会社ビットキー。同社が展開するのはとてもユニークな、世の中にある人・モノ・サービス、個人と組織など、ありとあらゆるものを「コネクト」することでそれぞれの価値を強め、新しい価値を創るという事業です。そのために必要なCONNECT-TECH(コネクトテック)テクノロジーを研鑽し、アプリ/SaaS/プラットフォームからデバイスの開発まで横断的にデジタル技術を用いて事業を進める同社は今回、メールセキュリティ強化を目的に、HENNGE Oneを導入しました。
今回は、執行役員VP 情報システム部長 兼 CEO補佐(BCP・セキュリティ担当)の日浦航様にお話を伺いました。
ゼロトラストセキュリティの次のステップとして、メールセキュリティ強化を実行した理由
— 今回、メールによる情報漏えい対策に取り組まれた理由は?
当社は設立から6年目のスタートアップですので、例えばオンプレのファイルサーバなどがなく、セキュリティモデルをゼロベースで考えることができました。リスクごとのアプローチとしてIDaaS、EPP/EDR、MDM、CASBなど、優先度を見極めながら整備し、現在では保有する情報に対し社員が安全にアクセスするために必要な仕組みなどは、ある程度整いつつあります。
その上で、現状でのセキュリティリスクを把握する目的で当社が導入済みのツールやサービスをマッピングした全体像を図示した資料を作成し、社外との情報のやり取りであるメールセキュリティに着目しました。
当社はビル建設やオフィス移転など、高い機密レベルの情報を扱うプロジェクトを通じて多くの方とやりとりする事業上の特性があり、メールでのファイル送付が非常に多い。そのため、セキュリティリスクの観点から、なんらかの対策が必要でした。
— メールにおけるセキュリティ課題と、強化にあたって重視された点を教えてください。
いわゆるPPAPを徹底するのは、時代と逆行するので避けたい。さらに外部の大容量ファイル送付サービスの自由な利用を許可すると会社として追跡できず、アンコントローラブルになる。そこで当社では外部との共有方法にGoogle Workspaceの共有ドライブ機能を使うこととしましたが、共有ドライブに社外の方を招待すると情シスの管理が発生し、従業員もその都度情シスへ依頼する必要が生まれ、双方にとって負荷が高まることが課題でした。
何かする際に社員が情シスに依頼や申請し、情シスが作業を代行するといったフローは情シスのスループットが企業成長のボトルネックになってしまうリスクがあります。また、こういった担当部門に依頼(お願い)しないと業務が進められないプロセスはコミュニケーションの摩擦や属人化を生む可能性もあり、あまり好ましくないという考えです。ですので、基本的に社員や部門内でセルフマネジメントできる、承認が必要な際もすべてWeb上で完結できる、作業の記録を監査可能である仕組みにしたかったのです。
また、一般的にセキュリティ強化はどうしても従業員の業務生産性とトレードオフになってしまいますが、私はそうさせないことが情シスのミッションだと思っており、安全性と便利さのどちらも両立させたいと考えていました。
— 検討から選定までのプロセスをお聞かせください。
弊社の特異性といいますか、とてもスピード感がある会社なので今回もメールセキュリティ強化と新たな外部ファイル共有の仕組み作りの着手を決意してから、他社比較・事前検証を踏まえた上で1.5ヶ月後には、全社展開まで完了しました。
「従業員体験が変わらない」ことを評価し、HENNGE Oneを選定
— 比較の結果、最終的にHENNGE Oneを選定された決め手は何だったのでしょうか?
選定において当社のセキュリティ要件をクリアすることは当然として、特に重視したのは「従業員体験が変わらないこと」です。メールは全社員が日常業務で使うものなので、なにげない操作が複雑になったり変わったりすると、結構なストレスになる。HENNGE Oneならこれまでと変わらずメールに添付する操作感はそのままで、サーバー側で自動的に加工されて送ることができます。
また、大容量ファイルを送付する際、クラウドストレージなどを追加で利用する必要もなく、ファイルの期限設定もこれまではGoogle Driveでは情シス側で一定期間の棚卸しで対応していましたが、HENNGE Oneなら設定した日数で自動的にファイルが削除されるため安心です。管理目線で言えば、マニュアルが公開されていて充実していることや、営業の方の対応の早さも、とても信頼に足るものだと感じました。
そして、受け取り手の使い勝手も重要で、広く普及・認知されているサービスである点も魅力でした。実際、社内で簡単なアンケートを取ったところ、取引先から届くメール添付でHENNGE Oneを使った経験がある社員がすごく多かった。例えば、お客様から受け取り方がわからないといった相談が来たとき、自分が使ったことのない仕組みだと説明できないでしょう。社員が自分の体験をもとに説明ができる点も、最終的な決め手となりました。
メール誤送信防止、大容量ファイル送信、脱PPAPの各機能も実装
— 社内ではどのようにご利用されていますか?また、魅力と感じた点もお聞かせください。
メール誤送信対策ソリューションとしてHENNGE Email DLP、大容量ファイル転送にHENNGE Secure Transfer、そして脱PPAPとしてHENNGE Secure Downloadを利用しています。
HENNGE Email DLPは、情報漏えいとなる誤送信の抑制防止につながる承認機能や、監査ログ機能が魅力です。
HENNGE Secure Transferは大容量ファイル送信に使用しています。ユーザー自らがアップロードしてリンクを作って送ることができ、証跡はしっかり情シスで管理できる。特に私は、操作性が気に入っています。画面上に「ファイルをドラッグ&ドロップしてください」と表示され、こんなにわかりやすいUXはないと思います。
HENNGE Secure Downloadは「システムの表現力」、設定の柔軟性が採用の決め手です。導入後、社員はほぼこのHENNGE Secure Downloadでファイルをやり取りしていますが、万が一、「当社はHENNGE Oneが使えません」という取引先がいた場合、そのドメインだけはHENNGE Oneによる変換を経由しない設定ができる。いざというときの対応が柔軟にできるかどうかは運用設計上、重視したポイントです。そういった点も含めて、HENNGE Oneは当社が目指す方向性とマッチしていました。
— 導入、展開時に準備されたことやご苦労はありましたか?
導入に際しては、大きな苦労はありませんでした。社内への展開ではHENNGEが公開しているマニュアルを参照して、利用の始め方や想定される不明点を網羅した社内マニュアルをNotionで作成、公開したことで、ほぼ問い合わせはありませんでした。
月に約数千件のメールにまつわるリスクが抑止できるようになったことが最大の成果
— 導入後の効果はいかがでしょうか?
私が導入効果を実感したのが、現場のさまざまなプロジェクトで「先方は送付資料を何時にダウンロードされていますね」といったコミュニケーションが生まれていることです。プロジェクトの進捗管理のためにHENNGE Oneの履歴を確認するオペレーションが社内で浸透していることが、導入効果の高さを示していると感じています。
導入後1ヶ月間で数万件のメールが送られて、数千件のメールがHENNGE Secure Downloadを経由して送られています。これは当初想定したよりも遥かに多い数値で、導入しなければ毎月それだけのアンコントローラブルなファイルが生まれていた可能性があります。管理側としては、このリスクがなくなったということが、大きな成果だと捉えています。
今後も継続して社員の業務生産性を高め、やるべきことに注力できる環境作りを目指す
— 今後のセキュリティ強化についてのお考えをお聞かせください。
今回メールセキュリティの対応を進めました。引き続き、当社は常に最新のテクノロジーを駆使して、セキュリティリスクへの体制と社員の業務生産性の向上をトレードオフにせず、やるべきことに注力できる環境の実現に取り組んでいます。仲間を募集中ですので、当社に興味を持たれた方はぜひチャレンジして欲しいです。
— それでは最後に、検討中企業のご担当者に向けたメッセージをお願いします。
その気になれば1か月足らずで導入できて、毎月数千にも上るメール添付ファイルのアンコントローラブルなリスクが、恒久的にほぼゼロにできる。一般的にファイル添付時はメール全数を上長が検閲、承認後に送信を許可というオペレーションを実施している企業もあるようですが、その工数がすべてシステムで自動化できると考えれば、費用対効果も非常に高いと言えるでしょう。