推測ではなく、事実に基づいた行動や意思決定を可能に
導入前の課題
- 事業拡大と従業員数の急増に伴い、内部ガバナンスのさらなる強化が必要に
- 多様なSaaS の利用状況や情報の保存状況が把握しきれない状態
導入製品・サービス
内部不正対策ソリューション
- Proofpoint ITM (Insider Threat Management)
導入後の効果
- トレーサビリティを確保し、憶測ではなく、事実に基づいて次の行動を判断
- 操作ミスの原因を把握し、オペレータの作業品質向上に貢献
設 立: 2007年6月11日
資本金: 70億47百万円(2024年11月30日現在)
従業員数: 1,789人 (2024年11月30日現在)
事業拡大と従業員の急増に伴い いっそうの内部ガバナンスを追求
Sansanは「出会いからイノベーションを生み出す」というミッションを掲げ、名刺管理サービスにはじまり、請求書管理や契約書管理など、企業のバックオフィスを支えるさまざまなSaaSサービス を展開してきた。
同社は創業当初から「セキュリティと利便性を両立させる」というPremiseを掲げてきた。セキュリティなくしてSansanは存在し得ないが、あまりに締め付けを厳しくしすぎてもイノベーションは生まれない。高いレベルで双方の両立を目指す文化が、経営層はもちろん、従業員一人一人の身に付いている。
「以前はセキュリティと利便性はトレードオフだと言われていました。しかし今やテクノロジーの発達によって、双方を高いレベルに保つことが可能になっています。情報セキュリティ部では日頃から新しいテクノロジーにキャッチアップしながら適切なソリューションや考え方を検討し、適用しています」(松田氏)
従来からの境界防御に加え、Sansanとしてのゼロトラストセキュリティアーキテクチャを定義し、EDR やXDR、SIEMなどを組み合わせ多層防御を積み重ねてきた。さらに、一連の対策を過信す ることなくペネトレーションテストも実施し、常に変化する状況を踏まえながら、自分たちの目指す水準に近づく努力を重ねてきた。
そんな中、徐々にSansanそのものの成長に伴う課題が浮上してきた。
技術本部 情報セキュリティ部 CSIRTグループ
松田 健 氏
※所属・役職などは取材当時のものです
「本人が行った操作かどうか」を 正確に判断できるProofpoint ITMを採用
社内のガバナンス実現におけるポイントは2つあった。
1つは、名刺や請求書などのデータをデジタルに変換する作業を行うオペレータのセキュリティ強化だ。OCRの読み取り精度は高まっているものの、人手による作業はゼロにはならない。その際、個人情報・機密情報が適切に扱われる枠組みを強化したいと考えた。
もう1つは従業員が利用するSaaSの統制だ。Sansanは業務効率を高めるため、Google WorkplaceやMicrosoft 365、Boxなど多様なSaaSを積極的に活用している。この結果、「誰がどのSaaSを利用し、どんな情報が保存されどう移動しているかといった事柄が把握できなくなっていました」(松田氏)
