プロジェクト管理ツールなど運営のヌーラボが、クラウドリスク評価「Assured」を導入

 

 

• 導入背景

同社ではプロジェクト管理ツール「Backlog」をはじめ、全世界を対象に複数のサービスを提供しているため、ユーザーの大切な情報を保護するセキュリティ対策を最優先事項のひとつとして掲げており、予てよりISO27001認証（ISMS認証）やISO27017認証（ISMSクラウドセキュリティ認証）、 ISO27018認証の取得をはじめ、情報セキュリティ対策・個人情報保護対策に率先し取り組んでいます。

そのなか、これらの認証の運用においても求められる観点である、自社が利用する外部サービスのセキュリティリスク管理について課題が深刻化しつつありました。同社では、これまで管理を徹底してきましたが、年々外部サービスの活用が増加の一途を辿っており、セキュリティリスク管理コストも肥大化し続けてきました。セキュリティ対策の高い水準を保ちながら、より効率的に、持続可能な形で外部サービスのセキュリティリスク管理を行う方法を探していたなか、Assuredの導入に至りました。
 

• 「Assured」の選定理由

・ISMS運用で求められるセキュリティ対策基準以上のリスク評価が可能

同社ではこれまで、 ISO27001、 ISO27017、 ISO27018に基づき、 外部サービスのセキュリティリスク評価を行ってきました。
Assuredの評価項目は上記認証の基準はもちろん、 国内外の複数のフレームワーク・ガイドラインに基づき設計されていることから、 同社のこれまでのセキュリティ対策基準以上のリスク評価が可能であると判断いただきました。

 ・セキュリティ担当者の負荷を大幅に削減可能

外部サービスのリスク評価には専門性が求められることから、 セキュリティ担当者が都度、 サービスのリスク情報を収集・確認し、 利用可否を判断する必要がありました。 また、 同社では定期的なリスクの再評価を徹底していることから、 外部サービスの利用数が増える中で、 担当者の業務が圧迫されている状態でした。
クラウドサービスのリスク評価情報がデータベース化されているAssuredを利用することで、 こうした情報収集・リスク評価の手間が大幅に削減できることが期待されています。
 

• Assuredについて

Assuredは、国内外のクラウドサービスのセキュリティリスク評価情報を一元化したデータベースです。これにより、従来クラウドサービス利用企業・提供企業間で個別に行われてきたリスク評価業務を削減し、安全なクラウド利用・提供を促進いたします。

 

• Assuredがクラウド利用企業に提供する機能

Assuredでは、CISA等のセキュリティの専門資格を有するリスク評価チームが、複数のセキュリティガイドラインに基づき国内外のクラウドサービスを調査し、その評価情報をデータベース化しています。クラウド利用企業様はこれらのクラウドリスク評価情報をオンライン上でいつでも手軽に取得することが可能です。

＜Assuredが提供するクラウドリスク評価情報項目＞
経済産業省や総務省が公開しているガイドラインや、NIST SP800-53、ISO27001、ISO27017等の国際規格に基づく100項目以上を掲載。
参考：https://prtimes.jp/main/html/rd/p/000000312.000034075.html
 

• 株式会社ヌーラボ 情報システム課 課長　桶谷 幸平 氏　コメント

クラウドサービス事業者、クラウドサービス利用企業両方の立場でAssuredを利用しております。
クラウドサービス事業者としてはエンドユーザー様ごとに異なるフォーマットに対応する必要がないことに加え、Excel等で作成されたチェックシートをストレージサービスなどを利用して共有する手間が必要ないことが利点と感じています。
また、チェック項目が幅広く網羅されていることから、チェックを依頼いただくお客様がチェック結果を見て、安心していただけると感じました。
クラウドサービス事業者として利用した経験から、2022年4月からクラウドサービス利用企業としてもAssuredを契約しました。
クラウドサービスを利用する際のセキュリティチェックは、これまで担当者が一定の時間をかけて取り組んでいたため、Assuredの利用によりチェック品質を高めつつ担当者の負担低減ができると期待しています。
 

• ビジョナル・インキュベーション株式会社 Assured事業部 事業部長　大森 厚志　コメント

ヌーラボ様には予てよりクラウドサービス事業者様としてAssuredをご利用いただいておりましたが、サービスとしてのコンセプト・機能性などをご評価いただき、この度、クラウドサービス利用企業様としてもご利用いただけることになりました。複数の国際認証を取得され、高いセキュリティ基準を持つ同社よりご期待いただけたことを大変光栄に存じます。
ISMSなどの国際的な認証制度は、取得してからの運用こそが非常に重要です。そして運用の場面では、定期的な取引先へのセキュリティリスク評価・管理が求められており、クラウドサービス利用の増加に伴い業務の負荷が増しております。

我々はAssuredの提供を通じて、セキュリティ業務に従事される方々の業務効率化および、社会全体でのセキュリティ水準向上への寄与を目指して参ります。


【株式会社ヌーラボについて】
ヌーラボは、「“このチームで一緒に仕事できてよかった”を世界中に生み出していく。」をブランドメッセージとし、プロジェクト管理ツール「Backlog」、オンライン作図ツール「Cacoo」、ビジネスチャットツール「Typetalk」、組織の情報セキュリティ・ガバナンスを高めるための「Nulab Pass」を開発・提供しています。

プロジェクト管理ツール「Backlog」：https://backlog.com
オンライン作図ツール「Cacoo」：https://cacoo.com
ビジネスチャットツール「Typetalk」：https://www.typetalk.com

組織の情報セキュリティ・ガバナンスを高める「Nulab Pass」：https://nulab.com/ja/nulabpass
・本社：福岡県福岡市中央区大名一丁目8-6 HCC BLD.
・代表取締役：橋本 正徳
・URL：https://nulab.com

【クラウドリスク評価「Assured（アシュアード）」について】
Assuredは、国内外のクラウドリスク評価情報を一元化したデータベースです。セキュリティの専門資格を保有するリスク評価チームが、主要なセキュリティガイドラインやフレームワークに基づき調査した最新のセキュリティリスク評価情報を提供します。これにより、各社が独自で行ってきたクラウドリスク評価業務を効率化し、企業の安全なクラウド活用を実現します。
URL：https://assured.jp/ja/

【ビジョナル・インキュベーション株式会社について】
「新しい可能性を、次々と。」をミッションとするVisionalグループの新規事業開発を担う。脆弱性管理クラウド「yamory（ヤモリー）」、クラウド活用と生産性向上の専門サイト 「BizHint（ビズヒント）」、クラウドリスク評価「Assured（アシュアード）」を運営。2020年2月、グループ経営体制への移行にともない、株式会社ビズリーチの新規事業開発組織を分社化し新設。
URL：https://visional.inc/visional-incubation/

【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、事業承継M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。
URL：https://www.visional.inc/ja/index.html