文系のセキュリティ領域をDXし、判断と説明責任を支える業務基盤を構築
情報セキュリティ認証や規制、ガイドラインへの準拠、社内の情報セキュリティ規程の整備・運用、監査や審査などの「文系のセキュリティ」領域をDXするSecureNavi株式会社(本社:東京都港区、代表取締役CEO:井崎友博)は、2線部門(セキュリティ・リスク管理・コンプライアンス)のためのセキュリティリスク評価クラウド「2線の匠クラウド」を、本日より正式リリースしたことをお知らせします。
「2線の匠クラウド」は、委託先・システム・クラウド・グループ会社などに対する様々なセキュリティリスク評価業務を対象に、人の経験や努力、長年の慣習に依存してきた2線業務の構造そのものを再設計することを目的としたプロダクトです。これまで個別判断や属人的な運用に委ねられてきた2線業務を、業務プロセスとして構造化することで、「人頼み」の運用から脱却し、再現性のある形で実行できる状態を目指しています。
背景|2線業務が人の努力に依存する構造となってきた理由
企業のリスクマネジメントにおける国際的な枠組みである「スリーラインモデル(Three Lines Model)」において、2線部門は、現場(1線)と監査(3線)の間に立ち、全社のリスクを俯瞰・統制する重要な役割を担っています。
委託先の増加やクラウドサービスの普及、グループ経営の進展といった環境変化の中で、2線部門が評価・管理すべき対象は年々拡大しています。一方で、多くの企業の実務現場では、Excelやメールを中心とした手作業や、担当者の知識・経験に依存した運用が続いてきました。その結果、判断の基準や対応の考え方が属人化し、担当者の変更による品質のばらつきや、業務の引き継ぎが難しくなるといった課題が顕在化しやすい状況となっています。さらに、セキュリティ事故や不正、規制違反が発生した際には、「なぜその判断に至ったのか」「どのリスクを、どこまで把握していたのか」といった説明責任が求められます。しかし、判断の経緯が個人の記憶や分散した資料に依存している状態では、こうした説明を十分に果たすことは困難です。
SecureNaviは、この状況を「担当者が頑張れば解決する問題」ではなく、2線業務そのものが人の努力に依存する形で設計されてきたことに起因する、業務構造上の課題であると捉えています。だからこそ、必要なのは属人的な工夫や追加の負荷ではなく、2線業務を業務として成立する構造へと設計し直すことだと考えています。
■参考|スリーラインモデル(Three Lines Model)における「第2線」の立ち位置
企業のリスクマネジメントやガバナンス体制は、一般的に「スリーラインモデル(Three Lines Model)」と呼ばれる考え方に基づいて整理されます。
・1線(事業部門・現場):日々の業務を遂行し、リスクを直接的に管理する部門
・2線(セキュリティ・リスク管理・法務等):全社横断でリスクを俯瞰し、ルール設計や評価、統制を担う部門
・3線(内部監査部門):1線・2線の活動を独立した立場から評価・検証する部門
2線部門は、現場と監査の間に立ち、企業全体のリスクを構造的に管理する役割を担います。一方で、その業務内容は企業ごとに異なり、明確に整理/プロダクト化されてこなかった領域でもあります。
「2線の匠クラウド」が目指す世界|業務を、人から構造へ
現時点において、リスクの最終判断や例外対応には人の関与が残っています。しかしそれは、人の判断が重要な役割を果たしてきた一方で、業務全体が人手を前提に設計されてきたためです。
これまでこの領域には、2線業務を支えるためのプロダクトが存在せず、加えてITリテラシーの制約や長年の運用慣習から抜け出せない構造が続いてきました。その結果、2線部門は「人が頑張ることでしか成立しない業務」を引き受けざるを得ない状況に置かれてきました。
「2線の匠クラウド」は、こうした前提を見直し、2線業務を人に依存しない構造として成立させることを目指しています。それは人を排除するという意味ではなく、業務そのものを再現可能な仕組みに転換するという意思表明です。
プロダクト概要|「2線の匠クラウド」が実現すること
「2線の匠クラウド」は、2線部門が担ってきた多岐にわたるセキュリティリスク評価業務を、「誰が担当しても同じ水準で実行できる業務モデル」として再設計し、クラウド上に実装したサービスです。
これまで2線業務は、個人の経験や記憶、暗黙知、そして長年の運用慣習に強く依存してきました。その結果、担当者ごとに判断のばらつきが生まれ、引き継ぎや拡張が難しく、「個人の経験や努力」に依存せざるを得ない構造から抜け出せない状態が続いてきました。
「2線の匠クラウド」は、こうした状態を前提にするのではなく、2線業務そのものを再現可能な「構造」として捉え直し、組織的な業務モデルとして成立させることを目指しています。
主な特長
■リスク評価プロセスの標準化
個人の経験や属人的な判断に依存してきた評価観点を構造化し、誰が担当しても同じポイントを、同じ順番で確認できるプロセスとして定義します。これにより、2線業務を特定の人に依存しない、再現可能な業務モデルとして実行できるようにします。
■回答・証跡・履歴の一元管理
Excel、メール、ファイルサーバーなどに分散していた回答や証跡、過去のやり取りを統合し、「探す・集める・整理する」といった付帯業務を根本から排除します。業務の前提を「情報が常に揃っている状態」から再設計します。
■要対応リスクの構造的な可視化
すべてを人の目で確認するのではなく、判断や対応が必要なリスクだけが自然に浮かび上がる設計とすることで、2線部門が本来向き合うべき論点と意思決定に集中できる環境を作ります。
■AIによるリスクチェック内容のレビュー支援
回答内容や提出された証跡をもとに、AIが観点の抜けや不整合の可能性を提示し、これまで人の記憶や注意力に依存してきたレビュー工程を構造的に支援します。
SecureNaviにおけるAIは、人の判断を置き換える存在ではありません。人に依存してきた業務構造を解体し、2線業務を持続可能な形に変えるための技術として位置づけています。
■設問を起点としたコミュニケーション機能
設問やリスク観点ごとに、2線部門・1線部門・リスク評価先がやり取りできる仕組みを提供します。メールや口頭に分散していた確認・補足・指摘といったコミュニケーションを、評価プロセスに紐づいた形で一元管理することで、判断の背景や経緯を記録として残します。
■継続的なリスクマネジメントの基盤化
単発のチェックや一時的な対応に留まらず、2線業務が自然に回り続ける状態を前提とした運用基盤を提供します。リスク評価を「イベント」ではなく、組織に定着した「業務」へと昇華させます。
SecureNaviの思想|未踏だった「文系のセキュリティ」領域を、再現可能な「構造」へ
SecureNaviは、「文系のセキュリティ」と呼ばれてきた領域において、長年、個人の努力や慣習によって辛うじて支えられてきた「人頼み」な業務を、テクノロジーを用いて、あるべき「業務構造」として再設計し、社会実装することに挑戦しています。「2線の匠クラウド」は、企業全体に散在するセキュリティリスクへの「意思決定」と「説明責任」を同時に求められる2線業務という、これまで型やプロダクトが存在しなかった領域に、この思想を適用したプロダクトです。
2線の実務担当者の声|「人」から「構造」への転換は、すでに現場で始まっている
現在、「2線の匠クラウド」は、業界や規模の異なる複数の企業において、実運用を前提とした検証および導入が進んでいます。 その過程で寄せられた声からは、従来は個別・属人的な悩みとして扱われてきた2線業務の課題が、決して担当者個人の問題ではなく、解決すべき「業務構造の課題」として再認識され始めていることが分かります。以下は、検証の現場から寄せられた声の一部です。業界は異なりますが、いずれのコメントにも共通して、2線業務を人の努力ではなく「業務構造」として捉え直そうとする強い思いが表れています。
▪️製造業(プライム上場)|情報システム部門
(サプライチェーン全体を前提に、委託先・子会社・クラウドのリスクを扱う環境)
将来的には、セキュリティ単体ではなく「供給が止まるリスク」という観点で捉える必要があると整理しています。その前提で、点で行っていたチェックをデータとして蓄積し、全体像から判断できる業務プロセスとして整備を進めています。
▪️地域金融機関|事務管理課
(現場業務と内部統制の両立が求められる環境)
これまで個別判断に委ねていた評価業務を、クラウドをベースとした業務プロセスとして整理するきっかけになりました。
▪️製薬会社(海外拠点を持つグループ企業) | 情報セキュリティ部門
(少人数体制で、グローバル全体の統制と海外法令なども踏まえてチェック運用を担う)
海外拠点を含め、これまで担当者ごとに異なっていた評価や確認作業を統合し、チェック観点を統一することで、グローバル水準での運用の効率化に向けた道筋が描けそうです。
▪️金融/信販 | サイバーセキュリティ部門
(法令等に基づき、委託先のリスクチェックパターンが複数存在)
複数の管理部門にまたがっていた、複数観点のチェックシートを一元管理することで、業務が効率化されそうだと感じています。
▪️通信キャリア/プラットフォーマー | 情報セキュリティ部門
(グループ会社内のリスクチェックや委託先チェックなど、複数のチェック業務が存在)
様々なExcelチェック業務がある中で、Excel以上の価値を提供できる点がクラウドの良さだと感じています。
▪️製薬業界(CDMO)|情報システム部門
(外資系親会社のグループ下にあり、国内複数拠点・委託先を対象に、セキュリティ評価を行う環境)
従来は個別に行っていた委託先やクラウドサービスの評価について、件数が増える中で運用面の負担を感じていました。トライアルを通じて、チェックと承認のプロセスをクラウド上で一貫して実施できることを確認しており、将来的には、品質観点のサプライヤーチェックも含めて整理できる可能性があると考えています。
▪️大手企業グループのITサービス企業 | リスクマネジメント部門
(グループ会社のSaaS、AIの利用のリスクチェックを担当)
現場からリスクチェック業務のスピードアップを求める声があり、それが実現できそうだと感じています。
▪️総合マーケティング | 情報セキュリティ部門
(グループ会社のシステムリスクチェックを担当)
複数のExcel管理による煩雑さや、担当者ごとの評価のばらつきといった課題があり、それらの解消が実現できそうだと感じています。
▪️GovTechスタートアップ | セキュリティ担当
(委託先管理を担当)
Googleフォームを送付して回収してチェックしての業務が地味に面倒。その面倒さが解消されそうだと感じています。
▪️HRTech | 情報セキュリティ部門
サプライチェーン管理を本格的に進められそうな印象です。
今後はプロダクト間連携などが実装され、ISMS認証取得・維持プロセスとシームレスな連携ができると現場としては嬉しいです。
▪️証券FHD|ITリスク管理部門
(システムチェック、委託先チェックを担当)
クラウド上で処理が完結しExcelシートのやり取りがなくなる点で、有用性があると感じています。
▪️インターネットサービス事業者(上場)|セキュリティマネジメント室
(多数の取引先/委託先を抱える事業環境)
取引先の増加に伴い、セキュリティ評価や確認の進め方を整理する必要がありました。
評価を個別対応に頼らず、業務として回せる形にできるのではないかと考え、トライアルを通じて、そのプロセスが成立するかを検証していく考えです。
▪️ライフスタイル創造企業(海外拠点有り) | 情報セキュリティ部門
(委託先、システム、SaaSチェック等含めてセキュリティ全般の対応を行なう)
委託先の定義策定から全社的な実態把握を進める必要があります。
クラウドで「台帳化」と「評価」を同時に確立することで、現状の新規時チェックを、
定期評価を含む継続的なリスク管理体制へと発展させられるものと期待しています。
プロダクトに関する詳細・お問い合わせ
■2線部門のためのセキュリティリスク評価クラウド「2線の匠クラウド」https://fitgap.jp/audit
■ISMS・Pマークオートメーションツール「SecureNavi」 https://secure-navi.jp/
■あらゆるセキュリティ規制対応の自動化・効率化プラットフォーム「Fit&Gap」https://fitgap.jp/fg
■セキュリティチェックシート自動対応ツール「SecureLight」https://secure-navi.jp/securelight
SecureNavi株式会社について
◼︎会社概要
会社名:SecureNavi株式会社
代表者:代表取締役CEO 井崎 友博
設立:2020年1月
所在地:〒108-6022 東京都港区港南二丁目15番1号品川インターシティA棟22階SPROUND内
コーポレートサイト:https://secure-navi-inc.jp/
公式フェイスブックページ