この記事でわかること
- なぜ「セキュリティ情報を公開しないこと」が競争上のリスクになり始めているのか
- 上場SaaSのシャノンが情報公開へ踏み切った背景
- セキュリティ情報を「どこまで・どう公開するか」を決めるための考え方
- セキュリティ情報を負担ではなく資産として活用するための視点
Librus株式会社の翁氏、株式会社Conoris Technologiesの井上氏、株式会社シャノンの井上氏をお迎えし、SaaS企業向けのセキュリティセミナーを開催しました。(2025年12月9日開催)
レポート前編では、国内SaaSが直面するセキュリティ課題とその背景にある市場構造、対応すべき対策について整理しました。後編では、強化したセキュリティをどのようにユーザー企業に伝え、選定や商談を前に進める力へと変えていくかを解説します。
目次
大量の個人情報を扱うSaaSとして向き合う、セキュリティの透明性
株式会社シャノンは、マーケティングオートメーション(MA)ツール「SHANON MARKETING PLATFORM」を提供するSaaS企業です。数万〜数十万件規模の個人情報を取り扱うケースも多く、顧客企業からは厳しいセキュリティ要件や確認を求められる立場にあります。
こうした事業特性について、同社CTOの井上氏は次のように説明します。
「顧客情報や人事・会計情報など、さまざまな業務データがSaaS化される中で、サイバー攻撃も増加しています」
その結果、ユーザー企業では情シス部門だけでなく、監査・法務など複数部門が関与する形で、利用するSaaSのセキュリティを確認する動きが一般化しているといいます。
こうした環境下では、
- セキュリティ対策
- 各種認証の取得
- 情報開示による透明性
といった点で先行する海外SaaSに対し、日本のSaaSも同様に「透明性」を示していく必要があるという課題感が共有されました。
チェックシート対応の課題と、情報開示に踏み切った理由
シャノン社では、情報公開を検討する以前から、セキュリティチェックシート対応そのものが大きな負担となっていました。
主な課題は以下の通りです。
- 年間で数百件規模のチェックシートに対応
- 回答作成が特定メンバーに依存し、属人化
- 心理的・時間的負担が大きく、「もうやりたくない」という声も
- AIを活用した効率化を進めているが、最終確認は人手が必要
- FAQはあるが、運用や統制を体系的に説明できる形には整理されていない
また、チェックシートの内容によって、
- 企業全体のセキュリティを問われているのか
- 製品単体のセキュリティを問われているのか
が混在しており、その切り分けにも人の判断が必要だった点が課題として挙げられました。
こうした状況について、井上氏は次のように振り返ります。
「チェックシート対応の効率化自体は進めてきましたが、ユーザーが本質的に求めているのは”透明性”だと感じるようになりました。社内にはセキュリティに関する情報もあり、AIも活用していますが、それを外部に対して安心して出せる形にはなっていなかったのが実情です。そこで、重い腰を上げてセキュリティ情報の開示に踏み切る判断をしました」(井上氏)
セキュリティ情報公開に向けた意思決定プロセス
セキュリティ情報公開にあたっては、「特別な施策を行ったわけではなく、比較的オーソドックスなプロセスを踏んだ」と井上氏は説明します。
実際に進めたプロセスは、以下の通りです。
- 技術部門内で目的・方針を整理
- ISMSの観点で妥当性を確認
- 役員会で経営層へ説明し、合意を形成
検討の中では、
- どの情報を公開するのか
- 攻撃者視点・運用者視点でのリスクは何か
といった点を議論し、ISMS文書との整合性チェックを行ったといいます。
役員会では、市場背景や自社が抱える課題を踏まえたうえで情報公開の必要性を説明し、公開範囲とリスク対策を提示しました。チェックシート対応の負荷が大きかったこともあり、反対意見は少なく、むしろ前向きな声が多かったとのことです。
情報開示範囲の考え方
情報開示にあたっては、ユーザーが判断しやすい形で情報を出すことを重視し、国のガイドラインに沿った回答を整備しました。その一環として、アイティクラウド株式会社が提供する「ITreview SaaSセキュアチェック」も活用したといいます。
基本的な線引きは以下の通りです。
公開する情報
- Yes/Noで回答できる、何を実施しているか(What)という質問
公開しない情報
- OSやミドルウェア、開発言語・バージョンなどの内部構成
- 内部・外部の監査内容と結果
- 脆弱性診断で使用しているツール名やレポート
大口顧客から個別開示を求められるケースはあるものの、攻撃に悪用されるリスクや、情報流出時の影響の大きさを考慮し、原則として公開情報には含めない姿勢をとっているとのことです。
セキュリティ情報を資産に変える取り組み
同社では、過去1年分のチェックシートをAIに読み込ませ、FAQのマスタを強化するなど、情報の蓄積と再利用を進めているといいます。さらに、整理したセキュリティ情報をホワイトペーパーなどの形に再構成し、単なる対応業務にとどまらず、自社の強みとして発信していく方針も示されました。
「セキュリティは、やっても褒められにくい領域です。しかし、ユーザーが透明性を求めている以上、どこかで一歩踏み出す必要があります。セキュリティ情報の公開は、もはやメリットではありません。公開しないこと自体が、競争上の大きなペナルティになりつつあります」
井上氏はこうした考えを示し、同業のSaaS事業者に向けたメッセージとして講演を締めくくりました。
後編まとめ:セキュリティの透明性を広げるために
セミナー終盤には、アイティクラウド株式会社 セキュアチェック事業部 部長の平山が登壇し、各社の講演内容を振り返りました。
セキュリティは単なる「守り」ではなく、営業やマーケティングに活用できる「攻め」の要素になり得ると平山は語ります。
「これまで、SaaSの安心を確かめる手段は、個別のセキュリティチェックシート対応がほぼ唯一でした。しかし、『見えるから安心』という状態をつくることができれば、SaaSの導入判断は早まり、比較検討の材料にもなります。SaaSの成長にとって重要なのは、この安心感を支える『透明性』だと考えています」(平山)
その手段のひとつとして誕生したのが、「ITreview SaaSセキュアチェック」です。SaaS事業者は自社製品のセキュリティ情報を無料で掲載でき、ユーザーはボタンひとつで内容を確認できるため、個別のチェックシートをやり取りする必要がなくなります。
「現在は244製品(※2025年12月9日時点)が情報開示に協力してくれていますが、まだまだ増やしていきたいと思っています。SaaS事業者・ユーザー双方にとってメリットのある形で、セキュリティの透明性をSaaS業界に広げていきたいです」(平山)
SaaS事業者の皆さまへ
自社製品の強みに「セキュリティ対策」をプラスしませんか?
ITreview SaaSセキュアチェックでは、SaaSのセキュリティ情報を無料で掲載いただけます。
すでに多くのSaaS事業者が、ユーザーに「見える安心」を提供する手段として活用しています。セキュリティを「コスト」で終わらせず、選ばれる理由として活かすための第一歩として、ぜひITreview SaaSセキュアチェックをご検討ください。
ITreview SaaSセキュアチェック掲載のお申し込みはこちら
https://docs.google.com/forms/d/e/1FAIpQLSezg28PF3xaOsNlJWXKtmwhcWMPLQL_BMzrqeXF2bOWMePiew/viewform
