こんにちは、古久保です。


ウチ(クエステトラ社)は、クラウドサービスである Questetra BPM Suite の開発と販売、一本でやっとります!
10年(2009年9月販売開始)からやっとりまして、手前味噌ですが、『国内クラウドBPMS』の草分け的存在です。ハイ。
10年前、何したはりました?私は、ドラゴンクエストIX やってました。すれちがい通信とかで秋葉原はエライことになっていましたねぇ。で、そんなこんなで、10年からやってます。で、 Questetra のお話ですが…

なんて、営業トークを展開し、日々、Questetra BPM Suite の紹介をしております。デモンストレーションに加えてクラウドサービス界隈、BPM業界、最近では RPA界隈の情報のお話もさせてもらっています。 そんな中でよくお聞きするお話としては、

Questetra は、クラウドサービスですよね。情報漏えいリスクに対する社内の説明を行わなければならないです。どう乗り越えていったら良いの?

です。「情報漏えいリスク」については、様々な団体が様々な注意喚起を行っています。

◆個人情報が漏れるとこんな事が!
・2007年度にニュースになった個人情報漏えい事件は、864件、それにより個人情報が漏えいした人数は、3千万人を超えるという調査結果もあります。
・漏えいの原因は、紛失・置き忘れが20.5%、続いて管理ミス20.4%、誤操作18.2%と、人的ミスがトップ3を占め、それが全体の75%を占めています 。 (JNSA「2007年度情報セキュリティインシデントに関する調査報告書(Ver.1.1)」)
漏れたら大変!個人情報:情報処理推進機構(IPA)

のようなエキサイティングな標題の情報から

P.12 図2 コミットメントに基づく情報セキュリティガバナンスのフレームワーク
P.12 図2 コミットメントに基づく情報セキュリティガバナンスのフレームワーク
クラウドサービス利用のための情報セキュリティガイドライン2013年度版:経済産業省

のような非常に詳しく読みごたえのある(正直しんどい)情報までございます。「情報漏えいの危険性が高いか?低いか?」は、どのポイントを抑えれば良いのかわかりづらくあります。整理しつつ、「Questetra を導入する上で、情報漏えいリスクをどのように評価するか?」をお話したいと思います。

◆論点の整理

情報漏えいリスク」に関しては、様々な観点があろうかと思います。(私なりに)ざっとまとめますと以下になります。

情報漏えいリスクの論点整理

大きくは、「お客様(Questetra ご利用企業)の運用体制」「クエステトラ社への信用」となると考えています。それぞれのポイントを黒長方形内の内容で補完することになります。クエステトラ社としましては、可能な限り、お客様へ情報を提供し、お客様に「クエステトラ社への信用」を持って頂きたいと考えております。

◆クエステトラ社を信用してもらえる情報

◆◆Web サイトでの安全宣言

クエステトラ社が提供するサービスのセキュリティの考え方に関しては、可能な限り事前に確認頂けるよう Web サイトで情報を公開しています。広く世間に公開することにより一定の覚悟を見せていると思って頂ければと思います。

現在、クエスエトラ社では、情報セキュリティマネジメントシステム(1)の第三者適合性評価(2)を受けておりません。(3)
(1)ISMS:Information Security Management System (2)ISMSの認証基準JIS Q 27001:2014(ISO/IEC 27001:2013) (3) 2020年9月3日 クエステトラ社、「ISO/IEC 27001:2013 / JIS Q 27001:2014」の認証を取得
しかしながら、クエステトラ社の Web サイトにて「機密性」「保全性」「可用性」「サービス稼働率の実績」情報を開示しています。

◆クラウドサービスにおけるセキュリティについて
我々のSaaSビジネスは「お客様の信頼」の上にこそ成り立ちます。 クエステトラは、お客様に所有権のある情報を預かるにあたり、「情報漏洩」の可能性と「情報不正利用」の可能性を徹底的に排除する事が、最も重要であると考えています。「Questetra SaaS セキュリティ」抜粋

また、個人情報取り扱いについても、Web サイトにて「プライバシーポリシー」を公開しています。

1. はじめに
株式会社クエステトラ(以下 “Questetra”)は “ソフトウェアの創造を通じて世界中のビジネス革新に貢献する” というミッションの下に活動しています。
本プライバシーポリシーは、お客様の従業員をはじめとするユーザーが Questetra の製品サービス(ウェブサイトやアプリや関連するサービスで本プライバシーポリシーにリンクするものを含む。以下 “Questetra Services”)を使用する際、Questetra がお客様情報を収集・使用・共有する方法と時期について説明しています….「Questetra プライバシーポリシー」抜粋

◆◆Questetra の利用実績

Questetra サービスは、約200社の利用実績がございます。一部の利用事例記事を公開させて頂いています。

ご利用事例の一例:株式会社TMJ
約2000名での利用。グループウェア移行時にワークフロー部分をクラウド BPM に切替。押捺依頼の処理時間は40%短縮。
株式会社TMJ「ご利用事例一覧」ページ

様々な企業が、自社のセキュリティポリシーと合うかを検討された上で、Questetra をご利用頂いています。

◆◆Questetra セキュリティチェック

自社のセキュリティポリシーを元にセキュリティチェックリストを作成され、クエステトラ社へ回答の依頼を頂きます。きっちり、回答を致します。しかしながら、回答ができない部分もございます。例えば以下のような依頼がございます。

Q:不正アクセスによる不正なサーバ侵入に対する検知システム機器のメーカー・製品名を開示せよ
Q:大量アクセス発生検知機器のメーカー・製品名を開示せよ
Q:大量アクセス発生検知時、攻撃検知間隔、対応上限値を開示せよ

いずれにおいても「非開示」という回答となります。情報を開示してしまうことで、逆にサービスの堅牢レベルを下げしまうことになりかねません。ご質問に対する回答は「非開示」となりますが、非開示の理由を含め、誠実にお答え致します。

◆◆クラウドサービス利用動向情報

Questetra は、様々なクラウドサービスと API を介したシステム連携が可能です。連携事例を作り上げる中でクラウドサービスの動向をウォッチしています。

システム連携ネタでよくブログを書いている日下です。
※ちなみにこれまでの記事はこちら
私がこれまでに耳にした連携事例をざっとカテゴリ別にまとめてみました。
※以下は REST API を使うものだけではありません。
※REST API 連携については、汎用的なコネクタがあるので、連携できるものがまだまだ多数出てくると思います。
:
クラウド BPM ワークフローの他システム連携事例集(2019年6月版)スタッフブログ:クラウド BPM ワークフローの他システム連携事例集(2019年6月版)

また、クエステトラ社社内でも複数のクラウドサービスを利用しています。(詳細は申せませんが)グループウェアやカスタマーサービス・サポートシステム、会計ソフト、開発管理ツール、顧客管理システムと様々で、積極的に利用を行っています。
これらの取り組みの中で得た知見を Questetra サービスとして生かしています。つまり、Questetra サービスは、おおよそ一般的なクラウドサービス群のサービス内容(動向)に沿っていると考えています。(つもりです!)

◆◆クエステトラ社の経営体制

もちろん!クエステトラ社の会社概要は Web サイトから参照可能です。

◆組織・体制
株式会社クエステトラは、会社法に規定される「指名委員会等設置会社」(旧称「委員会設置会社」)です。

株式会社クエステトラ 会社概要

「経営の透明性」を感じていただける経営を行っています。

一般的に「指名委員会等設置会社」は、3つの委員会の設置や社外取締役の確保等、負担は小さくないと言われています。しかしながら、会社自身の信頼性を補完する一つとして「指名委員会等設置会社」を維持し続けています。

指名委員会等設置会社(WikiPedia)

さらに、「クエステトラ社の会社情報を公的に確認したい!」という方は、クエステトラ社の「登記事項証明書」を取得してもらえればと思います。

  • いつでも、誰でも取得可能
  • 法務局へ赴いて取得は、手数料600円、オンライン請求場合は、法務局受取:480円 郵送:500円
土地・建物,会社・法人の登記事項証明書や会社・法人の印鑑証明書については,登記所又は法務局証明サービスセンターの窓口での交付請求のほか,郵送による交付請求や,ご自宅・会社等のパソコンからインターネットを利用してオンラインによる交付請求を行うことができます。

登記事項証明書の取得可能・取得方法(法務局)

◆まとめ

前述致しましたが、情報漏えいリスクについては、様々な観点がございます。日々、お客様からご相談をお聞きしますが、

  • ウチで作ったセキュリティチェックシートを埋めて!(数百個のチェック項目!)
  • Questetra の開発や運用施設に直接赴き、監査を実施して良いか?
  • Questetra の全てのログや必要であればソースコードや設定内容を監査できるか?

等のようなご相談が時折ございます。お応えできるもの(セキュリティチェックシート対応します!)できないもの(セキュリティの観点から開発/運用現場はお見せできません)がございますが、真面目に対応致します。日本の SaaS ベンダーとして安心してご利用してもらえるように日々、努めてまいりたいと思います。不明点やもっと詳しい話を聞きたい場合は、遠慮なくご連絡頂ければと思います。

About The Author

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

上部へスクロール
%d人のブロガーが「いいね」をつけました。