ビズリーチなどを展開するビジョナル傘下で、ぜい弱性管理クラウドやリスク評価サービスを手掛けるアシュアードは、ビジネス拡大へアクセルを踏み込んでいる。ビジョナルはサイバーセキュリティー事業を「HRに次ぐ第2の柱にする」と表明しており、アシュアードが成長戦略の中核を担う。アシュアードを率いる大森厚志社長は、企業のセキュリティー評価をインフラとして定着させ「社会全体のセキュリティーレベルを底上げする」と目標を掲げる。
（取材・文／春菜孝明）

社会課題を可能性に変える

ビジョナルがセキュリティー事業を強化する理由は。

　グループ全体に「社会課題を新しい可能性に変えていく」という価値観がある。サイバーセキュリティー分野は、課題が日に日に多くなっている。10～20年前とは打って変わり、セキュリティーが企業内で本格的に議論される段階に入ったと感じている。業界としてこれから盛り上がっていくことが理由の一つだ。
セキュリティーは外資系ベンダーに勢いがある。
 
　外資系企業の製品はプロフェッショナル向けで、何でもできるが、専門知識がないと使いこなせないものがかなりある。こうした傾向は、多くの日本企業が置かれている現在地と異なるのではないか。国内では「まず対策を導入したい」といったように、必ずしもリテラシーが高くなくても使えるサービスも求められ、市場を開拓する余地は大きい。

　また、経済産業省がセキュリティー産業の振興戦略をまとめるなど、国としても経済安全保障上のリスクなどから国産セキュリティーを育てる方向へ進んでいる。日本の中で製品や価値をつくることは重要だろう。

全企業導入が目標

6月に取引先のセキュリティー状況を評価する企業向けサービス「Assured企業評価」を発表した。特徴は何か。

　セキュリティー対策の実態をしっかりと把握できる点が強みだ。一般的なビジネスパーソンにとって、セキュリティー領域は理解しにくい面があり、社会全体の共通言語になっていない。そのため、対策の現状を経営層やステークホルダーに客観的に伝えることが難しくなっている。そこで、健康診断のような仕組みを提供している。誰にでも分かる言葉で自社の安全性を示すことができ、社会がセキュリティー対策を測る“尺度”としての価値を高めたい。

　データベースを扱うビジネスは、情報のインプットが正しくされているかが肝要になる。このサービスでは専門チームが企業と向き合い、「確からしい情報」を得ていく。得られない場合は情報の設計や聞き方などをチューニングして改善する。

クラウドセキュリティー評価の「Assured」がすでにあり、Assured企業評価はそれを拡張したかたちとなる。狙いはどこにあるか。

　ぜい弱性管理ツール「yamory」を提供する中で、企業のセキュリティー投資への意識に課題を感じていた。多くの企業では、ぜい弱性管理の必要性は理解されていても、業界の慣習や過去のインシデントの有無によって導入されていなかった。優先順位が低く、投資する場合でも、第三者の提案をそのまま受け入れるなど基準が曖昧な場合が多い。「課題を自社で把握できれば自分たちで判断できるはず」という違和感があった。企業がより主体的にセキュリティーの現状を把握し、投資判断できる仕組みが必要だと考え、Assuredを開発した。

　現在は、Assuredの評価スコアを通じてクラウド事業者が自らのセキュリティーを見直す動きが生まれている。企業内のKPIになっていたり、外部からの調査依頼で提示したりするなど、信頼性を表す指標としても定着している。この仕組みをクラウドに限らず、より広い領域に展開して社会全体のセキュリティー基盤を支えるプラットフォームにしていこうとAssured企業評価を発表した。
目標は。

　将来的には国内の全企業への導入を目指す。大手企業のセキュリティーが完璧でも、社会が連なっている以上、弱い部分があれば攻撃されてしまう。（セキュリティーの）ベースラインを上げていくことが大切だ。最初に導入した大企業が中小企業を評価し、その中小企業がさらに取引先を評価するという循環構造をつくることで、レベルを底上げできる。
どのように広めるか。

　AssuredやAssured企業評価はユーザーからのフィードバックがサービス改善の肝になっており、直販から始めている。yamoryは開発と絡む要素が多く、SIerなどとパートナーシップを組んで販売する機会が多い。評価ツールもきちんと広がることが確認できれば、パートナーとの取り組みを増やしていくことはあり得る。

市場に向き合う

今後の展望は。

　5～10年のスパンでインフラとして育てていく。グループ代表の南（南壮一郎社長）と話していたのは、2009年に開設したビズリーチが評価を受けているのは最近になってからということ。大きい課題を解決しようとすると数年では難しい。当社が提供するセキュリティーのサービスもいろいろな企業に使っていただくことで意味がある。足腰を据えて市場に向き合う。

サービスを増やす考えは。

　評価サービスで得られたデータによって、健康診断のように状態が悪いポイントが分かる。その状態の悪い箇所にフィットするセキュリティーツールをつくる可能性はある。自分たちで開発しなくても、あるものをつなぐこともできる。いずれにしろ最終的なミッションは社会全体の水準を上げることだ。必要なことは全部やっていく。