DSRセキュリティ要件チェックリスト|導入前に確認すべき20項目
DSRセキュリティ要件チェックリスト|導入前に確認すべき20項目
DSRセキュリティチェックリストとは、DSR導入前にIT部門が評価すべき暗号化・認証・監査・データ管理の20項目である。
DSR(デジタルセールスルーム)は顧客と機密性の高い提案資料を共有するツールです。だからこそ、セキュリティ基盤の確認は導入判断の最重要事項です。「便利だから」で導入し、後からセキュリティ不備が発覚すれば、情報漏洩のリスクだけでなく顧客の信頼も失います。
本記事では、IT部門と営業部門が共同で確認すべきセキュリティ要件を20項目のチェックリストとして整理します。
なぜDSRのセキュリティ評価が重要なのか
DSRは一般的なファイル共有ツールと比べて、特別なセキュリティ要件があります。
DSRが扱う機密情報の性質
営業活動で共有される提案資料には、以下のような機密情報が含まれます。
- 価格情報: 値引き率・特別条件など競合に漏れると不利になる情報
- 製品ロードマップ: 未公開の機能開発計画
- 顧客固有の要件定義: 競合が知れば模倣できる顧客の課題・要件
- 評価レポート: PoC結果・セキュリティ診断レポート
- 契約交渉資料: 価格交渉の経緯・合意条件の前段階情報
これらの情報が第三者に漏洩した場合、競合優位性の喪失、顧客との信頼関係の損失、最悪の場合は契約破棄につながる可能性があります。
国内企業が直面するセキュリティリスク
2024〜2026年にかけて、クラウドサービスを経由した機密情報漏洩事案が国内でも複数報告されています。特に「外部共有URL(誰でもアクセスできるリンク)」からの意図しない情報漏洩が増加しています。
DSRは外部(顧客)との共有を前提としたツールであるため、「アクセス制御の粒度」と「共有URLの管理」が特に重要です。
カテゴリ1: データ暗号化(5項目)
| # | チェック項目 | 基準 | 重要度 |
|---|---|---|---|
| 1 | 通信の暗号化 | TLS 1.2以上(1.3推奨) | 必須 |
| 2 | 保存データの暗号化 | AES-256以上 | 必須 |
| 3 | 暗号鍵の管理 | 顧客ごとの鍵分離が望ましい | 推奨 |
| 4 | バックアップの暗号化 | 保存時と同等の暗号化 | 必須 |
| 5 | ファイル転送時の暗号化 | アップロード・ダウンロード時のエンドツーエンド暗号化 | 推奨 |
暗号化の確認ポイント
TLS 1.3への移行状況を確認することをお勧めします。TLS 1.2は2024年以降も広く使われていますが、TLS 1.3は接続速度の向上とセキュリティ強化の両面でアドバンテージがあります。「TLS 1.2以上対応」と回答するベンダーに「1.3は対応していますか?」と確認してください。
暗号鍵の管理方式は「マルチテナント共有鍵」「テナント別鍵」「顧客管理鍵(BYOK)」の3段階があります。セキュリティ要件が高い場合はBYOK対応の有無を確認してください。
カテゴリ2: 認証・アクセス制御(5項目)
| # | チェック項目 | 基準 | 重要度 |
|---|---|---|---|
| 6 | SSO/SAML対応 | 自社IdP(Okta、Azure AD等)との連携 | 中堅以上必須 |
| 7 | 多要素認証(MFA) | TOTPまたはSMS認証の強制可 | 中堅以上必須 |
| 8 | IP制限 | 社内ネットワークからのみアクセス可 | 金融・公共必須 |
| 9 | セッション管理 | タイムアウト設定、同時セッション制限 | 推奨 |
| 10 | ロールベースアクセス | 管理者・編集者・閲覧者の権限分離 | 必須 |
アクセス制御の確認ポイント
外部共有のアクセス制御は特に重要です。顧客に共有するリンクについて以下を確認してください。
- パスワード設定: リンクにパスワードを設定できるか
- 有効期限: リンクに有効期限を設定できるか
- メール認証: 特定のメールアドレスのみアクセス可能にできるか
- 閲覧回数制限: 指定回数以上の閲覧でアクセス無効化できるか
「URLを知っている人全員がアクセスできる」という設定はリスクが高く、このような設定のみしか提供しないDSRは注意が必要です。
内部ユーザーの権限分離も確認しましょう。「営業担当者はルームを作成・編集できるが、他の担当者のルームは閲覧できない」という設定が必要な組織は多くあります。
カテゴリ3: 監査・コンプライアンス(5項目)
| # | チェック項目 | 基準 | 重要度 |
|---|---|---|---|
| 11 | 操作ログ | 全アクティビティの改ざん不可能な記録 | 必須 |
| 12 | ログ保持期間 | 最低1年(金融業界は5年以上推奨) | 業界依存 |
| 13 | ログエクスポート | CSV/PDF形式での監査レポート出力 | 推奨 |
| 14 | SOC2認証 | Type II取得済みが望ましい | 中堅以上推奨 |
| 15 | 第三者脆弱性診断 | 年1回以上の実施と結果開示 | 推奨 |
監査ログの確認ポイント
監査ログの「改ざん不可能性」を確認することが重要です。単にログを記録するだけでなく、「記録されたログが後から変更されないこと」を技術的に保証しているかを問い合わせてください。
SOC2 Type IIとType Iの違いを理解しておきましょう。
- SOC2 Type I: 「特定時点でセキュリティ管理が適切に設計されていること」を証明
- SOC2 Type II: 「一定期間にわたってセキュリティ管理が継続的に有効であること」を証明
Type IIの方が厳格で、信頼性が高いです。「SOC2取得済み」という回答には「Type IかType IIか」を確認してください。
カテゴリ4: データ管理・プライバシー(5項目)
| # | チェック項目 | 基準 | 重要度 |
|---|---|---|---|
| 16 | データ保管場所 | 国内リージョン(日本法人の場合) | 重要 |
| 17 | データ削除 | ユーザー・ルーム単位の完全削除機能 | 必須 |
| 18 | バックアップ | 自動バックアップと復元手順の明確化 | 必須 |
| 19 | データポータビリティ | 解約時のデータエクスポート機能 | 推奨 |
| 20 | プライバシーポリシー | 個人情報保護法・GDPRへの対応 | 必須 |
データ保管場所の確認ポイント
「国内リージョン」の定義を明確にしてください。「日本のデータセンターに保管」と答えるベンダーでも、バックアップや分析データが海外リージョンに保管されているケースがあります。
確認事項:
- メインデータの保管場所
- バックアップの保管場所
- ログデータの保管場所
- CDN(コンテンツ配信)の経由地
GDPR対応は、欧州に顧客を持つ企業や欧州籍の従業員がいる企業に特に重要です。DSRにアクセスした顧客(EU市民)の閲覧データを収集・処理する場合、GDPRの適用対象になります。
商談管理をもっと効率的に。まずは無料で試してみませんか?
無料ではじめるチェックリストの活用方法
ステップ1: 自社の必須要件を特定
20項目すべてが全企業に必須ではありません。自社の業界・規模・顧客に応じて、必須要件と推奨要件を分類します。
- 全企業必須: #1-2(暗号化)、#11(操作ログ)、#16(データ保管)
- 中堅以上必須: #6(SSO)、#7(MFA)、#14(SOC2)
- 金融・公共必須: #8(IP制限)、#12(ログ5年保持)、#15(脆弱性診断)
ステップ2: DSRベンダーに確認
DSR選定の過程で、ベンダーに本チェックリストを送付し、各項目の対応状況を回答してもらいます。回答を比較表として整理すれば、セキュリティ面での選定が容易になります。
ベンダーへの効果的な質問の仕方:
「各項目に対して、(1)対応済み、(2)部分対応(内容を説明)、(3)未対応 のいずれかで回答し、(1)(2)の場合は技術的な詳細と証明書・レポートを添付してください」
このように回答形式を指定することで、「はい」という曖昧な回答ではなく、具体的な内容を引き出せます。
ステップ3: IT部門との合同レビュー
営業部門の「使いたい」とIT部門の「セキュリティを担保したい」を両立するため、チェックリストの結果を共同レビューします。
合同レビューのアジェンダ例:
- 各ベンダーの20項目対応状況の比較(30分)
- 自社必須要件との照合(15分)
- 未対応項目のリスク評価と代替手段の検討(20分)
- 採用・非採用の判断(15分)
ステップ4: 定期的な再評価
DSRを導入した後も、年1回はセキュリティ要件の再評価を実施することをお勧めします。ベンダーのセキュリティ対応は進化しますが、自社のコンプライアンス要件も変化します。
業界別の重点項目
SaaS / IT企業
SOC2認証とAPI セキュリティを重視。顧客企業のセキュリティ審査に備えて、DSR自体がセキュリティ基準を満たしていることが営業上のアドバンテージになります。
IT企業の顧客は自社のセキュリティチェックシートを要求するケースが多く、「あなたたちの使っているDSRのセキュリティは大丈夫?」という質問を受けることがあります。SOC2取得済みのDSRを使っていれば、この質問に自信を持って回答できます。
製造業
図面・技術資料の保護が最優先。ダウンロード制御、透かし、有効期限の設定が必須です。
製造業では「設計図面が外部流出した場合の損害」が非常に大きいため、アクセス制御の粒度(誰が・いつ・何を見たか)のログが特に重要です。ルームを閉鎖した後もアクセスできないよう、有効期限とアクセス取り消し機能を必ず確認してください。
金融業界
監査ログの長期保持(5年以上)、FISC対応、IP制限が必須。コンプライアンス部門との共同評価が不可欠です。
金融機関向けのセキュリティ要件として、FISC(金融情報システムセンター)の安全対策基準への対応を確認してください。国内金融機関はFISCガイドラインに準拠するシステムを利用することが求められる場合があります。
公共・官公庁
ISMAP対応、国内データセンター、データの国外移転禁止設定が必須です。
ISMAP(情報システムセキュリティマネジメント及び評価制度)は、日本政府が認定するクラウドサービスの安全基準です。官公庁や自治体をターゲットとする場合、DSRがISMAPに登録済みかどうかを確認してください。
実際の評価フローの例
B社(エンタープライズSaaS)がDSR選定時に実施したセキュリティ評価フローを紹介します。
| ステップ | 内容 | 所要時間 |
|---|---|---|
| 1. 要件整理 | IT部門と営業部門で必須・推奨要件を整理 | 2時間 |
| 2. ベンダーへの送付 | チェックリストを3社のベンダーに送付 | 即日 |
| 3. 回答収集 | ベンダーからの回答を待つ | 1〜2週間 |
| 4. 比較表作成 | 3社の回答を比較表にまとめ | 3時間 |
| 5. 合同レビュー | IT・営業・情報セキュリティ部門での合同評価 | 2時間 |
| 6. 選定決定 | セキュリティと機能・価格を総合評価して決定 | 1時間 |
合計2〜3週間の評価プロセスで、セキュリティと機能の両方で満足できるDSRを選定することができました。
商談管理をもっと効率的に。まずは無料で試してみませんか?
製品デモを見るよくある質問
チェックリストの全項目を満たすDSRはありますか?
エンタープライズプランを提供するDSRの多くは、20項目の大半に対応しています。一部の項目(暗号鍵の顧客別分離など)はオプションの場合もあるため、ベンダーに個別確認してください。Terasuはチェックリスト全20項目に対応しており、詳細は各ページでご確認いただけます。
自社のセキュリティチェックシートをDSRベンダーに送っても対応してもらえますか?
はい。エンタープライズ向けDSRベンダーは、顧客企業のセキュリティチェックシートへの回答に慣れています。回答にかかる期間は通常1〜2週間です。事前に「チェックシートの項目数」と「回答期限」を伝えておくとスムーズです。
SOC2未取得のDSRは使うべきではないですか?
SOC2は重要な指標ですが、未取得でもセキュリティ基盤が十分な製品はあります。SOC2以外の項目(暗号化、アクセス制御、監査ログ)を個別に評価して判断してください。特にスタートアップのDSRベンダーはSOC2未取得でも技術的には高水準のセキュリティを持つ場合があります。
無料プランと有料プランではセキュリティレベルが違いますか?
一般的に、無料プランでは一部のセキュリティ機能(SSO・IP制限・カスタム有効期限など)が制限されています。必須のセキュリティ要件が無料プランで満たせるか、有料プランが必要かを確認してから導入判断してください。
顧客がDSRルームにアクセスする際のセキュリティはどう担保しますか?
顧客向けの主なセキュリティ機能は「メール認証(指定メールアドレスのみアクセス可)」「パスワード設定」「有効期限設定」「閲覧回数制限」です。機密度の高い資料は複数の認証を組み合わせることをお勧めします。「URLを知っている全員がアクセスできる」設定は避けてください。
データ漏洩が発生した場合のベンダーの対応はどう確認しますか?
契約前に「インシデント発生時の通知タイミング・通知先・対応フロー」を確認してください。GDPR・個人情報保護法では、データ漏洩発生から72時間以内の監督機関への報告が求められます。ベンダーが「72時間以内に顧客に通知する」仕組みを持っているかを確認することが重要です。
DSRの閲覧データ(誰がいつ見たか)のプライバシーはどう扱われますか?
閲覧データには個人情報が含まれます(IPアドレス・メールアドレス・閲覧時刻等)。このデータが「DSRベンダー自身のサービス改善に利用されるか」「第三者に共有されるか」をプライバシーポリシーで確認してください。「顧客のデータは顧客のもの」という方針を明示しているベンダーを選ぶことをお勧めします。
DSRのセキュリティ評価をIT部門に説明するためのポイントはありますか?
IT部門への説明では「認証方式(SSO/SAML対応)」「暗号化方式(保存時・転送時)」「アクセスログの保存期間と取得方法」「ペネトレーションテストの実施状況」の4点を軸にすると評価しやすくなります。ベンダーにセキュリティホワイトペーパーや第三者監査レポートの提供を依頼し、社内基準と照合する手順を踏むことをお勧めします。
まとめ
DSRのセキュリティ評価は、20項目のチェックリストで体系的に行いましょう。
- 暗号化: 通信と保存の両方でAES-256 / TLS 1.3以上
- 認証: SSO対応とMFAの強制が中堅以上の必須要件
- 監査: 改ざん不可能なログの保持と監査レポート出力
- データ管理: 国内保管、完全削除、エクスポート機能
- 外部共有の制御: メール認証・有効期限・閲覧回数制限
セキュリティは「コスト」ではなく「顧客への信頼の証」です。本チェックリストで確実に評価しましょう。また、1年に1度の定期的な再評価を忘れずに実施してください。
