CISOインタビュー|営業のセキュリティリスクをDSRで構造的に解決した方法
CISOインタビュー|営業のセキュリティリスクをDSRで構造的に解決した方法
営業のセキュリティリスク対策としてのDSR活用とは、メール添付・無審査クラウドを排除し、アクセス制御と監査証跡を備えた安全な情報共有基盤を構築する手法である。
「CISO(最高情報セキュリティ責任者)として最もコントロールが難しいのは、営業部門の情報共有行動だ」——大手IT企業でCISOを務める田村氏(仮名)は、率直にそう語ります。
今回は、営業部門のシャドーIT問題と情報漏洩リスクをDSR導入で構造的に解消した田村氏に、営業セキュリティの実態と対策を伺いました。
プロフィール
| 項目 | 詳細 |
|---|---|
| 役職 | CISO(最高情報セキュリティ責任者) |
| 企業 | 大手IT系ソリューション企業 |
| 管轄 | 従業員1,200名のセキュリティ全般 |
| DSR導入歴 | 2年0ヶ月 |
| 導入効果 | シャドーIT利用率−85%、セキュリティインシデント件数−60% |
営業部門のセキュリティリスクの実態
田村氏: CISOとして営業部門のセキュリティ調査を行ったとき、想定以上の問題が見つかりました。
最も多かったのが「個人メールによる提案書送付」です。「急いでいたから」「会社メールが重かったから」という理由で、機密提案書を個人のGmailアカウントから送付していた事例が複数確認されました。次に多かったのがGoogle Driveを顧客共有に使うケースです。アクセス権限の設定ミスにより、「誰でも閲覧可能なリンク」を顧客に送付していた事例が発見されました。
これらは「悪意のある行動」ではなく、「セキュリティリスクを認識していない業務改善の結果」でした。現場の営業からすれば、手間を省いた工夫のつもりです。しかし、CISOとして放置することはできません。
発見されたリスクの深刻度分類
調査結果を整理すると、以下のような分布になっていました。
| リスクカテゴリ | 発見件数(年間) | 深刻度 | 主な原因 |
|---|---|---|---|
| 個人メールでの提案書送付 | 47件 | 高 | 会社メールの操作性問題 |
| 無審査クラウドへのファイル保存 | 31件 | 高 | シャドーITの常態化 |
| 「誰でも閲覧可能」リンクの送付 | 28件 | 中〜高 | Google Driveの設定ミス |
| 期限切れ提案書の残存共有 | 62件 | 中 | 更新管理の仕組みなし |
| 退職者のアカウントでのアクセス | 8件 | 高 | オフボーディング漏れ |
特に「退職者のアカウントでのアクセス」は、発見した時点で最大6ヶ月以上の期間、アクセスが継続していたケースもありました。これはサードパーティのクラウドサービスのアカウント管理が社内で一元管理されていなかったことが原因です。
「禁止」より「安全な代替手段」の提供
田村氏: セキュリティ部門が犯しがちなミスは、「禁止」だけを伝えることです。禁止するだけでは、営業はより見えない場所でリスクのある行動を続けます。
提案書の安全な共有のための代替手段として、DSRを選択した理由は3つです。
- 使いやすさ: セキュリティを意識せず使えるUXであること
- アクセス制御: 「誰が、いつ、何を見られるか」を管理者が制御できること
- 監査証跡: 閲覧ログが自動生成され、インシデント調査に使えること
「禁止の代わりに、より安全で便利なツールを提供する」というアプローチで、現場の抵抗感なく導入できました。
導入前後の比較
営業部門の反応と運用状況の変化を整理すると、以下のようになります。
| 評価軸 | 導入前 | 導入後 |
|---|---|---|
| 情報共有チャネル数 | 5〜7種類(メール/Drive/Box/個人クラウド等) | 1種類(DSR) |
| シャドーIT利用率 | 測定困難(推定60%超) | 9%(モニタリング値) |
| セキュリティインシデント件数/年 | 176件 | 70件(−60%) |
| 監査対応工数(1回あたり) | 平均32時間 | 平均9.6時間(−70%) |
| アクセス権限の一元管理 | 不可 | 可(DSR管理画面から全ルーム管理) |
商談管理をもっと効率的に。まずは無料で試してみませんか?
無料ではじめるDSRのセキュリティアーキテクチャ評価
田村氏: DSRを採用する前に、情報セキュリティ部門として厳格な評価を行いました。評価した主な項目は以下の通りです。
| 評価項目 | 確認内容 | 結果 |
|---|---|---|
| 認証・認可 | MFA対応、SSO連携 | 対応 |
| 暗号化 | 通信・保存データの暗号化水準 | AES-256 |
| アクセス制御 | ページ単位の閲覧権限設定 | 対応 |
| 監査ログ | 閲覧者・日時・操作の記録 | 180日保持 |
| コンプライアンス | SOC2 Type II, ISO27001 | 取得済 |
セキュリティチェックリストに基づく評価をクリアしたことで、情報セキュリティ部門として公式に承認し、営業部門への展開を支持しました。
評価で見えた「差別化ポイント」
他のSaaSツールと比較した際、DSRが特に優れていた点が2つありました。
1. ルーム単位の「有効期限設定」
提案書を共有する場合、商談が終了した後もリンクが有効なままというリスクがあります。DSRのルーム有効期限設定により、商談クローズ後に自動でアクセスを無効化できます。これは情報セキュリティ的に非常に重要な機能です。
2. アクセス元IPアドレスのログ記録
顧客が国外IPアドレスからアクセスした場合など、異常なアクセスパターンを検知できます。万が一アカウントが第三者に共有されていた場合でも、ログで把握できる体制が整っています。
監査対応の効率化
田村氏: DSR導入で予想外の恩恵を受けたのが、セキュリティ監査への対応です。以前は「いつ、誰に、どの資料を共有したか」を調査するために、個々の営業のメール履歴を収集する必要があり、膨大な工数がかかっていました。
DSR導入後は、DSRの管理画面から全ルームの閲覧ログを集中管理できます。「特定の顧客に共有した資料の一覧」「特定期間の全共有活動のログ」を即座に出力できるため、監査対応時間が平均70%削減されました。
特に個人情報保護の観点から、「誰が個人情報含む資料を閲覧したか」の証跡が自動で取れることは、GDPR・個人情報保護法への対応においても大きな価値があります。
監査対応のワークフロー改善
監査対応のプロセスが具体的にどう変わったかを示すと次のようになります。
【導入前の監査対応フロー】
- 監査員から「○○社に共有した全資料一覧と共有日時を提出してください」
- 担当AEのメール履歴を手動検索(所要時間: 4〜8時間/社)
- 別担当が対応した場合は引き継ぎ確認(さらに2〜4時間)
- 添付ファイルのバージョン確認(最新版か確認できないケースも)
- 表形式に整理してExcelで提出(2〜4時間)
【導入後の監査対応フロー】
- 監査員から「○○社に共有した全資料一覧と共有日時を提出してください」
- DSR管理画面で顧客名検索(所要時間: 5分)
- ルームのアクティビティログをCSVエクスポート(3分)
- 提出(合計: 約10分)
この改善により、年間のセキュリティ監査対応工数が約320時間削減されました。
シャドーITの根絶戦略
田村氏: シャドーIT対策で重要なのは、「なぜ営業がシャドーITを使うか」を理解することです。多くの場合、理由は「公式ツールが不便だから」です。
DSR導入に合わせて、以下の3段階でシャドーIT対策を実施しました。
第1段階(啓発): DSR導入と同時に、シャドーITのリスクを具体的な事例で説明。「メール誤送信で顧客の機密情報が漏洩した他社事例」が最も効果的でした。
第2段階(利便性提供): DSRが従来の方法より便利であることを体感させる。特に「送った資料を後から修正できる」「顧客の閲覧状況が分かる」という価値は、営業が自発的にDSRを使う動機になりました。
第3段階(モニタリング): DLP(Data Loss Prevention)ツールとDSRを組み合わせ、未承認チャネルへの機密情報送付をモニタリング。違反を発見した場合は即時に教育的フォローアップを行います。
この3段階の実施により、シャドーIT利用率が85%削減されました。
「ゼロトラスト営業」の実践
DSR導入後、田村氏が推進したのが「ゼロトラスト営業」という概念です。
ゼロトラスト営業の原則:
- すべての外部共有はアクセス制御付きで行う
- 共有リンクには有効期限を設定する
- アクセスログは常時記録・定期レビューする
- 退職者のルームアクセスは即時無効化する
「セキュリティはコストではなく、信頼資産の構築だ」というメッセージを組織全体に浸透させることで、営業部門のセキュリティ意識が根本的に変わりました。
セキュリティ教育と文化醸成
田村氏: ツール導入だけでは不十分です。セキュリティ文化の醸成が不可欠です。
DSR導入に合わせて実施した教育プログラムは次の通りです。
- 導入研修: 全営業向けに「なぜDSRを使うか」の背景を1時間で説明
- 事例共有: 月次で「セキュリティインシデント事例(匿名化)」を共有
- 表彰制度: 「セキュリティ模範事例」を四半期ごとに表彰
- マネージャー責任化: チームのシャドーIT利用率をマネージャーのKPIに組み込む
特に「マネージャー責任化」が効果的でした。マネージャーが自分のKPIとして意識するようになると、チームメンバーへの日常的な指導が生まれます。これが組織全体の底上げにつながりました。
商談管理をもっと効率的に。まずは無料で試してみませんか?
製品デモを見るDSR導入における失敗と学び
田村氏: 失敗も率直にお伝えします。導入当初、我々は「セキュリティのため」という理由だけで営業部門にDSRを強制しようとしました。
結果は散々でした。「なんで今さら新しいツールを使わないといけないのか」という反発が多数出て、形式上のDSRと実態上のシャドーITが並行する最悪の状態になりました。
この教訓から、アプローチを変えました。セキュリティの話より先に、「DSRを使うと商談勝率が上がる」「顧客の閲覧状況が分かる」という営業メリットを前面に出すようにしました。
最終的に成功したのは、「セキュリティ部門が強制した」のではなく、「営業部門が自発的に使い始めた」という形を作れたからです。この順序は、セキュリティツールの展開において非常に重要な学びです。
デジタルセールスルームとは何かを理解した上で、営業メリットから導入を始めることをCISOの立場からも強くお勧めします。
よくある質問
CISOとして営業部門にDSR導入を提案する際の説得ポイントは何ですか?
「禁止ではなく改善」という視点で提案することが重要です。「メール添付・Google Driveの禁止」だけを伝えると現場の反発を招きますが、「より安全で、かつ営業にとっても便利なツールを提供する」という形で提案すると受け入れてもらえます。営業部門のVPと事前に協調することが成功の鍵です。
DSRのセキュリティ評価で最も重視すべき項目は何ですか?
「監査ログの保持期間とエクスポート機能」を最も重視することをお勧めします。インシデント発生時に閲覧ログを遡れるかどうかが、調査の成否を分けます。また、SOC2 Type II認証の取得有無は、セキュリティ統制の成熟度を示す重要な指標です。
DSR導入後のセキュリティポリシーはどのように改訂しましたか?
「顧客への提案書・契約書の送付はDSR経由を原則とする」という条項を情報セキュリティポリシーに追加しました。例外(FAX、物理媒体等)は申請制とし、管理職承認が必要な形にすることで、個別例外への対応も制度化しています。
シャドーIT対策でDLPツールとDSRを組み合わせる方法を教えてください。
DLPツールで「機密情報ラベルのついたファイルが非承認チャネルに送付された場合」にアラートを設定し、DSRがその「承認チャネル」になる構成が効果的です。違反を発見した場合は罰則ではなく教育的フォローアップとして、「どうすればDSRで安全に共有できたか」を具体的に示す対応が文化醸成に寄与します。
退職者のDSRアクセス管理はどのように行うべきですか?
SSOと連携させることで、IDPアカウントを無効化した瞬間にDSRアクセスも自動無効化される仕組みを構築できます。SSO未対応の場合は、HR/総務からのオフボーディング通知を受けてDSR管理者がアクセスを無効化するプロセスを手動で整備する必要があります。退職者管理ガイドラインにDSRの項目を明示的に追加することをお勧めします。
情報セキュリティ部門として、DSRベンダー選定のチェックリストを教えてください。
最低限確認すべき項目として、①SOC2 Type II認証取得(または相当のセキュリティ監査受審)、②通信・保存データのAES-256暗号化、③MFA・SSO対応、④監査ログの保持期間と外部エクスポート可能性、⑤ルーム有効期限設定機能、⑥ゼロ知識証明またはDPAの提供可否、を確認することを推奨します。特に⑥は個人情報保護法・GDPRへの対応において重要です。
営業部門への展開で一番難しかった点は何ですか?
「なぜセキュリティが大切か」を感情的に腹落ちさせることです。「ルールだから」という説明は効果が薄く、「実際に発生した業界内の情報漏洩事例(匿名化)を示し、自社でも起きうることを具体的にイメージさせる」アプローチが最も効果的でした。セキュリティ研修は抽象論より具体的な事例で構成することを強くお勧めします。
CISO視点でのDSRロードマップ
最後に、DSRの継続的な改善に向けたロードマップについてもお話しします。
現在計画しているのは以下の3点です。
フェーズ1(完了): 全営業チームへのDSR展開と基本ポリシーの整備
フェーズ2(進行中): SIEMツールとDSRのログ連携。異常なアクセスパターン(深夜のアクセス、海外IPからの大量閲覧等)を自動検知するルールを追加しています。
フェーズ3(計画中): 顧客向けのセキュリティ証明書をDSR内に標準搭載する仕組みの構築。「我々のDSRを利用すること自体が、あなたの情報が守られているという証明になる」という提案を顧客にできるようにすることが目標です。
CISOとして一番伝えたいのは、「セキュリティは営業の邪魔をするものではない」ということです。適切なツールがあれば、セキュリティは営業の競争優位性になります。
まとめ
CISOとしてDSRを評価するならば、「セキュリティと利便性を両立する稀なツール」です。
- シャドーITの構造的排除: 禁止ではなく安全な代替手段の提供でリスク85%削減
- 監査証跡の自動生成: 閲覧ログの集中管理で監査対応時間70%削減
- セキュリティポリシーの実装基盤: ツール使用が自然にポリシー準拠につながる設計
- ゼロトラスト営業の実現: すべての外部共有をアクセス制御付きで管理
営業のセキュリティリスクを構造的に解決するために、DSRの導入評価から始めてみてください。
