導入事例
CASE STUDY
株式会社モニクル
- ご利用いただいているサービス
- 「SaaSライセンス&サポート」Keeper
- ご利用期間
- 2024年6月〜
- お話をうかがった方
-
株式会社モニクル
執行役員 経営管理担当
髙橋勇気様 株式会社モニクル
CTO室 コーポレートエンジニア
冨久修作様
金融業界の課題を解決し、安心を届ける。
金融サービスならではのセキュリティ水準とは
貴社が掲げるミッションと事業内容についてお聞かせください。
高橋様
モニクルグループでは「金融の力で、安心を届ける。」という共通のミッションを掲げています。2013年に個人投資家と機関投資家の情報格差を解消する目的でメディア事業をスタートさせ、その後も金融業界が抱えるさまざまな課題に対して、常に新しい金融サービスを生み出すというアプローチで事業を展開しています。お金の診断・相談サービス「マネイロ」などを手掛ける株式会社モニクルフィナンシャルと、金融・経済メディアを運営する株式会社モニクルリサーチを中心にサービスを提供しています。
経営陣にはアナリスト出身者が多く、金融業界が抱える課題に明るいこと、そして課題解決の思想が強いことがモニクルグループの大きな特徴です。また、親会社である株式会社モニクル自体も事業会社でありつつ、グループ全体のバックオフィス機能やコーポレートITなどの機能を集約しています。
セキュリティについて、どのような方針で取り組まれてきたのでしょうか。
富久様
各社の事業領域に応じた情報セキュリティ認証を取得しており、モニクル本体ではISMS認証を、モニクルフィナンシャルでは生命保険協会の認定代理店制度に基づく認定を得ています。やはり金融サービスにおいて個人情報の取り扱いは極めて重要であり、そして「安心」という言葉をミッションに掲げている弊社だからこそ、グループ全体でセキュリティ強化を最重要課題として取り組んできました。
高橋様
金融業界では監督官庁や自主規制機関等(協会など)によるガイドラインが厳格に定められており、高いセキュリティ水準が維持されています。しかし、それらのガイドラインは旧来型サービスを前提とした基準であるため、私たちのように新しいビジネスモデルやDXを推進する立場では、ガイドライン以上に先進的なセキュリティ基盤が求められます。そのため、既存の水準に加えて新しいリスクや仕組みに対応できる体制を常に整備してきました。
ゼロトラストモデルに対するお考えをお聞かせください。
富久様
創業当時はちょうど新型コロナウイルスの感染拡大の影響もあり、対面型の職場環境ではなく、リモート環境で働ける環境を整える必要がありました。そのため弊社では、設立当初から物理サーバーを持たず、フルクラウド環境で業務を構築しています。こうした背景から先駆的にフルクラウドで金融サービスを構築、提供する体制を築くことができ、現在もこの方針を継続しています。また社員の勤務体系もフルリモートが基本であり、ネットワークも境界型ではなく、ゼロトラストモデルを意識したセキュリティ設計を導入してきました。
スプレッドシートによるパスワード管理と
属人的な管理体制に課題を感じていた
Keeper導入以前は、どのようにパスワード管理をされていたのでしょうか。
富久様
多くのスタートアップ企業と同様に、アクセス制限をかけた共有ドライブ上のスプレッドシート上にパスワードを記載し、開発で使用するAPIキーなどはSlackのDMでやり取りしていました。つまり、完全に運用ベースの管理で属人化が避けられない状況だったのです。監査法人や保険会社といった外部とのやり取りでは先方の運用に従い、PPAPでファイルをやり取りするケースが多かったです。
パスワード管理が抱えていた課題について、お聞かせください。
富久様
大きな課題は2つありました。まずひとつはスプレッドシートによるパスワード管理の安全性です。弊社が導入している一部のSaaSにはSAML認証に対応していないものもあり、個別IDとパスワードを発行し、スプレッドシート上で一つひとつ管理せざるを得ませんでした。加えて、弊社はISMS認証を取得しているため「複雑なパスワードを使用する」という社内規則を設けているのですが、それが徹底されているかを実際に確認することまではできず、社員の性善説を前提としていたのです。社員一人ひとりのブラウザ上に保存する方法もありましたが、端末自体がマルウェア感染してしまえば、丸ごとパスワードが抜き取られるリスクも懸念されました。
もうひとつの課題は、管理者に依存する属人化です。弊社では子育て世代を含め、男女問わず活躍しています。離職率も非常に低く、特に管理部はゼロを継続中です。その背景には、安心して働けるための産休・育休制度を手厚く整備しており、実際に現在も産休に入っている社員もいます。
特にそうした休職前の引き継ぎのタイミングで、パスワード管理の属人化が課題となっていました。実際に以前の場合は、すべてのパスワードをスプレッドシート上にまとめ、限定アクセスのドライブ内に格納するというアナログな引き継ぎをしており、手間と時間がかかっていたのです。
その他に、パスワード管理を強化しなければならない理由はあったのでしょうか。
高橋様
将来的な株式上場を視野に入れた体制整備にあたり、監査法人や証券会社からは情報漏洩リスクを徹底的に抑えるようにと求められるでしょう。可能な限りの資源を投じて取り組むものの、監査でまったく問題がないセキュリティ体制を築くには際限なくコストがかかりますし、弊社のようなスタートアップ企業にとっては投資できる金額が限られるため、「最適」を追求する必要があります。そのため、現在セキュリティ強化に投資できるリソースと上場前後の内部統制の強化、そして上場後のサービス拡大を見据え、最適なパスワード管理を行う必要があったのです。
グループ分割・円建ての請求、
そして技術力やサポート体制を評価し、
ネクストモードを選定
Keeper導入を検討され始めたきっかけを教えてください。
富久様
毎年、来期の予算計上にあわせて「不足しているセキュリティ対策は何か」を見直すプロセスがあり、その際に改めて上場準備を意識して強化すべき領域を整理しました。その一環としてIDaaSの契約プランをアップグレードしたことに加えて、パスワードマネージャーの導入を検討しはじめました。
パスワードマネージャーは、どのような比較軸で検討されたのでしょうか。
富久様
この分野で代表的な複数製品で比較検討していますが、その中でKeeperを選んだ理由のひとつがコスト優位性です。単なるID・パスワード管理にとどまらず、ブラウザのパスワード管理では使用できないMFAによる強化や特権アクセス管理の代替機能もあり、価格に対して得られる価値が大きいと判断しました。その他にもサポート体制や他社での導入実績を調べたところ、弊社と近しい事業領域の企業の導入実績が多かったこともあり、Keeperの導入を決定しています。
代理店としてネクストモードを選ばれた経緯をお聞かせください。
富久様
利用料金の円建て・請求書払いが可能であること、そして技術力やサポート面で信頼できる企業と希望条件をKeeper社に伝えたところ、ご紹介いただいたのがネクストモードさんでした。実際にお打ち合わせしたところ、予算やスケジュールの変動に対して柔軟かつ迅速に対応していただけるとの回答があり、安心しました。そしてKeeper導入後についても、何かトラブルが起きたとしても事業に影響させることなく、迅速かつ的確なトラブル対応やサポートをしていただけるとのことで、ネクストモードさんにKeeper導入を伴走いただくことを決定しています。
約150ライセンスのスムーズな導入を実現した
使いやすさとネクストモードの支援
Keeperの導入にあたって、PoCではどのような点を検証されましたか。
富久様
スプレッドシート上でのパスワード管理をKeeperに置き換えた場合、その移行難易度と実務への影響を検証しました。具体的には既存情報の載せ替えがどれだけスムーズに進められるか、Keeper社が示す標準的な導入の手順や運用で問題なさそうかを確認しています。
PoCの結果として大きな問題はなく「全社導入しても支障なし」という結論に至りました。その後、当時進めていたIDaaSの検証・導入が落ち着いたタイミングで本導入を進め、グループ3社の全社員を対象に、約150ライセンスを契約・導入しました。
Keeperの機能で特に評価されている点をお聞かせください。
高橋様
最も価値を感じているのが、「パスワード共有」の機能ですね。グループ内の社員や後任者など特定ユーザーに絞って安全にパスワードを共有できるだけでなく、「共通管理者による管理者コントロール」によって、共有されたパスワードの利用状況を管理部門で確認できます。
直近では、財務担当の社員が育休期間に入った際にとても役に立ちました。当該の社員はお金に関するサービスのパスワードという、とても機密性の高い情報を扱っていたため、いかに安全な引き継ぎをするかが問題でした。
当初はこれまで通り、アクセス制限をかけたスプレッドシート経由で共有することも検討していたのですが、ちょうどKeeperの導入が完了していたため、さっそく「パスワード共有」の機能を使用することになり、無事にトラブルなく後任へ引き継ぐことができています。
富久様
加えて、弊社が使用するIDaaSとSCIMでユーザー連携が可能なため新規ツール導入において発生しがちな個別管理の手間を回避でき、運用負荷が膨らみません。SaaSによってはエンタープライズグレードでないと連携できないものがありますが、Keeperはそのまま使えたので展開の手間が大幅に削減できました。さらにワンタイムパスワードの連携が標準機能として備わっており、従来のブラウザマネージャーやEntra IDのパスワード共有では対応できなかった部分までカバーできています。
ネクストモードからの支援で印象に残っていることをお聞かせください。
富久様
導入以前のご案内がスムーズだったことで、問題なくKeeperの導入を進めることができました。具体的には、監査ログの取得方法や契約するプランの選定、コンプライアンス観点で付加機能の要否を一緒に整理いただきました。また、グループ3社の請求書や費用の分割、円建て請求書の発行など、個別の事情に配慮した契約プランをご提案いただけたことも大変ありがたかったです。
パスワード共有の効率化で得られた成果。
上場を見据えたパスワード管理の
強化と仕組み化
Keeperの導入で、どのような成果が得られましたか。
富久様
Keeper導入当初に掲げていた、パスワードの安全な管理・運用・共有という目的は実現できています。先行して導入していたIDaaSのSSO機能では対応できなかったWebサービスでも、Keeperを使えばパスワードを安全に共有できるようになりました。これによって、これまでアナログな手法だったスプレッドシートによる管理も不要になっています。
高橋様
もし従来通りスプレッドシートによるパスワード管理・共有で社員が引き継ぎを行う場合、数時間かけてパスワードを整理すると同時にCTO室に稟議をあげて、後任者のために新しいアクセス環境を整えてもらう必要がありました。
さらに請求用アカウントの停止やアカウントの移管をベンダー側と調整するとなれば、多くの関係者の工数が発生するでしょう。Keeperの共有機能なら数クリックで完結でき、実際に30分程度で引き継ぎが済んでいます。個人の工数削減に加え、社内外の関係者全体の負担を減らせた点を高く評価しています。
また、情報システム部門の負担軽減という成果も得られています。Keeper導入後は、事業部側の部門長やリーダーが適切にパスワードを管理できるようになりました。特に金融機関関連のアクセス情報は、情報システム部門でも簡単には確認できないデータですので、担当者が必要なタイミングでアクセスできるようになったのは大きな成果です。情報システム部門の稼働削減だけでなく、内部統制の観点でもひとつステージが上がったように感じています。
上場準備の観点では、どのような成果が得られていますか。
高橋様
上場準備における監査では、事業成長とともに取り扱う情報量が増大し、重要性も高まっていく前提で「適切な社員に、適切なアカウントが、適切な方法で割り振られているか」が必ずチェックされます。弊社の場合、バックオフィス機能が株式会社モニクルの管理部門に集中しているため、限られたリソースで上場企業に求められる水準の管理体制を実現するには、デジタル活用と仕組み化が欠かせない状況でした。
今回の取り組みでは、間違いなく上場に向けて大きく前進できたと考えています。実際に社員の育休取得時に問題なくアカウントを引き継ぐことができた時、「これなら事業規模が拡大しても、安心して運用可能な一つの仕組みが構築できた」と確信が得られました。今後の監査でも今回構築したパスワード管理の仕組みは役に立つはずです。
ユーザーからお預かりする大事なデータを
厳重に管理し、さらなる事業拡大へ
今後の展望についてお聞かせください。
高橋様
モニクルグループでは今後、金融サービスプラットフォームとして事業も会社も拡大していきます。それに伴い、ユーザーからお預かりするデータは増加し続けるため、厳重な管理体制の実現とセキュリティリスクとの戦いが私たちのミッションです。今後も引き続き、事業や会社のフェーズごとに必要なソリューションを企画・導入・運用していきます。
また、経営管理本部としては上場準備のための体制整備が直近のミッションになります。近年はセキュリティ不備が企業経営に重大な影響を及ぼす事例も多く、損害賠償リスクを低減する仕組みの構築は最優先です。金融分野のサービスを担う弊社にとって、ユーザーと顧客からの信頼を守るためにも万全なセキュリティ体制は事業継続の前提であり、それが上場企業としての管理体制構築にも直結すると考えています。
Keeperの今後の活用展望についてお聞かせください。
富久様
まずはグループ3社全社の導入を完了させ、パスワード運用を安定させていきます。さらに開発部門が扱うシークレットキーやAPIキーの管理にも、順次展開していきたいですね。Keeperには「特権アクセス管理」「シークレットマネージャー」といったオプション機能があり、来期の予算とも相談しながら検討していきたいです。
最後にKeeperの導入を検討している企業へ、アドバイスをお願いします。
富久様
基本的なID管理やウイルス対策など最低限の基盤を整えていて、さらに高度なセキュリティ対策を検討しているフェーズの企業に、Keeperは向いていると思います。
高橋様
コーポレートの立場で言えば、ほとんどの企業に導入を勧めたいですね。スプレッドシートでパスワードを管理していると、外部監査の際に必ず指摘を受けます。そうした課題を抱える会社にとって、Keeperのようなツールの導入とネクストモードさんのサポートは、十分な価値があると思います。