IT Admin Blog>「急成長スタートアップに必要だった情報セキュリティの強化。SSO対応や監査機能が導入のきっかけに」
「急成長スタートアップに必要だった情報セキュリティの強化。SSO対応や監査機能が導入のきっかけに」
2016年3月に事業を開始し、現在では医学生向けメディア「HOKUTO resident」と医師向けアプリ「HOKUTO」を運営している株式会社HOKUTO。
ヘルステックベンチャーとして医師・医学部生向けにサービスを展開する同社ですが、急成長に伴ってパスワード管理の重要性を感じるようになったそうです。
今回は株式会社HOKUTO 取締役の山本久智さんと経営企画室の赤岩拓さんに、Keeperを導入したきっかけや情報セキュリティへの取り組みについて話を伺いました。

シリーズAで11.25億円の資金調達を実施。急拡大中の医師向けサービスを運営

── まずは貴社の会社概要や事業内容について教えてください。
山本: 当社は「より良いアウトカムを求める世界の医療従事者のために」というミッションのもと、2016年3月に創業した会社です。
会社のビジョン
サービスとしては医学生向けの研修先病院検索サイト「HOKUTO resident」と医師向けの臨床支援アプリ「HOKUTO」を運営しています。現在は社員数が19名ほど、業務委託のメンバーを含めると60人規模になっています。
── お二人は社内でどのような役割を担っているのでしょうか。
山本: 私は取締役という立場で経営に参画しつつ、プロダクトマネージャーとして業務に携わっています。プロダクトのグロース戦略やユーザーインタビューなど、サービスの成長を牽引するために尽力していますね。
赤岩: 私は経営企画として、採用や広報周りを主業務として行なっています。
── ありがとうございます。医療関係者に特化したサービスを立ち上げたのは、どのような背景があったんですか?
山本: 近年の医学の進歩に伴い、医学情報量が爆発的なスピードで増加している状況が生じています。臨床現場で働く医師にとっては、膨大な情報の中からリサーチするのに多くの時間を費やすことになり、求める医学情報になかなかたどり着けない課題がありました。また、最新の医学情報を追うためにはキャッチアップを常にしなくてはならないものの、大量の医学情報を記憶するのは難しく、せっかく得た医学情報を覚えきれないという問題も顕在化していました。
サービス画面
こうした2つの課題を解決するために、医師が臨床現場で必要とする論文やガイドライン、薬剤情報などの情報検索を1つのアプリ内で完結させ、医師の欲しい情報が簡単に入手できるサービスとして、2019年11月に臨床支援アプリ「HOKUTO」をリリースしたのです。
医学情報のインプットから臨床現場でのリサーチまでを一貫して医師のサポートができるプロダクトとして運営しており、サービスのリリース以降、順調に会員数が増加しています。
2021年11月時点で約30,000名のユーザーが登録するまでに成長しました。さらに2021年の12月には、シリーズAラウンドの総額8.25億円の資金調達を実施し、さらなる事業成長に向けて取り組んでいます。
会員数推移

サービス急拡大に伴い、セキュリティの強化が求められていた

── まさに成長著しいヘルステックベンチャーだと感じました。ここからはKeeper導入の背景についてお聞きしたいと思います。まずは導入前の困っていたことや課題感について教えてください。
山本: サービスがここ1年で大きく成長したことで、医師会員のほか病院や製薬企業などのクライアントも増加したことで、以前にも増してセキュリティを強化していく必要性を感じていたんです。
その流れで、全社的にもセキュアな社内体制を構築するために、ISMSの認証取得に向けて動くなど、情報セキュリティの感度を高く持って取り組んできました。
そんななか、パスワードのポリシーを定める際に「全従業員が遵守するためのツールが必要」という意見が上がり、パスワードマネジャーのツール導入を検討し始めたのです。
── セキュリティ関連のツールやソリューションを検討する順番、優先度はどのように決めていったんですか?
山本: SSOの導入にも着手し始めていましたが、まずはパスワードマネージャーの導入から入ろうと決めていました。
それは、IdPの構築やGoogleでのSSO設定などを行うにしても、結局はIDとパスワードでのログインが必須になるからです。また、当時は資金調達をしていなかったのですが、取り急ぎセキュアな状態を作りたかったので、パスワードマネージャーを先に入れる意思決定をしました。
サービスの性質上、ユーザーの個人情報を保護するのは全ての事業活動の前提であり、もし流出するようなことがあれば、会社の存続に関わるほどのインシデントになりうるため、早いうちに対策しておこうと思いましたね。

SSO対応や監査機能がKeeper導入の決め手に

── 数あるツールの中でKeeperを選んだのはどのような理由からですか。
山本: 1Password、LastPass、Keeperの複数のツールを比較検討しました。その中でKeeperのメリットとしては監査機能が充実しているのと、SSOができることでした。
IdP構築する際のシームレスな連携のしやすさが、導入を決める上で参考になりましたね。
社内IT/情報システム担当がいないので、情報セキュリティの領域で支援してもらっている
外部のアドバイザーとして、梶原成親 (@kajinari) さんに検討をサポートいただきながらに協力いただきながら、ツールを入れる優先順位や選定を進めていったんです。
── Keeper導入に際して、一番の決め手になったのは何でしたか?
山本: 価格はどのツールもさほど大差がなかった分、SSOに対応しているという機能面で選びました。UI/UXの部分も検討段階で1PasswordとKeeperを社内のメンバーで1週間使ってみて、操作性を比べたんです。
実際のところ、1Passwordの方が触りやすい印象でしたが、それが導入を決定づけるものにはなりませんでした。今後の事業成長のことを見据えると、SSOや監査に優れているKeeperを選んだ方がいいと考え、Keeperの導入を決めました。
Keeperの監査機能画面
Keeperのレポート機能画面

パスワードを管理するストレスから解放された

── 実際に導入してみて、どのような効果を感じていますか?
インタビューの際のイメージ
山本: そうですね。Keeperを導入したことによって、メンバーが使い慣れるのに時間がかかると思っていましたが、意外にもすぐに浸透していきましたね。また、2要素認証を登録できるようになったことで、メンバー間のスムーズなパスワード管理を実現できたのもよかったです。また、以前はパスワードの使いまわしも実態として起きていましたが、Keeperの導入をきっかけに社内の情報セキュリティ感度が高まったと感じています。
当社は完全フルリモートの働き方なので、さまざまなクラウドツールを活用していますが、Keeperも社内のセキュアな環境づくりに役立っています。
赤岩: 現場のメンバーから見ても、Keeperは非常に使いやすいですね。特に、パスワードを管理するストレスから解放されたのが大きな成果だと思っています。
以前まではSlackのDMでパスワードを伝えたり、Notionに書いたりしていましたが、Keeperを導入したことで、パスワードを共有する必要がなくなり、業務の効率化にもつながりました。
ただ、当初はボルトの概念がわかりづらかったなと思いました。「フォルダを束ねる」という意味だと思いますが、実際に使うまではイメージがつかなかったので、ユーザーが理解しやすい日本語訳があればいいのではないでしょうか。

フルリモート下の情報セキュリティは、従業員の負担にならない環境づくりが大切

── 今後、情報セキュリティ観点からどんな取り組みをしていきたいと思っていますか?
山本: まだ細かくはKeeperの監査機能を使っていないので、今後はもっと活用していこうと考えています。繰り返しになりますが、当社は情報セキュリティにおけるリスクが他社に比べて高いため、全社的にパスワードの強度を見直したりと、情報セキュリティとしっかりと向き合っていく予定です。
他方、働き方はフルリモートが前提ですので、情報セキュリティを高める上で大事なのは、従業員が負担に感じないようにすることだと思っています。
便利なクラウドツールをうまく取り入れながら、セキュリティのことを細かく気にしなくても、従業員一人ひとりがのびのび働けるような環境づくりを心がけたいですね。
── 情報セキュリティ対策に縛られてしまうと、働き方の柔軟性が失われ、クリエイティビティに欠けてしまいますよね。
山本: そうなんですよ。無論、人間なのでヒューマンエラーをなくすことは難しい。でも、KeeperならIDやパスワードの情報漏洩リスクを防ぐことができ、さらには従業員任せにならなくても管理者側で簡単に運用することが可能なので、情報セキュリティを高めていくには必要不可欠なツールだと感じています。
── Keeperが、貴社の情報セキュリティ向上に微力ながら貢献できて嬉しいです。本日はありがとうございました。
山本・赤岩: こちらこそありがとうございました。