SaaSのリスク評価から継続管理までをワンストップで。現場が自律的に動く持続可能なセキュリティ評価の仕組みを実現。

March 30, 2026

株式会社ファイントゥデイ

IT本部 BITA4部

マネージャー　堤悠亮様・酒井素乃香様

株式会社ファイントゥデイは、資生堂のパーソナルケア事業が独立し、2021年に創業した新進気鋭の日用品メーカー。「世界中の誰もが、素晴らしい一日を紡ぎ、いつまでも美しく、豊かな人生を送れるようにする」というパーパス（存在意義）のもと、アジアを代表するパーソナルケア・カンパニーを目指しています。

導入の背景：Excel管理の限界と、急増するSaaSへの対応

‍

―　まずは、貴社のIT・セキュリティ環境の特性について教えてください。

堤様： 弊社は2021年創業の新しい会社ですので、レガシーな資産を持たない「クラウドネイティブ」な環境であることが大きな特徴です。

セキュリティ体制については、2名という少数精鋭で企画から実行、ガバナンス対応、システム管理までを幅広く担っています。具体的な業務内容も、SOC対応やMicrosoft 365のセキュリティ高度化、脆弱性評価、CSIRTの訓練企画、各システムへの評価支援など多岐にわたります。

このように幅広い領域のスキルが求められる環境だからこそ、1つ1つの取り組みにおいて、いかに自社メンバーの工数を抑え、省力化・効率化を図れるかが重要なテーマとなっています。

‍

―　インフラやネットワークの構成については、どのような方針をとられているのでしょうか。

堤様： 弊社では、すでにゼロトラストモデルに準じたインフラ環境を構築済みです。現在は、社内のリソースによってグループ全体のインフラ管理とさらなる高度化を自律的に進めている段階にあります。

しかし、これで完成だとは考えていません。自分たちの環境において補強が必要な箇所を特定し、常に改善を繰り返しながら、より強固で効率的なガバナンス体制を目指しています。

‍

―　Conoris導入前は、どのような課題を抱えていたのでしょうか。

酒井様： 以前はExcelでリスク評価を行っていましたが、大きな課題が3つありました。 1つ目は、評価の「形骸化」です。ベンダーが自由記述で回答する形式だったため、内容にバラつきがあり、定量的・体系的な管理ができていませんでした。 2つ目は、「工数の増大」です。システム導入数が急増する中、手作業でのチェックが限界を迎えていました。そして3つ目が、「フレームワークへの追従」です。セキュリティトレンドに合わせた設問の更新がタイムリーにできず、評価の質を維持することに苦労していました。

‍

選定の決め手：変化への対応力と、運用を見据えた高い実用性

‍

―　多くのサービスがある中で、なぜConorisを選ばれたのですか。

酒井様：選定にあたってまず重視したのは、変化の激しいセキュリティトレンドに合わせ、設問自体を柔軟かつ定期的にアップデートできる点でした。POCの段階では、単にツールを導入するだけでなく「何をもって合格とするか」という基準づくりについてもコンサルティングいただき、弊社の判断指針を明確化できたことは心強かったです。

‍

また、弊社のゼロトラストネットワーク環境に即した独自の設問を用意する必要があったのですが、Conorisは他社サービスに比べて自社基準への合わせやすさが際立っていました。中長期的な運用を見据え、早い段階から管理体制を構築しておきたいと考えていた私たちにとって、運用のしやすさとコストパフォーマンスが両立されている点は大きな魅力でした。

‍

特に、サービス利用の継続確認や年次更新のチェックといった「棚卸」を自動化できる仕組みは、運用負荷を抑える上で不可欠な要素です。導入後の継続的な管理まで一貫して任せられると確信できたことが、最終的な決め手となりました。

‍

導入後の成果：現場の自律的なセキュリティ運用と、ガイドラインに準拠したガバナンスの実現

‍

―　導入後、どのような変化がありましたか。

堤様：導入後、最も大きな成果を感じているのは、セキュリティ担当がすべての案件に細かく介入せずとも、現場が自律的に対応できる体制が整ったことです。

‍

限られたリソースの中で、日々増え続ける利用申請のすべてに対してセキュリティ担当が直接関与し続けるのは現実的ではありません。Conorisの導入により、四半期に一度の定期的なチェックを含め、現場主導で継続的に確認作業を進められる仕組みが構築できました。また、弊社の細かな要望に対しても常に真摯かつ迅速にサポートいただけるため、運用開始後も立ち止まることなくスムーズに改善サイクルを回せています。

‍

また、導入の背景には、経済産業省のガイドラインに基づいた、クラウドサービスの適合性評価への対応という課題もありました。各社がこの対応に苦慮する中で、いかに実質的な価値（バリュー）を生み出すかが重要だと考えています。

‍

特にSaaSの「責任共有モデル」を考慮した際、認証周りなどのユーザー側が負うべき責務について、適切な対応と最適化を図ることは不可欠です。Conorisの利用申請フローを通じて、ユーザー側で実施すべき対策が適切に遂行・改善されている状態を作れたことは、弊社にとって非常に大きな成果だと捉えています。

‍

今後の展望：リスク可視化の精度向上と「伝える」仕組みの追求

‍

―　今後、Conorisをどのように活用していきたいですか。また、弊社への期待があれば教えてください。

堤様： AIなどの最新技術の活用はもちろんですが、時代に即した「設問の最適化」など、一歩踏み込んだ提案をいただければと期待しています。

具体的には、単にリスクをスコアリングするだけでなく、セキュリティ担当者が細かく介在しなくても、システムを通じて利用ユーザー自身がリスクの内容を正しく理解し、自律的に判断・対応できるような仕組みを、貴社にはさらに磨き上げていただきたいですね。

私たちがその仕組みを活用することで、より高度で効率的なガバナンス体制を実現していければと考えています。

‍

導入を検討中の企業様へ：ツールの柔軟性を活かし、形骸化させない「運用設計」を

‍

―　最後に、Conorisの導入を検討されている他社のセキュリティ担当者の方へアドバイスをお願いします。

堤様： 外部環境の変化や内部要因によって、組織のセキュリティに対する考え方は常に変わり、システムに求める要件も自ずと変動していくものです。多くのSaaSは「完成された型」を当てはめる傾向にありますが、Conorisは私たちの実現したいことに寄り添い、カスタマーサクセスの方が機能改善を含めて柔軟にサポートしてくれます。この「変動への対応力」こそが、Conorisを選択する大きな価値だと感じています。

ただし、導入を検討される皆様にお伝えしたいのは、システムを入れて終わりにせず、「何をしたいのか」というプロセス化を徹底することの大切さです。セキュリティチェックを組織が求めるレベルまで引き上げるには、利用企業側の運用設計が肝となります。ここを怠れば、どんな優れたツールも形骸化してしまいます。

「柔軟性の高いシステム」をいかに自社のプロセスに組み込み、実効性を持たせるか。その設計に真摯に向き合うことで、Conorisは単なる管理ツール以上の強力な武器になってくれるはずです。