プレスリリース
DIGGLEのセキュリティへの取り組み
―技術・人・文化で構築する信頼の基盤―
DIGGLE株式会社(本社:東京都渋谷区、代表取締役:山本 清貴)は、2026年2月に社内のセキュリティ施策に関するインタビューを実施しましたので公開いたします。
内閣官房国家サイバー統括室(NCO)では毎年2月1日から3月18日を「サイバーセキュリティ月間」と定めています。(https://security-portal.cyber.go.jp/cybersecuritymonth/2026/)
企業のデジタル化が加速する中、セキュリティの重要性はかつてないほど高まっています。本インタビューでは、DIGGLEが実践する多層的なセキュリティ対策について、情報システム部門とプロダクト開発の両面からご紹介します。技術的な対策だけでなく、「人」を軸にした教育体制、担当者制による専門性の確保、そして「オープンに報告しようと思える組織文化」の醸成。これらが一体となって、お客さまの信頼に応えるセキュリティ体制を構築しています。
セキュリティインシデントのリスクをゼロにすることは不可能です。だからこそ、DIGGLEは一つひとつの積み重ねを大切にし、透明性を持って取り組みを進化させ続けます。
ヒトを軸にしたリスク低減
「技術的な対策」だけでなく「ヒト」の教育に注力する理由
━━標的型攻撃メール訓練など、人を軸にした教育に力を入れていらっしゃいますね。
西: 今年のBCP訓練では、従来の安否確認から標的型攻撃メール訓練に変更しました。世間でも標的型メールの被害が増えており、DIGGLE内でも代表の名前を語るメールが届くなど、増加しています。迷惑メールは送信元も配信ルートも偽装されており止められません。日頃の教育を通じて、社員のリテラシーを上げることでしか防げないんです。
人の教育が重要な理由は他にもあります。お客さまが弊社のプロダクトに経営管理にまつわる重要な情報を安心して預けていただくには、信用が不可欠です。セキュリティインシデントは、スキルや技術の問題ではなく「隙」です。不用意なリンククリック以外にも、設定ミスや物理的な紛失など、日々の行動の積み重ねが重要です。
━━DIGGLEは他の組織と比べて協力的だという印象はありますか?
西: 情シス全般の業務に非常に協力的な風土で、基本的なリテラシーは高いと思います。DIGGLEが扱うデータの重要性が非常に高いという共通認識が社員にあり、流出すればどうなるかも容易に想像できる。それが染み付いているからだと思います。
「やらされ仕事」にならないための工夫
━━伝え方で工夫していることを教えてください。
西: 情報セキュリティ規定をもとに指示しても人は動きません。「もしこのデータが漏洩したら、お客さまにどのような影響が出るか」という相手に寄り添った観点で説明しています。また、伝える相手の属性も見て、経営層ならこの観点、というように調整します。文字だけだと固くなるので、最近はハドルで話す機会も増やしています。
ISMSの決まりとして各グループに1人担当者を立てているので、毎月セキュリティ定例を開催し、社員一人ひとりにセキュリティ運用レベルを知っていただく場としています。
ISMSの運用で最も「現場の協力」が必要な部分
━━ISMS認証維持で、最も現場の協力が必要なところはどこですか?
西: ISMS審査ではいかに各種文書を効率よく管理できるかが鍵です。ISMS管理ツールで一括管理できるようにしたことで、格納場所を探すことも版数管理も不要になり、協力を得やすくなりました。資産の棚卸しや供給者・委託先の入力を1か月の期限でお願いしましたが、スムーズにご協力いただけました。
私が昨年10月に引き継いだ際は資料が散逸し、新旧ファイルが混在していました。審査では過去のデータ提出も求められるため、版数管理は重要です。ツールで一元管理し、担当者の方が理解してくださって初めて成り立ちます。
今後の展望
━━将来的なビジョンを教えてください。
西: 社内で業務にAIを利用することが増え、プロダクト機能でも一部AIを使うようになりました。このデータガバナンスの強化が必要です。社員教育と共に、お客さまのデータが安全に保護されていることを説明責任を持って証明したい。
ビジョンとしては、セキュリティを守りではなくサービス向上のための、攻めの基盤へ飛躍させること。そのためには、ガイドラインをどんどん改定し、現実に即した形に変えていきたいと考えています。
西和範(にし・かずのり):コーポレートIT・情シス担当、ISMS責任者
大手電機メーカー子会社、シンクタンク、コンサルティング会社などで10年以上にわたり情報システム業務に従事。PCの資産管理やアカウント管理、ヘルプデスクといった基礎業務から始まり、ネットワークインフラ構築、ISMS運用、セキュリティガイドライン策定まで幅広い経験を持つ。組織改編やオフィス移転に伴うネットワーク環境構築など、実践的なインフラ整備のスキルも保有。文学部出身ながら、細やかな管理業務への適性を見出し、情シスのキャリアを確立。「裁量を持って挑戦できる」という理由で初のスタートアップDIGGLEに入社し、現在は情報セキュリティ全般を統括している。
プロダクトにおけるセキュリティ
セキュリティの基本的な考え方
━━セキュリティのリスクを絶対ゼロ%にはできないと思うのですが、基本的な考え方を教えてください。
重松: 絶対にゼロというのは言い切れないですが、あってはいけないということも理解しています。本当に一つ一つの積み重ねが重要です。
昨年8月に入社し寺川さんにセキュリティも担当していただいたことで、システムが外部基準に準拠できているか洗い出し、穴がないか、ログは取れているか、暗号化されているかを再確認できています。標的型攻撃メール訓練もそうですが、人が脆弱性となることもリスクの一つなので、訓練で社内意識を醸成することが大事です。
お客さまに価値を届ける開発スピードとのバランスも必要です。最低限気にすべきところをメンバーに認識させる施策と浸透を日々やっていくことが重要です。
組織の透明性の重要性
重松: セキュリティインシデントは早く検知できても、やりきれないことが起こりがちです。それは組織の透明性とも関係していると思います。
後ろめたいことをしっかり言える組織が大事です。標的型メール訓練でも、人間なので失敗してしまうことはあります。それをすぐ上長や情シスに伝えられる環境かどうかで、会社全体のセキュリティ姿勢が分かれます。DIGGLEのカルチャーはプラスに働くと思っています。やってしまったことを責めるのではなく、その後どうするかが重要ですよね。
担当者制の導入とその効果
━━エンタープライズ企業が増え、組織が大きくなる中で専門担当者を立てたということですね。
重松:とあるプロダクトセキュリティの会で伺ったところ、全体人数に対してセキュリティエンジニアの割合は1〜2%が妥当とのこと。DIGGLEの社員は現在大体150人規模なので1人専任がいるのは妥当な判断だったと思います。
担当者がいることで深く見ることができ、細かなところも把握できます。窓口がはっきりし、各チームがセキュリティで迷った時にすぐ声をかけるようになりました。過去の問い合わせや資料整備も進みやすくなっています。
━━属人化を防ぐ取り組みは?
重松: セキュリティは専門性があるので、ある程度の属人化は避けられません。ただ、資料化・ドキュメント化を進めており、今まで頭の中にあったものが文書化されています。最低限みんなに持ってほしいセキュリティ意識を広げて統一していく方向です。
アクセス制御とログ記録
━━プロダクトへのアクセス制御について教えて下さい
重松:まず、DIGGLEのプロダクトの、お客さまの環境に入れるDIGGLE社員の権限を絞り、必要な担当者しか見れない環境に整備しています。
━━ログ記録についてどんな施策をされていますか?
寺川: 今までも必要なログは基本的に取っていましたが、正しく取れているか、正しい期間取れているか、不要なデータが含まれていないかなどを見直しました。誰がどんな情報を使ったのかを必要に応じて見れるようにする整理です。
━━ログを取る目的は?
寺川: 障害や外部攻撃の際、いつ何が悪さをしたかログで判断でき、適切に対処できます。足跡として重要です。
━━監視という側面もありますが、心理的影響は?
寺川: エンジニアも自分の操作が記録されますが、これはエンジニアとして当たり前のことで、何かあった時に自分も守れます。誰かを疑うためのものではなく、事象に対して適切に対応するのに必要不可欠なものです。意図せぬ操作があってもどの段階からか追えるので、心理的負荷はありません。お客さまの操作も我々の操作もすべてログに残っています。
重松: IT業界では足跡を取る文化が根付いており、デメリットや心理的負荷は感じていません。
現場のこだわり
━━譲れない運用ルールやこだわりは?
重松: 今のフェーズで言えば、プロダクトの成長スピードとセキュリティとしての堅牢さについて、どうバランスを取るかを常に考えています。セキュリティとしてダメという判断だけでなく、ではどうするかというのが大事になります。この辺りは今後も意識していきたいです。
外部基準への準拠
━━基準を満たすことがお客さまの安心にどうつながるか、考えをお聞かせください。
寺川: チェック項目を埋めることがゴールではなく、基準を満たした上で継続的に改善することが重要です。攻撃手法や脆弱性は更新されるので、定期的に見直す運用が不可欠です。
透明性として、一定ラインを満たしていることを出せる状態にしておくことが重要です。第三者目線のチェックシートを作り、必要に応じてお客さまに情報を出せる状態を作ることで、安全に契約できるという判断軸になります。内部向けにも継続的見直しのペースメーカーとして機能します。
現在、IPA「安全なウェブサイトの作り方」※1、総務省「クラウドサービスの安全・信頼性に係る情報開示指針」※2、経済産業省「クラウドサービスレベルのチェックリスト」※3の3つに対応しています。
※1 IPA「安全なウェブサイトの作り方」https://www.ipa.go.jp/security/vuln/websecurity/about.html
※2「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編) 第3版」
https://www.soumu.go.jp/main_content/000843320.pdf
「AIを用いたクラウドサービスの安心・安全・信頼性に係る情報開示指針(ASP・SaaS編)」
https://www.soumu.go.jp/main_content/000792672.pdf
※3 経済産業省「クラウドサービスレベルのチェックリスト」
https://warp.ndl.go.jp/web/20140513204837/www.meti.go.jp/press/20100816001/20100816001-4.pdf
今後の展望
重松: 何かが起きた時ではなく、日々誰でもチェックできる状態を作りたいです。セキュリティも法務も、ゲートキーパー的にならずに、起きたことに対してどう対応するかを考える形のセキュリティエンジニアリングを目指します。
寺川: セキュリティは一回作って終わりではなく、プロダクトや会社の成長に合わせて進化させ続ける必要があります。お客様が「このセキュリティでは使えない」という理由でDIGGLEを諦めるのはもったいない。しっかり信頼に価値を生み出し、「セキュリティがしっかりしているからDIGGLEなら安心」と言っていただけるよう、進化させ続けたいと思っています。
重松郁哉(しげまつ・ふみや):EM(エンジニアリングマネージャー)
営業職、マーチャンダイジングを経て、SESとしてインフラエンジニアに転身。ヤフー株式会社(現LINEヤフー株式会社)で基盤SREを担当後、プロダクトマネージャーとしてもキャリアを積む。技術とビジネスの両面を理解し、セキュリティを顧客価値を支える基盤と位置づけている。現在はDIGGLEでエンジニアリングマネージャーとして、プロダクト開発全体を統括しながら、顧客の重要データを預かる責任を意識したセキュリティ体制の構築を推進している。
寺川美月(てらかわ・みづき):SRE、セキュリティ担当
文系大学卒業後、3年間の営業職を経て、社会人4年目にエンジニアへ転身。インフラエンジニアとして、ネットワークやセキュリティなどインフラ基盤領域を中心に経験を積む。SESでの客先常駐を経て、広告代理店のテクノロジー部門でクリエイター・マーケター向けデータ分析・予測システムに携わる。DIGGLEにはSREとして入社し、エンタープライズ強化に伴い、外部の視点を活かしたセキュリティ体制の見直しと改善に注力。現在はセキュリティ専任担当として、技術的対策から組織文化の醸成まで幅広く推進している。
まとめ
DIGGLEのセキュリティは、技術・人・文化の三位一体で構築されています。ログの管理やISMS管理ツールによる効率化、人を軸にした教育体制による意識醸成、専任担当者による深い専門性の確保、そして何より「オープンに報告できる組織文化」。これらが相互に作用し、お客さまの信頼に応える基盤となっています。
セキュリティを「守り」ではなく「攻めの基盤」と位置づけ、透明性を持って進化させ続ける。それがDIGGLEのセキュリティに対する姿勢です。