2026年2月に東京都渋谷区のDIGGLEが公開したセキュリティインタビューは、企業の運用設計を見直すヒントが詰まった内容です。
同社は技術対策だけでなく、人の教育と報告文化までを同じ優先度で扱い、実務で回る体制づくりを進めています。
プロダクト成長と安全性を両立させるために、どこを仕組み化し、どこを現場に浸透させたのかが具体的に語られています。
DIGGLE「セキュリティへの取り組み」
- 公開日:2026年2月26日
- インタビュー実施時期:2026年2月
- 本社所在地:東京都渋谷区
- 主題:技術・人・文化によるセキュリティ体制
DIGGLEは、顧客の経営管理に関わる重要情報を扱うプロダクトを提供する企業です。
今回の内容は情報システム部門とプロダクト開発部門の両輪で、セキュリティ施策をどう運用しているかを整理したインタビューです。
セキュリティインシデントのリスクをゼロにするのではなく、透明性を保ちながら改善を積み重ねる方針が全体を貫いています。
ヒトを軸にした教育と報告文化の設計
- サイバーセキュリティ月間:2月1日~3月18日
- 毎月1回
- 担当者配置:各グループ1人
同社はBCP訓練の重点を安否確認から標的型攻撃メール訓練へ切り替え、現場で発生しやすい脅威に合わせた教育へ更新しています。
代表者名をかたるメールが社内に届く状況を前提に、迷惑メールの完全遮断よりも社員の判断力向上を重視する方針です。
この設計が、技術部門だけに依存しないリスク低減の基盤。
説明の仕方にも工夫があり、規定を読むだけではなく「このデータが漏えいした場合に顧客へ何が起こるか」を軸に伝えています。
経営層と現場では受け取る観点が異なるため、伝達内容を相手別に調整し、文字だけでなくハドルで補足する運用も進行中。
失敗の有無を責めるより、発生後にすぐ共有できる雰囲気をつくることが、初動対応の速さにつながるという考え方です。
「オープンに報告できる文化」を教育施策とセットで整えることで、訓練がやらされ仕事になりにくい状態が保たれています。
アクセス制御・ログ運用・外部基準対応の実装
- 社員規模:約150人
- 専任体制:セキュリティ担当1人
- 資産棚卸し・委託先入力期限:1か月
- 準拠基準:IPA・総務省・経済産業省の3基準
プロダクト側では顧客環境へアクセスできる社員権限を絞り、必要な担当者だけが閲覧できる構成へ整理されています。
ログ運用は「取っているかどうか」だけでなく、保存期間と不要データの混入まで見直し、障害時の追跡性を高める形に更新済み。
誰がどの情報を扱ったかを必要に応じて確認できる状態は、攻撃対応だけでなく誤操作時の復元判断にも有効です。
ログを監視の道具として扱うのではなく、事象に対して正しく対処するための足跡として運用する姿勢も明確です。
ISMS運用では、以前に散在していた資料と版数の混在を解消するために管理ツールへ一元化し、審査時の提出効率を高めています。
外部基準はIPA、総務省、経済産業省の3系統に対応し、チェック項目充足で終わらず継続改善を前提に回している点が特徴です。
セキュリティ専任比率1〜2%が妥当という外部知見を踏まえ、約150人規模で専任1人を置く判断をした背景も実務的です!
担当窓口が明確になることで相談の初速が上がり、過去問い合わせの蓄積と文書化が進みやすくなる効果も出ています。
セキュリティは一度作って終わる施策ではなく、プロダクトの成長速度に合わせて改定し続ける運用テーマです。
DIGGLEは守りと攻めを対立させず、顧客価値を落とさない開発スピードを保ちながら、説明可能な安全性を積み上げています。
「このセキュリティなら安心して使える」と言ってもらえる状態を目指す姿勢は、SaaS運営における信頼設計の好例です☆
【技術・人・文化を束ねる運用の強さ!
DIGGLE「セキュリティへの取り組みと信頼基盤インタビュー解説」】の紹介でした。
よくある質問
Q. DIGGLEのセキュリティインタビューはいつ公開されましたか?
2026年2月26日に公開されています。
Q. 人材教育で重視している施策は何ですか?
BCP訓練を標的型攻撃メール訓練へ切り替え、日常の判断力を高める教育を重視しています。
Q. 運用体制の数値面での特徴はありますか?
約150人規模に対して専任担当1人を置き、各グループ1人の担当者と毎月1回の定例で運用しています。
Q. どの外部基準に対応していますか?
IPA、総務省、経済産業省の3系統の基準に対応し、継続的な見直しを前提に運用しています。