株式会社 B4A 導入事例インタビュー

―― 宮田：

本日はお時間をいただきありがとうございます。

まずは、今回のような本格診断を導入された背景からお聞かせいただけますか？

前原：

こちらこそ、よろしくお願いします。

当社は自由診療クリニック特化型のDXツールのSaaS型サービスを展開しており、患者さまの診療記録など、非常に機微な情報を日常的に取り扱っています。

当然、各種ツール含め、社内でもセキュリティ対策には力を入れてきましたが、「自分たちの中だけで“問題ない”と判断していいのか？」という問いは常にありました。

事業の成長に伴い顧客数や連携先が増える中で、「万が一」が現実的なリスクになるフェーズに入ったと感じたんです。さらに、ISMSを整備するタイミングでもあり、社外への説明責任や透明性を意識したセキュリティ体制の整備が必要でした 。

「第三者の視点で信頼性を証明できる診断体制が必要」という結論に至ったのが背景です。

―― 宮田：

ありがとうございます。

診断会社の選定にあたって、御社ではどのような比較検討をされたのでしょうか？

前原：

大手診断会社2社と、御社を含めた3社で見積をお願いしました。

大手2社はいずれも1,000万円を超える提示でした。それ自体には驚きませんでしたが、「なぜこの金額になるのか？」という明細の根拠がやや曖昧に感じられたんです。

API数や画面数に対する積み上げ方式の見積は、“数が多ければ多いほどコストが膨らむ”構造

になっています。

しかし、共通処理や重複のある画面も全て別個にカウントされていて、「これは本当に作業に基づいた積算なのか？」という疑念が社内でも上がりました。

―― 宮田：

当社は「構成数」ではなく、「どこに工数が発生するか」という工程ベースで見積を出しています。

前原：

そこが御社の良さでした。

SHARE Securityさんの見積は大手より半額でしたが、「削っているから安い」のではなく、「不要な箇所に費用を載せていない」から合理的だとすぐに分かりました。

初回の打ち合わせのとき、図に描きながら診断の流れとリスク評価の重み付けを説明してくれたのが印象的でした。

その場で「この会社なら安心して任せられる」と思ったのを覚えています。

【GraphQLへの対応：見積もりへの影響なし】

―― 宮田：

御社のサービスはGraphQL APIも利用されていますよね。診断の観点では、RESTとの違いに不安を感じられませんでしたか？

前原：

ええ、実はありました。

以前に他の診断会社へ見積もりを依頼したとき、GraphQLを採用していることを理由に「エンドポイント解析が複雑になる」「調査工数が増える」とされ、結果的にREST構成と比べてかなり高額な金額を提示されたんです。

正直、「これでは技術選択の自由が制約されてしまうのでは」と感じました。

―― 宮田：

その点、当社ではGraphQLだからといって追加コストが発生することはありません。

見積もりは「APIの種類」ではなく、「どこに工数が発生するか」という工程ベースで算出しています。通信方式やフレームワークの違いは大きな影響を与えません。

前原：

実際、御社の説明を受けて非常に納得しました。

RESTとGraphQLの違いを過度に意識せず、診断の本質――リスクの洗い出し――に集中できたのはありがたかったです。結果として、GraphQLを採用していることが見積もりコストの不安につながらず、安心して選択を続けられました。

―― 宮田：

はい。GraphQLでもRESTでも、潜むリスクを見極めるアプローチは共通ですので、御社には安心して「追加負担はない」とお伝えできました。

前原：

おかげで、技術的な自由度とコスト合理性の両立を実感できましたね。

【準備フェーズ：見積精度 × 負担ゼロ】

―― 宮田：

今回はコピー環境をお渡しいただいただけで診断に着手しました。

ご準備のご負担はいかがでしたか？

前原：

ほぼゼロでした。

よくあるのは「APIの本数を整理してください」「仕様一覧を整備してください」といった資料作りの依頼ですが、御社はそういった要求が一切なかった。

なのに、出てきた見積は非常に精度が高く、根拠の説明も明確。

開発現場からも「この少ないやりとりでここまで読み取るのはすごい」と驚きの声が出ました。

―― 宮田：

社内に知見がある方が多い印象でしたが、過去に外部診断で苦労されたご経験もあったのでしょうか？

前原：

実は以前、別の企業さんにお願いした際は、最初の設計ヒアリングや環境説明に3週間ほどかかってしまったことがありました。

今回はそれが一切なく、現場の心理的なハードルも低く抑えられたと思います。

【診断中：日々の進捗共有で現場が“動く”診断体験】

―― 宮田：

診断期間中はSlackで日次報告させていただきました。現場のご反応はいかがでしたか？

前原：

あれは非常に助かりました。

**「朝の速報で気づきを得て、夕方には修正し、翌日に再チェック」**というサイクルは、診断というより「改善パートナー」として機能していたと思います。

「報告書を待つだけ」という受動的な形ではなく、診断が進むごとに開発とセキュリティが同期していく感覚でした。

【報告書と再診断：実装しやすく、説明しやすい】

―― 宮田：

最終報告書の内容や、再診断のご対応についてご感想はありますか？

前原：

報告書は非常に実践的でした。

再現手順・影響・修正方針・再発防止の観点がすべて揃っていて、エンジニアがすぐにJiraチケットに落とせる内容でした。

前原：

再診断を無償で対応いただけたのも大きな安心でした。

「修正したつもり」が本当にリスク解消になっているか、第三者の目で確認できることで、エンジニア側も自信を持ってクローズできるんです。

「報告書がある」だけでなく、「完了できた」というところまで付き合ってくれること。

それが私たちにとって非常に重要でした。

【社内の変化：「診断＝負担」から「文化」へ】

―― 宮田：

プロジェクト後、社内ではどのような変化が見られましたか？

前原：

まず、エンジニアから「またこの形式でやりたい」という声が出ました。

“診断は重たい作業”という先入観がなくなり、「改善の材料を一緒に探してくれるもの」という認識に変わったと思います。

また、プロジェクト終了後に開かれた意見交換会では、「今回の診断が次のアーキテクチャ設計に生きる」という話も出ましたし、“セキュリティは開発の一部”という考え方が静かに根づいてきたのを感じます。

【最後に：SHARE Securityを検討する企業様へ】

―― 宮田：

最後に、これから診断会社を検討される企業様に向けて、ひと言いただけますか？

前原：

「安価でも、ここまでやってくれるのか」と驚かされた数週間でした。

“安い＝軽い”ではなく、“合理的な設計と現場密着”で無駄をなくしているからこその価格設定なんですよね。

しかもその中身は、プロダクトの未来や組織スケールまで見据えた深いフィードバックと、改善サイクルまで含めた伴走型の診断。

情報漏えいの許されない業界や、これから上場・グロースを見据える企業にとって、SHARE Securityさんのような実務的で対話できる診断パートナーの存在は、極めて心強い武器になる

と思います。