受注直前で止めない ― SaaS営業のセキュリティ審査突破

今日は SaaS 営業のセキュリティ審査突破です。実は GitLab はこの工程を整えたことで、平均の商談期間を10日から14日ほど短くしています。売れない原因が機能不足ではなく、審査の詰まり方にあるケースはかなり多いんです。

理由は単純で、買い手は製品の良し悪しより先に、自社で安全に扱えるかを確認したいからです。しかも見るのは証明書の有無だけではなく、データの扱い、権限、障害時対応、委託先管理まで広い。ここを営業工程として設計していないと止まります。

まず大事なのは、セキュリティ審査は質問票に答える作業ではなく、買い手の不安を短時間で解消する設計だという点です。GitLab の公開ハンドブックでは、まず Trust Center を案内し、それでも必要な質問票に10営業日の SLA で対応する運用を明示しています。

その通りです。だから強い SaaS は、入口、責任者、標準資料、回答期限を工程化します。セキュリティ部門が英雄的に頑張る会社より、営業とセキュリティが同じ地図を持っている会社のほうが、商談は安定して前に進みます。

ここで役立つのが標準フレームです。Cloud Security Alliance の CAIQ はクラウド事業者の自己評価票で、最新版の v4 は261問、短縮版の CAIQ-Lite でも124問あります。Shared Assessments の SIG も第三者リスク評価の代表的な標準質問票です。

まさにそこです。Atlassian は Vendor Security Risk Response で CAIQ などを事前公開していますし、freee も検討企業が営業経由で Excel を送らなくても確認しやすい形を整えています。審査突破とは、強い統制を持つことと、見せやすくしておくことの両方なんです。

成果が見えやすいのは GitLab と Instacart です。GitLab は self-serve 化で質問票を前年比50パーセント減らし、商談期間を10日から14日短縮しました。Instacart は CAIQ や SIG を標準化して、500問規模の custom questionnaire を3件回避し、約375時間を削減しています。

国内でも、サイボウズは公開チェックシートでマルチテナント構成、障害第一報の目標1時間以内、契約終了後の削除時期、TLS1.2と1.3、保存データ暗号化まで示しています。マネーフォワードは営業が数営業日かけていた一次回答を15分に短縮した事例を公開しました。

よくある失敗は五つです。終盤まで要件を聞かない、SOC 2 があると言って終わる、営業ごとに回答が違う、証跡が散在している、そして回答期限が曖昧。このどれかがあると、買い手は不安になり、競合比較で不利になります。

まず discovery で SSO、監査ログ、データ保管地域、必要認証、セキュリティ窓口を確認すること。次に CAIQ か CAIQ-Lite、SOC 2、DPA、subprocessor 一覧、削除ポリシーを一か所に集約すること。そして標準回答集に更新日とオーナーを必ず持たせることです。