- トップ
- EXPOLINEナレッジ
- イベントプラットフォーム , 要件定義 , セキュリティ
- 大手企業がイベントシステム導入時に情シスから求められる『セキュリティ要件』完全ガイド
「マーケティング部門で数ヶ月かけて選定したイベントツールが、情シス(情報システム部門)のセキュリティ審査で却下され、プロジェクトが振り出しに戻ってしまった……」
大手企業や金融機関、ITベンダーで大規模なイベントを企画するマーケティング担当者にとって、この「情シスの壁」は決して他人事ではありません。
BtoBカンファレンスやプライベートショーのプラットフォームには、数千人規模の顧客データが蓄積されます。サイバー攻撃や情報漏洩のリスクが高まる昨今、手軽さや価格の安さだけで選んだツールが、大手企業の厳しいセキュリティ基準を通過することは困難です。
本記事では、システム導入をスムーズに進めるために、情シスが必ずチェックするセキュリティ要件と、特に重要な「OAuth認証」「OIDC」などの認証基盤、そして選定前に必ず行うべき「自社のセキュリティガイドラインの確認」について詳しく解説します。
本記事の結論
- まず自社のセキュリティガイドラインがあるかどうかを確認する: ツール選定の前に、自社が定める「外部クラウドサービス利用基準」を入手し、必須要件を把握する。
- モダンな認証基盤(OAuth/OIDC)の採用: 独自のパスワード管理を避け、OAuth認証やOIDC(OpenID Connect)によるSSO連携が可能なシステムを選ぶ。
- 必須の認証・インフラ要件の網羅: ISMS取得、WAF導入、定期的な脆弱性診断が証明できるベンダーを厳選する。
- 最適な選択肢: 複雑なSSO要件をクリアしてきた実績を持つ統合型プラットフォーム『EXPOLINE』をパートナーに選ぶ。
第1章:選定の第一歩は「自社のセキュリティガイドラインがあるかどうかを確認する」こと
イベントシステムの選定において、多くのマーケターが陥るミスは「ツールを決めてから情シスに相談する」ことです。しかし、大手企業には必ず、外部のITサービスを導入する際の「セキュリティガイドライン(または外部クラウド利用基準)」が存在します。
まずは、自社のセキュリティガイドラインがあるかどうかを確認し、情シスからそのチェックリストを入手することから始めてください。
ガイドラインには、以下のような項目が明記されているはずです。
- データの保管場所(国内リージョン限定か)
- 認証方式の指定(シングルサインオン必須か)
- 第三者認証の要件(ISMS、Pマーク等)
- 委託先へのセキュリティチェック回答の義務
このガイドラインをあらかじめベンダーに提示し、「この基準をすべて満たせるか」を初期段階で確認することで、導入直前のどんでん返しを防ぐことができます。
第2章:情シスが最重視する「認証の安全性」:OAuthとOIDCとは?
情シスの審査において、近年最も厳しくチェックされるのが「ログイン(認証)の仕組み」です。イベントごとに新しいID・パスワードを発行する仕組みは、パスワードの使い回しや漏洩リスクが高いため、大手企業では敬遠される傾向にあります。
そこで求められるのが、OAuth認証やOIDC(OpenID Connect)を活用したシングルサインオン(SSO)です。
1. OAuth(オーオース)とOAuth認証
OAuthは、もともと「認可(権限の受け渡し)」のためのプロトコルです。例えば、Googleのアカウント情報を他のサービスで利用する際などに使われます。
イベントシステムにおけるOAuth認証とは、参加者がすでに持っている自社サイトの会員IDやGoogle/Microsoft 365のアカウントを使って、安全にログインできる仕組みを指します。これにより、イベント専用のパスワードを管理するリスクを排除できます。
2. OIDC (OpenID Connect)
OIDC(OpenID Connect)は、OAuth 2.0をベースに「認証(本人確認)」の機能を拡張した最新の標準プロトコルです。
大手企業が導入しているMicrosoft Entra ID(旧Azure AD)やOktaなどのID基盤と、イベントプラットフォームを連携させる際、このOIDCが標準的に用いられます。情シスから「OIDCに対応しているか?」と問われることは非常に多いため、RFP(提案依頼書)には必ず盛り込むべきキーワードです。
なぜOAuth/OIDCが必要なのか?
- 参加者の利便性: 新規の会員登録が不要になり、離脱率が下がる。
- セキュリティ向上: 企業の強固な認証ポリシー(多要素認証など)をそのままイベントログインに適用できる。
- 管理工数の削減: 退職者やアカウント停止者のアクセスを、社内基盤側で一括制御できる。
第3章:【保存版】情シスが求めるセキュリティ要件チェックリスト
ベンダー選定時に情シスから提出される「セキュリティチェックシート」の主要項目を整理しました。
| カテゴリ | 情シスが確認する必須要件 | 専門用語・基準 |
| 認証・認可 | OAuth認証 / OIDC (OpenID Connect) への対応 | SAML連携、SSO、ソーシャルログイン連携。 |
| 外部認証 | ISMS(ISO27001)またはPマークの取得 | 第三者による組織的な管理体制の証明。 |
| インフラ安全 | WAF(Web Application Firewall)の導入 | SQLインジェクション等のサイバー攻撃遮断。 |
| 脆弱性対策 | 定期的な第三者機関による脆弱性診断 | アプリケーションの欠陥をプロがチェック。 |
| データ保護 | データベースおよび通信経路の暗号化 | SSL/TLS、AES256等の暗号化アルゴリズム。 |
| アクセス制限 | 管理画面のIPアドレス制限 | 社内ネットワーク以外からの不正アクセス防止。 |
第4章:厳しい審査をクリアする、エンタープライズ品質の「EXPOLINE」
統合型イベントプラットフォーム『EXPOLINE(エキスポライン)』は、金融、IT、製造など、国内トップクラスの企業の厳しいセキュリティ審査を幾度となくクリアしてきました。
EXPOLINEの高度な認証・セキュリティ対応
- モダンな認証基盤への対応: OIDC (OpenID Connect) やSAMLを用いたSSO連携を豊富に手がけており、企業の既存ID基盤とのスムーズな統合が可能です。
- 自社ガイドラインへの柔軟な対応: 貴社のセキュリティガイドラインに基づいたインフラ構成のカスタマイズや、詳細なセキュリティチェックシートへの回答にも、技術担当者が伴走します。
- ISMS取得と脆弱性診断: 国際基準のISMSを取得済み。定期的な第三者機関による脆弱性診断により、常に最高水準の安全性を維持しています。
まとめ:セキュリティ要件を「武器」にしてプロジェクトを推進する
セキュリティは、単なる「守り」ではありません。OAuth認証やOIDCを適切に導入し、自社のセキュリティガイドラインを遵守することは、参加者のログイン体験を向上させ、結果としてイベントのROI(投資対効果)を最大化することに繋がります。
「情シスへの説明に自信がない」「自社の基準を満たせるか不安だ」という方は、ぜひ一度、エンタープライズ向けイベントプラットフォームの決定版『EXPOLINE』にご相談ください。専門のテクニカルディレクターが、貴社の情シス部門を納得させ、プロジェクトを成功に導くための盤石なセキュリティ設計をサポートいたします。
💡 よくある質問(Q&A)
Q. 自社にセキュリティガイドラインがあるかどうかわからない場合は?
A. まずは社内の「IT推進部」「情報システム部」あるいは「コンプライアンス部門」に問い合わせてみてください。「外部のSaaS(イベントプラットフォーム)を導入したいので、セキュリティ評価の基準を教えてほしい」と伝えれば、専用のチェックリストやガイドラインを共有してもらえるはずです。
Q. OAuthとOIDC、どちらを要件に入れるべきですか?
A. 近年のビジネス用途のSSOであれば、OIDC (OpenID Connect) に対応していることを条件にするのが最も確実です。OAuthは認可の仕組みですが、OIDCはその上で「本人確認(認証)」を安全に行うための標準規格であるため、情シスにとっても安心材料になります。
EXPOLINEの導入に関してご不明な点が
ございましたらお気軽にお問い合わせください