Smartsheet のエンジニアリング部門シニア バイス プレジデント (SVP) を務めるギハン (Gihan) は、アイデンティティ、アクセス、ポリシー スペース、データ統合ワークフロー プラットフォーム、およびシート インフラストラクチャの拡張などを担当するプラットフォーム チームを率いています。ギハンは 18 年間のキャリアを通じて、データ センターの自動化および仮想化プラットフォームから、拡張性の高いワークフローやメッセージング プラットフォームまで、この分野のさまざまなスタートアップ企業で勤務してきました。Converse.AI の共同創設者だったギハンは、同社買収の一環として 2018 年に Smartsheet に入社しました。
昨年の記事では、お客様の拡張性に向けた継続的な取り組みを、いかに Smartsheet がサポートしているかについてお伝えしました。また、組織のニーズの拡大に合わせて拡張可能なエンタープライズグレードのセキュリティ、ガバナンス、監査、レポート、および管理の機能をお客様に提供することも、同様に重要な優先事項であると考えています。だからこそ、Smartsheet は単に共同作業管理 (CWM) におけるリーダーであることに甘んじることなく、エンタープライズ向け CWM において CISO (最高情報セキュリティ責任者) に選ばれるプラットフォームになることを目指しています。
Smartsheet では、自社製品を主な作業管理プラットフォームとして使っています。そのため、セキュリティとガバナンスの重要さは身をもって認識しています。本日は、Smartsheet が焦点を当てている主要な領域や、新しいリリース、そしてセキュリティ、ガバナンス、管理全般に関わるロードマップの一部について、詳しくご紹介したいと思います。それでは始めましょう。
プラン インサイトの新しいプラン使用状況レポートでレポート機能を強化
ご利用中の Smartsheet プランについてより多くのインサイトが必要だというユーザーからの貴重なフィードバックを受けて、2023 年 2 月にプラン インサイトが導入されました。当初はコネクテッド ユーザー レポートとして、ユーザー タイプ、コネクテッド ユーザーの合計数、プラン内のユーザー成長率などの詳細を提供していました。
ユーザーが利用できるデータを強化するというコミットメントを継続するために、2023 年後半にプラン インサイトをアップグレードし、コネクテッド ユーザー レポートをより包括的なプラン使用状況レポートに置き換えました。このレポートでは、プランと請求情報に関する重要なメトリックとさらなる詳細を提供しています。現在は、ユーザー レポートの機能が拡張され、シート、レポート、ダッシュボード、ワークスペースなどの主要資産の使用状況がわかりやすく表示されています。これにより、ユーザーはライセンスのニーズを評価し、資産の配布を理解し、プランにおける Smartsheet の使用状況を包括的に把握するために必要なデータを入手することができます。
さらに、Data Shuttle および Dynamic View 向けの Advance 機能レポートの導入にも取り組みました。これらのレポートは、ライセンスありのお客様とこれらの機能を評価しているお客様の両方の詳細に加え、使用状況のメトリック、作成されたアクティブ ビュー/ワークフローの数、評価の詳細などの貴重なインサイトを提供します。これにより、プレミアム アプリケーションの使用や購入の可能性に関して、情報に基づいた意思決定を行うことができます。
包括的なインサイトを提供するという弊社の取り組みは、これだけではありません。今後は、フォーム、自動化、数式、ファイル、校正の使用状況や傾向を提供できるよう、さらなる機能強化に取り組んでまいります。ユーザーは、Smartsheet で反復的なタスクを自動化し、作業環境において共同作業を促進することによって達成できる効率の向上とコスト削減を評価できます。弊社は、洞察に満ちたデータをすぐに利用できるようにすることで、Smartsheet での体験を継続的に向上させることに専念しています。
新しく強化された共有セーフ機能
共有セーフ機能が大幅に強化され、安全な共有の入力、監査、および管理のプロセスが合理化されたことにより、システム管理者はプランの共有権限の管理に充てる時間を短縮できるようになりました。
2024 年 1 月より、この刷新された共有セーフ ポリシーの機能はエンタープライズ プランのお客様にご利用いただいています。これをさらに使いやすくするために、シート機能を管理者機能に統合しました。これで、システム管理者は、信頼できるドメインやメール アドレスの処理、監査、一括インポート、並べ替え、検索を容易に行えるようになりました。これにより、システム管理者はどの外部ユーザーやドメインが組織のデータにアクセスできるかを簡単に把握できるため、データ ガバナンスと企業の管理性が向上します。
ライセンスありのシステム管理者が共有セーフ ポリシーをアクティブにすると、専用の「管理者設定」ワークスペースに 2 つの共有セーフ シートが自動的に生成され、ドメインやメール アドレスの管理が容易になります。
シートを新しい共有セーフ機能に組み込むことで、シートに関連する Smartsheet のコア機能 (自動化、検索、フィルターなど) も新しいエクスペリエンスに統合できるようになります。管理者は、ワークフローの追加、アクティビティ ログとセルの履歴の監査、行の一括追加または削除、自動一括更新を行うための Data Shuttle 機能の活用、および共有セーフ シート上のシート API の活用など、組織の特定のニーズに対応するための一連のツールにアクセスできます。
この包括的なアプローチにより、共有セーフのプロセスが簡素化されるだけではなく、システム管理者に包括的な一連のツールが提供され、プラン内の共有権限の効率的な管理とカスタマイズが可能となります。弊社は、パワフルで使いやすいエクスペリエンスを提供し、Smartsheet での安全な共有を変革することをお約束します。
組織間における共同作業の確保と標準化
Smartsheet は、組織内外で共同作業を可能にする強力なツールとして注目を集めています。しかし、共同作業が拡大するにつれ、関連するリスクも高まります。外部のパートナーが所属を変更したり、契約先がログイン認証情報を危険にさらしたりするシナリオを考えてみてください。エンタープライズ CWM 市場における市場リーダーとして、Smartsheet では、顧客データの保護を引き続き最優先しています。
外部ユーザーのセキュリティやアクセス ポリシーを直接制御することが常に可能とは限りませんが、共同作業者による資産へのアクセス方法については、ユーザーが完全に制御できるようにすることを優先しています。このコミットメントに沿って、エンタープライズ プランのお客様専用に設計された 2 つの堅牢なセキュリティ機能 (「組織/団体アカウントを要求する」と「MFA を要求する」) を先日リリースしました。これらの機能は、外部との共同作業を取り巻くセキュリティ対策を強化し、お客様自身がしっかりと制御できるようにするためのものです。
システム管理者が「組織/団体アカウントを要求する」ポリシーを有効にすると、外部の共同作業者がアカウント内の共有資産にアクセスする際に、組織/団体の資格情報またはシングル サインオン (SSO) を使用して Smartsheet にログインすることが求められます。システム管理者は、「MFA を要求する」ポリシーを有効にすることで、セキュリティをさらに強化できます。これにより、外部の共同作業者がプランの資産にアクセスする際に、多要素認証 (MFA) を使用して本人確認をすることが義務付けられます。外部の共同作業者にID プロバイダーを介した標準的な MFA を適用できない場合、Smartsheet は、電子メールによる時間ベースのワンタイム パスワード (TOTP) を要求します。さらに、新しい共有セーフ ポリシーの機能と組み合わせることで、特定の信頼できるドメインやメール アドレスを認証ポリシーの除外リストに柔軟に追加できます。
これらの機能強化は、データ セキュリティを強化するだけでなく、外部ユーザーの認証プロセスを標準化し、企業間の共同作業を促進する安全な環境を醸成するという弊社のコミットメントをも強化します。2024 年 4 月後半には、これらのポリシーが変更されたときにシステム管理者がワークスペース管理者に通知を送信できるようにし、セキュリティ管理プロセスにおける透明性と説明責任を確保することで、このエクスペリエンスをさらに強化していく予定です。
管理の一元化と認証セキュリティの向上
多くの組織では、各部門が個別の Smartsheet プランを使用して運営しています。このようなシナリオでは、システム管理者が部門やプランごとに複数のログインやシングル サインオン (SSO) 設定を管理するため、複雑になり、セキュリティ上のリスクが発生するおそれがあります。さらに、システム管理者が制御できない部門 (つまりプラン) のユーザーとも Smartsheet 資産を共有する事態も考えられます。
メール アドレスとパスワードの組み合わせなど、安全性の低い認証方法を使用すると、特に脅威が動的である私たちの環境では、さらなるリスクを増やすことになります。たとえば、Microsoft (マイクロソフト) による 2023 年度のデジタル防衛レポートによれば、同社は前年に平均して 1 秒あたり 4,000 件のパスワードベースの攻撃をブロックしていました。この事実から、進化する脅威に対処するためには堅牢なセキュリティ対策が非常に必要であることがわかります。
セキュリティ強化に向けた継続的な取り組みとして、Smartsheet はスケーラブルなポリシー管理プロジェクトを開始しました。その重要な段階の 1 つは、ログイン ポリシーをドメイン レベルへ移行することです。先週、エンタープライズ プランのシステム管理者を対象に、重要な機能強化を行いました。それは、ドメイン レベルで SAML ベースの SSO を強制する機能です。この戦略的な機能により、組織においてセキュリティ プロトコルの標準化、制御の一元化、管理センター内での SAML 設定プロセスの合理化、1 つの包括的なステップへの手順の簡素化などが実現します。
将来を見据えた弊社のロードマップには重要なマイルストーンが含まれています。2024 年中頃までに、安全性の低いパスワードベースのログイン方法を、高度な電子メール TOTP (時間ベースのワンタイム パスワード) ログイン オプションに置き換え、認証セキュリティをさらに強化します。その後、2024 年の夏後半には、Google と Azure の SSO ログイン方法をドメイン レベルに移行する予定です。これらの一貫した取り組みは、業界が推奨する SSO ベースの認証メカニズムにユーザーを誘導し、安全性の低いパスワードベースのログインを段階的に廃止することで、Smartsheet のセキュリティ体制を向上させるという目標に沿ったものです。
プランレベルの所有権による資産の移転とアクセスに関する課題の排除
組織内での資産の使用が増えるにつれ、資産の所有権の管理は少し複雑になります。ユーザーが資産を所有する現在のモデルでは、特に重要な関係者や資産所有者が組織を離れた場合、管理に追加の諸経費が発生します。したがって、資産がプランによって所有されるモデルに移行することで、ユーザー間で資産を移動する必要がなくなります。
この変更の一環として、Smartsheet では資産所有者という概念を排除します。そして、すべての資産管理者は、アクセス リクエストへの対応を含む、資産のライフ サイクルを管理するために必要な権限が与えられます。これにより、安全かつ迅速な共同作業が可能になり、単一の所有者というボトルネックが取り除かれます。また、所有者または管理者が不在の場合の資産リクエストに対応できるよう、プラン資産管理者という新しい管理者の役割も導入します。プラン資産管理者は、資産の名前変更、削除、または資産への権限割り当てを行うことができます。これにより、資産が孤立するのを防止できます。資産管理者/所有者が定義されておらず、プランにプラン資産管理者も指定されていない場合、資産へのアクセス リクエストはシステム管理者に送られ、作業進行を維持するための信頼性の高いユーザー チェーンが確保されます。
これらの変更は現在、早期導入者プログラム (EAP) で実施されており、今後数週間内にすべてのお客様に提供される予定です。今年後半には、資産における「所有者」という概念を排除し (資産はプランによって所有されるため)、プランベースの資産所有モデルへの移行を完了させる予定です。
今後について
セキュリティと拡張は決して終わりのないプロセスです。お客様が Smartsheet の使用を拡大し続ける中で、セキュリティ体制を引き続き向上させるために、Smartsheet は以下に取り組んでまいります。
- Smartsheet からのログインやアクセスに関連するさまざまな通知メールのルック アンド フィールを強化することで、読みやすさを向上させ、各通知に対して適切なアクションが実行される確率を高めます。
- 「管理者」と「編集者」の間に新しい共有許可レベルを追加して、両者の間のアクセス レベルを必要とするシナリオをサポートします。
- サービス アカウントのサポートを追加し、お客様が Smartsheet API によって認識および承認される API ユーザー アクセス トークンを生成できるようにします。
これで、組織が安心して作業やプロセスを拡大できるよう、セキュリティ、ガバナンス、レポート、管理機能の強化を目指して弊社が取り組んでいることについて少しでもご理解いただければ幸いです。
Smartsheet が革新的なプラットフォームの提供を通じて企業全体の作業をサポートする方法や、弊社のさらなるイノベーションについてもぜひご覧ください。また、セキュリティ、プライバシー、コンプライアンス、および信頼性に関する Smartsheet ドキュメントについては、Trust Center をご確認ください。
これらの機能強化の提供タイミングなどについては、Smartsheet コミュニティの製品に関するお知らせのチャネルまたは製品リリース ニュースにご登録いただくと、リアルタイムで通知を受け取ることができます。まだ Smartsheet をご利用でないために登録できない場合は、この機会にぜひお試しください。
Smartsheet では、お客様の声を真摯に受け止め、ともに協力していきたいと考えています。これらのトピックについて、製品およびエンジニアリングのリーダーシップへのお問い合せをご希望の場合は、お住まいの地域の CSM または営業担当者までご連絡ください。