約8割の企業がクラウドサービスを利用する時代となり、同時にクラウドサービスの安全性も強く求められるようになりました。そんな中、自社サービスのセキュリティレベルを利用者に伝える「セキュリティチェックシート」との向き合い方に、頭を悩ませているクラウドサービス事業者も増えています。今回はクラウドサービス事業者にとってのセキュリティチェックシートの課題や運用ポイントを解説します。
また、本記事では2024年6月19日(水)に当社が登壇したAssured主催のセミナー、「【クラウドサービス提供企業様向け】本音で語る! セキュリティチェックシートでの情報開示対応と課題」から、登壇者であるクラウドサービス事業者のコメントを引用しています。
目次
セキュリティチェックシートとは
セキュリティチェックシートとは、企業や組織がセキュリティ対策の評価を行うためのツールです。特に、クラウドサービスを導入する際に、「このサービスを導入してセキュリティ上のインシデントが発生しないか」「自社のセキュリティ基準に達したサービスか」を見極める目的で使われます。
2010年8月には、経済産業省から「クラウドサービスレベルのチェックリスト」が公開されており、可用性、信頼性、性能、拡張性、サポート、データ管理、セキュリティのチェックすべき7つの大項目が示されました。現在、世の中で運用されているセキュリティチェックシートの土台になっているものでもあり、国としてセキュリティチェックシートを活用した安全なクラウドサービスの利用を推奨する姿勢を表すものといえるでしょう。
DX/SaaSにおけるセキュリティチェックシートの重要性
企業のDX促進やSaaS導入において、セキュリティチェックシートの重要性は増しています。一昔前はローカルにソフトをインストールし、自社内のサーバーを使うオンプレミス型のツールが主流でしたが、2024年現在では、常時オンラインに接続しているようなクラウドサービスの利用が主流です。業務効率化、テレワーク、デジタル資産の活用など、DXを進める上でも、クラウドサービスの利用はもはや必要不可欠であるともいえます。総務省の調査によると、令和5年時点では約8割の企業がクラウドサービスを利用しています(※1)。
※1 出典:“令和5年通信利用動向調査の結果”.総務省.2023-06-07(参照 2024-07-25)
クラウドサービスはオンプレミス型に比べ、費用が安価で導入も簡単、データ管理も自社でサーバーを用意しなくて良いといった利便性が非常に高い反面、データ漏洩やサイバー攻撃などのリスクもあります。さらに、最近では複数のクラウドサービスを連携し、横断的に業務を行えるようなソリューションも増えています。利便性の裏返しとして、オンラインに常時接続していること、攻撃の入り口が多いことによるインシデントが増大しているのです。
このような被害に遭わないためにも、自社が導入を検討しているクラウドサービスが本当にセキュリティ上問題ないかを精査する必要があります。そのための基準になるのがセキュリティチェックシートなのです。
【登壇者のクラウドサービス事業者から挙がった声をご紹介】
・伝統的な企業、製造業や金融業などからは非常に厳しいセキュリティ基準が求められるため、国や省庁のお墨付きのセキュリティチェックシートがあればニーズが高いのでは。
・クラウドサービス事業者としては、セキュリティに関する社員のリテラシー教育、自社製品のセキュリティポイントを理解するための教育が必要
セキュリティチェックシートの仕組み
セキュリティチェックシートはサービス利用企業から、導入検討段階でクラウドサービス事業者に対して送られることが多いです。クラウドサービス事業者としては、回答しないと受注に繋がりませんし、政府としてもさまざまなガイドラインで対応を促しているため、事実上回答はほぼ必須といえます。
形式としては、質問やチェックリスト形式で構成されており、対象となるシステムやプロセスが一定のセキュリティ基準に達しているか、ポリシーへ適合しているかを確認します。回答内容に問題なければ導入可能なクラウドサービスと判定されます。現状、クラウドサービスを利用する企業の約6割が、セキュリティチェックシートを活用した情報収集を実施しているという調査結果が出ています(※2)。
※2 出典:“クラウドサービスのセキュリティチェックシートは、なぜ必要なのか?”.Assured(アシュアード).2023-10-11(参照 2024-07-25)
【登壇者のクラウドサービス事業者から挙がった声をご紹介】
・利用者から挙がってきた質問に対して「どこの何について聞いているのか」をしっかり確認する必要がある。
・必要な情報を必要な粒度で伝えることが大切。細かく伝えれば良いというわけではなく、安心安全であることが伝われば良いケースも。
利用者にとってのセキュリティチェックシートのメリット
クラウドサービスの利用者である企業は、セキュリティチェックシートを使うことでどのようなメリットを感じているのでしょうか。
一目で適合しているか確認できる
セキュリティチェックシートは質問やチェックリスト形式で構成されているため、自社の要件に適合しているか一目で確認できます。
クラウドサービスのセキュリティ状況を比較できる
同じセキュリティチェックシートを複数のクラウドサービス事業者に回答を求めることで、セキュリティ状況の比較が容易となります。
自社にとってリスクのあるなしをエビデンスとして残せる
セキュリティチェックシートを使えば、自社にとってリスクのあるなしをエビデンスとして残せるため、導入の稟議を通す上で説明しやすくなります。
運用や体制の対策ができる
セキュリティチェックシートを利用することで、クラウドサービスの弱点やリスクがわかるため、使用する機能の制限、権限の範囲など、導入後の運用や体制の対策が可能です。
定期的な調査に活用できる
半年、1年と言った定期的なセキュリティチェックをする際に、セキュリティチェックシートを流用し、前回との比較ができます。
クラウド事業者にとってのセキュリティチェックシートの課題
ここでは、セキュリティチェックシートを対応するクラウド事業者側の課題について解説します。
チェック項目や質問が多く作業工数が膨大
セキュリティチェックシートの設問数は50〜150問程度が一般的です。100件程度でも対応には4時間程度かかりますし、中には1000問近い設問のセキュリティチェックシートが送られることもあります。クラウドサービス事業者としては、セキュリティチェックシートに対応するための膨大な作業工数によって、本来注力したい利益追求のためのリソースを削られてしまうというジレンマがあります。
利用者によって質問項目が異なり個別対応が必要
また、利用者によって質問項目が異なり、個別対応が必要なのもリソースが削られる原因です。同じ内容について質問していても利用者によって質問文が異なるため、回答をその都度精査する必要があります。
どこまで情報開示をすべきかわからない
利用者が求める情報をどこまで開示するのかも悩みどころです。セキュリティチェックシートへの回答を求める利用者全てが最終的に契約してくれれば良いものの、契約に至らなかった場合「自社の重要なセキュリティ情報を第三者に無条件に開示してしまった」という状況になるため、情報開示の範囲は慎重に判断する必要があります。
【登壇者のクラウドサービス事業者から挙がった声をご紹介】
・以前は聞かれるがまま全て回答していたが、SIerの用件定義に近いレベルで工数が増えてしまった。
・エンジニアがファクトを一生懸命書いてくれたが、アップデートしないといけない情報が増えすぎた。
・営業が契約直前に急ぎのセキュリティチェック依頼をしてくることが多く、業務負荷がかかる。
・AIでセキュリティチェックシートに自動回答するようなツールの登場に期待したいが、そもそもテキストのコピペも許されないケースもあり、ハードルが高い。
クラウドサービス事業者がセキュリティチェックシート運用するポイント
上記のような課題を解決するために、どのような方法が考えられるのでしょうか。クラウドサービス事業者がセキュリティチェックシートを運用する際のポイントについて解説します。
自社内のセキュリティチェック責任者を決める
セキュリティチェックシートの回答業務を複数の担当者が行なっている場合、回答にブレが出る可能性があります。そのため、最終的な回答品質を担保するための責任者を決めておくことが必要です。
質問・回答を蓄積しアップデートする
顧客からの質問とそれに対しての回答は蓄積しておき、次回に活かせるサンプルとして標準化すると効率的です。また、現在の環境や技術要件にマッチしている内容なのか、定期的に回答のアップデートも必要です。
セキュリティ評価プラットフォームを利用する
サードパーティー制のセキュリティ評価プラットフォームを利用することで、クラウドサービス事業者にとって大幅な工数削減を実現できます。利用者にとっても質問の設定の手間がかからず工数の削減になり、客観性の高い評価項目が設定されていることはセキュリティ上のメリットです。
【登壇者のクラウドサービス事業者から挙がった声をご紹介】
・回答作成者が複数おり、それぞれ業務経験も知識も違う。部署内で情報共有をする仕組みを作ると同時に、チェックポイントを設けることで出口でのクオリティを保っている。
・世の中で求められている「セキュリティ情報開示のあるべき姿」を把握することが重要。セキュリティチェックシートの質問内容も時代にあった形に標準化することが大切なのではないか。
・民間の取り組みだけでは足りない。セキュリティチェックの標準化における認証制度のようなものを国や省庁が設けてほしい。
・クラウドサービス事業者としてはセキュリティチェックシートへの対応が、ビジネスのブレーキを踏むようなことがあってはならない。その点、セキュリティ評価プラットフォームは心強い。
・クラウドサービス事業者側が質問項目を設定したセキュリティチェックシートだと、どうしても手前味噌になってしまう。セキュリティ評価プラットフォームなら第三者目線なので信頼度が高い。
・セキュリティ評価プラットフォームを導入したところ、セキュリティチェックの半分程度がそちらに移行し、自社での回答業務の負荷が大幅に軽減された。
セーフィーのセキュリティチェックシートへの向き合い方
私たちセーフィーもクラウドサービス事業者として、利用者からいただいたセキュリティチェックシートへ回答しています。当社は映像データという極めてコアな個人情報を扱っており、セキュリティへの取り組みは最優先です。「誰もが簡単に使える映像プラットフォームサービス」を提供するために、セーフィーでは機器の機能面はもちろん、情報の取り扱いにおけるルールを厳密に定め、サービスを利用していただく際に周知しています。
具体的には「情報セキュリティマネジメントシステム」、「ISMSクラウドセキュリティ」、「プライバシー情報マネジメントシステム」の認証を取得。情報資産の管理やマネジメントに関しては、情報セキュリティ委員会を中心とした体制を構築しています。さらにセキュリティチェックシートは当社独自フォーマットを設けるとともに、Assuredのセキュリティ評価プラットフォームを導入し、第三者目線での公平な評価を実現しています。
当社としては「サービス利用者とサービス事業者、両者にとって価値あるセキュリティチェック」を目指していきたいと考えており、そのためには第三者目線、公平性という要素は欠かせません。そのためAssuredのセキュリティ評価プラットフォームを導入することでそれらを担保しています。
セーフィーのセキュリティについて詳しく知りたい方はこちら
セキュリティチェックシートに前向きに取り組もう
クラウド事業者にとって課題が多いセキュリティチェックシートですが、避けては通れません。前向きに取り組むことで自社内に知見も蓄積され、自社のセキュリティの強み・弱みの発見にもつながるはずです。今回の記事の内容を参考に、セキュリティチェックシートが、サービス利用者とクラウド事業者、両者にとって価値あるセキュリティチェックになるよう、より良い運用を検討してはいかがでしょうか。
【クラウドサービス提供企業様向け】本音で語る! セキュリティチェックシートでの情報開示対応と課題(アーカイブ動画視聴リンクあり)
「Assured」サービスサイト
※ セーフィーは「セーフィー データ憲章」に基づき、カメラの利用目的別通知の必要性から、設置事業者への依頼や運用整備を逐次行っております。
※当社は、本ウェブサイトの正確性、完全性、的確性、信頼性等につきまして細心の注意を払っておりますが、いかなる保証をするものではありません。そのため、当社は本ウェブサイトまたは本ウェブサイト掲載の情報の利用によって利用者等に何らかの損害が発生したとしても、かかる損害については一切の責任を負いません。