セキュリティーチェックシート運用の
「効率化」と「品質向上」を両立する方法は

　業務のデジタル化やDXの進展に伴い、クラウドサービスの利用が拡大している。だが利用が進むにつれ、顧客情報や機密データがクラウド上から漏えいする事故も増えている。サードパーティからとはいえ、漏えいすれば発注元は顧客からの信頼を失い、事業にも悪影響を及ぼす。そのため企業はクラウドサービスも自社のITサプライチェーンの一環として、セキュリティーリスクの評価や管理を行うべき状況となっている。

　信頼できるクラウドサービス事業者を選定する手段の1つとして、多くの企業が採用しているのが「セキュリティーチェックシート」である。これは対象となるサービスやシステム、プロセスが一定のセキュリティー基準、ポリシーに適合しているかどうかを確認するもの。一般的には個々の企業がリスク評価の基盤となる各種ガイドラインやフレームワークに沿った独自のチェックシートを作成し、事業者からの回答と評価に基づき利用可否を判断している。

　「しかし、現状のリスク管理プロセスでは、量・質双方の観点でセキュリティーチェックが限界を迎えつつあります」とアシュアードの植木 雄哉氏は指摘する（図1）。 　クラウドサービスのリスク管理プロセスは大きく、(1)「クラウドサービスのリスク評価（利用可否判定）」、(2)「利用サービスの棚卸」、(3)「チェックシートの更新」という3つの業務で構成される。それぞれにクラウドサービスを利用する業務部門と管理部門が携わるが、(1)についてはクラウドサービスの利用数分だけ実施されるフロー（非定常作業）、(2)(3)については年1～2回実施されるストック（定常作業）に分けられる。

　フローの作業で業務部門の課題となるのが、回答結果の妥当性確認やリスク評価の困難さだ。一般的に業務部門にはセキュリティーの専門家が少なく、チェックシートの回答が正しいのかどうか、抜け漏れや誤りはないかが判断しにくい。

　さらにクラウドサービスの利用数が増加しているため、各業務部門の稼働量がチェックシート運用に多く割かれてしまう点も問題だ。事業者との質疑応答やチェックシートの回答確認などで1サービスあたり約3時間の工数がかかるとされているため、利用数が年間100件になれば300時間が本来の業務から削られてしまう計算となる。

　一方の管理部門でもチェックシートの回答確認にはセキュリティーに関する幅広い知識が必要とされる。このためセキュリティー人材の確保が困難な中、属人化した評価運用や評価基準のばらつきが発生してしまう。

　ストックの作業でも課題が多い。定期的なサービスの棚卸では、業務部門からのヒアリングや回答確認で多くの時間が必要になる。運用の負担軽減や品質向上に向け、チェックシートの項目アップデートも行わなければならないが、変化するセキュリティートレンドに対応した網羅的で実用的なチェックシートの見直しには専門的な知識と膨大な工数が必要となる。人材不足も相まって質量ともに追いつかないのが現状だ。

　「チェックシートの運用はセキュリティー対策状況の把握と利用可否判断が主な目的です。直接的な売上向上につながる業務ではありません。担当される社員の方々が日々チェックシートの回答確認や差し戻しといった繰り返し作業に時間をとられると、生産性やモチベーションの低下を招くことになります」（植木氏）

　こうした課題を解決するためにアシュアードが提供しているのがクラウドセキュリティー評価サービス「Assured」だ。セキュリティーの専任チームが第三者機関として国内外のクラウドサービスのリスクを評価することで企業の評価業務の工数を大幅に削減するもの。

　「Assuredはクラウドサービスの利用企業とクラウドサービス事業者の間に入らせていただいて、お客様企業のセキュリティーチェックの効率化と品質向上を実現するサービスです。使い方は非常にシンプルです。当社のWeb上から使いたいクラウドサービスを検索し、調査依頼をしていただくだけです。数日後から数週間後に我々からそのクラウドサービスに関する詳細な評価レポートを提出しますので、それで利用可否判断を行っていただきます」（植木氏）

　Assuredではセキュリティーの専任チームが各種ガイドラインに則った基準を策定。独自のセキュリティーチェックシート（約120項目）を基に、国内外のクラウドサービス事業者に対して客観的な評価を行っている。同社のアセスメントフローは経済産業省の監査サービス適合基準の認定を取得済みだ。

　事業者からの回答確認や、疑義がある場合の差し戻しもAssured側で対応する。企業に提供されるレポートには、専門家による最新の総合評価や所感に加え、想定されるリスク項目の解説、事業者がWeb上で公開しているセキュリティーの設定情報や認証情報、利用規約・プライバシーポリシーなどの分析内容も付加される。

　これにより、リスク評価に関する業務部門側の対応はほぼなくなり、管理部門もAssuredの評価レポートをベースにした属人的な判断に頼らない高精度な評価が実現する。評価情報は最新の評価に更新されしだい通知されるため、定期評価にも役立つ。

　「リスク評価に関しては、各企業のチェックシートそのものを置き換えていただくことに加え、クラウドサービス事業者とのコミュニケーションも我々が代替させていただくため、業務部門と管理部門の負担が大幅に軽減されます。利用サービスの棚卸も、Assuredが持つ台帳機能とアンケート機能を利用することで、利用状況のヒアリングや回答をスピーディーに行うことができます。チェックシートの更新も完全に手離れすると考えてください。Assuredが定期的に最新のセキュリティートレンドやガイドラインなどを踏まえてチェックシートの更新を行うからです」（植木氏）（図2） 　クラウドサービス事業者にとってもAssuredの利用価値は大きい。セキュリティーの専任チームによってレビューされたクラウドサービスの評価情報はAssuredのデータベースに登録され、繰り返し複数の利用企業に開示できる。評価レポートのダウンロード申請フォームをWebサイトなどに掲載できるサービスもあるため、サービスを利用したい企業からセキュリティーチェックを依頼された際も、都度対応をする回数が減り、工数削減につながるからだ。

　このようにAssuredを利用してクラウドサービスのリスク評価を標準化することで、企業はセキュリティーチェックの品質向上と効率化を同時に実現することが可能となる。

　こうしたサービス内容が評価され、Assuredの導入企業はリリース3年で既に1200社以上を数える。そこには三菱UFJ銀行や日本生命保険、ＳＯＭＰＯホールディングスといった金融機関、JTB、KDDI、日本航空といった幅広い業種の大企業も多数含まれており、DXを推進したい企業には欠かせないツールとなりつつある。

　「Assuredを広く利用いただくことで、各社で個別最適化されていたクラウドサービスのリスク評価を、業界全体で最適化していく。これが当社の目指す世界観です」と語る植木氏。セキュリティー人材が不足する中、専門家が中立的な立場でセキュリティー評価を行い、その情報を共有できる場を提供するAssuredは、日本企業がDXを加速させる上で大きな意義を持つサービスだといえるだろう。