メディア
コラム
» 2022年07月01日 07時00分 公開

複雑化する「セキュリティチェックシート」の問題 情シス目線で現状とリスクを整理セキュリティ有識者が徹底解説

2022年6月16日、サイボウズの青野代表が「セキュリティチェックシートが抱える問題点」についてツイートしたところ、とても大きな反響がありました。本連載(全5回)では、セキュリティチェックシートの問題点を洗いだしながら、「クラウドサービスを利用するためのリスク評価とコントロール」について解説します。

[井上 幸,ミツカル]

 とある先進的な大企業のエグゼクティブとお話した際、「さまざまなリスクがあるにもかかわらず、なぜクラウドサービスの利用をポジティブに認めているのですか」と質問したところ、「優秀な人が入社して、定着して活躍してもらうために必要だから」という回答をもらい面食らいました。

 クラウドシフトが生産性や売上を上げるだけでなく、従業員の定着や活躍につながるという考えはそれまでの私にはない視点でした。日本企業が労働生産性を上げ国際競争力を高めるためには、クラウドの活用は不可欠であると思わざるを得ませんでした。

 一方、サイバーセキュリティ攻撃によるクラウドサービスのインシデントが年々増加して、大企業ほどクラウド活用に慎重な姿勢がみられます。SaaS(Software as a Service)を中心としたクラウドサービスを従業員にどのように安全に利用してもらうかというのは、情報システム部門にとって非常に悩ましいテーマとなりました。

 このような背景を踏まえ、本連載では次世代の情報システム部門に求められる「クラウドサービスを利用するためのリスク評価とコントロール」について、全5回にわたって解説します。

著者プロフィール:井上 幸(ミツカル 代表取締役)

新卒でワークスアプリケーションズに入社し、ERPの営業や統合ID管理システムの導入・保守に携わる。その後、リクルートにて法人営業・コンサルタントを経て、新規事業開発へ異動。HR系SaaSの企画・営業担当として、サービスの成長に寄与した。パーソルグループのCVCにてベンチャーキャピタリストとして従事した後、株式会社ミツカルを2020年6月に創業しベンダーリスクマネジメントSaaS「Conoris」を提供している。


ツイートが大反響を呼んだ「セキュリティチェックシート問題」

 2022年6月16日、サイボウズの青野代表が「セキュリティチェックシートが抱える問題点」についてTwitterでツイートしたところ、600を超えるリツイートと2700以上のいいねが集まり、大きな反響を呼びました。

 セキュリティチェックシートとは、ユーザー企業がクラウドサービスを導入する際に、自社の求めるセキュリティ要件や可用性を満たしているかどうかを事前に確認する目的で、事業者に記入を求めるものです。

 ユーザー企業の導入部門とクラウドサービス事業者が回答する総設問数は50〜150にもなることが多く、一部の業界や企業では300を超える場合もあります。設問数が少ない場合は、基本的にExcelやスプレッドシートへの記入をメールで依頼し、下図のように導入企業のユーザー部門、情報システム部門、そしてベンダーの3者間でやりとりします。

セキュリティチェックシートの3社間のやりとり(出典:ミツカル)

 本業務で大変なのは、「社外の人も含めたやりとりが多いワークフローによる管理の煩雑さ」と「フォーマットの異なるセキュリティチェックシートを記入依頼すること」によって、三者三様の課題が発生することです。本記事ではまず、セキュリティシートの提出をする「情報システム部門のセキュリティ担当の課題」から解説します。

情報システム部門が抱える3つの問題

 現場の判断でクラウドサービスを導入できる企業の場合、利用の許可をとるためセキュリティチェックシートを用意します。DX推進や新しいサービスの活用に意欲的な企業であれば、情報システム部門が確認しなければならないセキュリティチェックシートの数は年間数百件にもなります。

 そもそもセキュリティ担当者が人手不足の企業が多い中、情報システム部門のセキュリティ担当はマルウェアやランサムウェアなどの対応に追われながら、セキュリティチェックシートに対応する場合は珍しくありません。工数不足はもちろん、それ以外にもさまざまな問題が発生します。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。