サイボウズ青野氏とさくら田中氏対談 禁断の「チェックシート問題」について

サイボウズの青野氏が、慣習化された「セキュリティチェックシート」に内在する問題点をツイッターでつぶやき、話題となった。同氏はこれを問題と認識し、IT業界を上げて取り組むべき問題だとする。

[高橋睦美，キーマンズネット]

　「このクラウドサービスを利用したいです」と情シスやセキュリティ担当者に申し出たところ、「セキュリティリスクを確認するため、このチェックシートに入力をお願いします」とExcelシートを渡された。だがそのチェックシートは企業独自に作成されたもので、中には担当者が自力では埋められない欄もある。どうすればいいか分からないため、ひとまずクラウドサービス事業者に「こちらのシートの入力をお願いします」とメールを送信した。

　今、このようなやりとりが国内企業の至るところで発生している。業界で標準化されていないセキュリティチェックシートがセキュリティ品質の低下とともに「IT業界の生産性の低下を招く一因となっていないか」とサイボウズの青野慶久社長がツイートし、大きな反響を呼んだ。この件について、キーマンズネットは同氏と一般社団法人ソフトウェア協会会長兼、さくらインターネット代表の田中邦裕社長に単独取材し、非効率なセキュリティチェックシートの実態と取るべき対策について、両者の考えを聞いた。

非効率なチェックシートでは、ムダなお金を払い続けることになる

　セキュリティチェックシートとは、企業がクラウドサービスを利用するに当たって、「ベンダーのセキュリティ基準は自社のポリシーと合致しているか」「運用体制はどのようになっているか」「データはどのように保存され、アクセス権限はどう設定されているか」など、セキュリティのリスク評価に必要な項目をExcelなどにまとめたシートを指す。近ごろは、プライバシーマークやISMSの取得や更新、監査の際にも提出を求められる場合があるという。

サイボウズ　青野慶久社長

　サイボウズの青野氏は「セキュリティチェックシートはそれ自体が『悪』ではないのです。問題は、チェックフローがあまりにも非効率なことにあります。ユーザー企業が個別に作成したチェックシートをベンダーに送って確認するのが一般的な流れですが、基準やフォーマットは各社でバラバラで、これでは何が『正』なのかが分かりません。IT業界全体がこれを『問題』だと認識し、効率的な方法を発見できればいいのですが」と現状を嘆く。

　青野氏によると、セキュリティチェックシート自体は昔から存在していたが、コロナ禍でクラウドサービスの利用が一気に進んだことで問題が明るみに出たという。

さくらインターネット（兼・一般社団法人ソフトウェア協会会長）　田中邦裕社長

　さくらインターネットの田中氏は「クラウドサービスの利用が業務委託やアウトソーシングの延長として考えられていることも問題です。アウトソーシングサービスなど外注先に何かを委託する時に使われていたチェックシートを、クラウドサービスの利用でも使われていることにも疑問を感じます」と指摘する。

　加えて、サービス事業者側のコスト問題もある。田中氏は「システム開発を外注する場合は1人月で数十万レベルの単価になりますが、クラウドサービスは1ユーザー当たり月額数百円、高くても数千円程度でしょう。チェックシートの個別対応コストを考えると、サービス事業者としては複雑なところです」ともコメントする。

　田中氏のコメントに対して、青野氏は次のように意見する。

　「結局、ユーザー企業からバラバラのフォーマットで届くセキュリティチェックシートの対応コストを誰が支払っているかというと、最終的には利用者が払うわけです。ユーザー企業からすると無料で対応してくれているように思えますが、実は費用が発生しているわけです。統一化されていないチェックシートによってサービス事業者に負担を掛けることで、ユーザー企業も余計なコストを支払わざるを得なくなると。これは、ユーザー企業とサービス事業者双方にとって良くない状況ですよね。ユーザー企業とベンダーが一体となってチェックシートの効率化を図らなければ、日本企業は無駄なコストを払い続けることになるでしょう」

　セキュリティチェックシートが有効活用されているのならまだしも、残念ながらそうとも限らない。田中氏は「サービス事業者から回収したチェックシートを印刷し、ファイルにとじて保管している企業もあります。ですが、そのチェックシートを関係者全員が確認しているわけではなく、せいぜい内部監査の時に取り出して見る程度です」と、対応コストが発生しているにもかかわらず、それが無駄になっていると指摘する。

　ユーザー企業側の作業の属人化という課題もある。このサービスではどのようなポイントを確認すべきか、また利用部門に何を尋ねるべきかなど、チェックシートの作成手順が“職人芸”化し、情シスの中でも特定の担当者にしか対応できない項目もある。つまり、その担当者にチェックシートの作成負荷が集中し、人事異動などでその部門から離れた場合、誰も対応できなくなる可能性がある。

　こうしたセキュリティチェックシートを巡る数々の問題点に対して、ユーザー企業とサービス事業者が一体となってプロセスの効率化とチェックシートの質の向上に取り組んでいくべきだというのが両氏の考えだ。

問題解決の近道は「認証と標準」を活用すること

　では、具体的に何をどう変えるべきなのか。青野氏は、サービス事業者とユーザー企業のそれぞれが取り組むべき事柄を挙げた。

　青野氏は「まず必要なのはセキュリティチェックシートの項目を業界全体で標準化し、それを発信することです」と語り、自身の考えを述べた。

　「既にISMAP（政府情報システムのためのセキュリティ評価制度）などの標準はありますが、それを取得するにはかなりのコストがかかります。当社では数千万のコストを掛けて取得しましたが、経済的コストが限られている企業では難しい話です」

　青野氏は、ISMAPをコンパクトにまとめ、活用するのが一つの解決策になるのではないかとの考えを示した。田中氏もこれに同意し、チェックシート作成においてよりどころになる規格の必要性を訴える。

　「今、ISMAP-LIU（注）に関するパブリックコメントが出ていますが、こうした標準を用いて『この基準を取得していれば大丈夫』と合意が取れる形にしておけば、クラウドサービスの利用者側も提供者側も楽になるでしょう。このように業界のレファレンスとなる規格の整備も重要です」（田中氏）

（注）セキュリティリスクが低い情報を扱うSaaSの認定制度

　同時に、サービス事業者側は「どのような認証を取得しているか」「どんなセキュリティ管理策を実施しているか」をWebで公開したり、それらをまとめたシートをユーザー企業がダウンロードできるようにしたりすることでかなりの手間が省けるはずだとした。

　一方のユーザー企業側は、自社に必要なチェック項目をまとめ、それらを標準に当てはめていく努力が必要だ。それが難しければ、サービス事業者の標準に合わせ、個別に確認する項目をできるだけ減らすことが望ましい。

　「何をどこまで満たしているのかが把握できていれば、項目全てをサービス事業者に確認しなくても『ここまでは大丈夫』という基準ができます。その上で、それ以外で確認しなければならない項目は何かを整理すればいいのです」（青野氏）

　こうしてサービス事業者とユーザー企業の意識をすり合わせることでチェックシートにかかる時間も省け、双方の負担も減らせる可能性があるとした。最終的には、デジタル庁をはじめとする官公庁にもこの流れが広がっていくことで、効率化が進むのではないかという。

　青野氏はクラウドサービス事業者とユーザー企業との間で新たなサービスを提供し始める企業があることも注目すべきだという。例えば、「セキュリティ情報の帝国データバンク」を掲げる「Assured」（ビジョナル・インキュベーション提供）では、クラウドサービスのセキュリティ情報を第三者機関として調査し、質の高い情報を提供している。

　「こうしたサービスを利用することでサービス事業者に負荷をかけることなく、ユーザー企業は質の高い情報が得られます。セキュリティチェックシート作成の属人化問題も解消でき、非効率なやりとりも排除できるでしょう」（青野氏）

　最後に青野氏は、「セキュリティに投資しよう、という言葉に尽きます。業界として、社会としてセキュリティに投資していく流れを作ることが重要です」と述べ、現場に対してセキュリティについて啓蒙（けいもう）、教育し、知識を持つことが重要だと語った。