メディア
ニュース
» 2022年07月26日 07時00分 公開

サイボウズ青野氏とさくら田中氏対談 禁断の「チェックシート問題」について

サイボウズの青野氏が、慣習化された「セキュリティチェックシート」に内在する問題点をツイッターでつぶやき、話題となった。同氏はこれを問題と認識し、IT業界を上げて取り組むべき問題だとする。

[高橋睦美,キーマンズネット]

 「このクラウドサービスを利用したいです」と情シスやセキュリティ担当者に申し出たところ、「セキュリティリスクを確認するため、このチェックシートに入力をお願いします」とExcelシートを渡された。だがそのチェックシートは企業独自に作成されたもので、中には担当者が自力では埋められない欄もある。どうすればいいか分からないため、ひとまずクラウドサービス事業者に「こちらのシートの入力をお願いします」とメールを送信した。

 今、このようなやりとりが国内企業の至るところで発生している。業界で標準化されていないセキュリティチェックシートがセキュリティ品質の低下とともに「IT業界の生産性の低下を招く一因となっていないか」とサイボウズの青野慶久社長がツイートし、大きな反響を呼んだ。この件について、キーマンズネットは同氏と一般社団法人ソフトウェア協会会長兼、さくらインターネット代表の田中邦裕社長に単独取材し、非効率なセキュリティチェックシートの実態と取るべき対策について、両者の考えを聞いた。

非効率なチェックシートでは、ムダなお金を払い続けることになる

 セキュリティチェックシートとは、企業がクラウドサービスを利用するに当たって、「ベンダーのセキュリティ基準は自社のポリシーと合致しているか」「運用体制はどのようになっているか」「データはどのように保存され、アクセス権限はどう設定されているか」など、セキュリティのリスク評価に必要な項目をExcelなどにまとめたシートを指す。近ごろは、プライバシーマークやISMSの取得や更新、監査の際にも提出を求められる場合があるという。

サイボウズ 青野慶久社長

 サイボウズの青野氏は「セキュリティチェックシートはそれ自体が『悪』ではないのです。問題は、チェックフローがあまりにも非効率なことにあります。ユーザー企業が個別に作成したチェックシートをベンダーに送って確認するのが一般的な流れですが、基準やフォーマットは各社でバラバラで、これでは何が『正』なのかが分かりません。IT業界全体がこれを『問題』だと認識し、効率的な方法を発見できればいいのですが」と現状を嘆く。

 青野氏によると、セキュリティチェックシート自体は昔から存在していたが、コロナ禍でクラウドサービスの利用が一気に進んだことで問題が明るみに出たという。

さくらインターネット(兼・一般社団法人ソフトウェア協会会長) 田中邦裕社長

 さくらインターネットの田中氏は「クラウドサービスの利用が業務委託やアウトソーシングの延長として考えられていることも問題です。アウトソーシングサービスなど外注先に何かを委託する時に使われていたチェックシートを、クラウドサービスの利用でも使われていることにも疑問を感じます」と指摘する。

 加えて、サービス事業者側のコスト問題もある。田中氏は「システム開発を外注する場合は1人月で数十万レベルの単価になりますが、クラウドサービスは1ユーザー当たり月額数百円、高くても数千円程度でしょう。チェックシートの個別対応コストを考えると、サービス事業者としては複雑なところです」ともコメントする。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。