サイボウズがリスク評価サービスでセキュリティ情報の開示を開始

サイボウズはクラウドリスク評価サービス「Assured」を活用してセキュリティ情報の開示を始めた。キーマンズネットが7月に公開した、セキュリティチェック問題に関する記事も併せて紹介する。

[大島広嵩，キーマンズネット]

　DX（デジタルトランスフォーメーション）への取り組みが加速する中、クラウドサービスの利用が拡大している。一方、クラウドサービス導入時のセキュリティチェックは属人的かつ非効率な状態で、サービスを提供する企業と利用する企業双方の負担になっている。

　サイボウズはセキュリティチェックにおける課題を解決するためクラウドリスク評価サービス「Assured」でセキュリティ情報の開示を始めた。キーマンズネットが7月に公開した、セキュリティチェック問題に関する記事も併せて紹介する。

クラウドリスク評価サービス「Assured」の選定理由

　Assuredを提供するビジョナル・インキュベーションによると、サイボウズが同製品を採用した理由は次の3つだ。

1.　第三者機関によるセキュリティ情報を顧客に提供

　Assuredで公開される情報は、「ISO/IEC27001」「ISO/IEC27017」「NIST SP800-53」などの主要なセキュリティ規格の他、経済産業省や総務省のガイドラインに基づいて作成された独自の質問票への回答を基に、専門の資格を持つセキュリティ有識者がリスクを評価した上で登録される。

　サイボウズは、自社の公開情報と併せて網羅的にセキュリティ情報を提供できる点を評価した。

専門家による第三者評価を実施（出典：ビジョナル・インキュベーションのリリース）

2.　承認制でセキュリティ情報開示が可能

　Assuredの利用者は、セキュリティ情報の開示を受け付けるリクエストフォームを自社サービスサイトに掲載できる。情報開示の承認／却下は1クリックで実施できる。

リクエストフォームイメージ（出典：ビジョナル・インキュベーションのリリース）

3.　最新情報を顧客に自動で共有

　Assuredでセキュリティ情報を更新すると自動でサービス利用者に一斉通知される。これまでもサイボウズはセキュリティ情報の開示を積極的に実施してきたが、Assuredを利用することで最新の情報をサービス利用者に届けやすくなる。

セキュリティ情報の通知イメージ（出典：ビジョナル・インキュベーションのリリース）

　Assuredの採用についてサイボウズの青野慶久社長は次のようにコメントを寄せた。

　「第三者機関であるAssuredの利用が拡大することで、これまで以上に効率よく、品質の高いセキュリティチェックができる仕組みが構築され、クラウドサービス利用企業から事業者への安心感、信頼感醸成の一助になることを期待している」

　なおキーマンズネットでもクラウドサービスのセキュリティチェック問題について幾つかの記事を掲載しているので参考にしてほしい。

サイボウズ青野氏とさくら田中氏が解決策について対談

　一般社団法人ソフトウェア協会に所属する、サイボウズの青野慶久社長とさくらインターネットの田中邦裕社長の対談では、セキュリティチェックシート問題の解決方法について対談した。

青野氏と田中氏がセキュリティチェック問題を語る

　青野氏と田中氏は、サービス事業者とユーザー企業のそれぞれが取り組むべき事柄を挙げた。

セキュリティチェックシート問題を徹底解説

　ベンダーリスクマネジメントSaaS「Conoris」を提供するミツカルの井上氏が、セキュリティチェックシート問題について連載（全5回）で解説する。

セキュリティチェックの専門家が問題を分かりやすく解説する

　1回目の「複雑化する『セキュリティチェックシート』の問題　情シス目線で現状とリスクを整理」では、セキュリティシートの提出をする「情報システム部門のセキュリティ担当の課題」についてを解説している。

　2回目の「クラウドサービス導入の落とし穴　ユーザー部門が抱える3つの問題」では、クラウドサービスを導入するユーザー部門が抱える問題を解説している。

　まだ明確な解決策が見つからないセキュリティチェックの問題だが、業界全体で解決に向けた取り組みを進めるため、今後もキーマンズネットは情報の発信を続けていく。