本連載は、クラウドサービス導入時のセキュリティチェックにまつわる課題について、情報システム部門とユーザー部門それぞれの立場からひもといてきました。本稿では、日本企業における現状のクラウドサービスのリスク評価手法3つと、そのメリット・デメリットを紹介します。
本連載は、クラウドサービスのセキュリティ要件や可用性を確認する「セキュリティチェックシート」の課題を洗い出しながら、「クラウドサービスを利用するためのリスク評価とコントロール」について解説しています。一回目は情報システム部門、二回目はユーザー部門におけるセキュリティチェックの問題をとりあげました。
三回目となる本稿では、「日本企業における現状のクラウドサービスリスク評価の3つの手法」と、そのメリット・デメリットを紹介します。
新卒でワークスアプリケーションズに入社し、ERPの営業や統合ID管理システムの導入・保守に携わる。その後、リクルートにて法人営業・コンサルタントを経て、新規事業開発へ異動。HR系SaaSの企画・営業担当として、サービスの成長に寄与した。パーソルグループのCVCにてベンチャーキャピタリストとして従事した後、Conoris Technologies(旧ミツカル)を2020年6月に創業しベンダーリスクマネジメントSaaS「Conoris」を提供している。
クラウドサービスのリスクを評価する1つ目の手段は、本連載でも言及している、セキュリティチェックシートです。
一般的にExcelなどで評価シートを作成し、導入するユーザー部門とクラウドサービスベンダーが入力します。この際、公的認証制度(ISO27001やプライバシーマークなど)を活用し、取得認証や取得数によってセキュリティチェック項目の削減や免除をしている企業もあります。公的認証を複数取得しているサービスは、セキュリティチェックシートの一般的な項目に対応していることが多いためです。またシートの入力と併せて、情報システム部門の担当者からクラウドサービスベンダーに電話などで聞き取り調査を実施することもあります。特に個人情報を多く扱う企業や金融機関で実施されることが多いです。
この手法のメリットは、企業独自のセキュリティチェックシートを利用することで、自社のポリシーに合わせた柔軟な確認ができる点です。その反面、デメリットとして記入者・チェック者ともに手間がかかることや、記入者・評価者による評価のブレが発生するというデメリットが挙げられます。トレンドの変化が激しいセキュリティ領域では、定期的なチェック項目のアップデートが必要ですが、担当者の工数不足などでアップデートがされないといった問題が起きています。また、セキュリティチェックシートが本来の目的から逸脱しているケースも見受けられます。
IT業界の歴史的に、セキュリティチェックシートの記入はクラウドサービスベンダーの営業活動の一環と見なされてきた経緯もあり、ほとんどのベンダーが無償で入力しています。ユーザー企業にとっては、自社の人件費はかかりますが、それ以外のコストが発生しないため、依頼をしやすい状況です。しかしまだ少数ではあるものの、ヌーラボのように、特定プラン以外のセキュリティチェックシートへの記入は有料にするベンダーも増えてきました。こういった流れが加速すると、セキュリティチェックシートへの記入という方法は、ユーザー企業にとって安易に依頼できるものではなくなる可能性があります。
2つ目の方法は、クラウドサービスベンダーが公開しているセキュリティ情報を活用する方法です。
残念ながら、日本のクラウドサービスベンダーでセキュリティ情報を公開している企業はまだ少ないため、この手法に絞って運用するのは難しいという現状があります。しかし海外では、自社のサービスページに「Trust Center」というページを用意し、かなりリッチなセキュリティページを公開するベンダーを頻繁に見かけます。
また、世界的に有名なセキュリティ団体である「Cloud Security Alliance」(以下、CSA)が提供するセキュリティチェックシートの国際的なスタンダードである「Cloud Control Matrix」(以下、CCM)や「Consensus Assessments Initiative Questionnaire」(以下、CAIQ)にクラウドサービスベンダーがサービスのセキュリティ情報を記入し、CSAのWebサイトで公開をする「Star Program」という制度もあります。
海外での利用が主となるため、ほとんどが英語表記ですが、1500以上の企業が自社サービスの詳細なセキュリティ情報をWeb公開しています。Star Programには、日本でも一般的に使われるクラウドサービスSalesforce、Atlassian 、Adobe、Zoomのセキュリティ情報も掲載されており、無料の会員登録で誰でもデータの閲覧が可能です。
CCMやCAIQは、CASBやコンサルティング企業が作成するセキュリティチェックシートの参考情報として利用されるため、自社ポリシーとCCM/CAIQをマッピングすることは海外サービスを評価する際に役立ちます
3つ目の方法は、CASBなどが提供するクラウドサービスのセキュリティ情報を活用した評価方法です。
先述したCSAは、CCM/CAIQに対する回答のみが掲載されています。一方CASBなどのプロバイダーが提供するクラウドサービスのセキュリティ情報は、プロバイダー独自に設計した設問と基準を基にスコアリングされています。第三者による客観的で分かりやすいクラウドサービスの評価結果を閲覧できるのが最大のメリットです。
既に情報収集されているサービスであればすぐに閲覧できることから、時間短縮や効率化の側面で非常に強みのある評価手法です。しかし、「日本のサービス、特にスタートアップなどが開発するサービスのカバレッジが低いこと」「更新頻度が高くないこと」が、利用者から問題として挙げられることが多いです。
基本的にプロバイダーごとに設問が固定されていることもあり、効率的な活用のためには、プロバイダーが提供する基準に合わせて自社ポリシーを変更することが望ましいです。自社ポリシーを変更しない、かつ自社のポリシーとマッチしない場合は、個別の確認が一部残るなど、かえって手間になることがあります。また、リスク評価情報を提供しているサービスの購入が必要となるため、それなりのコストがかかる点もデメリットとして挙げられます。
少数ですが、ユーザー企業が導入予定のクラウドサービスベンダーに許可を取り、簡易的な脆弱(ぜいじゃく)性診断を実施し、問題の有無をチェックする方法もあります。しかしほとんどの企業は、セキュリティチェックシートへの記入もしくは、公開情報やCASBといったクラウドサービス評価データベースの情報を活用したチェックのいずれかを実施しています。
ユーザー企業とクラウドサービスベンダーの双方が、この問題を根本的に解決するソリューションを求めていますが、現状のリスク評価手法は一長一短があり、全員が満足できる解決策になっていません。今回は言及しませんが、全ての方法が継続管理や証跡管理に不向きであることから、リスク管理の問題や手間も存在します。
今後も増加の一途をたどるクラウドサービスの利用者が、安心・安全にサービスを活用するために、企業はどのように継続的なリスク評価や管理をすべきでしょうか。次回は日本に比べてよりクラウドサービスの利用が進んでいる欧米における、リスク評価の先行事例を紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。