クラウドサービス先進国アメリカのセキュリティチェックの現状と解決策

本連載は、クラウドサービス導入時のセキュリティチェックにまつわる現状と課題をひもといてきました。4回目となる本稿は、クラウドサービスの先進国であるアメリカの現状をとりあげながら海外の状況と解決策を紹介します。

[井上 幸，Conoris Technologies]

　よくSNSなどで、「Excelのセキュリティチェックシートを送ってくるのは日本ぐらいなのではないか」といった趣旨の発言を見かけます。しかし、セキュリティ・ガバナンスレベルの高い国や企業においても、残念ながら世界共通の業務となっており、特に日本に限った話ではありません。クラウドサービスを利用する企業が定めた質問にExcelやスプレッドシートで回答するのがまだまだ一般的です。例えば米国は訴訟大国であるため、誤った回答をすることが後々大きなリスクとなるため、非常に神経を使いながら対応している企業も多いです。

　類似する業務ではあるものの、日本と状況が異なる部分もあるため、米国との相違点を通してどのような解決策があるのか考察しましょう。

著者プロフィール：井上 幸（Conoris Technologies　代表取締役）

新卒でワークスアプリケーションズに入社し、ERPの営業や統合ID管理システムの導入・保守に携わる。その後、リクルートにて法人営業・コンサルタントを経て、新規事業開発へ異動。HR系SaaSの企画・営業担当として、サービスの成長に寄与した。パーソルグループのCVCにてベンチャーキャピタリストとして従事した後、Conoris Technologies（旧ミツカル）を2020年6月に創業しベンダーリスクマネジメントSaaS「Conoris」を提供している。

1.公的認証の充実

　日本のクラウドサービスが取得する公的認証といえば、ISO27000シリーズとプライバシーマークが主ですが、これらの認証はプロダクトに対して付与されるものではなく、企業や事業所（部門）で取得します。そのため、プロダクト自体のセキュリティレベルを図る基準としては不十分であるという考えの企業が多いです。結果として、認証を取得しているからといって全ての設問への回答を免除するのは難しいのが実情です。

　米国には前回の記事でも紹介した「Cloud Security Alliance」（以下、CSA）が提供するSTARプログラムや米国政府機関におけるクラウドセキュリティ認証制度であるFedRAMPをはじめ、プロダクトが取得する認証が複数存在し、リスク評価の簡略化に貢献しています。

　多くのこういった認証は、日本のサービスでも取得は可能ですが、一般的な認知度が低いことと、主なドキュメントが英語になることから、日本企業が取得するハードルは高いのが現状です。

　取得と維持にかかるコストが高額のため、米国公認会計士協会（AICPA）が開発したサイバーセキュリティ・コンプライアンス・フレームワークである「SOC」（Service Organization Control）についても、海外の大手クラウドサービスベンダーのサービスにおいて取得する傾向があります。

　本来はISMAP（政府情報システムのためのセキュリティ評価制度）が日本における企業とプロダクト両方の評価をカバーする認証になることが望ましいのですが、取得にかかるコストとハードルもあり、制度開始後1年以上が経過した今も、取得サービス数はまだ40サービス程度にとどまっています。取得しているサービスはIaaS（Infrastructure as a Service）やPaaS（Platform as a Service）などの高いセキュリティレベルが求められるカテゴリーが中心です。

2.フレームワークと標準設問の普及

　米国では、CSAが提供しているクラウドサービスに特化したセキュリティチェックシートの国際的なスタンダードである「Cloud Control Matrix」（CCM）や、「Consensus Assessments Initiative Questionnaire」（CAIQ）が普及しています。

　最近は日本でも活用されることの多い、米国政府機関が調達する製品に対して求めるセキュリティ基準を定めた「NIST SP800-171」や、米国国家安全保障局（NSA）、国防情報システム局（DISA）、米国立標準技術研究所（NIST）をはじめとする政府機関と企業、研究機関などが共同インターネット・セキュリティの標準化に取り組む「CIS」（Center for Internet Security）が作成する「CIS Controls」など、さまざまなフレームワークや設問票が何年も前から利用されています。

　日本でもIPAや経産省、総務省などが出しているチェックリストやガイドラインがありますが、大企業のガバナンスレベルではそのまま利用することは難しく、海外のフレームワークや設問票を参考にしながら独自設問が追加されているケースが多いです。

3.ベンダーリスクマネジメントツールの急成長

　ベンダーリスクマネジメント（以下VRM）とは文字通り、取引先のリスクを管理するツールです。GRCツールやサードパーティーリスクマネジメントと呼ばれる場合もあります。

　日本ではなかなか耳にしない言葉ですが、欧米では10年以上前のオンプレミスのパッケージソフトウェアの時代から存在する領域で、クラウドサービスのみならず業務委託やアウトソーシングなどの委託先のチェックにも用いられるプロダクトです。

　欧米の大企業ではこういったツールが急速に普及しており、2028年までにグローバルで$13.9Billion（約2兆円）の市場になるという調査レポートもあります。

　VRMツールとしては、PrevalentやOneTrustが提供するVRMなどが挙げられます。また、クラウドサービスに特化したプロダクトもあり、2022年6月に$35 Million（約50億円）の資金調達を発表したWhisticが有名です。リリースによると、Whisticは4万以上のクラウドサービスのセキュリティ評価プロフィールを保有しており、クラウドサービス利用企業からの依頼に基づき、クラウドサービスベンダーが情報の開示をできるようになっています。

　Excelなどで送られてくる設問表の送付・回答・チェックの全てをオンラインで実施できる仕組みです。加えて、多くのVRMは代表的なガイドラインや設問集をテンプレートとしてカバーしているため、導入するだけで簡単に標準化されたセキュリティ評価や委託先評価の項目にアクセスできます。回答するベンダー側も同じ設問であれば回答の流用ができることから、結果として世の中全体の標準化に一役買うとみられます。

　世界のクラウドコンピューティング市場は、2030年には$1614 Billion（約231兆円）になるといわれています。利用増加率を考えると、リスク評価業務は増加数も相まって「待ったなし」の状態であり、発展途上ではあるものの、先行する米国では設問の標準化、公的認証の整備、専門プロダクトの登場などにより効率化と適切な管理が徐々に進んでいる状況です。

　日本におけるクラウドサービス市場はまだまだこれからですが、リスク評価業務への対応方法としては米国の事例を参考に現行の2倍、3倍になったことを想定して設計を考えてみるのもよいのではないでしょうか。