セキュリティ評価プラットフォーム「Assured」、
AIを活用したクラウドサービスのセキュリティ対策状況分析機能をリリース
〜認証の取得状況、利用規約・ポリシーなどの公開情報をAI分析し、注意すべき点を自動抽出〜
セキュリティ評価プラットフォーム「Assured(アシュアード)」(以下、Assured)は、クラウドサービス事業者が公開する認証の取得状況や利用規約・プライバシーボリシー等の記載情報を集約し、特に注意すべき点をAIが分析し、自動抽出する新機能を2023年10月12日より開始します。新機能により、クラウドサービスのセキュリティ対策に関する公開情報を迅速に収集・分析でき、利用可否判断に役立てることが可能です。
クラウドサービス利用におけるセキュリティ情報収集の課題
2023年7月に公開されたIPA「クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査」(※1)では、クラウドサービスの安全な利用のための、事業者によるセキュリティ情報の適切な開示、利用企業におけるSaaSの選定・運用に必要な情報の取り決め等の必要性が示されています。実際に、認証取得の状況は8割以上の事業者がHP上で公開している等、一部のセキュリティ対策状況は一般公開されています。利用企業においては、クラウドサービスのセキュリティ評価を実施している企業の半数以上が情報収集のために認証取得状況などの公開情報を確認(Assured調べ※2)しており、利用可否判断の参考にしています。しかしながら、約4割の利用企業が「情報収集・利用に対応する工数がかけられない」として作業効率に課題を感じており、散在する情報を収集し、分析するために多くの時間と工数が発生していることが伺えます。
※1 IPA「クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査」
※2 Assured「クラウドサービスのセキュリティ評価に関する調査」2023年8月
Assured新機能概要
Assuredは、専門知識を有するセキュリティ評価チームがクラウドサービスのセキュリティ対策状況を調査した第三者評価情報をデータベースに集約し、高精度なセキュリティ評価を実現するサービスです。
新機能では、クラウドサービス事業者のウェブサイト等で公開されている情報から確認できるセキュリティ対策状況をまとめ、特に注意すべき点をAIが分析し、自動抽出した情報を確認できます。
<確認できる項目>
※対象サービスは、Assuredのデータベースに登録されているクラウドサービスを対象に順次拡大予定
- 認証の取得状況
ISO/IEC 27001、ISO/IEC 27017、プライバシーマーク、SOC2、ISMAPなど、情報セキュリティまたはプライバシー保護に関する第三者認証・評価の取得状況を一覧で確認できます。
- 規約やポリシー等のURL
ページが点在していることの多い、規約やポリシー等が記載されたページのURLを一覧で確認できます。
- ドメイン登録日やデータセンターの設置地域、利用するIaaS
サービスが利用するドメイン情報やサーバーの設置地域、IaaSプロバイダーを確認できます。
- 規約やポリシー等で特に注意すべき項目をAIが分析・自動抽出
利用規約・プライバシーポリシーの内容をAIが分析し、特に注意すべき項目を要約して抽出します。
HP上で点在している情報を集約し一覧化
特に注意すべき項目をAIが分析し要約
通常、クラウドサービスのセキュリティ対策に関する情報は事業者のウェブサイト上で複数のページにまたがって掲載されていたり、取得している認証の運営元が公開するページ上で検索する必要があったりなど、必要項目を全て調べ、分析するには非常に工数がかかります。
海外サービスなど、セキュリティチェック対応を実施していない事業者のクラウドサービスの利用可否を検討する際には、こうした公開情報からセキュリティ対策状況を読み解く必要がありますが、本機能を活用することで、留意すべき事項をまとめて確認のうえ、分析が可能になります。また、重要情報を取り扱わないクラウドサービスなどで、最小限の確認工数で利用可否を判断したい場合に、迅速な情報収集に役立てていただくことができます。
利用方法
通常プランをご利用のお客様にβ版として提供いたします。
ご利用に関するお問い合わせはこちら